2018/03/13 13:38:35

Закон «О безопасности критической информационной инфраструктуры Российской Федерации»

.

Содержание

2018

ФСБ подготовила порядок информирования о кибератаках на объекты КИИ

Федеральная служба безопасности Российской Федерации подготовила проект приказа об утверждении порядка информирования о кибератаках на значимые объекты критической информационной инфраструктуры (КИИ). Текст проекта доступен[1] на федеральном портале проектов нормативных правовых актов[2].

«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.

Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.

Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.

Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.

Информацию о защищенности КИИ от кибератак отнесли к гостайне

Президент РФ Владимир Путин подписал в марте 2018 года указ, согласно которому информация о состоянии защищенности критической информационной инфраструктуры (КИИ) от кибератак теперь относится к государственной тайне. Соответствующий документ опубликован на портале правовой информации[3].

Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.

Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю[4].

2017: Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу 187-ФЗ - закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны.

Изменения вносятся Федеральным законом № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». В частности, глава 28 УК РФ дополняется статьей 2741, описывающей кары за «неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». [5]

Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые, транспортные, энергетические, телекоммуникационные компании, а также организации в сфере здравоохранения, науки, ТЭК, атомной энергетики и промышленности.

До 20 февраля 2019 года компании, которые попадают в сферу действия закона, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их со ФСТЭК.

При этом данный этап включает в себя создание комиссии по категорированию, определение процессов в рамках основных видов деятельности компании и выявление наиболее критичных из их числа. Следующий шаг – формирование перечня объектов КИИ и его согласование с отраслевым регулятором (например, для сферы здравоохранения таковым выступает Минздрав). После этого перечень объектов подается в виде уведомления во ФСТЭК России, а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.

К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.

Установлены суровые наказания за преступления, направленные на нарушение безопасности критической информационной инфраструктуры РФ

Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.

Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.

За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.

Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.

«
Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода, генеральный директор компании SEC Consult Services. - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне.
»

«
Закон, как и поправки к УК, сами по себе необходимы, - отметил Дмитрий Гвоздев, генеральный директор ООО «Технологии будущего», - Вопрос, однако, заключается в реальной правоприменительной практике. От нее зависит, будут ли эти законы работать в принципе.
»

Смотрите также





Примечания

  1. Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
  2. ФСБ подготовила порядок информирования о кибератаках на объекты КИИ
  3. Указ Президента Российской Федерации от 02.03.2018 № 98 "О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203"
  4. Информацию о защищенности КИИ от кибератак отнесли к гостайне
  5. Федеральный закон от 26.07.2017 № 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"