Rambler's Top100
Все новости Новости отрасли
Николай НОСОВ 13 июня 2018

Закон о КИИ: прокуратура посылает запросы

Правоохранительные органы стали интересоваться выполнением закона о безопасности критической информационной инфраструктуры.  Об этом сообщили участники форума по информационной безопасности в Казани ITSF 2018.

Круглый стол «Актуальные вопросы реализации требований 187-ФЗ «О безопасности объектов КИИ РФ»

Закон «О безопасности объектов КИИ РФ» начал действовать с января этого года, так что прокуратура имела полное право интересоваться ходом выполнения требований нового законодательства. В приведенном на круглом столе «Актуальные вопросы реализации требований 187-ФЗ «О безопасности объектов КИИ РФ» и подзаконных актов» примере прокуратура обратилась с запросом в одно из государственных предприятий Татарстана, обладающего критической информационной инфраструктурой. В ответ было послано письмо, в котором указывалось, что создан комиссия по категорированию и проводится анализ данных по категорированию. То есть идет первый этап работ по выполнению нового законодательства.

Процесс идет

Закон действует, выпускаются постановления Правительства, эксперты на конференциях по информационной безопасности обсуждают сценарии выполнения требований регуляторов. Активно в работу включился ФСТЭК. По словам заместителя директора ФСТЭК России Виталия Лютикова будет «как минимум 18 подзаконных нормативных актов». Часть из них уже появилась.

Нормативные правовые акты Правительства РФ в области безопасности КИИ

Но непонятных моментов еще много. В проекте постановления ФСТЭК на работы по составлению перечня объектов КИИ, подлежащих категорированию, отводилось полгода, но в итоговом документе срок не указан. Выступивший на  ITSF 2018 заместитель руководителя Управления ФСТЭК России по Приволжскому федеральному округу  Владимир Хачинян сказал, что субъекты КИИ должны провести эту работу до конца 2018 года. Но хотелось бы не слов представителей регулятора, которые к делу не подошьешь, а официального документа.  Во всяком случае, на его отсутствие могут ссылаться компании, не уложившиеся в озвученный срок.

Малые и средние компании в основном занимают выжидательную позицию. Проведение работ по 187-ФЗ требует привлечения значительных ресурсов и многие используют подход «подожди выполнять – отменят».  В случае небольших организаций типа ломбардов, формально подходящих под действие закона «о безопасности КИИ», этот подход может и сработать. Банки традиционно ждут разъясняющего документа из ЦБ.   

Крупные компании уже приступили к выполнению закона «о безопасности КИИ», создали комиссии, приступили к составлению перечня объектов КИИ, подлежащих категорированию, и столкнулись с первой проблемой – необходимостью проведения категорирования множества объектов расположенных в территориально-распределенных филиалах. Помощь уже предлагают коммерческие компании. Например «ICL Системные технологии»,  представившая на ITSF 2018 систему автоматизирующую процессы категорирования информационных систем и выпуска необходимой документации.

Нормативные правовые акты ФСТЭК РФ в области безопасности КИИ

Аутсорсинг КИИ

Не всегда понятно, кто относится к субъектам КИИ, если информационная структура предоставляется по сервисной модели. И кто будет отвечать по новой статье уголовного кодекса «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» (Статья 274.1), которая предусматривает наказание до 10 лет лишения свободы.

Представитель компании «Ростелеком», отвечая на наш вопрос на пресс-конференции на PHDays 8, заявил, что ответственность по закону 187-ФЗ  несет клиент – субъект КИИ, а сервисный провайдер отвечает только за то, что прописано в договоре с клиентом. Организация отвечает за выбор аутсорсера, может прописать в договоре обязательность соответствия 187-ФЗ и прописать регламент проверок выполнения требований. То есть если российская организация попала в список 12 отраслей, относящих ее к субъекту КИИ, то она и отвечает, даже если пользуется КИИ по сервисной модели. А сервисный провайдер может и не знать, для каких целей используется его информационная инфраструктура.

Другая точка зрения была озвучена на круглом столе ITSF 2018 в Казани представителем нефтеобрабатывающей отрасли, где широко распространена практика выделения непрофильных подразделений в инсорсинговые компании с самостоятельным юридическим лицом. На баланс такой компании переводится вся вычислительная инфраструктура, а нефтяная компания не имеет своих объектов КИИ и, по мнению представителя нефтяников, ей ничего делать по 187-ФЗ  не надо.

Юридически такая позиция понятна. В соответствии со ст. 2 № 187-ФЗ к субъектам критической инфраструктуры относятся российские юридические лица, «которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы …», а в случае передачи КИИ на баланс инсорсинговой компании, нефтяная компания под определение субъекта КИИ не подходит.

Субъекты КИИ

Можно пойти таким путем, но как отметил на конференции в Казани независимый эксперт Алексей Лукацкий, в случае выставленных претензий предстоит непростой судебный процесс с регулятором, а как показывает практика, суды чаще прислушиваются к его мнению.  Так что нужно учитывать такие риски.

Отвечая на конференции Tadviser Summit на наш вопрос об уголовной ответственности по закону ФЗ-187 в случае получения критической информационной инфраструктуры по сервисной модели в «Ростелекоме», директор по информационным технологиям РТК-ЦОД  Вадим Прескурин сказал:  “Посадят всех. Если заказчик говорит, что его критическая информационная система размещена в нашей инфраструктуре, то мы считаем свою инфраструктуру критической и «садимся» вместе».

Кнут и пряник

По большому счету за проблемы с КИИ привлечь к уголовной ответственности могли и раньше по статье 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Но по ст. 274 статье объектом преступления была только информация, а по ст. 274.1 – еще и инфраструктура.

До десяти лет лишения свободы увеличился срок максимального наказания, расследовать нарушение правил эксплуатации КИИ будет не МВД, а следственное управление ФСБ России (либо следователи органа, выявившего преступление).  Мера пресечения на период следствия – не подписка о невыезде, а помещение под арест в СИЗО. Да и срок давности преступления увеличился с двух до 6-10 лет.

Этапы категорирования объектов КИИ

В Уголовном кодексе ничего не говорится про категорирование КИИ. Так что статью можно применить к любому субъекту КИИ, даже если он не провел категорирования объектов.  Скорее всего, достаточно будет экспертного заключения ФСБ, что поврежденная информационная инфраструктура организации функционирует в сферах деятельности из 187-ФЗ. Выполнение компанией требований 249 приказа ФСТЭК по обеспечению безопасности КИИ упрощает работу ФСБ – легче доказать нарушение правил эксплуатации, когда на предприятии эти правила есть.

Многое будет определять судебная практика. Новое законодательство можно трактовать по-разному. Предположим, все КИИ организации из 12 перечисленных в 187-ФЗ  отраслей переданы на аутсорсинг, но у нее остались компьютеры, через которые можно удаленно подключаться к КИИ. Входят ли они в состав критической информационной системы?  Если да, то регулятор вправе считать ее субъектом КИИ, несмотря на то, что непосредственно инфраструктурой она не владеет.

Впрочем, как неоднократно подчеркивали представители ФСТЭК – задача регулятора не наказать компании за невыполнение требований, а организовать работы по обеспечению безопасности критической информационной инфраструктуры. В России традиционно полезные инициативы приходят сверху. Появление четыре года назад стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) и проводимые регулятором проверки заставили руководство банков принять меры по организации информационной безопасности, что дало свои плоды. Российские банки не пострадали от нашумевших в прошлом году атак вирусов-шифровальщиков, а их системы информационной безопасности выгодно отличаются в лучшую сторону от аналогичных систем других гражданских организаций.

Киберугрозы вполне реальны. В обеспечении безопасности КИИ заинтересованы прежде всего сами предприятия. А задача регулятора и экспертного сообщества – помочь в организации такой защиты.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.