Безопасность критической информационной инфраструктуры

Основные регуляторы

Основной регулятор – Федеральная служба по техническому и экспортному контролю (ФСТЭК России). В связи с введением законодательства полномочия ФСТЭК были расширены. Эта служба контролирует выполнение законодательства в части защиты КИИ.

Минкомсвязь России – регулятор в области связи. Объекты электросвязи также относятся к объектам КИИ.

Центральный Банк РФ регулирует финансовую и банковскую сферу.

В части подключения к ГосСОПКА регулятором является ФСБ России. Предварительное следствие по правонарушениям в области защиты КИИ ведут следователи ФСБ (соответствующие изменения внесены в уголовно-процессуальный кодекс). Все законы, касающиеся безопасности КИИ, были приняты вместе с ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), поправками к ФЗ-194 (изменения в Уголовный кодекс и Уголовно-процессуальный кодекс), ФЗ-193 (законодательство по государственной тайне).

Ответственность

Максимальный срок наказания – до 10 лет лишения свободы в случае инцидента с тяжкими последствиями. До 6 лет – в случае инцидента, следствием которого явилось нарушение правил эксплуатации. Ответственность возлагается как на руководителя, так и на лиц, которые отвечают за безопасность, функционирование объекта, автоматизированных систем управления.

Нормативная база

Был принят целый пакет нормативных актов. Постановление Правительства № 127 (Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений) определяет порядок категорирования КИИ и перечня показателей критериев значимости (их 5). Каждому критерию присваиваются категории значимости (от 1 до 3). В постановлении были также утверждены сферы нарушений.

Способы определения субъектности

Существует 2 способа определения субъектности:

1) Оценка сферы деятельности организации. Если сфера деятельности попадает в 13 сфер деятельности субъекта согласно ФЗ-187 (О безопасности критической информационной инфраструктуры Российской Федерации), то мы оцениваем только те информационные системы, которые используются организацией для осуществления этих видов деятельности.

2) Определение, какие информационные системы и АСУ (автоматизированные системы управления) могут осуществлять свои функции в указанных сферах деятельности. Только тогда принимается обоснованное решение о том, попадает организация под действие закона или нет.

Как происходит процесс категорирования объектов КИИ?

В процессе категорирования проверяется важность и значимость объектов. В результате компьютерной атаки на объекты возникают последствия, и масштаб этих последствий оценивается согласно критериям, описанным в Постановлении Правительства № 127. Последствия могут быть в социальной сфере, экологической; они могут влиять на гособоронзаказ.

После категорирования полученные сведения должны быть направлены во ФСТЭК. И ФСТЭК либо соглашается с результатами категорирования, которые произвела организация, и включает эти объекты в перечень объектов КИИ, либо мотивированно отказывает и направляет на доработку.

Сроки

В Постановлении Правительства № 127 определены сроки, в рамках которых должен быть направлен отказ о включении организаций в перечень объектов КИИ, а также сроки повторного направления сведений. Здесь наступает административная ответственность о нарушении сроков и невыполнении предписаний регулятора (штраф до 20 тыс. рублей). Раз в месяц регулятор может такой штраф предъявить до прохождения категорирования.

Первый формальный срок, который определен законодательством, – 1 год с момента определения субъектом перечня, его утверждения и направления во ФСТЭК до момента категорирования. 3 года до начала плановых проверок.

24 апреля 2018 года было принято решение коллегии ФСТЭК о том, что до 1 августа 2018 года необходимо направить перечень объектов и до 1 января 2019 года провести категорирование.

Все ли успели к 1 августа?

Решение коллегии доводилось до организации не напрямую, а через регуляторов «на местах». Иногда информация о сроках попадала в министерство и, оно по нисходящей спускало это в регионы. В регионах эти сроки корректировались. В основном все придерживаются сроков. Но не все органы власти доводят информацию своевременно.

Кто попадает в сферу действия закона?

Вся критическая инфраструктура – это совокупность объектов и сетей электросвязи, которые обеспечивают их взаимодействие.

Субъекты КИИ – государственные органы, учреждения, юридические лица и индивидуальные предприниматели, которым на праве собственности/аренды либо другом законном основании принадлежат объекты, функционирующие в определенной законом сфере.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления.

Законом ФЗ-187 определены 13 сфер, в которых могут осуществлять свои функции объекты. Здесь появилось много разночтений. Но на последнем совещании представитель ФСТЭК объяснил, что не совсем корректно идти от сферы действия субъекта, которая указана в его уставе. Необходимо выявлять информационные системы, сети и автоматизированные системы управления, которые могут функционировать в указанных законом сферах. Только тогда принимать решение о том, попадает организация в сферу действия закона или нет.

Какие документы необходимо направить во ФСТЭК?

• Перечень объектов в свободной форме. В настоящее время идут обсуждения, в какой именно.
• Форма направления сведений во ФСТЭК определена указом ФСТЭК № 236. Отправляются как сведения о всех категорированных объектах, так и некатегорийных объектах. Результатом категорирования является акт категорирования объекта, утверждаемый субъектом. Этот акт хранится у субъекта до истечения срока категорирования либо вывода объекта из эксплуатации. Сроки категорирования, согласно законодательству, положено один раз в 5 лет пересматривать.
• Модель угроз и нарушителей. База для дальнейшего построения защиты.
• Создание системы защиты объектов. ФСТЭК утвердил два приказа: приказ № 235 (описывает создание системы защиты, требования к персоналу, регулярности мероприятий по безопасности) и № 239 (базовый набор мер по защите объектов КИИ).

Имеются ли сходства российского законодательства по защите КИИ с аналогичным в других странах?

Идем в ногу с США. Там также определяются критически важные отрасли. Назначаются регуляторы. Сталкиваются с такими же проблемами категорирования объектов. Разрабатываются требования по категорированию. Но все же наши подходы отличаются.

В Германии существует практика защиты объектов ядерной энергетики. Головным регулятором выступает МАгАтЭ (Международное агентство по атомной энергии). Каждая страна Евросоюза дополнительно внутри страны разрабатывает свое законодательство. Поэтому за ними трудно уследить, если ты не ведешь деятельность в этой стране.