Государственная Дума приняла в первом чтении пакет законопроектов, направленных на обеспечение информационной безопасности критической информационной инфраструктуры. В пакет входят три законопроекта: № 47571-7 «О безопасности критической информационной инфраструктуры Российской Федерации», № 47579-7 «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”» и № 47591-7 «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона “О безопасности критической информационной инфраструктуры Российской Федерации”». Законопроекты этим разрабатывались так давно, что датой вступления их в силу указывалось 1 января 2017 г., но только сейчас они прошли первое чтение.
Первый законопроект определяет понятия, связанные с критической информационной инфраструктурой (КИИ), в том числе реестр КИИ и систему защиты ГосСОПКА. Реестр еще только предстоит создать, этим должен заняться специальный ФОИВ, уполномоченный в области обеспечения безопасности КИИ РФ (ФОИВ УвООБ КИИ РФ). Система защиты уже создана и давно функционирует, но в рамках Указа президента. Правда, в проекте закона она называется государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (можно, конечно, сократить ее название до ГосСОПиЛПКАнИР РФ, но более благозвучным и принятым на сегодняшний момент является уже привычное сокращение ГосСОПКА). Причем, по словам Эрнста Валеева, заместителя председателя комитета ГД по безопасности и противодействию коррупции, эту систему легитимизируют на уровне федерального закона. «Указ и саму систему ГосСОПКА после вступления закона в силу менять не придется,» – пояснил Эрнст Валеев.
Второй законопроект вносит необходимый набор изменений в существующие федеральные законы: «О государственной тайне» (№ 5485-1), «О связи» (№ 126-ФЗ) и «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (№ 294-ФЗ), чтобы встроить в них понятия о КИИ и легитимизировать проверки соответствия, в том числе внеплановые.
Третий законопроект определяет «кнут» – ужесточает наказание за нарушение законодательства по КИИ. Ответственность за успешную атаку на объекты КИИ возлагается на руководителей, а государство лишь помогает им, прикрывая системой ГосСОПКА.
В законопроектах определены 13 отраслей, где могут быть объекты КИИ: предприятия ТЭК, энергетические, ОПК, телеком, кредитно-финансовые, транспортные, химические, металлургические, горно-добывающие, медицинские, ракетно-космические, государственные компании, атомная промышленность. Для каждой из отраслей, скорее всего, будут сформированы отраслевые центры реагирования на инциденты, которые должны будут войти в ГосСОПКА, – их создание предусмотрено Указом Президента, и с принятием закона ничего не должно измениться. Требования к каждой отрасли будут, возможно, свои – для ФОИВ и транспортной инфраструктуры, очевидно, критические угрозы существенно различаются. Кроме того, при внесении объекта в реестр владелец должен определить степень значимости – законопроектом предусмотрено три уровня. Выбор средств защиты будет осуществляться исходя из уровня значимости, однако эта деятельность будет регламентироваться на уровне подзаконных актов правительства и соответствующих министерств.
По словам Эрнеста Валеева, принять соответствующие федеральные законы удастся к середине текущего года. При этом будут пересмотрены даты вступления законов в силу – сейчас для одних норм указана дата 1 января 2017 г., для других – 1 июля 2017 г., для остальных – 1 января 2018 г. Поскольку систему ГосСОПКА создали для защиты Олимпиады в Сочи (см., например, наш материал «SOC: от SIEM к CERT»[1]), вполне возможно, что и вступление в силу нового законодательства также может быть привязано к 2018 г. То есть времени на принятие закона и введение его норм в силу осталось немного. По мнению Эрнеста Валеева, на реализацию мер, предусмотренных законом, дополнительных средств не потребуется – финансирование будет выполняться в рамках уже существующих программ на обеспечение общественной безопасности.
- http://www.connect-wit.ru/soc-ot-siem-k-cert.html
Валерий Коржов