Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • К круглому столу по обсуждению проекта Федерального закона «О безопасности критической информационной инфраструктуры РФ»

    14.10.2013

    В журнале «Connect! Мир связи» №9, 2013 состоялся заочный Круглый стол  «На повестке дня — безопасность АСУ ТП критически важных объектов», посвящённый обсуждению проекта Федерального закона «О безопасности критической информационной инфраструктуры Российской федерации».

    Ведущий эксперт компании ЭЛВИС-ПЛЮС Сергей Викторович Вихорев, принял участие в этом круглом столе и ответил на поставленные редакцией вопросы.

    На профильных форумах и площадках, посвященных данной тематике, экспертным сообществом неоднократно поднимался вопрос о недостаточной четкости толкования терминологии и базовых понятий. Насколько полно, по-вашему мнению, в проекте закона эти вопросы проработаны? Все ли спорные вопросы относительно определений базовых понятий получили свое разрешение?

    Проблема тезауруса – важная проблема. Однако, толкование терминов и базовых понятий – это не сфера закона. Термины должны определяться стандартом. На мой взгляд статья 2 перегружена понятиями, которые не используются в самом законе. Но и даже приведенные термины не всегда совпадают с уже принятыми в этой области. К примеру, понятие «информационные ресурсы» не совпадает с определением базового «трехглавого» закона (ФЗ-149), а это обязательно приведет к разночтениям. А некоторые термины даны уж слишком широко, что размывает границы понятия и делает неопределенным сферу применения закона. К примеру, тоже понятие «информационный ресурс» или «автоматизированная система управления производственными и технологическими процессами». Одно слово «производственными» включает в сферу юрисдикции закона практически все информационные системы предприятия, даже систему учета складского хранения – это тоже производственный процесс, но он, наверное не требует такого пристального внимания со стороны закона. На мой взгляд эта статья требует доработки.

    В проекте закона прописаны критерии, согласно которым должно производиться категорирование объектов. Насколько необходимым и достаточным, на ваш взгляд, является этот перечень? Насколько измеряемы и сопоставимы критерии в нем перечисленные?

    В принципе, в законе в части критериев отнесения объектов к критическим ничего нового нет. Еще в 2005 году Совбезом России были определены эти критерии. Основным признаком принадлежности объекта к критически важным Совбез назвал наличие на объекте экологически опасного или социально значимого производства или технологического процесса, нарушение штатного режима которого приводит к чрезвычайной ситуации. Если посмотреть внимательно, приведенные в законе критерии как раз и описывают этот признак. Только сами по себе они действовать не будут. Тем более, что категорировать будут сами субъекты. Здесь нужны хорошие и четкие методики определения критериев. Только тогда эти критерии будут сопоставимы и измеряемы. Только тогда их можно будет проверить и избежать излишних трат, ведь некоторые руководители захотят отнести свои объекты к критическим только из амбиций или для получения дополнительного финансирования. Будем надеяться, что такие методики будут.

    В законопроекте указаны три категории критически важных объектов (КВО). Каким вам представляется сам механизм категорирования, т.е. отнесения КВО к конкретной категории? На каких принципах должен базироваться этот механизм?

    Механизм, собственно, прописан в законе: субъект критической инфраструктуры проводит оценку показателей по каждому установленному критерию, выбирает соответствующую категорию КВО, уполномоченный госорган проверяет правильность категорирования, если надо поправляет субъекта и, после устранения замечаний, вносит в реестр. Схема вполне рабочая, если учесть, что многие КВО находятся в ведении самостоятельных хозяйствующих субъектов и даже не относятся к какой-то отрасли. А принцип должен быть один: оценка возможных последствий (вреда) гражданину, обществу, государству в результате чрезвычайных ситуаций по каждому из критериев, приведенных в законе. И здесь, как уже говорилось, без четких методик не обойтись.

    Законопроект предусматривает, в случае необходимости, введение дополнительных требований отраслевыми регуляторами. Какие области/отрасли/сферы регулирования, по-вашему, требуют более «тонкой настройки» и почему? Готовы ли, на ваш взгляд, соответствующие ведомства к подобной работе?

    Объекты каждой отрасли уникальны по-своему, уникальны и применяемые там АСУ ТП. Конечно же «тонкая» настройка нужна. Это прежде всего энергетика, транспорт, связь, химическая и горнодобывающая промышленность. В принципе, это все объекты, определенные документами МЧС России, как опасные, а также кредитно-финансовые организации. Готовы ли ведомства к такой работе? Если говорить честно, то, пока, наверное, не все. Поэтому и норма закона, позволяющая вводить дополнительные требования не является императивной (все-таки последнее слово за ФСТЭК и ФСБ). Однако, к этому надо стремиться. Ведомствам виднее где слабые места. Думаю, что здесь пойдет итерационный процесс. ФСТЭК и ФСБ выдвинут основные общие требования, отрасли по ним поживут, увидят не решенные вопросы, накопят опыт и дополнят общие требования своей спецификой. Если закон предписывает заниматься этой проблемой, то, со временем и в отраслях появятся грамотные специалисты.

    В проекте прописывается обязанность субъектов информировать регулятора о компьютерных инцидентах, затрагивающих безопасность КВО. Не секрет, что для отечественного бизнеса не характерно «выносить сор из избы», более того распространение информации об инцидентах сотрудниками зачастую жестко пресекается. Насколько готовы, по вашим наблюдениям, отечественные предприятия и компании к подобной практике? Насколько готов сам регулятор такую практику «насаждать»?

    Непростой вопрос. За рубежом такая практика является нормой. Только большая статистика позволяет дать объективный анализ и выработать адекватные меры. И здесь должны превалировать общественные интересы над корпоративными. Тем более что речь идет не вообще об инцидентах, а об инцидентах на критически важных объектах, а это ограниченная сфера. Информировать регулятора это не значит «орать на всю ивановскую». Да, это чувствительная информация и относиться к ней надо с осторожностью, но делиться ею надо – это поможет другим. Здесь идет речь не о секретах корпораций (на них никто не посягает), а об угрозе большому количеству членов общества, каковыми, кстати, являются и члены корпорации. Ну а проводить такую политику регулятор, конечно же будет, даже «силовыми», но законными методами.

    В рассматриваемом документе нет прямых указаний на возможные меры наказания и ответственность субъекта, владеющего КВО, есть лишь отсылки к прочим нормам и законам. Насколько, на ваш взгляд, это скажется на его исполнении?

    Позволю ответить по-одесски: вопросом на вопрос. А в Правилах дорожного движения разве прописаны меры наказания? И разве от этого наказания на их нарушения стали менее жесткими? Я считаю, что вполне нормальная практика, когда форма и мера наказания определяется КоАП РФ, ГК РФ, УК РФ в зависимости от тяжести проступка или преступления. Если существующих мер недостаточно, то надо вносить изменения и дополнения в эти кодексы, а не прописывать их в каждом специальном законе. Это, кстати, исключит волюнтаризм и самодурство при определении степени вины и выборе наказания. Надо использовать весь спектр правовых механизмов защиты. Ну, и конечно же, надо нарабатывать судебную практику. Правоспособность и правоприменимость, к сожалению, у нас в стране не всегда одно и то же.


    Возврат к списку