Обзор изменений в законодательстве за октябрь 2017

Категорирование объектов критической информационной инфраструктуры (КИИ)

Июль текущего года ознаменовался принятием федерального закона 187-ФЗ «О безопасности КИИ РФ» (о чем мы писали в обзоре за июль 2017). В дополнение был представлен план по разработке нормативно-правовых актов во исполнение закона о безопасности КИИ.

Одним из таких актов является Постановление Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования», проект которого был недавно опубликован на официальном портале нормативных правовых актов и который вступит в силу с 1 января 2018 года.

В соответствии с проектом Постановления, субъект КИИ в течение 6 месяцев со дня вступления данного документа (т. е. до 1 июля 2018 года) должен сформировать перечень объектов КИИ, принадлежащих ему на праве собственности, аренды или на ином законном основании, с указанием сроков проведения их категорирования. При этом максимальный срок категорирования объектов КИИ не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ, подлежащих категорированию.

Согласно 187-ФЗ, устанавливаются 3 категории значимости объектов КИИ — первая, вторая, третья (самая высокая категория — первая, самая низкая — третья). В случае, если объект КИИ не соответствует ни одному показателю критериев значимости и их значениям, категория такому объекту КИИ не присваивается.

Категорирование осуществляется, исходя из ряда критериев значимости:

1. Социальной значимости.
2. Политической значимости.
3. Экономической значимости.
4. Экологической значимости.
5. Значимости объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка.

Для проведения категорирования объекта КИИ решением руководителя субъекта КИИ создается комиссия, в состав которой включаются:

1. Руководитель субъекта КИИ или уполномоченное им лицо.
2. Работники субъекта КИИ, являющиеся специалистами в области выполняемых функций или осуществляемых видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышленной) и пожарной безопасности, контролю за опасными веществами и материалами, учету опасных веществ и материалов.
3. Работники субъекта КИИ, на которых возложены функции обеспечения безопасности (информационной безопасности) объектов КИИ.
4. Работники подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну).
5. Работники структурного подразделения по гражданской обороне объекта или работники, уполномоченные на решение задач в области гражданской обороны.
6. В состав комиссии могут также включаться представители государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ними.

В ходе работы комиссия по категорированию:

1. Проводит инвентаризацию всех процессов основных видов деятельности субъекта КИИ.
2. Выявляет наличие критических процессов у субъекта КИИ.
3. Выявляет объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов, и готовит предложения в перечень объектов КИИ, подлежащих категорированию.
4. Формирует модель нарушителя.
5. Формирует модель угроз.
6. Оценивает возможные последствия в случае возникновения компьютерных инцидентов.
7. На основании результатов определения значений показателей критериев значимости присваивает категорию значимости объекту КИИ.
8. Представляет сведения о категорировании объекта КИИ в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ.

Хотелось бы отметить, что субъект КИИ не реже, чем один раз в 5 лет должен осуществлять пересмотр установленной категории значимости объекта КИИ.

Курс на информационную безопасность в рамках правительственной программы «Цифровая экономика»

Премьер-министр РФ Дмитрий Медведев утвердил программу «Цифровая экономика РФ».

Согласно Программе, определены 5 базовых направления развития цифровой экономики в РФ на период до 2024 года:

1. Нормативное регулирование.
2. Кадры и образование.
3. Формирование исследовательских компетенций и технических заделов.
4. Информационная инфраструктура.
5. Информационная безопасность.

Цель направления, касающегося информационной безопасности — достижение состояния защищенности личности, общества и государства от внутренних и внешних информационных угроз, что предполагает:

1. Обеспечение единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры РФ на всех уровнях информационного пространства.
2. Обеспечение организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики.
3. Создание условий для лидирующих позиций России в области экспорта услуг и технологий информационной безопасности, а также учет национальных интересов в международных документах по вопросам информационной безопасности.

Разработка и реализация мероприятий Программы базируется на основополагающих принципах информационной безопасности, включающих:

• использование российских технологий обеспечения целостности, конфиденциальности, аутентификации и доступности передаваемой информации и процессов ее обработки;
• преимущественное использование отечественного программного обеспечения и оборудования;
• применение технологий защиты информации с использованием российских криптографических стандартов.

В отношении информационной безопасности к 2024 году должны быть достигнуты следующие показатели:

• доля субъектов, использующих стандарты безопасного информационного взаимодействия государственных и общественных институтов, — 75 %;
• доля внутреннего сетевого трафика российского сегмента сети «Интернет», маршрутизируемая через иностранные серверы, — 5 %.

Хотелось бы отметить, что в рамках Программы может стать обязательным с 2020 года полис информационной безопасности для всех стратегических отраслей — от банковской сферы до металлургии, машиностроения, судостроения и пр. Для реализации проекта предлагается внести поправки в закон об организации страхового дела путем добавления в закон нового вида страхования. Ввиду недавно нашумевших атак WannaCry и NotPetya, ущерб от которых оценили в $1 млрд, проект является довольно перспективным и будет иметь немалый спрос на рынке.

Часть государственной тайны может стать явной

Объем сведений, относимый в России к государственной тайне, может сократиться. Из-под действия федерального закона «О государственной тайне» могут вывести информацию, находящуюся под грифом «Секретно». А лица, имеющие к ней допуск, могут лишиться надбавок «за секретность». Те же сведения, которые все-таки сочтут секретами государственной важности, будут охранять еще строже.

К сведению, на данный момент действующим законодательством предусмотрено три степени секретности информации, отнесенной к категории государственной тайны:

1. «Секретно».
2. «Совершенно секретно».
3. «Особой важности».

В будущем их может остаться всего две: самый первый гриф, «Секретно», предлагается отменить. Такая норма содержится в модельном законе о гостайне, который 13 октября приняла Парламентская ассамблея ОДКБ в Петербурге. Не исключено, что на его основе в дальнейшем будет совершенствоваться и российское законодательство.

Хотелось бы отметить, что на реализацию указанных поправок потребуется выделение значительных средств, так как необходимо будет пересмотреть все документы на предмет их отнесения к той или иной категории секретности.

Российским военнослужащим запретят размещать фото в интернете

Минобороны РФ опубликовало проект изменений в закон «О статусе военнослужащих», согласно которому контрактникам запретят выкладывать в интернет информацию, позволяющую раскрыть их местоположение и получить данные о них. Под действие поправок подпадают фото, видеоматериалы, данные геолокации и другая информация о служебной деятельности военнослужащих.

Авторы законопроекта предлагают внести изменения в закон в целях повышения уровня информационной безопасности личности, общества и государства, поскольку спецслужбы других стран и террористические организации могут использовать данную информацию для дестабилизации внутриполитической и социальной ситуации в различных регионах мира. Помимо этого, выкладывая в интернет, например, фото с геотегом, военнослужащий косвенно нарушает закон о неразглашении государственной тайны. Аналогичный запрет уже предусмотрен для сотрудников ФСБ и ФСО. На солдат, проходящих срочную службу, действие данного закона не распространяется.

В настоящее время законопроект находится на стадии общественного обсуждения.

Сертификация банковских безопасников

Аттестаты нового типа — специалистов по информационной безопасности в финансовой сфере — начнут выдавать в середине 2019 года. ЦБ уже разработал и отправил на согласование в ФСТЭК России программы для магистратуры и для повышения квалификации, а также квалификационные требования к специалистам по информационной безопасности в финансовой сфере.

Хотелось бы отметить, что наличие аттестатов нового типа у специалистов по информационной безопасности в финансовой сфере будет носить обязательный характер, однако пока это вопрос только отдаленного будущего.