2019/03/27 16:15:26

Закон «О безопасности критической информационной инфраструктуры Российской Федерации»

.

Содержание

2019

ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России

На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».

Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.

В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.

«
В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, — говорится в описании проекта.
»

«
Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае — не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого.
»

Основным разработчиком проекта должен выступить ФСТЭК, однако в качестве соисполнителей указана Федеральная служба безопасности РФ.

Планируемый срок принятия законопроекта — январь 2020 года. Ознакомиться с документом можно здесь.

ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) 6 марта 2019 года опубликовала на Федеральном портале проектов нормативных правовых актов проект изменений в приказ №239 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.

В частности, предлагается дополнить пункт 31 приказа[1] следующим абзацем:

«
Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
»

Предыдущая версия приказа таких ограничений не накладывала.

«
Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России — это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски — слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго.
»

Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.

Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.

Полный текст проекта приказа доступен по этой ссылке.

2018

ФСБ подготовила порядок информирования о кибератаках на объекты КИИ

Федеральная служба безопасности Российской Федерации подготовила проект приказа об утверждении порядка информирования о кибератаках на значимые объекты критической информационной инфраструктуры (КИИ). Текст проекта доступен[2] на федеральном портале проектов нормативных правовых актов[3].

«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.

Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.

Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.

Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.

Информацию о защищенности КИИ от кибератак отнесли к гостайне

Президент РФ Владимир Путин подписал в марте 2018 года указ, согласно которому информация о состоянии защищенности критической информационной инфраструктуры (КИИ) от кибератак теперь относится к государственной тайне. Соответствующий документ опубликован на портале правовой информации[4].

Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.

Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю[5].

2017: Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу 187-ФЗ - закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны.

Изменения вносятся Федеральным законом № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». В частности, глава 28 УК РФ дополняется статьей 2741, описывающей кары за «неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». [6]

Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые, транспортные, энергетические, телекоммуникационные компании, а также организации в сфере здравоохранения, науки, ТЭК, атомной энергетики и промышленности.

До 20 февраля 2019 года компании, которые попадают в сферу действия закона, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их со ФСТЭК.

При этом данный этап включает в себя создание комиссии по категорированию, определение процессов в рамках основных видов деятельности компании и выявление наиболее критичных из их числа. Следующий шаг – формирование перечня объектов КИИ и его согласование с отраслевым регулятором (например, для сферы здравоохранения таковым выступает Минздрав). После этого перечень объектов подается в виде уведомления во ФСТЭК России, а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.

К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.

Установлены суровые наказания за преступления, направленные на нарушение безопасности критической информационной инфраструктуры РФ
Установлены суровые наказания за преступления, направленные на нарушение безопасности критической информационной инфраструктуры РФ

Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.

Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.

За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.

Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.

«
Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода, генеральный директор компании SEC Consult Services. - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне.
»

«
Закон, как и поправки к УК, сами по себе необходимы, - отметил Дмитрий Гвоздев, генеральный директор ООО «Технологии будущего», - Вопрос, однако, заключается в реальной правоприменительной практике. От нее зависит, будут ли эти законы работать в принципе.
»

Смотрите также






Примечания

  1. Приказ от 25 декабря 2017 г. N 239 об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
  2. Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
  3. ФСБ подготовила порядок информирования о кибератаках на объекты КИИ
  4. Указ Президента Российской Федерации от 02.03.2018 № 98 "О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203"
  5. Информацию о защищенности КИИ от кибератак отнесли к гостайне
  6. Федеральный закон от 26.07.2017 № 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"