В ИСПД и в ГИСах есть требования по криптографии, в которых у ФСБ надзор. В КИИ ФСБ надзорным органом не является, требований по криптографии нет.

Прокуратура получила исключительный пинок, его отработала и успокоилась.

а в ЗОКИИ не используются СКЗИ? и почему то админики выписывают по 13.12 и за невыполнение 17 приказа, которые не регулирует СКЗИ. Но это лирика. ФСТЭК и ФСБ внесли законопроект по внесению нового состава в КоАП с обоснованием, что сейчас  наказания не предусмотрено за нарушение требований по безопасности ЗОКИИ. Так что, это не воля на применение, а юридическая позиция ведомств. Понять бы только причины. Пока непонятно, почему наказывать за нарушение требований защиты информации нельзя, но лицензия на реализацию этой защиты нужна. Что то здесь не так.

Там набор деяний шире. "Непредоставление сведений" - это ни фига не нарушение требований по защите информации

Конечно шире, так "защита информации, обрабатываемая в ЗОКИИ" лишь часть требований 187-ФЗ. Только зачем включать "Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации" при наличии 13.12? Вот официальный ответ ФСТЭК на мои замечания "Отсутствие возможности привлечь к административной ответственности субъекта критической информационной инфраструктуры, имеющего значимые объекты критической информационной инфраструктуры, за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации приведет к тому, что указанные требования будут реализовываться лишь после выдачи предписания об устранении выявленного в ходе проверки нарушения." По моему все очевидно. Речь не про отсутствие желание, а про невозможность применения.

"Требования по обеспечению безопасности ЗОКИИ" и "требования по защите информации" в ЗОКИИ - это две большие разницы.

Первое - это все требования приказа 239 в совокупности. Второе - часть требований 239 приказа. За второе и сейчас можно наказать пои13. 13, за первое - нет.

а как ты разобьешь какие требования 239 приказа направлены на защиту информации, а какие нет?

Так тебе об этом и написали.

Сейчас инспектор обязан, в соответствии с методикой проверки, выделить то, что он должен трактовать как нарушение требований по защите информации, написать предписание и за невыполнение этого предписания уже наказывать.

А в законопроекте предлагается, ввести административное наказание за любые нарушения приказа 239

Есть методика, что инспектор должен трактовать как нарушение. Но она закрытая, так что обсуждать детали не готов

не согласен, но это субъективно. Попробую с другой стороны. Вот есть ЗОКИИ, обрабатывающий ГТ. По какой статье КоАП должно быть наказание? по ч.7 ст.13.12 "Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации" или по проекту КИИ за нарушение 239 приказа? с учетом того, что в 239 приказе однозначно указано, что он не применяется для ЗОКИИ с ГТ.

За ГТ, конечно. Требования по защите ГТ в этом случае - специальные нормы права, они имеют приоритет перед более общими требованиями по обеспечению безопасности ЗОКИИ

Официальный ответ ФСТЭК на мое замечание - "Предполагается, что часть 3 проектируемой статьи 13.12.1 Кодекса должна применяться в том числе и для значимых объектов критической информационной инфраструктуры, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну"

Предполагается. Если с этим потом согласится ВС РФ :)

угу, только сколько крови у субъекта КИИ выпьют сначала.

Запросто может получиться, что потом в обобщении судебной практики ВС РФ даст судам указание считать требования по защите ГТ приоритетными

Слушай, ну мы совсем в дебри ушли. Если я правильно понял, ты считаешь, что в случае ЗОКИИ лицензия подрядчику нужна. Я тоже так считаю

да, все так. Я сторонник наличия лицензии ТЗКИ у подрядчика.

коллеги, вопрос. в 28 п. приказа 239 указано что должны использоваться сертифицированные средства. вопрос такого плана, могу ли я треьуемые меры защиты (например ИАФ.7 защита аутентификационной информации при передаче) обеспечивать средствами windows, точнее протоколом kerberos? ну то есть вся аутентификация происходит по этому протоколу а сертифицированных средств, которые это делали я не знаю. не ставить же средства нсд на каждую машину?

то есть антивирус и межсетевой экран - ок, понятно, сертификат. а вот такие мелочи чем обеспечивать?

Там сказано, если используются сертифицированные СЗИ. Если у вас ЗОКИИ не ГИС, то сертификат не обязателен

Можно использовать штатные средства, для асу это вообще прерогатива, но тут самое проблемное найти критерии которым сзи должны соответствовать