На сайте Госдумы опубликовано сразу 3 новых законопроекта:
- Законопроект № 47571-7 О безопасности критической информационной инфраструктуры Российской Федерации
- Законопроект № 47579-7 О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»
- Законопроект № 47591-7 О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»
Это части одной истории, поэтому для простоты все 3 законопроекта будем называть:
Законопроект О безопасности критической информационной инфраструктуры
Кто занимался данной тематикой, знают, что до настоящего момента тематика безопасности критической информационной инфраструктуры (далее — КИИ) регулируется системой ведомственных документов. По данной тематике шли и идут проекты.
Учитывая, что в том или ином виде законопроект о безопасности КИИ превратится в закон в самое ближайшее время, то смысла вспоминать былое уже нет. Ведь вся существующая система документации, согласно законопроекту должна быть пересмотрена.
Одних только приложений к законопроекту 17 штук.
Официально законопроект вносится Правительством РФ. Данный факт плюс общее содержание проекта приводят к мысли о главенствующей роли ФСБ в подготовке и продвижении данного документа. Об этом чуть позже.
Итак, законопроект вводит целый ряд важный понятий, такие как:
- государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
- компьютерная атака
- компьютерный инцидент
- критическая информационная инфраструктура Российской Федерации
- силы обнаружения, предупреждения и ликвидации последствий компьютерных атак
- средства обнаружения, предупреждения и ликвидации последствий компьютерных атак
Искреннее недоумение у меня вызывает понятие средства обнаружения, предупреждения и ликвидации последствий компьютерных атак — российские технологии, а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Т.е. средства обнаружения, предупреждения и ликвидации последствий компьютерных атак — это российские технологии? Вот как так можно писать? Ну да ладно, не будем придираться, надеюсь поправят, тем более что дальнейший текст проекта логичен.
Законопроект вводит две сущности:
- Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ (назовем для сокращения ФО1);
- Федеральный орган исполнительной власти, уполномоченный в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и обеспечения ее функционирования (далее ФО2);
Пояснений пока нет, но очевидно роль ФО1 достанется ФСТЭК, ФО2 — ФСБ. Это вытекает из описания их деятельности.
Так вот, президент РФ определяет данные органы исполнительной власти и основные направления в области обеспечения безопасности КИИ. На этом фоне появление новой Доктрины информационной безопасности выглядит еще более логичным в общем потоке новостей.
ФО1, проводит проверку правильности категорирования, устанавливает требования к безопасности по каждой категории НО! за исключением объектов связи и информационно-телекоммуникационных сетей, для этого в проекте закона есть Федеральный орган исполнительной власти в области связи (видимо речь о Минкомсвязи).
У ФО2 задачи поинтереснее:
- Координирует деятельность субъектов КИИ
- Организует и проводит проверку защищенности КИИ
- Утверждает порядок реагирования на инциденты
- Утверждает порядок обмена информацией
- Работает с объектами связи
- Устанавливает требования к техническим средствам
Далее объекты КИИ нужно категорировать, эту работу субъект КИИ проводит либо сам, либо привлекает лицензиата ФСТЭК по ТЗКИ. Результаты категорирования отправляются в ФО1, который ведет реестр.
В самом проекте закона есть описание системы безопасности значимого объекта КИИ. Такая система безопасности должна включать в себя:
- Предотвращение неправомерного доступа, уничтожения, модифицирования и т.п информации
- Недопущение воздействия, которое может привести к нарушению или прекращению функционирования объекта КИИ
- Обнаружение и предупреждение компьютерных атак
- Восстановление работоспособности
- Сбор, анализ и хранение сведений о проведенных компьютерных атаках
- !!! Непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Координацию деятельности по компьютерным атакам осуществляет Национальный координационный центр по компьютерным инцидентам (читай ФСБ).
Оценку состояния защищенности КИИ осуществляет ФО2.
Теперь по государственному контролю обеспечения безопасности КИИ. Это статья 13. Проверки проводит ФО1. Описаны основания для плановых и внеплановых проверок. Плановые проверки проходят не чаще одного раза в 3 года. Внеплановые проверки проводятся в случаях:
- неисполнения предписания
- возникновения компьютерного инцидента
- по поручению Правительства, Президента или по требованию прокурора.
Закон вступает в силу с 1 января 2017. Статьи по категорированию, правам и обязанностям субъектов КИИ, по системе безопасности, а также проверкам и ответственности с 1 января 2018 года.
Теперь по ответственности. В УК РФ предлагается внести новую статью 271.1 Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации. Максимальный срок по статье до 10 лет. В приложенном отзыве Верховного суда по внесению статьи 271.1 в УК РФ есть такая ОЧЕНЬ правильная ремарка:
Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда.
Но это так, читателям на подумать.
Законопроект с высокой долей вероятности примут до конца года. Законопроект серьезный и факт его принятия повлечет серьезные последствия.
Другие записи
© Царев Евгений for Царев Евгений, 2016. | Permalink | No comment
Feed enhanced by Better Feed from Ozh