УправлениеБезопасность

Секретность при обеспечении безопасности критической информационной инфраструктуры

Валерий Комаров | 26.08.2020

Секретность при обеспечении безопасности критической информационной инфраструктуры

Эффект от избыточного ограничения доступа к информации, необходимой субъектам КИИ для выполнения требований законодательства страны, может оказать негативное влияние на обеспечение безопасности КИИ и нивелировать положительный эффект от обеспечения конфиденциальности.

История засекречивания информации в России насчитывает несколько столетий. Но в этой статье мы обсудим не режим защиты государственной тайны, а отнесение информации, необходимой для успешного обеспечения безопасности КИИ РФ, к информации ограниченного доступа. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ставит на часть своих руководящих документов пометку «Конфиденциально», ФСБ и ФСТЭК предпочитают использовать ограничительную пометку «Для служебного пользования» (далее – ДСП).

С точки зрения законодательств страны такая информация становится информацией ограниченного доступа, не содержащей сведений, составляющих государственную тайну[1].

С одной стороны, все подзаконные акты к 187-ФЗ[2] являются общедоступными. А с другой – требования о конфиденциальности со стороны регуляторов выдвигаются в отношении:

1. Информации о компьютерных инцидентах на объектах КИИ.

2. Методик оценки значимости объектов КИИ и выполнения требований подзаконных актов к 187-ФЗ.

Рассмотрим эти направления более подробно.

Ограничение на доступность информации о компьютерных инцидентах

Опыт говорит, что надо быть чрезвычайно скудным на надпись «секретно», чтобы действительно охранять важные военные тайны. Русские двухверстные секретные карты покупались немцами по скромной цене в 35 марок, причем русскому генеральному штабу были известны немецкие сборные планы с отметкой тех немногих листов, которые еще им требовались. В настоящее время этот секрет известен всем нищим соседям полностью и вовсе не котируется на шпионских биржах; карты же у нас остаются секретными...[3]

В проекте КоАП в отношении субъектов КИИ наибольший административный штраф (до 500 000 рублей) предусмотрен за нарушение порядка обмена информацией о компьютерных инцидентах на объектах КИИ[4]. И аргументируют авторы законопроекта это таким образом:

«При обмене информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, с нарушением соответствующего порядка возможно раскрытие технической информации ограниченного доступа о КИИ РФ, что может привести к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства»[5].

Доходит до парадоксальных ситуаций, когда ФСТЭК России ставит пометку ДСП на сборник материалов открытой печати, содержащих информацию о произошедших компьютерных инцидентах и компьютерных атаках[6].

Для субъектов КИИ это приводит к демотивации выполнения 187-ФЗ по следующим причинам:

· Отсутствие доступной информации о произошедших компьютерных инцидентах и последствиях в России не позволяет специалистам по защите информации аргументированно обосновать свои потребности в материальных и людских ресурсах перед руководством потенциального субъекта КИИ. Самым распространенным «пугалом» даже на профильных конференциях остается Stuxnet на иранских атомных объектах еще в 2010 году. Немного исправила ситуацию эпидемия WannaCry в 2017 году, но все эти события были до вступления в силу 187-ФЗ.

· 187-ФЗ действует более 2,5 лет. ФСБ докладывает о миллиардах компьютерных атак в год на КИИ РФ. НКЦКИ пресекает компьютерные атаки на тысячи объектов КИИ[7]. Но отсутствие информации о компьютерных инцидентах в результате такого огромного количества компьютерных атак наводит на мысль, что страна уже отлично защищена и дополнительное выделение ресурсов на защиту избыточно в конкретной организации.

Более того, отсутствие доступной информации о последствиях компьютерных атак может привести к ошибочным решениям комиссии по категорированию объектов КИИ при выполнении требований об учете имеющихся данных о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа[8].

И даже статистика правоприменения специальной статьи Уголовного кодекса ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» не помогает как аргумент. Из пяти вынесенных судом приговоров с 1 января 2018 года по настоящее время только в одном случае преступники привлечены за нанесение реального вреда субъекту КИИ в размере 600 000 рублей в результате компьютерной атаки. Правоприменительная практика ст. 274.1 УК РФ приведена на рис. 1.

img

Рис. 1. Правоприменительная практика по ст. 274.1 УК РФ

Ограничения на доступность к методическим и руководящим документам по выполнению требований подзаконных актов к 187-ФЗ

«7 августа 1968 г. Главлит направил председателю общества «Знание» письмо, в котором упрекало в злоупотреблении грифом «Для служебного пользования». Данный способ защиты информации использовался в обществе для изданий, которые, по мнению Главлита, не содержали никаких сведений, запрещенных к открытому распространению. Среди них оказались брошюры на такие «секретные темы», как «Карл Маркс – основоположник научного коммунизма», «Учение К. Маркса об исторической миссии пролетариата и современный рабочий класс», «Карл Маркс о революционной партии пролетариата». Причины подобных злоупотреблений вполне объяснимы: в тот период издания с грифом «дсп» печатались без предварительного цензорского контроля. Тем самым «Знание» гарантировало выполнение собственного редакционного плана»[9].

В своих докладах ФСТЭК поделилась планами по выпуску значительного количества методических документов, которые существенно облегчат субъектам КИИ выполнение требований 187-ФЗ. И сразу же было озвучено о принятом решении ФСТЭК по ограничению доступа к ним. Слайд с презентации доклада приведен на рис. 2[10].

img

Рис. 2. Методические документы ФСТЭК России с пометкой ДСП

Последствием такого решения станет потеря времени субъектов КИИ на закупку и получение документов ДСП. По опыту закупок документов ДСП, необходимых для получения лицензии на техническую защиту конфиденциальной информации, на эту процедуру может уйти до четырех месяцев. К тому же это повлечет дополнительные материальные затраты субъектов КИИ. Отдельный барьер создает требование ФСТЭК о наличии у субъекта КИИ лицензии на работу со сведениями, составляющими государственную тайну, при запросе документов ограниченного доступа[11]. У ФСБ России требования по обеспечению документами аналогичные (рис. 3).

img

Рис. 3. Условия обеспечения методическими документами ФСБ России и НКЦКИ

Ограничение доступа к методическим и руководящим документам ФСТЭК и ФСБ России приведет к падению качества этих документов, поскольку выпадает этап общественного обсуждения, на котором силами активистов выявляется значительное количество нарушений и недостатков. Так, отмечены случаи, когда ФСТЭК была вынуждена учесть 27 из 37 поступивших замечаний к проекту приказа ФСТЭК России[12].

Итоги

Эффект от избыточного ограничения доступа к информации, необходимой субъектам КИИ для выполнения требований законодательства страны, может оказать негативное влияние на обеспечение безопасности КИИ и нивелировать положительный эффект от обеспечения конфиденциальности.




[1] Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».


[2] Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».


[3] Свечин А. А. Стратегия. — М.-Л.: Государственное военное издательство, 1926.


[4] Проект федерального закона «Кодекс Российской Федерации об административных правонарушениях» № 02/04/05-20/00102447.


[5] Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.


[6] Информационно-аналитический сборник «Проблемы защиты информации» (по материалам открытой печати) ФАУ «ГНИИИ ПТЗИ ФСТЭК России» раздел «Сведения об инцидентах информационной безопасности».


[7] Российская газета. «Войны виртуальные и реальные» от 14.08.2019.


[8] Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».


[9] «Главлит и научно-популярная публицистика в СССР во второй половине 1960 – начале 1970-х гг.» Комиссаров Владимир Вячеславович. // Журнал «Российская история» 2018 г. 5 выпуск.


[10] Доклад заместителя начальника управления ФСТЭК России Торбенко Е.Б. «Совершенствование системы нормативных правовых актов в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и изменения, планируемые к внесению в законодательство Российской Федерации о безопасности критической информационной инфраструктуры» ТБ-Форум-2019.


[11] «Порядок обеспечения документами ФСТЭК России». Официальный сайт ФСТЭК России https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami


[12] Проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» № 01/02/02-20/00099311



Информационная безопасность Право

Журнал: Журнал IT-Manager [№ 08/2020], Подписка на журналы

Об авторах

Валерий Комаров

Валерий Комаров

Независимый эксперт, автор блога «Рупор бумажной безопасности»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021