• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Закон о КИИ: прокуратура посылает запросы

Правоохранительные органы стали интересоваться выполнением закона о безопасности критической информационной инфраструктуры.  Об этом сообщили участники форума по информационной безопасности в Казани ITSF 2018.

Закон «О безопасности объектов КИИ РФ» начал действовать с января этого года, так что прокуратура имела полное право интересоваться ходом выполнения требований нового законодательства. В приведенном на круглом столе «Актуальные вопросы реализации требований 187-ФЗ «О безопасности объектов КИИ РФ» и подзаконных актов» примере прокуратура обратилась с запросом в одно из государственных предприятий Татарстана, обладающего критической информационной инфраструктурой. В ответ было послано письмо, в котором указывалось, что создан комиссия по категорированию и проводится анализ данных по категорированию. То есть идет первый этап работ по выполнению нового законодательства.

Процесс идет

Закон действует, выпускаются постановления Правительства, эксперты на конференциях по информационной безопасности обсуждают сценарии выполнения требований регуляторов. Активно в работу включился ФСТЭК. По словам заместителя директора ФСТЭК России Виталия Лютикова будет «как минимум 18 подзаконных нормативных актов». Часть из них уже появилась.

Но непонятных моментов еще много. В проекте постановления ФСТЭК на работы по составлению перечня объектов КИИ, подлежащих категорированию, отводилось полгода, но в итоговом документе срок не указан. Выступивший на  ITSF 2018 заместитель руководителя Управления ФСТЭК России по Приволжскому федеральному округу  Владимир Хачинян сказал, что субъекты КИИ должны провести эту работу до конца 2018 года. Но хотелось бы не слов представителей регулятора, которые к делу не подошьешь, а официального документа.  Во всяком случае, на его отсутствие могут ссылаться компании, не уложившиеся в озвученный срок.

Малые и средние компании в основном занимают выжидательную позицию. Проведение работ по 187-ФЗ требует привлечения значительных ресурсов и многие используют подход «подожди выполнять – отменят».  В случае небольших организаций типа ломбардов, формально подходящих под действие закона «о безопасности КИИ», этот подход может и сработать. Банки традиционно ждут разъясняющего документа из ЦБ.   

Крупные компании уже приступили к выполнению закона «о безопасности КИИ», создали комиссии, приступили к составлению перечня объектов КИИ, подлежащих категорированию, и столкнулись с первой проблемой – необходимостью проведения категорирования множества объектов расположенных в территориально-распределенных филиалах. Помощь уже предлагают коммерческие компании. Например «ICL Системные технологии»,  представившая на ITSF 2018 систему автоматизирующую процессы категорирования информационных систем и выпуска необходимой документации.

Аутсорсинг КИИ

Не всегда понятно, кто относится к субъектам КИИ, если информационная структура предоставляется по сервисной модели. И кто будет отвечать по новой статье уголовного кодекса «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» (Статья 274.1), которая предусматривает наказание до 10 лет лишения свободы.

Представитель компании «Ростелеком», отвечая на наш вопрос на пресс-конференции на PHDays 8, заявил, что ответственность по закону 187-ФЗ  несет клиент – субъект КИИ, а сервисный провайдер отвечает только за то, что прописано в договоре с клиентом. Организация отвечает за выбор аутсорсера, может прописать в договоре обязательность соответствия 187-ФЗ и прописать регламент проверок выполнения требований. То есть если российская организация попала в список 12 отраслей, относящих ее к субъекту КИИ, то она и отвечает, даже если пользуется КИИ по сервисной модели. А сервисный провайдер может и не знать, для каких целей используется его информационная инфраструктура.

Другая точка зрения была озвучена на круглом столе ITSF 2018 в Казани представителем нефтеобрабатывающей отрасли, где широко распространена практика выделения непрофильных подразделений в инсорсинговые компании с самостоятельным юридическим лицом. На баланс такой компании переводится вся вычислительная инфраструктура, а нефтяная компания не имеет своих объектов КИИ и, по мнению представителя нефтяников, ей ничего делать по 187-ФЗ  не надо.

Юридически такая позиция понятна. В соответствии со ст. 2 № 187-ФЗ к субъектам критической инфраструктуры относятся российские юридические лица, «которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы …», а в случае передачи КИИ на баланс инсорсинговой компании, нефтяная компания под определение субъекта КИИ не подходит.

Можно пойти таким путем, но как отметил на конференции в Казани независимый эксперт Алексей Лукацкий, в случае выставленных претензий предстоит непростой судебный процесс с регулятором, а как показывает практика, суды чаще прислушиваются к его мнению.  Так что нужно учитывать такие риски.

Отвечая на конференции Tadviser Summit на наш вопрос об уголовной ответственности по закону ФЗ-187 в случае получения критической информационной инфраструктуры по сервисной модели в «Ростелекоме», директор по информационным технологиям РТК-ЦОД  Вадим Прескурин сказал:  “Посадят всех. Если заказчик говорит, что его критическая информационная система размещена в нашей инфраструктуре, то мы считаем свою инфраструктуру критической и «садимся» вместе».

Кнут и пряник

Оставить свой комментарий:

Комментарии по материалу