Подписаться
Читать в телеграм
С момента выхода приказа ФСТЭК № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», который хоть немного внес ясность в подход регуляторов к теме обеспечения информационной безопасности критически важных объектов (КВО), следующим ожидаемым к принятию документом стал законопроект «О безопасности критической информационной инфраструктуры Российской Федерации». Ведь именно он должен был сделать требования приказа обязательными, определить федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ, да и, в целом, перевести защиту промышленных объектов в части ИБ в разряд обязательных мероприятий.
Законопроект должен был быть принят еще 1 января 2015 г., но до недавнего времени никаких новостей об изменении его статуса не было. В сообществе специалистов появлялась различная, порой противоречивая информация о причинах задержки, но официальных комментариев ни от одного ведомства, ответственного за разработку законопроекта не поступало.
Наконец 6 декабря 2016 г. вышло постановление правительства о внесении на рассмотрение в Государственную Думу РФ сразу трех проектов федеральных законов:
1. «О безопасности критической информационной инфраструктуры Российской Федерации».
2. «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерацииˮ».
3. «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерацииˮ».
Как становится понятно из названий, все они связаны между собой.
Законопроект о безопасности КИИ радикальных изменений не претерпел.
Но тем не менее одним из его важных аспектов является привлечение ФОИВ в области связи, помимо ФОИВ, уполномоченного в области обеспечения безопасности КИИ (вероятно, ФСТЭК), и ФОИВ, уполномоченного в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) и обеспечения ее функционирования (вероятно, ФСБ). Это можно рассматривать как подтверждение ранее звучавшей информации о том, что задержка с принятием законопроекта была вызвана заинтересованностью Министерства связи в регулировании вопросов безопасности КИИ. С перечнем полномочий ФОИВ можно ознакомиться в самом тексте законопроекта, выложенном в свободном доступе в Интернете.
Всего в законопроекте упомянуты 12 отраслей, инфраструктура которых может быть категорирована как критическая: оборонная промышленность, здравоохранение, транспорт, связь, кредитно-финансовая сфера, энергетика, топливная, атомная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.
Есть некоторые расхождения в терминологии с уже принятыми нормативными актами, но причины этого мы узнаем только со временем. Под ними может скрываться как стремление перекроить на новый лад уже существующую терминологию, так и банальное упущение. Мы говорим лишь о законопроекте, а он может претерпеть изменения до принятия, хотя его ждут в самое ближайшее время.
Официально указанная дата вступления в силу – 1 января 2017 г. (за исключением статей 6–8, 13 и 14, которые вступят в силу на год позже – с 1 января 2018 г.).
Исходя из текста законопроекта в течение года мы должны увидеть ряд указов, постановлений и приказов, регламентирующих и детализирующих направление безопасности КИИ, – в составе постановления правительства есть отдельный перечень законов и нормативно-правовых актов, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом ФЗ.
Стоит отметить, что в указанном постановлении предлагается внести новую статью 274.1 в УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Причем ответственность по этой статье предполагается в том числе за:
- создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации;
- неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации;
- нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации.
Кроме того, путем внесения изменений в закон «О государственной тайне» предлагается отнести к сведениям, составляющим государственную тайну информацию о мерах, предпринимаемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также об оценке степени защищенности критической информационной инфраструктуры Российской Федерации.
Таким образом, есть основания полагать, что совокупность событий в виде появления новых законодательных требований и уголовной ответственности в части безопасности КИИ даст значительный толчок для совершенствования, а порой и создания систем информационной безопасности на предприятиях и в государственных учреждениях КИИ.
