@schors

Тег ОРВ в блоге schors

schors

Ещё 04 мая 2021 года Минцифра разместила проект поправок в закон «Об обязательных требованиях»:
https://regulation.gov.ru/p/115676

👉 Вкратце, они хотят вывести всю подзаконку по «суверенному Рунету» из-под «регуляторной гильотины». Потому что «Обязательные требования, содержащиеся в таких актах, не являются избыточными и эффективно применяются в условиях современного уровня развития экономики, обеспечивая добросовестную конкуренцию участников рынка и защищая интересы граждан, общества и государства». Прямо очень аргументировано. Шах и мат

✋ Это конечно удивительно. Предложить законопроект, который обосновывается важностью вопроса, и предлагает помочь решению вопроса узаконенной работой над ним «спустя рукава». Шах и мат

☝️ Зачем? От переписывания норм Минцифра и Роскомнадзор и так защитили себя другим Постановлением. А эта «добавка», чтобы уйти от оценки достижения целей, оценки фактического воздействия. А главное, чтобы иметь возможность не публиковать обязательные требования, делать их ДСП (для служебного пользования).

⚠️ ЗАВТРА — ПОСЛЕДНИЙ ДЕНЬ!

✅ Жалобы на нарушения размещения, как и замечания, сами себя не напишут
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Почитал про прививку «Спутник V»? Зайди на портал и выскажись

P.S. Все меньше и меньше у меня мотивации и времени вообще всё это читать. К сожалению… Сижу на берегу реки...

schors

Ранее я писал о проекте Постановления Правительства «Об утверждении Положения об осуществлении просветительской деятельности»
https://regulation.gov.ru/p/115396

✍️ Я написал отзыв на проект, который выкладываю сюда:
https://usher2.club/docs/04-2021-05-05-115396.pdf

⚠️ Сегодня последний день общественных обсуждений
✅ Жалобы на нарушения размещения, как и замечания, сами себя не напишут
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Почитал про прививку «Спутник V?» Зайди на портал и выскажись

schors

Ранее я писал о проекте Постановления Правительства «Об утверждении Положения об осуществлении просветительской деятельности»
https://regulation.gov.ru/p/115396

🤘 Рассматриваемым Проектом устанавливается целый ряд ранее не предусмотренных обязательных требований, которые связаны с осуществлением предпринимательской и иной экономической деятельности и оценка соблюдения которых осуществляется в рамках государственного контроля (надзора), муниципального контроля, привлечения к административной ответственности, предоставления лицензий и иных разрешений, аккредитации, оценки соответствия продукции, иных форм оценки и экспертизы. На основании статьи 11 Федерального закона от 31 июля 2020 №247-ФЗ «Об обязательных требованиях в Российской Федерации», Проект должен пройти процедуру оценки регулирующего воздействия и правовую экспертизу.

☝️ Вкратце — проект должен быть размещен для обсуждения с другими сроками и условиями, с заполнением сводного отчета, с правовой экспертизой и оценкой регулирующего воздействия после всего этого.

❌ При этом в пояснительной записке указано, что проект не содержит обязательных требований, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора). Но не может же быть, что это фейк от целого министерства? Или может?

Что можно и нужно сделать?

✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про прививку «Спутник V?» Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишут
👉 Срок до 7 мая 2021

➡️ Шаблон жалобы на размещение для физических лиц: https://usher2.club/docs/fish/115396p.rtf
➡️ Шаблон жалобы на размещение для юридических лиц: https://usher2.club/docs/fish/115396l.rtf

⚠️ Жалобы нужно отправить:
• на email: mineconom@economy.gov.ru
• по кнопке ! «Народный контроль» на портале: https://regulation.gov.ru/p/115396
• вице-премьеру на сайте Правительства: http://services.government.ru/letters/

schors

СЕГОДНЯ ПРЕДПОСЛЕДНИЙ ДЕНЬ ОБСУЖДЕНИЯ!!! Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов

ЧТО ДЕЛАТЬ

✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

⚠️ У вас ещё есть день. Это важно

schors

4/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

👽 ПРИВЛЕЧЕНИЕ СТОРОННИХ ОРГАНИЗАЦИЙ
обращаю внимание — требования относятся к любой сторонней организации, только часть пунктов говорит об иностранной

❌ «Сторонняя организация в лице иностранного юридического лица, привлекаемая оператором связи к выполнению работ, связанных с эксплуатацией сети связи и (или) управлению сетью связи, обязана иметь российское представительство на территории Российской Федерации». Это такой косвенный протекционизм производителям оборудования

❌ «Оператор связи обязан организовать единую точку подключения для доступа сторонних организаций (лиц) к управлению средствами связи...» Чтобы что?

❌ Оператор должен полностью контролировать и записывать все действия сторонней организации. Вообще все. И анализировать их. Мне почему-то кажется, что это слабовыполнимое требование в общем случае

💥 Специальные требования к договору со сторонней организацией

😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается. Подаются сведения электронно. Или бумажно, если невозможно электронно. Странное уточнение. Кому невозможно? Что такое «подача в электронном виде»?

➡️ Оператор связи должен хранить в течение трех лет информацию ‎о всех действиях со средствами связи приведенными ниже, выполненных работниками оператора связи и (или) сторонними организациями в процессе управления сетью связи, в том числе с использованием удаленного доступа

schors

3/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ

✅ Из новой версии проекта норматива убрано требование документации к средствам связи по ГОСТ 2.601-2019

✅ Из новой версии проекта норматива убрано смешное требование наличия сотрудника с допуском к гостайне. В предыдущем проекте такой сотрудник предполагался, если сетью желало воспользоваться государство

➡️ Неимоверное количество воды про эксплуатацию сетей связи. Навязанная классификация

❌ Требование не реже раза в год производить большое количество измерений под протокол. Подвох тут конечно же в сертифицированных средствах измерения, которые должны быть или появиться

❌ «Сведения о проведении профилактических работ, аварийно-восстановительных работах и ремонте средств связи по запросам федерального органа исполнительной власти в области связи, федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, а также Центра мониторинга и управления сетью связи общего пользования должны быть представлены оператором связи в течение трех часов с момента поступления запроса». Сферическое требование в вакууме:
• А если попросили все, кому приоритет? Всем отдать? А если будет принята поправка в закон, дающее право выдать только одному? Поправку тоже Минцифра внесла
• А «запрос» это в данном случае что? 3 часа после поступления заказного письма на имя организации? Отлично. Но зачем? А если иное, то что?
• Формат сведений какой? Тексты в «лексиконе» подойдут?

☝️ Отдельно замечу, что сама Минцифра просто на 10 листах проект-то нормально не может. То два трека размещения, то не та степень, то сводный отчет не заполнен (и в этот раз), то проект публикуется от давно уволившегося сотрудника. Да вон, у них тут даже в паспорте два адреса Минцифры указано — на Тверской 7 и на Пресненской 10. А провайдеры конечно все чётко будут вести такие журналы

schors

2/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
некая «система управления сетью связи» — это что-то, существующее только в голове у нормотворцев. У большинства операторов нет какой-то единой системы управления сетью

➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/do...91568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)

✅ По сравнению с предыдущей версией проекта норматива, из него убран весь этот булшит по 24/7/365, 99.9%, 7” и так далее

✅ В новой версии проекта норматива убраны требования к обязательной сертификации систем управления и обеспечения целостности с помощью сертифицированных СКЗИ

❌ «Управление сетями связи должно осуществляться только ‎с территории Российской Федерации». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать

💥 «39. Для изоляции сегмента управления сетью связи от других сетей связи оператор должен организовать: 1)выделенные транзитные пункты сигнализации, которые должны обеспечивать автоматизацию управления сетью сигнализации и обработки сообщений сигнализации (управление критическим процессом, обработка ‎и передача информации)»… Кто писал этот текст? Что он означает?

❌ Если я правильно понимаю общую междустрочную суть пунктов 39, 40 и 41, предлагается управлять сетями связи только по выделенным сетям или каналам (норма различает эти понятия, за ними наверное стоит провод и vlan соответственно). VPN в целях управления поверх общей сети разрешается, но условия, при котором он разрешается, я не смог понять

❌ «Пропуск трафика системы управления сетями связи через территорию иностранного государства не допускается за исключением ...» (кроме посольств, Калининграда и прочего). Внимательно следите, чтобы трафик до управляемой единицы не пошёл через границу, и если пошел — стреляйте себе в ногу из реактивного патрона с разрывной боеголовкой

schors

1/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

🔐 БЕЗОПАСНОСТЬ

➡️ Очень много воды про то, что системы безопасности создаются для безопасного обеспечения безопасного функционирования сетей, систем управления и баз данных оператора связи. Эксплуатация систем безопасности должна быть безопасной во имя безопасности

➡️ К средствам обеспечения информационной безопасности сетей связи отнесли в том числе обеспечение бесперебойного питания и резервирование оборудования и программ

➡️ Отсылка к тому, что если есть объекты КИИ, то должны соблюдаться требования закона о защите КИИ. Я пропустил какой-то конкурс на цитируемость этого понятия?

💥 Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585 : «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...

➡️ Внезапный пункт требований к обслуживанию средств криптографической защиты, основу которых составляют требования по доступу лиц к СКЗИ

➡️ Оператор связи обязан не реже раза в год проводить аудит систем управления с отчетом произвольной формы

➡️ Оператор связи должен разработать и утвердить регламент, который должен содержать правила и процедуры выявления, анализа ‎и устранения уязвимостей сетей связи (этот пункт, кстати, почему-то «завис» в разделе поиска уязвимостей системы управления сетей связи). Не знаю что это. Видимо папка с таким названием

☝️ По сравнению с предыдущей версией проекта норматива, из раздела про безопасность убраны требования к квалификации персонала, стендовые испытания, обязательные процедуры, общение с НКЦКИ (люблю пиарить эту организацию: http://www.gov-cert.ru/ ). В итоге все требования к безопасности при эксплуатации стали выглядеть… знаете, как книга из которой вырваны страницы. Жесткий паспорт безопасности, повисший в вакууме

schors

0/4 Минцифра 11 ноября 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 24 ноября 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ

⚠️ Это уже второй подход к снаряду. Прошлый был в июле 2020. С теми же замечаниями по процедуре. Из новой версии документа убрано много воды и лозунгов. Но многие спорные пункты просто перефразированы

➡️ В новой версии нормы действие её ограничено сетью связи общего пользования, исключая радио и телевизор, но включая технологические сети связи с номером автономной системы (что с точки зрения российского законодательства является оксюмороном)

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов

ЧТО ДЕЛАТЬ

✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

ДАЛЬШЕ САГА В ЧЕТЫРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
👽 Привлечение сторонних организаций

schors

☝️ Есть такой федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ (далее — КИИ). К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики и банковской, оборонной, горнодобывающей, металлургической и химической промышленности. Объекты КИИ и сети связи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Это «вселенная» со своей иерархией нормативов. Обычно я туда не лезу. Но не сегодня

💥 29 октября 2020 года Минцифра разместила для публичного обсуждения проект Указа Президента «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах КИИ»:
https://regulation.gov.ru/p/109874
Проект указа размещен по процедуре оценки регулирующего воздействия с высокой степенью воздействия. Окончание обсуждения 26 ноября 2020 года

🚀 Это уже второй подход к снаряду. Судя по всему в прошлую попытку регуляторный манёвр в тени Юпитера не получился... 21 мая 2020 года Минцифра уже размещала проект Указа Президента:
https://regulation.gov.ru/p/102172
Ссылаясь на положения Указа Президента РФ от 2 мая 1996 г. № 638 http://kremlin.ru/acts/bank/9276 в качестве дополнительных документов представлены Постановление Правительства, Требования и Порядок (ещё не существующие). Постановление раскрывает кто что делает и контролирует, вводя новых игроков. Требования говорят о преимущественном использовании на объектах КИИ отечественного программного обеспечения и оборудования. А Порядок определяет порядок перехода на него. Сам Указ наделяет Правительство РФ полномочиями утвердить указанные требования и порядок, а объектам КИИ исполнить его до 01 января 2021 года

👉 В новом проекте указа всё отодвинуто на 2024-2025 года

🔥🔥🔥 Что не так с этим проектом? (всё)

☝️ Закон о КИИ строг и четко описывает полномочия. «Статья 6. Полномочия Президента РФ и органов государственной власти РФ в области обеспечения безопасности КИИ»:
http://www.consultant.ru/do...dfaeb8bf656f381bf79/
Президент РФ не может просто так взять и уполномочить кого бы то ни было во вселенной КИИ. Как и Правительство. Для этого надо изменять федеральный закон

❌ Сводный отчет в районе рассчетов расходов пестрит абсолютным «нет». Так нельзя. Расчеты и цифры должны быть

😱 Указ подготовлен во исполнение поручения Президента РФ ‎от 2 июля 2019 г. № Пр-1180 п.1 д)-2 в целях обеспечения технологической независимости КИИ:
http://kremlin.ru/acts/assignments/orders/60879
Срок исполнения 01 октября 2019 года. Ответственный Медведев Д.А. Для справки — большое количество Поручений Президента РФ никем не исполняется. Ни в срок, никак

👍 Вы знаете что делать

✅ Зарегистрироваться на сайте https://regulation.gov.ru или войти на него через Госуслуги, если вы ещё этого не сделали. прочитать текст законопроекта
✅ Прочитал? Поставь 👎 каждому проекту. Или лайк — как пойдет
✅ Пьёшь чай? Напиши отзыв на проект
✅ Жалобы на размещение можно писать по кнопке «!» (Народный контроль)
⚔️ Fight the Good Fight

ВАЖНО

☝️ Проверяйте меня. Я не идеален, возможно вы найдете неточности
☝️ Попробуйте самостоятельно сформулировать несоответствие проекта Указа статье 6 закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года № 187-ФЗ. Покажите это юристу. Отправьте в раздел «Ваши предложения» проекта Указа на портале.

schors

И в Минэк отдельно нажалуемся:
https://regulation.gov.ru/p/107649

schors

И жалоба Минцифре на Минифру в связи с этим актом:
https://regulation.gov.ru/p/107649

schors

Расслабилась Минцифра что-то. Ну ок, взял в руки саблю. Сделал отзыв вот на это:
https://regulation.gov.ru/p/107649

schors

Я сразу прошу прощения за избыток иронии и сатиры, но серьёзно относиться к таким документам выше моих сил. Пока я праздновал свой День Рождения под капельницей в инфекционной больнице Боткина с тараканами и комарами (не спрашивайте, что делают тараканы и комары в единственной городской взрослой инфекционной больнице бывшей столицы Российской Империи), Минцифра опубликовала проект изменений в закон «о Связи» и «об Информации» для публичного обсуждения:
https://regulation.gov.ru/p/107649
Конец публичного обсуждения 16 сентября 2020

‼️ Законопроект во всех своих пунктах говорит о предоставлении теми или иными участниками отношений тех или иных сведений в Роскомнадзор
❌ Основание законопроекта — положение о Центре Мониторинга и Управления Сетями Связи (ЦМУСС). Формулировки действительно завязаны на ЦМУСС. Но я не смог отследить логику суждения
✅ Законопроект явно запрещает требовать органами власти с операторов связи (но это уточняется ТОЛЬКО для операторов связи) сведения, которые оператор связи уже предоставил какому-нибудь органу власти
❌ Законопроект вводит новый список сведений, которые оператор связи должен предоставлять в Роскомнадзор, при этом делается исключение для сведений, которые оператор связи должен предоставлять в рамках закона «об устойчивом Рунете». При этом состав сведений частично пересекается. Разработчик законопроекта поленился свести это всё в одну кучу. Я, честно, тоже
☝️ С таким подходом к формированию требований, операторы могут устроить игру «в наперстки». Некоторые операторы сдали часть сведений в один орган власти, часть в другой, другие операторы — наоборот. И можно устраиваться с попкорном поудобнее. Может это и есть цель регулирования?
‼️ Законопроект вводит в закон об информации (действительно, надо же было куда-то приткнуть) понятия «центр хранения и обработки данных» и «оператор центра хранения и обработки данных». «Центр хранения и обработки данных – специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости». Это так не работает
❌ Несмотря на то, что норма вводит новых участников отношений и абсолютно новые обязанности, степень регулирующего воздействия выставлена «средняя». Я ещё раз напомню, что степень регулирующего воздействия — это возможность всесторонне рассмотреть документ, проработать его. Однако, органы власти воспринимают работу как наказание и стараются избегать как высокой степени воздействия, так и самой процедуры оценки регулирующего воздействия
⚔️ Минцифра, солнце ещё высоко. Пожалуйста, избавьте меня завтра от написания кучи однотипных писем с копиями, проставьте всё сами и сводный отчет заполните. Буду очень благодарен
🙈 Из однобокого понимания сути центров обработки данных следуют ещё более однобокие требования предоставления информации. Во-первых, в большинстве случаев у них нет информации о вычислительных мощностях клиентов, да и о подключениях тоже. Во-вторых, в здравом уме никто такой информацией разбрасываться не будет. В-третьих, достоверность сведений невозможно проверить. Информация будет недостоверной и бессмысленной

ЧТО МОЖНО И НУЖНО СДЕЛАТЬ

❇️ Зарегистрироваться на сайте https://regulation.gov.ru или войти на него через Госуслуги, если вы ещё этого не сделали. Прочитать проект нормы и оставить отзыв
❇️ Жалобы на размещение можно писать по кнопке «!» (Народный контроль)

✅ Проснулся и пьёшь кофе? Напиши отзыв

☝️ Напоминаю:
- не надо ругаться, вы никому этим не поможете;
- нет смысла отвечать на анкетные вопросы, которые даны на сайте regulation, надо сразу писать предложение;
- орган исполнительной власти (Минцифра в данном случае) хочет от вас косметических правок, если вы пишете что-то более сложное — запаситесь ссылками на нормативы и хорошие обоснования;
- пишите в любом случае, кроме Минцифры это будут читать и другие органы.

schors

4/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

☀️ НЕМНОГО БОЛТОВНИ

Я бы предложил в качестве регуляторной песочницы применить эти все требования к информационным ресурсам органов государственной власти и Единой Сети Передачи Данных органов власти. Обязать разработать эксплуатационную документацию на систему защиты информации сетей с учетом ГОСТ Р 52448-2005 для сайтов kremlin.ru, government.ru, которые до сих пор не имеют HTTPS. Вновь вводимые или измененные компоненты системы информационной безопасности как в ЕСПД, так и на информационных ресурсах госорганов должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи ‎не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности. А то, вон, в начале лета потеряли с обновлением автоматизацию реестра PKI на сайте Госуслуг. И паспорт безопасности по ГОСТ, и импортозамещение в СХД, и сертификация ФСТЭК системы управления ЕСПД и элементами инфобезопасности. Заодно будут и затраты все видны, и эффективность.

❤️ Отличное же предложение?

schors

3/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ

😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя

😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается

➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез

schors

2/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило

➡️ Новые требования к системам управления надо складывать с существующим нормативом. http://www.consultant.ru/do...91568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)

➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками

➡️ «Система управления сетью связи должна содержать основной ‎и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий

👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?

➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год» Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?

😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить

➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов

➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом

‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи

‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3

❌ «должна быть исключена возможность управления средствами связи ‎с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать

schors

1/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

🔐 БЕЗОПАСНОСТЬ

➡️ Новые компоненты безопасности сети должны проходить стендовые испытания

➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...

➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи

➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами

➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет

➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)

schors

0/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Норматив общий для всех категорий сетей связи

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ

😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят ‎в состав сетей связи оператора связи». Не смог интерпретировать этот пункт. Я не знаю о чем он

ЧТО ДЕЛАТЬ

✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей

schors

Минэк выдал отрицательное заключение оценки регулирующего воздействия на законопроект Минцыфры о «бесплатном интернете»:
https://regulation.gov.ru/p/101646

Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения

❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента

🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема

Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/...splatnogo-interneta/

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.