Forwarded from Эшер II A+
#regulation #орв Минцифра опубликовал проект изменений в многострадальный закон «о Cвязи». Проектом устанавливается возможность дистанционного заключения договоров об оказании услуг связи (сейчас только лично, с паспортом, или с усиленной квалифицированной цифровой подписью):
https://regulation.gov.ru/p/101362
✅ Вкратце — законопроект разрешает делать заказ услуг связи с подтверждением через сайт Госуслуг
‼️ Корпоративные клиенты теперь могут давать пользоваться услугами связи только тем сотрудникам, что имеют регистрацию в Госуслугах с пройденной идентификацией. Интересно, как это бьётся с Трудовым Кодексом?
➡️ Сотрудник корпоративного клиента услуг связи может через Госуслуги ввести свой IMEA (это такой внутренний номер телефона как аппарата)
🙈 Интересно, а в какой программе форматирован текст законопроекта? Мои глаза вытекли
❌ Сводный отчет конечно же заполнен «на авось». Т.е. похабно
❌ Внесено в 10-ом часу вечера. Честно, не знаю зачем
❌ Степень регулирующего воздействия стоит «средняя», хотя это конечно же «высокая». Срок обсуждения 15 рабочих дней. С 21 апреля по 15 мая. Я чего-то не знаю? Но это какая-то странная математика
❌ Срок антикоррупционной экспертизы 25 дней. С 21 апреля по 15 мая… В разных плоскостях параллельные прямые начали вести себя по разному. Я не смог подобрать логики ни к этому, ни к предыдущему пунктам
☝️ Вы знаете что делать
✅ Отзыв сам себя не напишет. Надел «шлёпки» с утра — напиши отзыв
https://regulation.gov.ru/p/101362
✅ Вкратце — законопроект разрешает делать заказ услуг связи с подтверждением через сайт Госуслуг
‼️ Корпоративные клиенты теперь могут давать пользоваться услугами связи только тем сотрудникам, что имеют регистрацию в Госуслугах с пройденной идентификацией. Интересно, как это бьётся с Трудовым Кодексом?
➡️ Сотрудник корпоративного клиента услуг связи может через Госуслуги ввести свой IMEA (это такой внутренний номер телефона как аппарата)
🙈 Интересно, а в какой программе форматирован текст законопроекта? Мои глаза вытекли
❌ Сводный отчет конечно же заполнен «на авось». Т.е. похабно
❌ Внесено в 10-ом часу вечера. Честно, не знаю зачем
❌ Степень регулирующего воздействия стоит «средняя», хотя это конечно же «высокая». Срок обсуждения 15 рабочих дней. С 21 апреля по 15 мая. Я чего-то не знаю? Но это какая-то странная математика
❌ Срок антикоррупционной экспертизы 25 дней. С 21 апреля по 15 мая… В разных плоскостях параллельные прямые начали вести себя по разному. Я не смог подобрать логики ни к этому, ни к предыдущему пунктам
☝️ Вы знаете что делать
✅ Отзыв сам себя не напишет. Надел «шлёпки» с утра — напиши отзыв
Forwarded from Комиссия по Регуляторике (Alexey Yefremov)
#ОРВ #ДеньОРВ
Сегодня ровно 10 лет с момента введения оценки регулирующего воздействия в России – 15 мая 2010 г. вышло Постановление Правительства РФ № 336.
Аналитические итоги первого десятилетия (в целом, полет нормальный) вскоре появятся, но сегодня хотим отметить те каналы, которые развивают тематику ОРВ и других инструментов регуляторной политики в России.
Мы благодарны им за репосты и дискуссию:
Минэкономразвития РФ @MinEconomyrf
Эшер II @usher2
Политджойстик @politjoystic
Рюмочная ИПП @rumka_ipp
Красный Сион @redzion
Телеком-ревью @gip_24
DigitalRussia (Цифровая Россия) @drussia
Регулирование ИТ @IT_Regulation_In_Russia
Все о блокчейн и цифровой экономике @blockchainRF
«Зелёный» змий @greenserpent
Майский указ @maydecree
Сегодня ровно 10 лет с момента введения оценки регулирующего воздействия в России – 15 мая 2010 г. вышло Постановление Правительства РФ № 336.
Аналитические итоги первого десятилетия (в целом, полет нормальный) вскоре появятся, но сегодня хотим отметить те каналы, которые развивают тематику ОРВ и других инструментов регуляторной политики в России.
Мы благодарны им за репосты и дискуссию:
Минэкономразвития РФ @MinEconomyrf
Эшер II @usher2
Политджойстик @politjoystic
Рюмочная ИПП @rumka_ipp
Красный Сион @redzion
Телеком-ревью @gip_24
DigitalRussia (Цифровая Россия) @drussia
Регулирование ИТ @IT_Regulation_In_Russia
Все о блокчейн и цифровой экономике @blockchainRF
«Зелёный» змий @greenserpent
Майский указ @maydecree
Forwarded from Эшер II A+
#regulation #орв ☝️ Есть такой федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26 июля 2017 года № 187-ФЗ (далее — КИИ). К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики и банковской, оборонной, горнодобывающей, металлургической и химической промышленности. Объекты КИИ и сети связи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Это «вселенная» со своей иерархией нормативов. Обычно я туда не лезу. Но не сегодня
💥 21 мая 2020 года в 20:46 (характерно) по Москве Минцифра разместила проект Указа Президента: https://regulation.gov.ru/p/102172
Ссылаясь на положения Указа Президента РФ от 2 мая 1996 г. № 638 https://kremlin.ru/acts/bank/9276 в качестве дополнительных документов представлены Постановление Правительства, Требования и Порядок (ещё не существующие). Постановление раскрывает кто что делает и контролирует, вводя новых игроков. Требования говорят о преимущественном использовании на объектах КИИ отечественного программного обеспечения и оборудования. А Порядок определяет порядок перехода на него. Сам Указ наделяет Правительство РФ полномочиями утвердить указанные требования и порядок, а объектам КИИ исполнить его до 01 января 2021 года (⚡️⚡️⚡️ та-да!!!)
🔥🔥🔥 Что не так с этим проектом? (всё)
☝️ Закон о КИИ строг и четко описывает полномочия. «Статья 6. Полномочия Президента РФ и органов государственной власти РФ в области обеспечения безопасности КИИ»:
https://www.consultant.ru/document/cons_doc_LAW_220885/7205f08fadb066337590cdfaeb8bf656f381bf79/
Президент РФ не может просто так взять и уполномочить кого бы то ни было во вселенной КИИ. Как и Правительство. Для этого надо изменять федеральный закон
😱 Указ подготовлен во исполнение поручения Президента РФ от 2 июля 2019 г. № Пр-1180 п.1 д)-2 в целях обеспечения технологической независимости КИИ:
https://kremlin.ru/acts/assignments/orders/60879
Срок исполнения 01 октября 2019 года. Ответственный Медведев Д.А. Для справки — большое количество Поручений Президента РФ никем не исполняется. Ни в срок, никак
❌ Это гриппом болеть можно вместе, а сходить с ума и размещать проекты нормативов — нет. Так что дополнительные документы не в счет. В итоге всё это вместе противоречит положениям Указа от 2 мая 1996 г. № 638
‼️ Как и все проекты нормативов в области экономической деятельности, этот проект (каждый акт по отдельности) должен проходить процедуру оценки регулирующего воздействия. Со сводным отчетом, аналитикой, подбором степени регулирующего воздействия, соответствующим сроком публичного обсуждения
🚀 «Что дозволено Юпитеру, то не дозволено быку». Получается, что проект норматива делает регуляторный маневр в тени Юпитера и уносится мимо процедуры оценки регулирующего воздействия в бескрайние просторы правового хаоса, унося под шумок с собой все дополнительные проекты нормативов
🍸🍸🍸 Возможно это дембельский аккорд замминистра Алексея Соколова, по слухам покидающего министерство цифры. Подписал неудобное и исчез. Именно он значится в паспорте проекта руководителем
💥 21 мая 2020 года в 20:46 (характерно) по Москве Минцифра разместила проект Указа Президента: https://regulation.gov.ru/p/102172
Ссылаясь на положения Указа Президента РФ от 2 мая 1996 г. № 638 https://kremlin.ru/acts/bank/9276 в качестве дополнительных документов представлены Постановление Правительства, Требования и Порядок (ещё не существующие). Постановление раскрывает кто что делает и контролирует, вводя новых игроков. Требования говорят о преимущественном использовании на объектах КИИ отечественного программного обеспечения и оборудования. А Порядок определяет порядок перехода на него. Сам Указ наделяет Правительство РФ полномочиями утвердить указанные требования и порядок, а объектам КИИ исполнить его до 01 января 2021 года (⚡️⚡️⚡️ та-да!!!)
🔥🔥🔥 Что не так с этим проектом? (всё)
☝️ Закон о КИИ строг и четко описывает полномочия. «Статья 6. Полномочия Президента РФ и органов государственной власти РФ в области обеспечения безопасности КИИ»:
https://www.consultant.ru/document/cons_doc_LAW_220885/7205f08fadb066337590cdfaeb8bf656f381bf79/
Президент РФ не может просто так взять и уполномочить кого бы то ни было во вселенной КИИ. Как и Правительство. Для этого надо изменять федеральный закон
😱 Указ подготовлен во исполнение поручения Президента РФ от 2 июля 2019 г. № Пр-1180 п.1 д)-2 в целях обеспечения технологической независимости КИИ:
https://kremlin.ru/acts/assignments/orders/60879
Срок исполнения 01 октября 2019 года. Ответственный Медведев Д.А. Для справки — большое количество Поручений Президента РФ никем не исполняется. Ни в срок, никак
❌ Это гриппом болеть можно вместе, а сходить с ума и размещать проекты нормативов — нет. Так что дополнительные документы не в счет. В итоге всё это вместе противоречит положениям Указа от 2 мая 1996 г. № 638
‼️ Как и все проекты нормативов в области экономической деятельности, этот проект (каждый акт по отдельности) должен проходить процедуру оценки регулирующего воздействия. Со сводным отчетом, аналитикой, подбором степени регулирующего воздействия, соответствующим сроком публичного обсуждения
🚀 «Что дозволено Юпитеру, то не дозволено быку». Получается, что проект норматива делает регуляторный маневр в тени Юпитера и уносится мимо процедуры оценки регулирующего воздействия в бескрайние просторы правового хаоса, унося под шумок с собой все дополнительные проекты нормативов
🍸🍸🍸 Возможно это дембельский аккорд замминистра Алексея Соколова, по слухам покидающего министерство цифры. Подписал неудобное и исчез. Именно он значится в паспорте проекта руководителем
Forwarded from Эшер II A+
#regulation #орв 30 апреля 2020 года Минцифра со второй попытки разместила текст проекта изменений в закон «о Связи» в целях обеспечения оказания гражданам на безвозмездной основе услуг связи по передаче данных и предоставлению доступа к интернету на территории Российской Федерации для использования отечественных социально-значимых интернет-сервисов (БЕСПЛАТНОМ ИНТЕРНЕТЕ):
https://regulation.gov.ru/p/101646
👉 26 мая 2020 года было закончено публичное обсуждение проекта и сейчас проект отправлен для получения Заключения оценки регулирующего воздействия. Комментарии к проекту публичны и доступны всем по ссылке «Ваши предложения»
❌❌❌ Замечаний оказалось много. В том числе и от крупных провайдеров, и от ассоциаций. Минцифра не учла АБСОЛЮТНО ВСЕ замечания
🔥🔥🔥 Мне понятно, когда разработчики проекта ставили формальное «Предложения рассмотрены. Причины их отклонения указаны.» к замечаниям, не подразумевающим ответа. Например «В данной редакции законопроект окажет негативное влияние». Ну ок. Но много таких, с позволения сказать, «комментариев» стоит и напротив достаточно нормальных подробных замечаний.
🔥🔥🔥 Традиционно много комментариев разработчиков в стиле «сам дурак». Вот гражданин, например, говорит, что выбрана неверная степень воздействия. Разработчик отвечает «сам дурак»^W^W «всё соответствует Постановлению Правительства такому-то». Это хамство, простите. Почему бы не ответить «по такому-то Регламенту такая степень выбирается потому то, в проекте так и так, поэтому и выбрали».
⚠️ Согласно статье 4 №79-ФЗ от 27.07.2004 «О государственной гражданской службе...», одним из принципов гражданской службы является в том числе взаимодействие с общественными объединениями и гражданами. Согласно той же статье , одними из принципов гражданской службы являются в том числе профессионализм и компетентность. Статья 18 требует от гражданского служащего в том числе исполнять должностные обязанности добросовестно, на высоком профессиональном уровне. Это подразумевает развернутые ответы на позиции граждан, участвующих в публичном обсуждении. В том числе и на позиции, выраженные не в формальном стиле. Разработчики должны разобраться с подоплекой обоснованных сомнений граждан и дать исчерпывающий развернутый ответ, указав конкретные нормы конкретных законов и нормативов с цитированием, а также предоставить общую статистику и краткую аналитику, если требуется. Я хочу? Нет, так закон требует.
☝️ Интересный факт. 6 апреля был опубликован Приказ Минцифры России № 148 от 31 марта 2020г. : https://digital.gov.ru/ru/documents/7146/ И приложением к нему — перечень сайтов для бесплатного доступа. Этот приказ говорит об эксперименте по предоставлению бесплатного доступа к интернет-ресурсам. Я писал ранее, что Роскомнадзор даже уже пытается взаимодействовать с этими значимыми ресурсами. 💥 Нормы этого эксперимента ортогональны обсуждаемому нормативу. Они просто как-будто из разных миров. Не очень понятно, зачем принудительно без оглядки «пропихивается» норма, не связанная с экспериментом. Ну или зачем ставится эксперимент? Или это биполярное расстройство?
https://regulation.gov.ru/p/101646
👉 26 мая 2020 года было закончено публичное обсуждение проекта и сейчас проект отправлен для получения Заключения оценки регулирующего воздействия. Комментарии к проекту публичны и доступны всем по ссылке «Ваши предложения»
❌❌❌ Замечаний оказалось много. В том числе и от крупных провайдеров, и от ассоциаций. Минцифра не учла АБСОЛЮТНО ВСЕ замечания
🔥🔥🔥 Мне понятно, когда разработчики проекта ставили формальное «Предложения рассмотрены. Причины их отклонения указаны.» к замечаниям, не подразумевающим ответа. Например «В данной редакции законопроект окажет негативное влияние». Ну ок. Но много таких, с позволения сказать, «комментариев» стоит и напротив достаточно нормальных подробных замечаний.
🔥🔥🔥 Традиционно много комментариев разработчиков в стиле «сам дурак». Вот гражданин, например, говорит, что выбрана неверная степень воздействия. Разработчик отвечает «сам дурак»^W^W «всё соответствует Постановлению Правительства такому-то». Это хамство, простите. Почему бы не ответить «по такому-то Регламенту такая степень выбирается потому то, в проекте так и так, поэтому и выбрали».
⚠️ Согласно статье 4 №79-ФЗ от 27.07.2004 «О государственной гражданской службе...», одним из принципов гражданской службы является в том числе взаимодействие с общественными объединениями и гражданами. Согласно той же статье , одними из принципов гражданской службы являются в том числе профессионализм и компетентность. Статья 18 требует от гражданского служащего в том числе исполнять должностные обязанности добросовестно, на высоком профессиональном уровне. Это подразумевает развернутые ответы на позиции граждан, участвующих в публичном обсуждении. В том числе и на позиции, выраженные не в формальном стиле. Разработчики должны разобраться с подоплекой обоснованных сомнений граждан и дать исчерпывающий развернутый ответ, указав конкретные нормы конкретных законов и нормативов с цитированием, а также предоставить общую статистику и краткую аналитику, если требуется. Я хочу? Нет, так закон требует.
☝️ Интересный факт. 6 апреля был опубликован Приказ Минцифры России № 148 от 31 марта 2020г. : https://digital.gov.ru/ru/documents/7146/ И приложением к нему — перечень сайтов для бесплатного доступа. Этот приказ говорит об эксперименте по предоставлению бесплатного доступа к интернет-ресурсам. Я писал ранее, что Роскомнадзор даже уже пытается взаимодействовать с этими значимыми ресурсами. 💥 Нормы этого эксперимента ортогональны обсуждаемому нормативу. Они просто как-будто из разных миров. Не очень понятно, зачем принудительно без оглядки «пропихивается» норма, не связанная с экспериментом. Ну или зачем ставится эксперимент? Или это биполярное расстройство?
Forwarded from Эшер II A+
#regulation #орв Минэк выдал отрицательное заключение оценки регулирующего воздействия на законопроект Минцыфры о «бесплатном интернете»:
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
https://regulation.gov.ru/p/101646
Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения
❌ Законопроект не содержит ясной концепции
❌ Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
❌ Доходы операторов связи могут быть существенно снижены
❌ Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
❌ Критерии качества не определены ни действующим законодательством, ни проектом
❌ Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
✅ Предлагается вернуться к вопросу после анализа результатов эксперимента
🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема
Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
Forwarded from Эшер II A+
#regulation #орв 0/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой
💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены
➡️ Норматив общий для всех категорий сетей связи
➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению
➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ
😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он
ЧТО ДЕЛАТЬ
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
✅ Садишься выпить чашечку кофе? Зайди на портал и выскажись
✅ Почитал про коронавирус? Зайди на портал и выскажись
✅ Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу
ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
Forwarded from Эшер II A+
#regulation #орв 1/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 https://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🔐 БЕЗОПАСНОСТЬ
➡️ Новые компоненты безопасности сети должны проходить стендовые испытания
➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 https://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...
➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи
➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами
➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет
➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)
Forwarded from Эшер II A+
#regulation #орв 2/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. https://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🖥 СИСТЕМА УПРАВЛЕНИЯ СЕТЬЮ СВЯЗИ
чтобы это словосочетание ни значило
➡️ Новые требования к системам управления надо складывать с существующим нормативом. https://www.consultant.ru/document/cons_doc_LAW_342965/5b7236bdd753ba6cd2b3891568acae6e2c503914/ (у него немного более узкая формулировка, но всё же)
➡️ Режим функционирования систем управления сетями связи «24 часа в сутки, 7 дней в неделю, 365/366 дней в году», а также должна присутствовать бегущая строка шрифтом точечками
➡️ «Система управления сетью связи должна содержать основной и резервный пункты управления и управляемые средства связи» и большой зал амфитеатром с плазмой, трибуной и столом для важных совещаний важных комиссий
👎 Я читаю проект норматива по поручению целого Совета Безопасности или маркетинговый булшит?
➡️ «доступность систем управления сетями связи на уровне не менее 99, 9% – суммарное время простоя систем управления сетями связи не более 43,83 час за календарный год». Всегда любил такие цифры. С какого потолка они взяты? Почему такие? Что такое в конце-концов «простой системы управления»? Что это за хрень? Кто писал этот пункт?
😱 «Системы управления сетями связи, являющиеся значимым объектом критической информационной инфраструктуры»… Я запутался. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов. Или я не понимаю что такое объект КИИ. Или я не могу их совместить
➡️ «Система управления сетью связи не должна взаимодействовать с сетями связи других операторов, входящих в состав ССОП». Я не знаю на что намек. Или я не понимаю что такое в теории система управления и не представляю состав её компонентов
➡️ « адресное пространство технологической сети не должно пересекаться с адресным пространством, предназначенным для узлов связи сетей связи, входящих в состав сети связи оператора связи или пользователей услугами». Желание разработчиков нормативов Минцифры и Роскомнадзора формулировать частности общими словами, ни к чему не прикрепляя, делает этот пункт (значение которого я на самом деле угадываю) бессмысленным бредом
‼️ «Для обеспечения устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи должны применяться средства защиты информации, имеющие сертификат ФСТЭК России». Я такой ни одной не знаю. Прощайте независимые операторы связи
‼️ «обеспечение конфиденциальности и целостности информации управления должно осуществляться с использованием сертифицированных СКЗИ». Прощайте независимые операторы связи серия 2 сцена 3
❌ «должна быть исключена возможность управления средствами связи с территории иностранного государства». Передали привет админам в отпусках. Не, ну а что? Нефиг в отпуске работать
Forwarded from Эшер II A+
#regulation #орв 3/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
🛠 ОБСЛУЖИВАНИЕ СЕТЕЙ СВЯЗИ
😂😂😂 «В случае использования ресурсов сети связи оператора связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка, персонал, обеспечивающий управление сетью связи оператора связи, должен иметь допуск к сведениям, составляющим государственную тайну». Вот это отличный пункт. Чтобы никто ничего не отнял следует просто не держать в штате обслуживающего персонала людей с формой секретности. Перестарались с пафосом и драматичностью. Аплодирую стоя.
😎 Раз в квартал следует подавать в ФСБ сведения об иностранном персонале и привлекаемых к обслуживанию иностранных организациях. Состав сведений прилагается
➡️ «Средства связи должны быть укомплектованы комплектом эксплуатационной документацией в соответствии с ГОСТ Р 2.601-2019». А каждая стойка продублирована шкафом для документов. Внутрь ГОСТ не полез
Forwarded from Эшер II A+
#regulation #орв #ибу 4/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
☀️ НЕМНОГО БОЛТОВНИ
Я бы предложил в качестве регуляторной песочницы применить эти все требования к информационным ресурсам органов государственной власти и Единой Сети Передачи Данных органов власти. Обязать разработать эксплуатационную документацию на систему защиты информации сетей с учетом ГОСТ Р 52448-2005 для сайтов kremlin.ru, government.ru, которые до сих пор не имеют HTTPS. Вновь вводимые или измененные компоненты системы информационной безопасности как в ЕСПД, так и на информационных ресурсах госорганов должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности. А то, вон, в начале лета потеряли с обновлением автоматизацию реестра PKI на сайте Госуслуг. И паспорт безопасности по ГОСТ, и ипмортозамещение в СХД, и сертификация ФСТЭК системы управления ЕСПД и элементами инфобезпасности. Заодно будут и затраты все видны, и эффективность.
❤️ Отличное же предложение?
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет
☀️ НЕМНОГО БОЛТОВНИ
Я бы предложил в качестве регуляторной песочницы применить эти все требования к информационным ресурсам органов государственной власти и Единой Сети Передачи Данных органов власти. Обязать разработать эксплуатационную документацию на систему защиты информации сетей с учетом ГОСТ Р 52448-2005 для сайтов kremlin.ru, government.ru, которые до сих пор не имеют HTTPS. Вновь вводимые или измененные компоненты системы информационной безопасности как в ЕСПД, так и на информационных ресурсах госорганов должны тестироваться отдельно для подтверждения их функционирования, и в последующем в операционном окружении для подтверждения того, что их интеграция в сеть связи не ухудшает показатели качества услуг связи и/или функций системы информационной безопасности. А то, вон, в начале лета потеряли с обновлением автоматизацию реестра PKI на сайте Госуслуг. И паспорт безопасности по ГОСТ, и ипмортозамещение в СХД, и сертификация ФСТЭК системы управления ЕСПД и элементами инфобезпасности. Заодно будут и затраты все видны, и эффективность.
❤️ Отличное же предложение?