ВЛАДИМИР СТОЛЯРОВ, юрисконсульт ИД «Положевец и партнеры», law@samag.ru

Безопасность критической
информационной инфраструктуры как она есть

В статье мы будем рассматривать окончательную редакцию законопроекта о так называемой безопасности КИИ, что будет ему сопутствовать и какие планы законотворцев по этому поводу увидят свет в будущем

Путь законопроекта с полным названием «О безопасности критической информационной инфраструктуры Российской Федерации» был очень тернист. Первый вариант проекта нового закона появился еще в 2013 году. Предполагалось принять его до конца года или уже в начале 2014-го. Ожидания не подтвердились – законопроект очень долго не вносили в Госдуму, пока наконец в конце прошлого года данная тема, а именно безопасность объектов критической информационной инфраструктуры (КИИ), а по существу и всей информационной безопасности в целом, не стала намного более актуальной.

Завершение 2016 года ознаменовалось утверждением новой Доктрины информационной безопасности и принятым сразу следом за ней законопроектом о безопасности КИИ. 7 июля 2017 года законопроект был принят во втором чтении, 12 июля – в третьем (важнейшем) чтении, а 19 июля – Советом Федерации (где тоже получил предварительное одобрение от отраслевых комитетов). Это позволяет предположить, что в ближайшее время законопроект станет полноценным федеральным законом, сохранив свою текущую редакцию.

Начинать подробное изучение законопроекта было бы логично с основного объекта регулирования законопроекта о безопасности КИИ – объекта критической информационной инфраструктуры.

В соответствии с положением статьи 2 данного законопроекта под объектом КИИ понимаются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

В содержании той же статьи приводится определение субъекта КИИ, где раскрывается более полно, что информационными системами, информационно-телекоммуникационными сетями и автоматизированными системами управления субъектов КИИ являются системы, функционирующие в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Следует отметить, что за время рассмотрения законопроекта в Государственной думе перечень потенциальных сфер объектов КИИ несколько видоизменился: так, были исключены информационные системы государственных органов, уточнили так называемый непромышленный блок за счет появления кредитных организаций в перечне сфер финансового рынка (в предыдущей версии обозначалась финансово-кредитная сфера в общем понимании, здесь же опеределенно выделяют банки как потенциальные субъекты КИИ и Центральный банк как один из основных регуляторов).

Кроме того, в сферу интересов законопроекта попадают и сети электросвязи, обеспечивающие взаимодействие объектов КИИ между собой (сами сети электросвязи при этом не являются объектом КИИ, но являются при этом составной частью КИИ).

Подмножеством всех объектов КИИ являются значимые объекты КИИ – те объекты КИИ, которым была присвоена одна из категорий значимости в результате процесса определения категории, о котором речь пойдет ниже.

Интересующий нас текст законопроекта не содержит прямых указаний, что именно считать объектом КИИ, таким образом, придется подождать разработки соответствующих подзаконных актов. Есть предположение, что система критериев будет представлена в документе, определяющем порядок этого самого категорирования объектов КИИ.

Основными субъектами законопроекта о безопасности КИИ являются сами субъекты КИИ, к которым в соответствии с положениями статьи 2 данного законопроекта относятся: владельцы объекта КИИ (государственные и частные структуры), а также лица или организации, обеспечивающие взаимодействие объектов КИИ между собой (в предыдущей версии законопроекта вместо этой не совсем точной конструкции было явное указание на операторов связи).

Помимо этого, по результатам распределения по категориям объектов КИИ субъект КИИ представляет в федеральный орган исполнительной власти сведения, в том числе, о лице, эксплуатирующем значимый объект КИИ (по сути, об операторе). Больше нигде в тексте законопроекта упоминания данной категории субъекта вы не найдете, но внесение такой информации в реестр позволяет предположить, что к этой категории также могут предъявляться определенные требования в подзаконных актах.

В предыдущей редакции в реестр вносились также сведения о разработчике (проектировщике) объекта КИИ, но в окончательном тексте законопроекта они уже не фигурируют (что не исключает их возможного появления в подзаконных актах, устанавливающих форму реестра значимых объектов КИИ).

Также следует отметить, что в финальной версии законопроекта не оказалось места для таких субъектов, как «организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации». Ранее указанные организации могли привлекаться субъектом КИИ для проведения процедуры категорирования объекта или для реализации мероприятий по обеспечению безопасности объекта КИИ.

Скорее всего на момент принятия закона отсутствовала готовность сформулировать четкие требования к организациям, которые будут участвовать в процессе обеспечения безопасности объектов КИИ.

В качестве примера в редакции 2013 года упоминались организации, прошедшие аккредитацию во ФСТЭК или ФСБ, которая разрешала им осуществлять деятельность по оценке защищенности объектов КИИ, а обязательным условием аккредитации было наличие лицензии на работу со сведениями, составляющими государственную тайну. В самых свежих редакциях уже не было ни упоминаний об аккредитации, ни требований наличия лицензии на работу с государственной тайной.

Со стороны государства в процессе обеспечения безопасности КИИ фигурируют:

• Президент РФ, который определяет общее направление государственной политики в области безопасности КИИ, назначает федеральный орган исполнительной власти (ФОИВ), уполномоченный в области обеспечения безопасности КИИ; ФОИВ, уполномоченный в области обеспечения функционирования Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА); порядок создания и задачи ГосСОПКА.
• Правительство РФ, которое определяет критерии и порядок процедуры категорирования объектов КИИ, порядок осуществления государственного контроля за безопасностью КИИ и порядок подготовки и использования сетей электросвязи для обеспечения функционирования КИИ.
• ФОИВ, уполномоченный в области обеспечения безопасности КИИ, который отвечает за ведение реестра значимых объектов КИИ, за формирование требований по обеспечению безопасности значимых объектов КИИ и за контроль в области обеспечения безопасности объектов КИИ.
• ФОИВ, уполномоченный в области обеспечения функционирования ГосСОПКА, который обеспечивает создание ГосСОПКА, в том числе подключение к системе объектов КИИ, реализацию всего жизненного цикла компьютерных инцидентов ГосСОПКА (порядок обнаружения и уведомления, ликвидация последствий, обмен информацией между субъектами КИИ), а также контроль в области обеспечения безопасности объектов КИИ – ФСБ (согласно Указу Президента РФ «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» именно на ФСБ возложена задача создания ГосСОПКА, а также обеспечения ее функционирования).
• ФОИВ, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, который совместно с предыдущим ФОИВ определяет технические условия по установке и порядок эксплуатации средств ГосСОПКА в сетях электросвязи – Минкомсвязь.

Федеральный орган исполнительной власти, уполномоченный на действия в области обеспечения безопасности КИИ, формально на данный момент не определен. Официальное его назначение должно произойти через полгода после принятия рассматриваемого закона о безопасности КИИ, когда выйдет соответствующий Указ Президента РФ.

Однако с высокой степенью уверенности можно сказать, что этим ФОИВ будет ФСТЭК. В соответствии с положением Указа Президента РФ под названием «Вопросы Федеральной службы по техническому и экспортному контролю» одной из задач ФСТЭК является «обеспечение в пределах своей компетенции безопасности информации в ключевых системах информационной инфраструктуры», в частности ведение реестра ключевых систем информационной инфраструктуры (КСИИ), так что реестр значимых объектов КИИ может быть некоторой реинкарнацией реестра КСИИ.

Принятый законопроект и будущие подзаконные акты определяют ряд мероприятий, которые необходимо будет реализовывать субъектам законопроекта, в том числе и субъектам КИИ. Наиболее важные мероприятия для субъектов КИИ:

• процедура категорирования объектов КИИ;
• интеграция с ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак);
• создание системы обеспечения безопасности объектов КИИ.

Сама процедура категорирования претерпела самые заметные изменения по ходу разработки законопроекта и его рассмотрения в Госдуме. По результатам рассмотрения законопроекта в первом чтении многие отраслевые комитеты сформулировали предложение возложить все обязанности по проведению процедуры категорирования на ФОИВ, уполномоченный в области обеспечения безопасности КИИ. Такой подход к категорированию позволил бы, по мнению авторов предложения, избежать ситуации умышленного занижения категории объекта КИИ субъектом КИИ (который проводит категорирование), чтобы уйти от государственного контроля и обязательных к реализации требований по обеспечению безопасности.

Данное предложение в указанном виде не было включено в текст законопроекта, но при этом во втором и третьем чтениях возникли два новых момента, связанных с категорированием:

• Даже если в результате проведения категорирования субъект КИИ установил отсутствие категории у объекта КИИ, которым он владеет, субъект КИИ все равно обязан представить результаты категорирования в ФОИВ, уполномоченный в области обеспечения безопасности КИИ (статья 7, пункт 5). Указанный ФОИВ проверяет представленные материалы и в результате согласовывает присвоение (неприсвоение) категории или направляет замечания, которые должен учесть субъект КИИ.
• Даже если субъект КИИ посчитал, что он не является субъектом КИИ и не должен проводить категорирование, ФОИВ, уполномоченный в области обеспечения безопасности КИИ, обладает возможностью направить субъекту КИИ требование о необходимости соблюдения положений статьи 7 законопроекта (статья 7, пункт 11).

Приведенные выше положения законопроекта, по сути, дают возможность ФОИВ, уполномоченному в области обеспечения безопасности КИИ, активно участвовать в процессе категорирования, но при этом не обязывают полностью брать задачу категорирования на себя (что, вполне очевидно, сильно увеличило бы сроки реализации закона, учитывая потенциальное количество объектов КИИ в России).

Сведения о категорировании объектов КИИ сводятся в единый реестр значимых объектов КИИ, которому в законопроекте посвящена отдельная статья (статья 8). В частности, приводится перечень информации, которая включается в реестр (подзаконные акты могут расширить этот перечень):

• наименование значимого объекта КИИ;
• наименование субъекта КИИ;
• сведения о взаимодействии значимого объекта КИИ и сетей электросвязи;
• сведения о лице, эксплуатирующем значимый объект КИИ;
• присвоенная категория значимости;
• сведения о программных и программно-аппаратных средствах, используемых на значимом объекте КИИ;
• меры, применяемые для обеспечения безопасности значимого объекта КИИ.

По содержанию последнего пункта можно предположить, что реестр значимых объектов КИИ (по аналогии с реестром КСИИ) будет отнесен к сведениям, составляющим государственную тайну, так как сопутствующий законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» предлагает расширить перечень возможных сведений, составляющих государственную тайну, информацией «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак».

Все мероприятия по обеспечению безопасности объектов КИИ определяются по результатам процедуры категорирования. Субъект КИИ, владеющий объектом КИИ, не отнесенным ни к одной из категорий значимости, в обязательном порядке должен обеспечить только информирование ФСБ (или его соответствующего подразделения) и Центрального банка РФ (в случае, если он является регулирующим органом для субъекта) о компьютерных инцидентах и содействие представителям ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак и инцидентов, а также условий их возникновения.

Ну а все остальные мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.

Одним из возможных способов реализации требований к субъекту КИИ является размещение на территории объекта КИИ технических средств ГосСОПКА, но это размещение осуществляется полностью за счет субъекта КИИ, причем, если субъект решил разместить оборудование ГосСОПКА на территории объекта КИИ, он автоматически взял на себя обязательства по обеспечению его бесперебойного функционирования. Остальные же мероприятия по обеспечению безопасности объекта КИИ субъект реализует на свое усмотрение.

Субъект КИИ, которому принадлежит значимый объект КИИ, помимо вышеперечисленного обязан:

• соблюдать требования по обеспечению безопасности значимого объекта КИИ, установленные ФОИВ, уполномоченным в области обеспечения безопасности КИИ;
• четко выполнять предписания по результатам проверок;
• обеспечивать своевременную реакцию на компьютерные инциденты в порядке, определяемом ФСБ, и беспрепятственный доступ на территорию объекта проверяющим органам.

Следует отметить, что по результатам рассмотрения законопроекта в первом чтении было сформулировано замечание, суть которого состоит в том, что обеспечение беспрепятственного доступа на территорию объекта КИИ может идти в разрез с действующими нормами относительно промышленной безопасности и охраны труда. Однако в окончательной редакции законопроекта формулировка данного пункта не изменилась.

Требования к системе обеспечения безопасности объектов КИИ на уровне законопроекта устанавливаются только для значимых объектов КИИ (статья 10). В соответствии с положениями законопроекта основными задачами системы безопасности являются:

• предотвращение неправомерного доступа к информации, обрабатываемой объектом КИИ, уничтожения, модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
• недопущение воздействия на технические средства обработки информации, которое может нарушить функционирование объекта КИИ;
• восстановление функционирования объекта КИИ;
• непрерывное взаимодействие с ГосСОПКА.

В сравнении с версией законопроекта, представленной в первом чтении, требования к системе безопасности стали еще более общими, что позволит более полно учесть специфику обеспечения безопасности различных объектов КИИ в подзаконных актах.

Как мы уже указали выше, законопроект о безопасности КИИ был принят вместе с законопроектами-спутниками «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Первый сопутствующий законопроект вносит изменения в три федеральных закона: в закон «О государственной тайне», в закон «О связи» и в закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

В законе «О государственной тайне» расширен перечень сведений, составляющих гостайну: теперь к ним относятся, в том числе, и сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры РФ и о состоянии ее защищенности от компьютерных атак». Обозначенная в законопроекте формулировка допускает возможность очень широкой трактовки – по сути, даже инструкция администратора безопасности какого-либо средства защиты информации объекта КИИ (даже не обязательно значимого объекта КИИ!) может быть отнесена к информации, составляющей гостайну. Будем надеяться, что речь все же идет о консолидированной информации, содержащейся в реестре значимых объектов КИИ и ГосСОПКА.

В законе «О связи» был отражен тот факт, что подготовка и использование сетей электросвязи для нужд функционирования значимых объектов КИИ будет регулироваться отдельным Постановлением Правительства РФ. Также была добавлена обязанность оператора связи обеспечивать утвержденный порядок установки и эксплуатации средств ГосСОПКА, если они устанавливаются в сети электросвязи оператора связи.

В законе «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» обозначено, что контроль в области обеспечения безопасности значимых объектов КИИ выводится из-под действия этого федерального закона.

Второй сопутствующий законопроект прямо вносит изменения в УК РФ и УПК РФ в целях четкого определения ответственности и порядка расследования нарушений, связанных с объектами КИИ.

В УК РФ добавляется новая статья по «компьютерным» преступлениям – 274.1, которая повторяет статьи 272, 273 и 274, но в отношении объектов КИИ. Соответствующие правонарушения в отношении объектов КИИ караются более строго, чем в отношении традиционных компьютерных систем: наиболее тяжкие преступления наказываются лишением свободы сроком до 10 лет. Отдельно необходимо остановиться на пункте 3 статьи 274.1, аналогичном статье 274, – «нарушение правил эксплуатации…». Правонарушение по этому пункту может быть адресовано субъекту КИИ, если он не выполнил необходимые мероприятия по обеспечению безопасности объекта КИИ, что повлекло причинение вреда объекту КИИ. Такому небрежному субъекту КИИ может грозить лишение свободы сроком аж до шести лет.

Следует отметить, что среди отклоненных поправок к законопроекту была более мягкая версия обозначенного пункта – в ней рассматривалось неоднократное умышленное нарушение, а выявленное впервые нарушение правил эксплуатации предлагалось считать административным проступком, а не уголовным.

Изменение Уголовно-процессуального законодательства РФ определяет подследственность уголовных дел по статьям 272, 273, 274 и 274.1. Теперь следствие по уголовным делам, попадающим под перечисленные статьи, передается в ведение ФСБ.

Большинство документов, необходимых для реализации закона (порядок проведения процедуры категорирования, требования по обеспечению безопасности), появятся только примерно через год после его принятия (сам закон ожидаемо вступает в силу с 1 января 2018 года). Однако эти сроки могут сильно сократиться, если назначение ФСТЭК в качестве ФОИВ, уполномоченного в области обеспечения безопасности КИИ, произойдет раньше, чем через полгода с даты принятия закона.

ФСТЭК, в свою очередь, вряд ли будет с нуля разрабатывать порядок процедуры категорирования и требования по обеспечению безопасности, так как в активе организации уже есть ряд действующих документов, которые затрагивают эти вопросы (в первую очередь речь идет о Приказе ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»).

Сейчас законопроект находится на завершающей стадии – уже пройдено рассмотрение в Совете Федерации, закон направлен на подпись Президенту РФ. Вступление закона в силу запланировано на 1 января 2018 года, что оставляет совсем немного времени субъектам КИИ для реализации мероприятий по обеспечению процедуры категорирования и обеспечению безопасности объектов КИИ.

Несмотря на то что конкретные требования могут несколько запоздать, субъектам КИИ уже сегодня есть чем заняться: необходимо в самые кратчайшие сроки провести инвентаризацию (аудит) своих информационных систем и средств обеспечения их безопасности, чтобы максимально быстро провести все то же категорирование, а дальше распланировать силы и средства на создание системы обеспечения безопасности объектов КИИ таким образом, чтобы это не заняло долгие месяцы.

Комментарии могут оставлять только зарегистрированные пользователи