Защита критической информационной инфраструктуры России
 
2018/03/16 17:25:15

Защита критической информационной инфраструктуры России

В августе 2013 г. ФСБ представило проекты законов, регулирующих защиту ИТ-инфраструктуры критически важных объектов в России. Они предусматривают «дополнительные обременения» для частных владельцев критически важных ИТ-систем, а также уголовную ответственность за нарушения именно в данной области.

Содержание

Под критической информационной инфраструктурой РФ (КИИ) подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов РФ и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.

Требуется обеспечить

Система ГосСОПКА

Основная статья: Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)

2018: Операторов КИИ обяжут информировать ФСБ о кибератаках

Как стало известно в марте 2018 года, ФСБ России планирует обязать владельцев предприятий, относящихся к критической инфраструктуре, информировать Службу о направленных на них кибератаках.[1] На Федеральном портале проектов нормативных правовых актов опубликован проект приказа "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" и приложение к нему, описывающее саму процедуру. Согласно этому документу, субъекты КИИ обязаны будут сообщать в ФСБ "обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ".

Субъекты критической инфраструктуры обязаны будут незамедлительно передавать сведения о кибератаке в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Создание такого центра было анонсировано ещё в 2015 году. В конце 2017 года был опубликован проект приказа директора ФСБ о создании этого центра, но окончательно этот документ ещё не принят. Его проектный вариант доступен на сайте www.garant.ru.[2]

НКЦКИ будет призван координировать все мероприятия по реагированию на компьютерные инциденты и непосредственно участвовать в таких мероприятиях. Через него будет осуществляться обмен информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами других стран, а также международными неправительственными организациями и экспертами по информационной безопасности.

Кроме того, центр будет осуществлять информирование субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В проекте приказа отмечается, что в тех случаях, когда компьютерный инцидент связан с функционированием объекта КИИ, осуществляющего деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации.

Приказ предписывает субъектам КИИ подготовку плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, который включает: технические характеристики и состав значимых объектов КИИ; события (условия), при наступлении которых осуществляется ввод в действие данного плана; мероприятия по реагированию и ликвидации последствий атак, время, отведённое на их реализацию, и силы субъекта КИИ, ответственные за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Минимум раз в год на мощностях субъекта КИИ будут проводиться тренировки по отработке этого плана с последующим внесением в них необходимых корректив.

Субъектам КИИ также предписывается вместе с НКЦКИ разработать и согласовать с 8 центром ФСБ России специальный регламент, описывающий условия, при которых к мероприятиям по реагированию на компьютерные инциденты будут привлекаться должностные лица ФСБ.

«
Необходимость привлекать экспертов Федеральной службы безопасности к мероприятиям по защите объектов критической инфраструктуры при кибератаках вряд ли кто-то станет оспаривать. Но соответствующие процедуры должны быть жёстко регламентированы, — считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Удивительно, что соответствующие нормативные документы не были приняты ранее, учитывая, что дискуссии об уязвимости критической инфраструктуры во всём мире ведутся уже несколько лет, и имели место реальные инциденты с многомиллионым ущербом.
»

2017

Операторы раскритиковали законопроект об инфраструктуре Рунета

"Большая четверка" операторов – "ВымпелКом", "МегаФон", МТС и Tele2 – направили обращение в адрес главы Минкомсвязи Николая Никифорова. В нем они высказали свои оценки законопроекту о защите критической инфраструктуры Рунета, пишет в октябре 2017 года "Коммерсантъ".

Компании выразили опасения, что документ может лишить их иностранных акционеров с долей более 20%. Также они сообщили, что информация о том, что через зарубежные точки обмена проходит 60% российского трафика, неверна. По их информации, реальная доля – около 1%, поскольку стоимость пропуска трафика через зарубежные маршруты высока. В итоге авторам письма не ясно, почему "точки обмена трафиком оцениваются как объекты критической инфраструктуры".

В Минкомсвязи изданию сообщили, что министерство ведет "конструктивный диалог" с операторами по данному вопросу. Однако с негативным отзывом на законопроект также готово выступить Минэкономразвития, где сообщили, что документ пока что проходит оценку регулирующего воздействия.

Минфин раскритиковал законопроект о критической инфраструктуре Рунета

Минфин направил отрицательный отзыв на законопроект Минкомсвязи, который предполагает меры по обеспечению безопасности критической инфраструктуры российского сегмента интернета в случае внешнего воздействия. Как пишет РБК, основной причиной отказа стало отсутствие точной информации об объемах и источниках финансирования.

"Представленное финансово-экономическое обоснование не содержит сведений об объеме средств за регистрацию [доменов] и их части, планируемой на ГИС "Интернет", что не позволяет в полной мере оценить расходы на ее создание и поддержание и дать оценку финансовых последствий принятия законопроекта для бюджетов бюджетной системы России", - говорится в тексте отзыва.

По данным издания, в Минфине предложили доработать законопроект, представив финансово-экономическое обоснование. По оценкам наблюдателей, затраты на реализацию инициативы Минкомсвязи могут составить порядка 1,5 млрд рублей, плюс ежегодные расходы в размере около 40 млн рублей.

Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны. Подробнее здесь.

Совет Федерации одобрил введение уголовной ответственности за атаки на критическую ИТ-инфраструктуру

19 июля стало известно о том, что Совет Федерации одобрил закон «О безопасности критической информационной инфраструктуры», разработанный Федеральной службой безопасности (ФСБ) и внесенный в Госдуму Правительством в декабре 2016 г. Документ вступит в силу с начала 2018 г.[3]

Фото: amurmedia.ru

Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов, при этом определяет права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают. Орган, на который будет возложена ответственность за обеспечение безопасности инфраструктуры, пока не назначен.

Документ также предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацоинные ресурсы России (ГосСОПКА), которая обеспечит сбор и обмен информацией о компьютерных атаках.

Одновременно с одобрением закона «О безопасности критической информационной инфраструктуры РФ», были утверждены проистекающие из него поправки в законы «О связи», «О государственной тайне», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также поправки в Уголовный кодекс РФ. Так, в главе 28 Уголовного кодекса «Преступления в сфере компьютерной информации» появится статья 274.1, которая предусматривает наказание за вред, причиненный объектам критической информационной инфраструктуры.

Госдума разрешила сажать хакеров на 10 лет за атаки на КИИ

В июле 2017 года Нижняя палата российского парламента приняла в третьем, заключительном, чтении законопроект, вводящий уголовную ответственность за компьютерные атаки на критическую информационную инфраструктуру.[4]

Законопроект предусматривает, что в Уголовный кодекс будет внесена статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ», максимальное наказание по которой составит 10 лет лишения свободы с запретом занимать определенные должности или заниматься определенной деятельностью.

Документ предстоит одобрить Совету Федерации и подписать Президенту РФ. Ожидается, что он вступит в силу с 1 января 2018 года.

Уголовное наказание за кибератаки — часть пакета законопроектов о критической информационной инфраструктуре, внесенного правительством в Госдуму в декабре 2016 года. Пакет законопроектов, одобренный нижней палатой российского парламента, в частности, вводит понятие «критической информационной инфраструктуры» и устанавливает полномочия госорганов по обеспечению ее безопасности.

2013: Указ президента Путина о создании системы защиты информационных ресурсов

В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, расположенные в стране и в дипломатических представительствах и консульских учреждениях России за рубежом.

Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения [[информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Организацию работ по созданию государственной анти-хакерской системы Путин поручил ФСБ.

Смотрите также





Примечания