Обзор законопроекта «О безопасности критической информационной инфраструктуры»

Обзор законопроекта «О безопасности критической информационной инфраструктуры»

bezopasnost-kii-minНа сайте Госдумы опубликовано сразу 3 новых законопроекта:

Это части одной истории, поэтому для простоты все 3 законопроекта будем называть:

Законопроект О безопасности критической информационной инфраструктуры

Кто занимался данной тематикой, знают, что до настоящего момента тематика безопасности критической информационной инфраструктуры (далее — КИИ) регулируется системой ведомственных документов. По данной тематике шли и идут проекты.

Учитывая, что в том или ином виде законопроект о безопасности КИИ превратится в закон в самое ближайшее время, то смысла вспоминать былое уже нет. Ведь вся существующая система документации, согласно законопроекту должна быть пересмотрена.

Одних только приложений к законопроекту 17 штук.

Официально законопроект вносится Правительством РФ. Данный факт плюс общее содержание проекта приводят к мысли о главенствующей роли ФСБ в подготовке и продвижении данного документа. Об этом чуть позже.

Итак, законопроект вводит целый ряд важный понятий, такие как:

  • государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
  • компьютерная атака
  • компьютерный инцидент
  • критическая информационная инфраструктура Российской Федерации
  • силы обнаружения, предупреждения и ликвидации последствий компьютерных атак
  • средства обнаружения, предупреждения и ликвидации последствий компьютерных атак

Искреннее недоумение у меня вызывает понятие средства обнаружения, предупреждения и ликвидации последствий компьютерных атакроссийские технологии, а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Т.е. средства обнаружения, предупреждения и ликвидации последствий компьютерных атак — это российские технологии? Вот как так можно писать? Ну да ладно, не будем придираться, надеюсь поправят, тем более что дальнейший текст проекта логичен.

Законопроект вводит две сущности:

  • Федеральный  орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (назовем для сокращения ФО1);
  • Федеральный орган исполнительной власти, уполномоченный в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и обеспечения ее функционирования (далее ФО2);

Пояснений пока нет, но очевидно роль ФО1 достанется ФСТЭК, ФО2 — ФСБ. Это вытекает из описания их деятельности.

Так вот, президент РФ определяет данные органы исполнительной власти и основные направления в области обеспечения безопасности КИИ. На этом фоне появление новой Доктрины информационной безопасности выглядит еще более логичным в общем потоке новостей.

ФО1, проводит проверку правильности категорирования, устанавливает требования к безопасности по каждой категории НО! за исключением объектов связи и информационно-телекоммуникационных сетей, для этого в проекте закона есть Федеральный орган исполнительной власти в области связи (видимо речь о Минкомсвязи).

У ФО2 задачи поинтереснее:

  • Координирует деятельность субъектов КИИ
  • Организует и проводит проверку защищенности КИИ
  • Утверждает порядок реагирования на инциденты
  • Утверждает порядок обмена информацией
  • Работает с объектами связи
  • Устанавливает требования к техническим средствам

Далее объекты КИИ нужно категорировать, эту работу субъект КИИ проводит либо сам, либо привлекает лицензиата ФСТЭК по ТЗКИ. Результаты категорирования отправляются в ФО1, который ведет реестр.

В самом проекте закона есть описание системы безопасности значимого объекта КИИ. Такая система безопасности должна включать в себя:

  • Предотвращение неправомерного доступа, уничтожения, модифицирования и т.п информации
  • Недопущение воздействия, которое может привести к нарушению или прекращению функционирования объекта КИИ
  • Обнаружение и предупреждение компьютерных атак
  • Восстановление работоспособности
  • Сбор, анализ и хранение сведений о проведенных компьютерных атаках
  • !!! Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Координацию деятельности по компьютерным атакам осуществляет Национальный координационный центр по компьютерным инцидентам (читай ФСБ).

Оценку состояния защищенности КИИ осуществляет ФО2.

Теперь по государственному контролю обеспечения безопасности КИИ. Это статья 13. Проверки проводит ФО1. Описаны основания для плановых и внеплановых проверок. Плановые проверки проходят не чаще одного раза в 3 года. Внеплановые проверки проводятся в случаях:

  • неисполнения предписания
  • возникновения компьютерного инцидента
  • по поручению Правительства, Президента или по требованию прокурора.

Закон вступает в силу с 1 января 2017. Статьи по категорированию, правам и обязанностям субъектов КИИ, по системе безопасности, а также проверкам и ответственности с 1 января 2018 года.

Теперь по ответственности. В УК РФ предлагается внести новую статью 271.1 Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. Максимальный срок по статье до 10 лет. В приложенном отзыве Верховного суда по внесению статьи 271.1 в УК РФ есть такая ОЧЕНЬ правильная ремарка:

Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда.

Но это так, читателям на подумать.

Законопроект с высокой долей вероятности примут до конца года. Законопроект серьезный и факт его принятия повлечет серьезные последствия.

Другие записи

  • Первая спецоперация в киберпространстве против СССР была проведена еще в 1982 году?
  • Нормативная база защиты критически важных объектов (КВО)
  • Форум директоров ИБ CISO forum 2014
  • Попытки выполнить требования закона о персональных данных
  • Презентация по изменениям в правовом поле банковской ИБ
  • Форум директоров по информационной безопасности 2012

© Царев Евгений for Царев Евгений, 2016. | Permalink | No comment

Feed enhanced by Better Feed from Ozh

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации