Новый институт правового регулирования информационной безопасности, направленный на защиту критической информационной инфраструктуры (КИИ), только в начале своего развития: приняты и вступают в силу первые нормативные акты. Полагаем, после завершения формирования блока необходимых нормативно-правовых актов контролирующий орган приступит к активной реализации своих полномочий.
Закон о КИИ[1] вступил в силу 1 января 2018 г. Перечень субъектов КИИ сформулирован в Законе общо и не позволяет составить закрытый перечень обязанных лиц. Первым критерием признания лица субъектом КИИ названо наличие у него информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления или обеспечение им поддержки таких систем. Второй критерий отнесения к субъектам КИИ — деятельность в определенной отрасли экономики [2].
Для уточнения общих правил, закрепленных в Законе о КИИ, уполномоченные органы последовательно принимают нормативно-правовые акты.
Порядок ведения реестра значимых объектов КИИ [3] вступил в силу 20 февраля 2018 г. В документе фактически продублированы положения Закона о КИИ и закреплены технические вопросы ведения реестра. Примечательно, что срок внесения сведений в реестр — 30 дней с момента получения ФСТЭК России сведений.
Правилами категорирования объектов КИИ [4], которые начали действовать 21 февраля 2018 г., для субъектов КИИ установлен ряд обязанностей. Так, руководитель субъекта КИИ должен создать комиссию, которая подготовит перечень объектов КИИ и присвоит объектам категории. Эти категории зависят от тех негативных социальных, экономических или иных последствий, к которым может привести нарушение процессов, осуществляемых субъектами КИИ. Перечень объектов КИИ должен быть согласован с уполномоченным органом. После категорирования объектов КИИ сведения об этом направляются в ФСТЭК России.
Правила госконтроля обеспечения безопасности значимых объектов КИИ [5] вступили в силу 1 марта 2018 г. Плановые проверки по этим Правилам будут проводиться не ранее чем через три года с даты внесения сведений об объекте КИИ в реестр значимых объектов. До указанного срока возможны внеплановые проверки, о которых субъект будет уведомлен не менее чем за 24 часа до их начала. Внеплановую проверку можно ожидать и без предупреждения, если возникнет компьютерный инцидент [6] на значимом объекте КИИ.
Требования к созданию систем безопасности значимых объектов КИИ [7] стали применяться с 5 марта 2018 г. В соответствии с документом руководитель субъекта КИИ должен назначить лицо, обеспечивающее безопасность объектов КИИ (или лично обеспечивать безопасность), создать структурное подразделение по безопасности, обеспечить разработку правил безопасности и выполнение пользователями разработанных правил. Определены требования к программному обеспечению и программно-аппаратному комплексу. Установлен целый комплекс требований к организационно-распорядительным документам по безопасности, которые должны быть разработаны и утверждены субъектом КИИ.
Таким образом, с каждым днем появляется все больше нормативно-правовых актов, которыми регулируется информационная безопасность субъектов КИИ.
Рекомендуем оперативно реагировать на новые требования к безопасности и уже сейчас приступить к исполнению возлагаемых на бизнес обязанностей.
[1] Федеральный закон от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
[2] К таким сферам отнесены здравоохранение, наука, транспорт, связь, энергетика, банки и различные сферы финансового рынка, ТЭК, деятельность в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
[3] Приказ ФСТЭК России от 6 декабря 2017 г. № 227 “Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации”
[4] Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”
[5] Постановление Правительства РФ от 17 февраля 2018 г. № 162 “Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”
[6] В Законе о КИИ под компьютерным инцидентом понимается факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки
[7] Приказ ФСТЭК России от 21 декабря 2017 г. № 235 “Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации”