Продолжая тему. Размышления над комментариями в Интернете к проекту Положения о ГСЗИ в развитие Указа Президента РФ от 01.05.2022 № 250

Продолжая тему. Размышления над комментариями в Интернете к проекту Положения о ГСЗИ в развитие Указа Президента РФ от 01.05.2022 № 250

Каждому гарантируется свобода мысли и слова. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.

Конституция Российской Федерации, статья 29

Не так давно я уже писал о проблемах информационной безопасности в связи с изданием Указа президента РФ от 01.05. 2022 № 250. А в конце января в развитие этого указа для обсуждения в доступе появился проект нового указа «Об утверждении Положения о государственной системе защиты информации в Российской Федерации» [1].

И, естественно, сразу же в сети появились и комментарии экспертов. Каждый имеет право на свое мнение. Это правильно и справедливо. Вот и я решил внести свою лепту и высказать свое мнение и не только по самому Положению, но и по тем мнениям, которые уже есть, без ссылки на экспертов, так как мнения бывают разные. Например… 

Есть мнение…

А мнение (подчеркиваю, сугубо частное мнение эксперта!) такое, что это Положение нужно ФСТЭК для того чтобы вступить в межведомственную игру под названием «кто главный». На мой взгляд, это не так. ФСТЭК России и ФСБ России здесь отводится чисто техническая роль (см. п. 9 Положения), которая сводится к организации (читай – обеспечению) деятельности всей ГСЗИ [2], устанавливанию требований о защите информации и осуществлении контроля за обеспечением защиты информации. Положение четко определяет составные части ГСЗИ и, самое главное – кто за что отвечает. И вот здесь, важнейшая функция – координация деятельности органов, организаций по вопросам защиты информации на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях – отдана не ФСТЭК России, ни ФСБ России, а специальной системе МВК [3] по ИБ [4] (см. п. 16 Положения). Во главе стоит МВК по ИБ Совбеза РФ, затем МВК по ИБ федеральных округов, потом МВК по ИБ субъектов РФ и так далее до самого низа. Вот и получается, что уровень организации обеспечения информационной безопасности подняты на совершенно иной, высший уровень: на уровень Совбеза РФ и решения принимаются коллегиально и межведомственно. Это как раз и может привести к единству подходов по информационной безопасности. И тут как раз проявляется второе существенное мнение… 

Зачем?

Мол де документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться ГСЗИ, явно прослеживается, что планируется выпуск новых документов. И да, и нет. По поводу «да» я уже сказал: документ поднимает ИБ на новый уровень, придает ему наивысший ранг под эгидой Совбеза РФ. Это не рамочный документ, это документ, который определяет структуру, задачи этой системы, а также функции, которые должны быть реализованы субъектами в нее входящими. Не будем забывать, что указ, впрочем, как и закон, это документ определяющий отношения между субъектами, он не затрагивают и не должны затрагивать технические нормы и требования. Отсюда действительно следует, что должны быть и подзаконные акты, в том числе и по методике оценки ущерба, и по проведению оценки эффективности принятых мер защиты, и по проведению независимой оценки, и по оценке DevSecOps-практики. А вот должны это быть новые или уже существующие документы – это вопрос. Лично я не вижу острой необходимости разработки каких-то новых технических требований. Нормативная база сейчас уже есть и она обширна. Поэтому и Положение акцентирует свое внимание не этих технических вопросах, а на ответственности за создание и управление такой системы на объекте. А что такое ответственность и есть ли таковая? 

Ответственность…

Определена ли ответственность? Здесь, как говорится в бессмертной цитате из комедии Гайдая, «с людями надо помягше, а на вопросы смотреть ширше». Сначала посмотрим что такое ответственность. Согласно юридической науке любое деяние (это действие или бездействие), приводящее к негативным последствиям должно иметь виновного, который и несет всю полноту ответственности. Негативные последствия в Положении (и тут я полностью соглашусь с комментариями других экспертов) определены: (1) ущерб (риски) обладателям информации и (2) отсутствие безопасной среды обработки  информации. Но все эти последствия могут наступить только в результате каких-либо деяний конкретного виновного. А законодательных норм, описывающих составы таких деяний – множество и они описаны и в УК РФ и в КоАП РФ. Ведь ущерб может быть причинен, например в результате мошеннических действий (ст. 159 УК РФ) или халатности сисадмина (ст. 293 УК РФ), который своевременно не проверил ресурс на вирусы. И, как это не цинично звучит, статья 13.12 КоАП «Невыполнение обязательных мер защиты информации» не самое главное, это всего лишь «паровозик» к основным статьям. В данном случае невыполнение предписанных организационных и технических мер защиты способствуют совершению более серьезного противоправного деяния. И возложение Указом президента РФ № 250 и повторение этой дефиниции в проекте Положения на руководителя организации персональной ответственности за создание и управление системой защиты как раз и позволяет рассматривать это лицо как причастное к более серьезным деяниям. Ну, и корме того, нельзя исключать и положительного эффекта от превентивного репрессивного воздействия именно за нарушение установленных требований по защите, которые еще не привели к тяжким последствиям, но могут к ним привести. Вот здесь в полный рост возникает ст. 13.12 КоАП, как самостоятельный состав противоправного деяния при создании безопасной среды обработки информации. 

Общедоступная информация…

Учитывая, что в соответствии с ФЗ-149 к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен, в том числе открытые данные, многие задаются вопросом: «Защищать это как?». Я уже много лет назад писал по этому поводу. Наверное кто-то забыл, а кто-то не читал. Позволю себе себя же процитировать (из старого, но актуального): «Вот представьте, захотели вы побольше узнать о руководителе страны. Открываете официальный сайт и читаете: «Президент – уникальная разновидность стерхов (белый журавль), эндемик северных территорий России, находятся под угрозой исчезновения и внесены в международные списки Красной книги Всемирного союза охраны природы и конвенции по международной торговле САЙТС, а также Красной книги России. В настоящее время численность популяции вида оценивается в одну особь. Крупная птица, клюв длинный, красный, на конце пилообразно зазубренный. Оперение белое, ноги длинные, красновато-розовые». Вы сразу же: «Ах! Ох! Как это может быть! Кто такое написал! Это же международный скандал! Подать сюда Тяпкина-Ляпкина!» И прямиком к администратору сайта. А тот в ответ: «А че? Я ниче. Это кто-то влез на наш сайт и правильный текст заменил, а кто влез и как – не знаю». Вот и получается, что если кто-то несанкционированно сможет изменить открытые информационные ресурсы органов государственной власти, находящиеся в свободном доступе для граждан и юридических лиц и содержащие официальную информацию о деятельности этих органов, будет нанесен существенный вред не только субъекту, но и целому государству!»

Ну а теперь обращу внимание на дефиницию Положения (ст. 1): «… общедоступная информация, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование». Заметьте, речь идет об открытой информации госорганов и муниципалов. А это уже юрисдикция ФЗ-8 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», где в ст. 13 дан конкретный перечень такой общедоступной информации. А еще есть постановление Правительства РФ от 10.07.2013 г. № 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления…» Да еще каждый госорган обязан разместить в Интернете перечень общедоступной информации, которой он будет делиться. Так что, например, получение сведений ФНС из ЕГРЮЛ и ЕГРИП в информационные системы третьих лиц по разработанным API-ФНС вряд ли можно отнести к открытым сведениями госорганов, так как они предоставляются, как правило, на основании договоров для вполне определенных целей и тем самым ограничены в распространении. 

***

Это, конечно, не все комментарии, но остальное оставляю вам, для размышления…

[1] https://regulation.gov.ru/projects#npa=135259

[2] ГСЗИ – Государственная система защиты информации Российской Федерации

[3] МВК – межведомственная комиссия

[4] ИБ – информационная безопасность