В начале ноября руководство ФСБ России подписало приказ №547 «Об утверждении Перечня сведений в области военной, военно-технической деятельности РФ, которые при их получении иностранными источниками могут быть использованы против безопасности РФ», направленный на реализацию закона №225-ФЗ от 14 июля 2022 г. «О контроле за деятельностью лиц, находящихся под иностранным влиянием». Данный приказ был зарегистрирован Минюстом 17 ноября, а вступил в силу с 1 декабря текущего года. Он заменил действовавший до этого приказ ФСБ России №379 от 28 сентября 2021 г. с примерно таким же названием, но юридически опиравшийся на закон №272-ФЗ от 28 декабря 2012 г. «О мерах воздействия на лиц, причастных к нарушениям основополагающих прав и свобод человека, прав и свобод граждан РФ».
Для меня как для журналиста важно случайно не разгласить данные, которые хотя и не считаются секретными, тем не менее «могут быть использованы против безопасности РФ». Поэтому хотелось бы разобраться в том, а что собственно поменялось за год с вступления в силу прошлого приказа, и что будет сложно публично обсуждать сейчас, когда новый приказ уже вступил в силу.
Что изменилось?
Следует отметить, что и в старом приказе достаточно много сведений, которые активно обсуждаются на пресс-конференциях ИТ-компаний и форумах о цифровой трансформации, были отнесены к потенциально опасной информации. Например, пункт 25, который есть в обоих приказах под одинаковым номером и с одинаковым текстом:
«25. Сведения об использовании технологий криптографической защиты информации, квантовых технологий и технологий искусственного интеллекта при разработке и производстве новых (перспективных) образцов (комплексов, систем) вооружения, военной и специальной техники, за исключением сведений, содержащихся в открытом доступе».
Искусственный интеллект, квантовая и обычная криптография – это те темы, которые затрагиваются, в частности, и в моей колонке. Правда, мне неизвестно, как именно эти технологии используются в новых и перспективных образцах вооружений. Тем не менее, случайно я могу разгласить что-нибудь важное и перспективное с точки зрения вооружений. Видимо, придется репортажи с форума «Армия» очень тщательно проверять перед публикацией. В этом году, например, там активно обсуждались искусственный интеллект, криптография и квантовые технологии.
Столь же незначительно были изменены еще два пункта (29 и 30), также связанные с ИБ и ИТ:
«29. Сведения о функционировании центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, сил и средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, осуществляющих свою деятельность в рамках оборонно-промышленного комплекса, а также о компьютерных инцидентах в информационных системах (сетях) предприятий оборонно-промышленного комплекса.
- Сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса».
Из этих пунктов следует, что сведения о функционировании центров ГосСОПКА, которые обеспечивают безопасность критической информационной инфраструктуры (КИИ) и должны активно взаимодействовать с объектами КИИ, обсуждать опасно – вдруг чего лишнего скажешь. Как же тогда обмениваться опытом для решения практических проблем, которые возникают при реализации закона №187-ФЗ или Указа Президента №250, о которых я пишу уже достаточно давно? Оказывается, обсуждение проблем в реализации названных нормативных актов и предложение решений могут навредить безопасности РФ. И это при том, что скрытие от владельцев объектов КИИ (особенно в ОПК) информации о правильной организации защиты может навредить еще больше, чем разглашение самих проблем.
Впрочем, самые большие изменения претерпел 31 пункт приказа. Если раньше в нем речь шла только о государственных информационных системах (ГИСах), то теперь к ним добавились объекты КИИ (причем не только значимые). Кроме того, к опасным сведениям отнесены результаты анализа защищенности и реагирования. Полностью пункт 31 приказа сейчас выглядит так:
«31. Сведения о составе и организации работы государственных информационных систем и объектов критической информационной инфраструктуры, виде, количестве и наименованиях модулей, местах расположения хранилищ данных и каналов связи, исходных текстах и дистрибутивах программного обеспечения, применяемого в работе государственных информационных систем и объектов критической информационной инфраструктуры, технической документации (техническом задании, моделях угроз и нарушителя) на создание государственных информационных систем и систем обеспечения информационной безопасности, в том числе для информационных систем, обрабатывающих служебную информацию ограниченного распространения, объектов критической информационной инфраструктуры, действующих паролях, кодах систем доступа к служебной информации ограниченного распространения, настройках средств защиты информации, результатах анализа защищенности и реагирования на компьютерные инциденты информационной безопасности государственных информационных систем и объектов критической информационной инфраструктуры».
В результате непонятно, как можно обсуждать проблемы подготовки технических заданий, модели угроз и нарушителя, а также разбирать примеры атак и анализа защищенности. Опытом лидеров индустрии по использованию, тестированию защищенности и анализу атак также обмениваться невозможно, а это усложняет и удорожает разработку технических заданий. Ведь обмен практическим опытом помогает отстающим участникам рынка использовать имеющиеся наработки, а производителям решений – совершенствовать продукты в нужном направлении. Еще более непонятно, как теперь компаниям, которые производят средства защиты, продвигать свои решения и рассказывать о примерах внедрений. Изменение именно этого пункта затрудняет обсуждение новинок в сфере защиты информации и разбор практических кейсов и фактически ограничивает конкуренцию.
В рамках закона
Хотелось бы отметить, что изменился и нормативный акт, для реализации которого был сформирован этот перечень. Речь идет о Федеральном законе №272-ФЗ, направленном против деятельности иностранных некоммерческих организаций (НКО). Именно в его рамках был сформирован реестр НКО иноагентов – их представителям запрещался доступ к опасной информации, приведенной в списке. Поэтому еще год назад выполнить требования закона для мероприятия по ИБ было достаточно просто – не допускать участия в нем представителей организаций, указанных в реестре, и все. Собственно, НКО, которые там до недавнего времени были, вопросами информационной безопасности КИИ особо не интересовались – их больше заботила политика.
Рассматриваемый приказ реализован в рамках принятого в июле текущего года закона «Об иностранном влиянии», где это самое влияние определено не так конкретно – за него можно выдать в том числе и иностранное финансирование. Получается, что приглашать представителей иностранных компаний на конференцию уже нельзя – их представителей вполне могут принять за людей, находящихся под иностранным влиянием, которым запрещен доступ к потенциально опасной информации. В результате международный обмен опытом усложняется – его нужно строго контролировать, чтобы вдруг чего лишнего не разгласить. А если учесть, что у представителей иностранных компаний опыта по защите критической информационной инфраструктуре может быть больше, чем у российских граждан, не находящихся под иностранным влиянием, то защищать КИИ нам придется исключительно на своих ошибках.