В настоящее время в экспертном сообществе идет активное обсуждение проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Его уже сравнивают с наделавшим в свое время много шума законом «О персональных данных». Хотя охват у нового закона не такой большой, тем не менее его требования касаются критически важных объектов (КВО). И уже сейчас ясно, что предстоит весьма значительный фронт работ. Об этом мы беседуем с Екатериной Яблоковой, заместителем директора по развитию бизнеса в России, СНГ и странах Балтии, Stonesoft, a McAfee Group Company.
Intelligent Enterprise: На профильных форумах и площадках, посвященных данной тематике, экспертным сообществом неоднократно поднимался вопрос о недостаточной четкости толкования терминологии и базовых понятий. Насколько полно, по¬вашему мнению, в проекте закона эти вопросы проработаны? Все ли спорные вопросы относительно определений базовых понятий получили свое разрешение?
Екатерина Яблокова: Действительно, в блогах Сергея Борисова, Алексея Лукацкого и Андрея Прозорова эти вопросы уже активно обсуждались. Базовое понятие КВО, на котором как на фундаменте строятся все остальные понятия, дано очень размыто. Самая главная проблема в том, что из законопроекта невозможно понять, будет ли относиться определенная организация к объектам КИИ (критической информационной инфраструктуры) или нет. Неплохо было бы привести хотя бы перечень типов организаций, которые относятся к КИИ. Будем надеяться, что все такие организации получат уведомления от соответствующих надзорных органов. Есть мелкие неточности в терминах, а сама приведенная в законопроекте терминология несколько отличается от той, что использовалась раньше в документах ФСТЭК по ключевым системам информационной инфраструктуры (КСИИ). Кроме того, в законопроекте, на мой взгляд, очень много неконкретных понятий, таких как «существенное снижение безопасности», «значительный объем информационных услуг» и т. п., не имеющих смысла без определенного критерия оценки. Хотела бы отметить также, что в понятие «нарушение функционирования КИИ» в явном виде не вошло нарушение доступности информации, есть только неясные «отклонения от установленных эксплуатационных пределов и условий функционирования». На практике вряд ли часто будут рассматриваться такие параметры, как, например, время отклика системы на запросы пользователя.
В проекте закона прописаны критерии, согласно которым должно производиться категорирование объектов. Является ли этот перечень необходимым и достаточным, на ваш взгляд? Насколько измеряемы и сопоставимы критерии, в нем перечисленные?
Этот перечень крайне необходим, но показателей измерения в законопроекте нет никаких, они устанавливаются другими нормативными документами, которые, по-видимому, будут иметь гриф. Поэтому об измеряемости и сопоставимости критериев ничего определенного сказать нельзя — всё зависит от показателей измерения.
В законопроекте указаны три категории КВО. Каким вам представляется сам механизм категорирования, т. е. отнесения КВО к конкретной категории? На каких принципах должен базироваться этот механизм?
Ну, раз речь идет об определенных критериях, то для отнесения объектов КИИ к определенной категории будут определяться значения соответствующих (каких именно, мы сейчас не знаем) показателей измерения и устанавливаться, в каких пределах это значение находится; категорию же будем определять по некоей матрице пороговых значений критериев. Законопроектом не установлено ни ранжирование критериев, перечисленных в пункте 2 статьи 8 главы 3, ни сами показатели, поэтому все предположения больше похожи на гадание на кофейной гуще. Думаю, в реальности для объектов КИИ различных отраслей деятельности будут применяться только определенные критерии, в противном случае в качестве субъектов КИИ надо будет рассматривать очень большое количество параметров для отнесения своего объекта КИИ к определенной категории, а надзорным органам всё это придётся верифицировать.
Законопроект предусматривает, что в случае необходимости отраслевые регуляторы могут вводить дополнительные требования. Какие области/отрасли/сферы регулирования, по-вашему, нуждаются в более «тонкой настройке» и почему? Готовы ли, на ваш взгляд, соответствующие ведомства к подобной работе?
Уверена, что если появятся более конкретные отраслевые документы, все участники рынка будут только рады. Требования законопроекта сформулированы настолько в общем виде (другого от проекта федерального закона никто и не ждет), что для практики организациям нужны более конкретные требования, методические рекомендации, применимые именно для их отраслей. Конечно, в настоящий момент уже имеются документы ФСТЭК по КСИИ, ГОСТ РО 0043-002-2012, документы Совбеза. Поскольку законопроектом главная роль в регулировании отводится ФСБ России, скоро неминуемо должны будут появиться соответствующие документы от этого ведомства, но все они будут иметь общий характер. Сейчас сложно что-то говорить, пока мы не увидели нормативных документов от ФСБ России, но думаю, что за разработку отраслевых нормативных документов по КИИ возьмутся Минсвязи и Банк России. Хочу отметить, что указанный в законопроекте срок вступления в силу — первое января 2015-го — указан явно преждевременно, поскольку локальных подзаконных актов с конкретными требованиями нет.
В проекте прописывается обязанность субъектов информировать регулятора о компьютерных инцидентах, затрагивающих безопасность КВО. Не секрет, что для отечественного бизнеса не характерно «выносить сор из избы», более того, распространение информации об инцидентах сотрудниками зачастую жестко пресекается. Насколько готовы, по вашим наблюдениям, отечественные предприятия и компании к подобной практике? И готов ли сам регулятор такую практику насаждать?
Россия идет по пути интеграционного общества и, к сожалению, вместе с достижениями мирового прогресса получает и глобальные проблемы. Критические инфраструктуры так или иначе влияют на жизнь каждого из нас, поэтому своевременное информирование о компьютерных инцидентах регулятора правильно и необходимо. Это вопрос изменения нашей культуры, и мировой опыт подсказывает, что обнародование инцидентов ИБ повышает безопасность в целом. В конечном итоге всем нам перед лицом глобальных киберугроз хотелось бы быть уверенными в достаточном уровне своей защищенности, а значит, в защищенности ближайшей электростанции, химического завода, опасного объекта и т. п. Во многих странах уже есть подобная практика, рано или поздно и мы будем вынуждены пойти по этому пути.
В рассматриваемом документе нет прямых указаний на возможные меры наказания и ответственность субъекта, владеющего КВО, есть лишь отсылки к прочим нормам и законам. Насколько, на ваш взгляд, это скажется на его исполнении?
У нас как в известном афоризме: «Строгость российских законов компенсируется необязательностью их исполнения». Чем четче и строже требования, тем проще для исполнителя. По аналогии с тем же Законом о персональных данных и подзаконными актами к нему ответственность прописана, но есть ли реальные прецеденты наказаний? Практика такова, что для реализации требований Закона о персональных данных легче и намного эффективней (дешевле, да и с точки зрения проверок быстрее) заплатить за «зубастого» юриста, чем за внедрение каких-либо технических или организационных мер. Насколько от присутствия этого юриста становится безопасней сама информация, еще вопрос. А если без шуток, данный законопроект дает даже очень большие полномочия надзорным органам в сфере контроля, так что с его исполнением проблем быть не должно, главное, чтобы соответствующие организации были осведомлены обо всех установленных требованиях вовремя и в полном объеме.