Секретность при обеспечении безопасности критической информационной инфраструктуры
История засекречивания информации в России насчитывает несколько столетий. Но в этой статье мы обсудим не режим защиты государственной тайны, а отнесение информации, необходимой для успешного обеспечения безопасности КИИ РФ, к информации ограниченного доступа. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ставит на часть своих руководящих документов пометку «Конфиденциально», ФСБ и ФСТЭК предпочитают использовать ограничительную пометку «Для служебного пользования» (далее – ДСП).
С точки зрения законодательств страны такая информация становится информацией ограниченного доступа, не содержащей сведений, составляющих государственную тайну[1].
С одной стороны, все подзаконные акты к 187-ФЗ[2] являются общедоступными. А с другой – требования о конфиденциальности со стороны регуляторов выдвигаются в отношении:
1. Информации о компьютерных инцидентах на объектах КИИ.
2. Методик оценки значимости объектов КИИ и выполнения требований подзаконных актов к 187-ФЗ.
Рассмотрим эти направления более подробно.
Ограничение на доступность информации о компьютерных инцидентах
Опыт говорит, что надо быть чрезвычайно скудным на надпись «секретно», чтобы действительно охранять важные военные тайны. Русские двухверстные секретные карты покупались немцами по скромной цене в 35 марок, причем русскому генеральному штабу были известны немецкие сборные планы с отметкой тех немногих листов, которые еще им требовались. В настоящее время этот секрет известен всем нищим соседям полностью и вовсе не котируется на шпионских биржах; карты же у нас остаются секретными...[3]
В проекте КоАП в отношении субъектов КИИ наибольший административный штраф (до 500 000 рублей) предусмотрен за нарушение порядка обмена информацией о компьютерных инцидентах на объектах КИИ[4]. И аргументируют авторы законопроекта это таким образом:
«При обмене информацией о компьютерных инцидентах между субъектами КИИ РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, с нарушением соответствующего порядка возможно раскрытие технической информации ограниченного доступа о КИИ РФ, что может привести к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства»[5].
Доходит до парадоксальных ситуаций, когда ФСТЭК России ставит пометку ДСП на сборник материалов открытой печати, содержащих информацию о произошедших компьютерных инцидентах и компьютерных атаках[6].
Для субъектов КИИ это приводит к демотивации выполнения 187-ФЗ по следующим причинам:
· Отсутствие доступной информации о произошедших компьютерных инцидентах и последствиях в России не позволяет специалистам по защите информации аргументированно обосновать свои потребности в материальных и людских ресурсах перед руководством потенциального субъекта КИИ. Самым распространенным «пугалом» даже на профильных конференциях остается Stuxnet на иранских атомных объектах еще в 2010 году. Немного исправила ситуацию эпидемия WannaCry в 2017 году, но все эти события были до вступления в силу 187-ФЗ.
· 187-ФЗ действует более 2,5 лет. ФСБ докладывает о миллиардах компьютерных атак в год на КИИ РФ. НКЦКИ пресекает компьютерные атаки на тысячи объектов КИИ[7]. Но отсутствие информации о компьютерных инцидентах в результате такого огромного количества компьютерных атак наводит на мысль, что страна уже отлично защищена и дополнительное выделение ресурсов на защиту избыточно в конкретной организации.
Более того, отсутствие доступной информации о последствиях компьютерных атак может привести к ошибочным решениям комиссии по категорированию объектов КИИ при выполнении требований об учете имеющихся данных о компьютерных инцидентах, произошедших ранее на объектах КИИ соответствующего типа[8].
И даже статистика правоприменения специальной статьи Уголовного кодекса ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» не помогает как аргумент. Из пяти вынесенных судом приговоров с 1 января 2018 года по настоящее время только в одном случае преступники привлечены за нанесение реального вреда субъекту КИИ в размере 600 000 рублей в результате компьютерной атаки. Правоприменительная практика ст. 274.1 УК РФ приведена на рис. 1.
Рис. 1. Правоприменительная практика по ст. 274.1 УК РФ
Ограничения на доступность к методическим и руководящим документам по выполнению требований подзаконных актов к 187-ФЗ
«7 августа 1968 г. Главлит направил председателю общества «Знание» письмо, в котором упрекало в злоупотреблении грифом «Для служебного пользования». Данный способ защиты информации использовался в обществе для изданий, которые, по мнению Главлита, не содержали никаких сведений, запрещенных к открытому распространению. Среди них оказались брошюры на такие «секретные темы», как «Карл Маркс – основоположник научного коммунизма», «Учение К. Маркса об исторической миссии пролетариата и современный рабочий класс», «Карл Маркс о революционной партии пролетариата». Причины подобных злоупотреблений вполне объяснимы: в тот период издания с грифом «дсп» печатались без предварительного цензорского контроля. Тем самым «Знание» гарантировало выполнение собственного редакционного плана»[9].
В своих докладах ФСТЭК поделилась планами по выпуску значительного количества методических документов, которые существенно облегчат субъектам КИИ выполнение требований 187-ФЗ. И сразу же было озвучено о принятом решении ФСТЭК по ограничению доступа к ним. Слайд с презентации доклада приведен на рис. 2[10].
Рис. 2. Методические документы ФСТЭК России с пометкой ДСП
Последствием такого решения станет потеря времени субъектов КИИ на закупку и получение документов ДСП. По опыту закупок документов ДСП, необходимых для получения лицензии на техническую защиту конфиденциальной информации, на эту процедуру может уйти до четырех месяцев. К тому же это повлечет дополнительные материальные затраты субъектов КИИ. Отдельный барьер создает требование ФСТЭК о наличии у субъекта КИИ лицензии на работу со сведениями, составляющими государственную тайну, при запросе документов ограниченного доступа[11]. У ФСБ России требования по обеспечению документами аналогичные (рис. 3).
Рис. 3. Условия обеспечения методическими документами ФСБ России и НКЦКИ
Ограничение доступа к методическим и руководящим документам ФСТЭК и ФСБ России приведет к падению качества этих документов, поскольку выпадает этап общественного обсуждения, на котором силами активистов выявляется значительное количество нарушений и недостатков. Так, отмечены случаи, когда ФСТЭК была вынуждена учесть 27 из 37 поступивших замечаний к проекту приказа ФСТЭК России[12].
Итоги
Эффект от избыточного ограничения доступа к информации, необходимой субъектам КИИ для выполнения требований законодательства страны, может оказать негативное влияние на обеспечение безопасности КИИ и нивелировать положительный эффект от обеспечения конфиденциальности.
[1] Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
[2] Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
[3] Свечин А. А. Стратегия. — М.-Л.: Государственное военное издательство, 1926.
[4] Проект федерального закона «Кодекс Российской Федерации об административных правонарушениях» № 02/04/05-20/00102447.
[5] Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
[6] Информационно-аналитический сборник «Проблемы защиты информации» (по материалам открытой печати) ФАУ «ГНИИИ ПТЗИ ФСТЭК России» раздел «Сведения об инцидентах информационной безопасности».
[7] Российская газета. «Войны виртуальные и реальные» от 14.08.2019.
[8] Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
[9] «Главлит и научно-популярная публицистика в СССР во второй половине 1960 – начале 1970-х гг.» Комиссаров Владимир Вячеславович. // Журнал «Российская история» 2018 г. 5 выпуск.
[10] Доклад заместителя начальника управления ФСТЭК России Торбенко Е.Б. «Совершенствование системы нормативных правовых актов в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и изменения, планируемые к внесению в законодательство Российской Федерации о безопасности критической информационной инфраструктуры» ТБ-Форум-2019.
[11] «Порядок обеспечения документами ФСТЭК России». Официальный сайт ФСТЭК России https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami
[12] Проект приказа ФСТЭК России «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» № 01/02/02-20/00099311
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 26.08.2020
