Автор: Николай Домуховский, директор Департамента системной интеграции УЦСБ |
В статье рассматриваются редакция законопроекта о безопасности КИИ, принятая в третьем чтении, сопутствующие законопроекты и планы по разработке подзаконных актов, которые определят конкретные мероприятия по реализации будущего закона.
Введение
Законопроект «О безопасности критической информационной инфраструктуры Российской Федерации» прошёл очень долгий путь. Первая публикация проекта нормативно-правового акта состоялась ещё в начале 2013 г. Ожидалось, что уже к концу года или в первой половине следующего, 2014, законопроект будет принят. Ожидания не оправдались — законопроект очень долго не вносился в Госдуму, пока в конце 2016 года тема безопасности объектов критической информационной инфраструктуры (КИИ), да и информационной безопасности в целом, не стала более актуальной.
Это позволяет предположить, что в ближайшее время законопроект станет полноценным законом в текущей редакции.
Конец 2016 года ознаменовался тем, что была утверждена новая Доктрина информационной безопасности, а следом за ней принят в первом чтении законопроект о безопасности КИИ. 7 июля 2017 г. законопроект был принят во втором чтении, 12 июля — в третьем чтении, а 19 июля — Советом федерации (где также получил предварительное одобрение от профильных комитетов). Это позволяет предположить, что в ближайшее время законопроект станет полноценным федеральным законом, сохранив свою текущую редакцию.
Объекты регулирования законопроектом о безопасности КИИ
Начать рассмотрение законопроекта логично с основного объекта регулирования законопроекта о безопасности КИИ — объекта критической информационной инфраструктуры. В соответствии со статьей 2 законопроекта, под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. В той же статье приводится определение субъекта КИИ, где раскрывается более полно, что информационными системами, информационно телекоммуникационными сетями и автоматизированными системами управления субъектов КИИ являются системы, функционирующие в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.
Стоит отметить, что за время рассмотрения законопроекта в Госдуме перечень потенциальных сфер объектов КИИ видоизменился: были исключены информационные системы государственных органов, уточнен «непромышленный» блок за счет добавления банков в перечень сфер финансового рынка (в предыдущей редакции фигурировала финансово-кредитная сфера в целом, здесь же явно выделены банки как потенциальные субъекты КИИ и Центральный банк как один из регуляторов). Кроме того, в сферу регулирования законопроекта попадают и сети электросвязи, которые обеспечивают взаимодействие объектов КИИ между собой (сами сети электросвязи при этом не являются объектом КИИ, но являются составной частью КИИ).
Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты КИИ, которым была присвоена одна из категорий значимости в результате процесса категорирования, о котором ниже.
Сам текст законопроекта не содержит четких указаний, что именно считать объектом КИИ, следовательно, придётся ждать разработки соответствующих подзаконных актов. Скорее всего, система критериев будет представлена в документе, определяющем порядок категорирования объектов КИИ.
Субъекты законопроекта о безопасности КИИ
Основным субъектами законопроекта о безопасности КИИ являются сами субъекты КИИ, к которым, в соответствии со статьей 2 законопроекта, относятся: владельцы объекта КИИ (государственные и частные структуры), а также лица или организации, обеспечивающие взаимодействие объектов КИИ между собой (в предыдущей редакции законопроекта вместо этой обтекаемой конструкции было явное указание на операторов связи).
Кроме того, по результатам категорирования объектов КИИ субъект КИИ представляет в федеральный орган исполнительной власти (ФОИВ) сведения, в том числе, о лице, эксплуатирующем значимый объект КИИ (по сути — об операторе). Больше нигде в тексте законопроекта данная категория субъекта не упоминается, но внесение такой информации в реестр позволяет предположить, что к этой категории также могут предъявляться определенные требования в подзаконных актах. В предыдущей редакции в реестр вносились также сведения о разработчике (проектировщике) объекта КИИ, но в финальном тексте законопроекта они уже не фигурируют (что не исключает возможность их появления в подзаконных актах, устанавливающих форму реестра значимых объектов КИИ).
Отдельно стоит отметить, что в финальной редакции законопроекта не нашлось места таким субъектам, как «организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации». Ранее указанные организации могли привлекаться субъектом КИИ для проведения категорирования объекта или для реализации мероприятий по обеспечению безопасности объекта КИИ. Наиболее вероятно то, что на момент принятия закона отсутствовала готовность сформулировать точные требования к организациям, которые будут участвовать в процессе обеспечения безопасности объектов КИИ. Например, в редакции 2013 года фигурировали организации, прошедшие аккредитацию во ФСТЭК или ФСБ, которая позволяла им осуществлять деятельность по оценке защищенности объектов КИИ, а обязательным условием аккредитации было наличие лицензии на работу со сведениями, составляющими государственную тайну. В последних же редакциях уже не было ни упоминаний о аккредитации, ни требований наличия лицензии на работу с государственной тайной.
Со стороны государства в процессе обеспечения безопасности КИИ фигурируют:
- президент РФ, который определяет общее направление государственной политики в области безопасности КИИ, назначает ФОИВ, уполномоченный в области обеспечения безопасности КИИ; ФОИВ, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА); порядок создания и задачи ГосСОПКА;
- правительство РФ, которое определяет критерии и порядок категорирования объектов КИИ, порядок осуществления государственного контроля за безопасностью КИИ и порядок подготовки и использования сетей электросвязи для обеспечения функционирования КИИ;
- ФОИВ, уполномоченный в области обеспечения безопасности КИИ, который отвечает за ведение реестра значимых объектов КИИ, за формирование требований по обеспечению безопасности значимых объектов КИИ и за контроль в области обеспечения безопасности объектов КИИ;
- ФОИВ, уполномоченный в области обеспечения функционирования ГосСОПКА, который обеспечивает создание ГосСОПКА, в том числе, подключение к системе объектов КИИ, реализацию всего жизненного цикла компьютерных инцидентов ГосСОПКА (порядок обнаружения и уведомления, ликвидация последствий, обмен информацией между субъектами КИИ), а также контроль в области обеспечения безопасности объектов КИИ — ФСБ (согласно Указу Президента РФ «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» именно на ФСБ возложена задача создания ГосСОПКА, а также обеспечения её функционирования);
- ФОИВ, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, который совместно с предыдущим ФОИВ определяет технические условия по установке и порядок эксплуатации средств ГосСОПКА в сетях электросвязи — Минкомсвязь.
ФОИВ, уполномоченный в области обеспечения безопасности КИИ, формально в настоящее время не определен. Официальное его назначение должно произойти через полгода после принятия закона о безопасности КИИ, когда выйдет выйти соответствующий Указ Президента РФ. Однако с высокой степенью уверенности можно сказать, что этим ФОИВ будет ФСТЭК. В соответствии с Указом Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» одной из задач ФСТЭК является «обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры», в частности ведение реестра ключевых систем информационной инфраструктуры (КСИИ), так что реестр значимых объектов КИИ может быть некоторой реинкарнацией реестра КСИИ.
Мероприятия по обеспечению безопасности объектов КИИ
Принятый законопроект и будущие подзаконные акты определяют ряд мероприятий, которые необходимо будет реализовывать субъектам законопроекта, в том числе и субъектам КИИ. Наиболее важные мероприятия для субъектов КИИ:
- категорирование объектов КИИ;
- интеграция с ГосСОПКА;
- создание системы обеспечения безопасности объектов КИИ.
Категорирование объектов КИИ
Процесс категорирования претерпел наибольшие изменения по ходу разработки законопроекта и его рассмотрения в Госдуме. По результатам рассмотрения законопроекта в первом чтении многие профильные комитеты сформулировали предложение возложить обязанности по проведению категорирования на ФОИВ, уполномоченный в области обеспечения безопасности КИИ. Такой подход к категорированию позволил бы, по мнению авторов предложения, избежать ситуации умышленного занижения категории объекта КИИ субъектом КИИ (который проводит категорирование), чтобы уйти от государственного контроля и обязательных к реализации требований по обеспечению безопасности.
Предложение в указанном виде не было включено в законопроект, но при этом во втором и третьем чтениях появились два новых момента, связанных с категорированием:
- Даже, если в результате проведения категорирования субъект КИИ установил отсутствие категории у объекта КИИ, которым он владеет, субъект КИИ все равно обязан представить результаты категорирования в ФОИВ, уполномоченный в области обеспечения безопасности КИИ (статья 7, пункт 5). Указанный ФОИВ проверяет представленные материалы и в результате согласовывает присвоение (неприсвоение) категории или направляет замечания, которые должен учесть субъект КИИ.
- Даже если субъект КИИ посчитал, что он не является субъектом КИИ и не должен проводить категорирование, ФОИВ, уполномоченный в области обеспечения безопасности КИИ, обладает возможностью направить субъекту КИИ требование о необходимости соблюдения положений статьи 7 законопроекта (статья 7, пункт 11).
Приведенные выше положения законопроекта, по сути, дают возможность ФОИВ, уполномоченному в области обеспечения безопасности КИИ, активно участвовать в процессе категорирования, но при этом не обязывают полностью брать задачу категорирования на себя (что явно сильно увеличило бы сроки реализации закона, учитывая потенциальное количество объектов КИИ в России).
Сведения о категорировании объектов КИИ сводятся в единый реестр значимых объектов КИИ, которому в законопроекте посвящена отдельная статья (статья 8). В частности, приводится перечень информации, которая включается в реестр (подзаконные акты могут расширить этот перечень):
- наименование значимого объекта КИИ;
- наименование субъекта КИИ;
- сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
- сведения о лице, эксплуатирующем значимый объект КИИ;
- присвоенная категория значимости;
- сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
- меры, применяемые для обеспечения безопасности значимого объекта КИИ.
Последний пункт позволяет предположить, что реестр значимых объектов КИИ (по аналогии с реестром КСИИ) будет отнесен к сведениям, составляющим государственную тайну, так как законопроект-спутник «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» предлагает расширить перечень сведений, составляющих гостайну, информацией «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак».
Создание системы безопасности объектов КИИ
Мероприятия по обеспечению безопасности объектов КИИ определяются по результатам категорирования. Субъект КИИ, владеющий объектом КИИ, не отнесенным ни к одной из категорий значимости, в обязательном порядке должен обеспечить только информирование ФСБ (или его соответствующего подразделения) и ЦБ РФ (если он является регулирующим органом для субъекта) о компьютерных инцидентах и содействие представителям ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак и инцидентов, а также условий их возникновения.
Остальные мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.
Одним из способов реализации требований к субъекту КИИ является размещение на территории объекта КИИ технических средств ГосСОПКА, но это размещение осуществляется за счет субъекта КИИ, причём если субъект решил разместить оборудование ГосСОПКА на территории объекта КИИ, он автоматически взял на себя обязательства по обеспечению его бесперебойной работы. Остальные мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.
Субъект КИИ, которому принадлежит значимый объект КИИ, помимо вышеперечисленного обязан соблюдать требования по обеспечению безопасности значимого объекта КИИ, установленные ФОИВ, уполномоченным в области обеспечения безопасности КИИ; выполнять предписания по результатам проверок, обеспечивать реакцию на компьютерные инциденты в порядке, определяемом ФСБ, и беспрепятственный доступ на территорию объекта проверяющим органам.
Стоит отметить, что по результатам рассмотрения законопроекта в первом чтении было сформулировано замечание, что обеспечение беспрепятственного доступа на территорию объекта КИИ может идти в разрез с действующими нормами относительно промышленной безопасности и охране труда. Однако в финальной версии законопроекта формулировка данного пункта не изменилась.
Требования к системе обеспечения безопасности объектов КИИ на уровне законопроекта устанавливаются только для значимых объектов КИИ (статья 10). В соответствии с текстом законопроекта, основными задачами системы безопасности являются:
- предотвращение неправомерного доступа к информации, обрабатываемой объектом КИИ, уничтожения, модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
- недопущение воздействия на технические средства обработки информации, которое может нарушить функционирование объекта КИИ;
- восстановление функционирования объекта КИИ;
- непрерывное взаимодействие с ГосСОПКА.
По сравнению с редакцией законопроекта, представленной в первом чтении, требования к системе безопасности стали еще более общими, что позволит полнее учесть специфику обеспечения безопасности различных объектов КИИ в подзаконных актах.
Правовое поле законопроекта о безопасности КИИ
Законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками.
Как уже упоминалось выше, законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
Первый законопроект-спутник вносит изменения в три федеральных закона: в закон «О государственной тайне», в закон «О связи» и в закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
В законе «О государственной тайне» расширен перечень сведений, составляющих гостайну: теперь к ним относятся сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак». Приведенная в законопроекте формулировка допускает очень широкую трактовку — по сути, даже инструкция администратора безопасности какого-либо средства защиты информации объекта КИИ (не обязательно значимого объекта КИИ!) может быть отнесена к информации, составляющей гостайну. Остается надеяться, что речь все же идет о консолидированной информации, содержащейся в реестре значимых объектов КИИ и ГосСОПКА.
В законе «О связи» отражён тот факт, что подготовка и использование сетей электросвязи для нужд функционирования значимых объектов КИИ будет регулироваться отдельным Постановлением Правительства РФ. Также добавлена обязанность оператора связи обеспечивать утвержденный порядок установки и эксплуатации средств ГосСОПКА, если они устанавливаются в сети электросвязи оператора связи.
В законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» отражено, что контроль в области обеспечения безопасности значимых объектов КИИ выводится из-под действия этого федерального закона.
Второй законопроект-спутник вносит изменения в УК РФ и УПК РФ с целью определения ответственности и порядка расследования нарушений, связанных с объектами КИИ.
В УК РФ добавляется новая статья по «компьютерным» преступлениям — 274.1, которая повторяет статьи 272, 273 и 274, но в отношении объектов КИИ. Соответствующие правонарушения в отношении объектов КИИ караются строже, чем в отношении традиционных компьютерных систем: наиболее тяжкие преступления наказываются лишением свободы сроком до 10 лет. Отдельно необходимо остановиться на пункте 3 статьи 274.1, аналогичном статье 274 — «нарушение правил эксплуатации…». Правонарушение по этому пункту может быть адресовано субъекту КИИ, если он не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, что повлекло причинение вреда объекту КИИ. Такому нерадивому субъекту КИИ может грозить лишение свободы сроком до 6 лет.
Также стоит отметить, что среди отклоненных поправок к законопроекту была более мягкая редакция названного пункта — в ней речь шла про неоднократное умышленное нарушение, а выявленное впервые нарушение правил эксплуатации предлагалось считать административным проступком, а не уголовным.
Следствие по уголовным делам по этим статьям передаётся в ведение ФСБ.
Изменение УПК РФ определяет подследственность уголовных дел по статьям 272, 273, 274 и 274.1. Теперь следствие по уголовным делам, попадающим под перечисленные статьи, передаётся в ведение ФСБ.
Планы по разработке подзаконных актов
Вместе с текстами законопроектов был также представлен план по разработке нормативно-правовых актов во исполнение закона о безопасности КИИ. В таблице ниже приведены основные нормативно-правовые акты с относительным (от даты принятия закона) сроком их разработки.
Срок |
Документ |
Разработчик |
+6 месяцев |
Проект указа Президента РФ «О федеральном органе исполнительной власти, уполномоченном в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» |
ФСТЭК ФСБ |
+6 месяцев |
Проект постановления Правительства РФ «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации» |
Минкомсвязь ФСБ |
+9 месяцев |
Проект приказа ФСБ России «Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на значимых объектах критической информационной инфраструктуры Российской Федерации» Проект приказа ФСБ России «Об утверждении перечня сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядка их предоставления» Проект приказа ФСБ России «Об утверждении порядка доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» Проект приказа ФСБ России «Об утверждении требований к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» Проект приказа ФСБ России «Об утверждении технических условий установки и эксплуатации технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» Проект приказа ФСБ России «Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам» |
ФСБ ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
+12 месяцев |
Проект постановления Правительства РФ «Об утверждении показателей критериев категорирования объектов критической информационной инфраструктуры Российской Федерации, значений таких показателей, а также порядка категорирования объектов критической информационной инфраструктуры Российской Федерации» |
ФСБ ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
+12 месяцев |
Проект постановления Правительства РФ «Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской федерации» |
ФСБ ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
+12 месяцев |
Проект приказа «Об утверждении формы предоставления сведений о проведенном категорировании» Проект приказа «Об утверждении формы реестра объектов критической информационной инфраструктуры Российской Федерации и правил его ведения» |
ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
+12 месяцев |
Проект приказа «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» |
ФСБ ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
+12 месяцев |
Проект приказа Минкомсвязи России «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» |
Минкомсвязь ФОИВ, уполномоченный в области обеспечения безопасности КИИ |
Исходя из этого плана, большинство документов, необходимых для реализации закона (порядок категорирования, требования по обеспечению безопасности), появятся только через год после его принятия (сам закон вступает в силу с 1 января 2018 г.). Однако эти сроки могут сильно сократиться, если назначение ФСТЭК в качестве ФОИВ, уполномоченного в области обеспечения безопасности КИИ, произойдет не в течение полугода с даты принятия закона, а раньше.
ФСТЭК, в свою очередь, вряд ли будет с нуля разрабатывать порядок категорирования и требования по обеспечению безопасности, так как в активе организации уже есть ряд действующих документов, которые затрагивают эти вопросы (в первую очередь речь идёт о Приказе ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»).
Заключение
Вступление закона в силу запланировано на 1 января 2018 года.
Сейчас законопроект находится на финишной прямой — пройдено рассмотрение в Совете федерации, закон направлен на подпись президенту. Вступление закон в силу запланировано на 1 января 2018 г., что оставляет совсем немного времени субъектам КИИ для реализации мероприятия по категорированию и обеспечению безопасности объектов КИИ.
Несмотря на то, что конкретные требования могут несколько запоздать, субъектам КИИ уже сегодня есть чем заняться: необходимо провести инвентаризацию (аудит) своих информационных систем и средств обеспечения их безопасности, чтобы максимально быстро провести категорирование, а также распланировать силы и средства на создание системы обеспечения безопасности объектов КИИ (что может занять месяцы).