Журнал "Директор по безопасности" Январь 2020 | Page 15
ЕСТЬ РЕШЕНИЕ
КИИ?
Не, не слышал!
187-ФЗ глазами
юриста
ОКСАНА КАЗОДОЙ,
юрист компании «SoftMall»
В прошлом выпуске мы коснулись про-
блемы неясности российского законо-
дательства в вопросах защиты объектов
критической информационной инфра-
структуры (далее – КИИ). Наш юрист про-
вела детальный анализ законодательных
актов, «завалила» представителей ФСТЭК
и ФСБ вопросами и теперь поделится с
вами выводами: какие требования предъ-
являются к субъектам КИИ и какая грозит
ответственность за их нарушение.
К
ибератаки на критическую ин-
формационную инфраструктуру
являются актуальной и серьез-
ной международной проблемой для
всех стран, включая Российскую Феде-
рацию. Правительствам стран необхо-
димо найти способ совместной борь-
бы с киберугрозами.
На сегодняшний день инструменты
хакерских атак стали доступны терро-
ристическим организациям и агрес-
сивным группировкам, а кибератака,
в худшем случае, может привести к ми-
ровой дестабилизации.
Для укрепления международной
безопасности и стабилизации между-
народных отношений в области ин-
формационной безопасности со сто-
роны РФ осуществляется стратегия из
последовательных шагов. Как видится,
одним из них является определение
приоритетных отраслей и субъектов
критической информационной ин-
фраструктуры для дальнейшей реа-
лизации дипломатических инициатив
по выработке резолюций, соглашений
между странами, международной кон-
венции по информационной безопас-
ности и выработке норм ограничений
военно-политического использования
информационных технологий против
объектов КИИ из данных отраслей.
Принятые законы в области обе-
спечения защиты информационной
инфраструктуры направлены на пре-
дотвращение атак и устранение уяз-
вимостей инфраструктуры. Осно-
вополагающей целью обеспечения
безопасности критической инфра-
структуры является ее надежное функ-
ционирование в случае осуществления
в отношении нее кибератаки, попыт-
ки взлома или несанкционированного
проникновения.
В РФ одним из законов вышеупо-
мянутой области является вступивший
в силу с 1 января 2018 года Федераль-
ный закон от 26.07.2017 г. № 187-ФЗ
«О безопасности критической инфор-
мационной инфраструктуры Россий-
ской Федерации». Одновременно с
ним были приняты изменения в Уго-
ловный кодекс РФ, описывающие на-
казание за нанесение ущерба критиче-
ской инфраструктуре РФ. Гл. 28 УК РФ
была дополнена ст. 274.1, описываю-
щей меры ответственности за непра-
вомерное воздействие на критическую
информационную инфраструктуру РФ.
Данная статья устанавливает уго-
ловную ответственность должностных
лиц субъекта КИИ за несоблюдение
установленных правил эксплуатации
технических средств объекта КИИ и/
или нарушение порядка доступа к ним
вплоть до лишения свободы.
При наступлении чрезвычайных си-
туаций, повлекших за собой ущерб, не-
принятие таких мер может подпадать
под состав ст. 293 УК РФ «Халатность»,
т. е. неисполнение или ненадлежащее
исполнение должностным лицом сво-
их обязанностей вследствие недобро-
совестного или небрежного отношения
к службе либо обязанностей по долж-
ности, если это повлекло причинение
крупного ущерба или существенное
нарушение прав и законных интересов
граждан или организаций либо охра-
няемых законом интересов общества
или государства.
Ст. 274.1 УК РФ не предусматрива-
ет ответственности за невыполнение
необходимых мероприятий по обе-
спечению безопасности объекта КИИ.
Однако в январе 2020 г. планируется
принятие законопроекта, а именно
Федерального закона «О внесении
изменений в Кодекс Российской Фе-
дерации об административных пра-
вонарушениях (в части установления
ответственности за нарушение требо-
ваний по обеспечению безопасности
объектов критической информацион-
ной инфраструктуры)».
Разработчиком данного законо-
проекта выступает ФСТЭК России, а
соисполнителем ФСБ России. Пред-
полагается внесение в Кодекс Россий-
ской Федерации об административных
правонарушениях следующих из не-
скольких изменений (Источник: https://
regulation.gov.ru/):
«Главу 13 дополнить статьей 13.12.1
следующего содержания:
«Ст. 13.12.1. Нарушение требова-
ний в области обеспечения безопасно-
сти критической информационной ин-
фраструктуры Российской Федерации
1. Нарушение порядка категори-
рования объектов критической ин-
формационной инфраструктуры Рос-
сийской Федерации, за исключением
случаев, предусмотренных ч. 1 ст.
19.7.15 настоящего Кодекса, – влечет
наложение административного штра-
фа на должностных лиц в размере от
десяти тысяч до пятидесяти тысяч ру-
блей; на юридических лиц – от пятиде-
сяти тысяч до ста тысяч рублей.
2. Нарушение требований к созда-
нию систем безопасности значимых
объектов критической информацион-
ной инфраструктуры Российской Феде-
рации и обеспечению их функциониро-
вания, установленных федеральными
законами и принятыми в соответствии
с ними иными нормативными право-
выми актами Российской Федерации,
если такие действия (бездействие) не
содержат уголовно наказуемого дея-
ния, – влечет наложение администра-
тивного штрафа на должностных лиц
в размере от десяти тысяч до сорока
тысяч рублей; на юридических лиц – от
пятидесяти тысяч до ста тысяч рублей.
3. Нарушение требований по обеспе-
чению безопасности значимых объектов
критической информационной инфра-
структуры Российской Федерации, уста-
новленных федеральными законами и
принятыми в соответствии с ними ины-
ми нормативными правовыми актами
Российской Федерации, за исключением
случаев, повлекших причинение вреда
критической информационной инфра-
структуре Российской Федерации, если
такие действия (бездействие) не содер-
жат уголовно наказуемого деяния, –
влечет наложение административного
штрафа на должностных лиц в размере
от десяти тысяч до пятидесяти тысяч ру-
блей; на юридических лиц – от пятидеся-
ти тысяч до ста тысяч рублей.
4. Нарушение порядка информи-
рования о компьютерных инцидентах,
реагирования на них, принятия мер
по ликвидации последствий компью-
терных атак, проведенных в отноше-
нии значимых объектов критической
информационной инфраструктуры
Российской Федерации, установлен-
ного федеральными законами и при-
нятыми в соответствии с ними иными
нормативными правовыми актами
Российской Федерации, – влечет нало-
жение административного штрафа на
должностных лиц в размере от десяти
тысяч до пятидесяти тысяч рублей; на
юридических лиц – от ста пятидесяти
тысяч до двухсот тысяч рублей.
5. Нарушение порядка обмена ин-
формацией о компьютерных инци-
дентах между субъектами критической
информационной инфраструктуры
Российской Федерации, между субъек-
тами критической информационной
инфраструктуры Российской Федера-
ции и уполномоченными органами
иностранных государств, междуна-
родными, меж-дународными непра-
вительственными организациями и
иностранными организациями, осу-
ществляющими деятельность в области
реагирования на компьютерные инци-
денты, – влечет наложение администра-
тивного штрафа на должностных лиц в
размере от двадцати тысяч до пятиде-
сяти тысяч рублей; на юридических лиц
– от ста тысяч до двухсот тысяч рублей».
Предполагается также дополнить
КоАП РФ ст. 19.7.15 следующего содержа-
ния (Источник: https://regulation.gov.ru/):
«Ст. 19.7.15. Непредставление
сведений, предусмотренных законо-
дательством в области обеспечения
безопасности критической информа-
ционной инфраструктуры Российской
Федерации.
1. Непредставление или нарушение
сроков представления в федеральный
орган исполнительной власти, упол-
номоченный в области обеспечения
безопасности критической информа-
ционной инфраструктуры Российской
Федерации, сведений о результатах
присвоения объекту критической ин-
формационной инфраструктуры Рос-
сийской Федерации одной из катего-
рий значимости либо об отсутствии
необходимости присвоения ему одной
из таких категорий, предусмотренных
законодательством в области обеспе-
чения безопасности критической ин-
формационной инфраструктуры Рос-
сийской Федерации, – влечет наложе-
ние административного штрафа на
должностных лиц в размере от десяти
тысяч до пятидесяти тысяч рублей; на
юридических лиц – от пятидесяти ты-
сяч до ста тысяч рублей.
2. Непредставление или нарушение
порядка либо сроков представления
в государственную систему обнаруже-
ния, предупреждения и ликвидации
последствий компьютерных атак на
информационные ресурсы Российской
Федерации информации, предусмо-
тренной законодательством в области
обеспечения безопасности критиче-
ской информационной инфраструк-
туры Российской Федерации, – влечет
наложение административного штра-
фа на должностных лиц в размере от
десяти тысяч до пятидесяти тысяч ру-
блей; на юридических лиц – от ста ты-
сяч до пятисот тысяч рублей».
Требования 187-ФЗ РФ затрагива-
ют организации («субъекты КИИ»), ко-
торым принадлежат объекты КИИ или
которые обеспечивают их взаимодей-
ствие. Основные функции контроля
в области обеспечения безопасности
объектов КИИ и нормативно-право-
вое регулирование возложены на ФСБ
и ФСТЭК России.
ФСБ обеспечивает регулирование
деятельности субъектов КИИ, произ-
водит сбор информации о компью-
терных инцидентах и оценку безо-
пасности КИИ, а ФСТЭК ведет реестр
значимых объектов КИИ и контролиру-
ет реализацию требований по обеспе-
чению их безопасности. Государствен-
ные органы и организации, которые
точно уверены, что объекты КИИ явно
присутствуют, вовремя приступили к
работам по определению информа-
ционных систем (далее – ИС), подпа-
дающих под 187-ФЗ, и определению
их значимости. Однако есть компании,
которые не уверены, подпадают ли
они под действие данного Закона, и
пытаются выяснить, относятся ли они к
субъектам КИИ и нужно ли им прово-
дить вышеуказанные работы.
Представителями ФСТЭК на конфе-
ренциях было обозначено, что опреде-
ление принадлежности организации к
категории субъекта КИИ осуществляет-
ся на основании анализа кодов ОКВЭД,
учредительных документов, выданных
лицензий и других разрешительных до-
кументов. В связи с тем, что компани-
ям бывает затруднительно правильно
изучить ИС, выявить критические про-
цессы, определить значимые объекты,
к таким работам привлекаются ком-
пании, имеющие лицензию ФСТЭК по
технической защите информации.
Согласно 187-ФЗ РФ, субъекты КИИ
должны осуществить следующие действия:
1. Провести категорирование объ-
ектов КИИ. Категорирование должно
проводиться как для существующих, так
и для создаваемых объектов КИИ. Мак-
симальный срок категорирования объ-
ектов КИИ – один год со дня утвержде-
ния субъектом КИИ перечня объектов.
Категорирование подразумевает опре-
деление его категории значимости на
основе определенных показателей.
Всего устанавливается три катего-
рии – первая (самая значимая), вторая
или третья. Объекты, которым была
присвоена одна из категорий, имену-
ются в Законе значимыми объектами
КИИ. Если же объект не соответствует
критериям, то категория не присваи-
вается. После завершения категори-
рования сведения о результатах долж-
ны направляться субъектом КИИ во
ФСТЭК, так как ФСТЭК ведет реестр
значимых объектов КИИ.
В реестр включается следующая ин-
формация: наименование объекта и
субъекта; присвоенная категория зна-
чимости; информация о программных
средствах, которые используются на
объекте; сведения о лице, эксплуатиру-
ющем объект; сведения о взаимодей-
ствии объекта и сетей электросвязи;
меры, которые применяются для обе-
спечения безопасности объекта.
В случае, если в процессе категориро-
вания определено отсутствие катего-
рии значимости, то результаты кате-
горирования все равно должны быть
направлены во ФСТЭК.
2. Обеспечить интеграцию с Госу-
дарственной системой обнаружения,
предупреждения и ликвидации послед-
ствий компьютерных атак на информа-
ционные ресурсы РФ (далее – ГосСОП-
КА). Данная система предназначена для
обеспечения и контроля безопасности
КИИ в РФ и в дипломатических пред-
ставительствах страны за рубежом. В
ней должна аккумулироваться вся ин-
формация о компьютерных атаках, по-
лучаемая от субъектов КИИ.
От субъекта КИИ требуется: принять
меры по обеспечению безопасности
объектов КИИ; информировать о ком-
пьютерных атаках ФСБ России (в случае,
если организация осуществляет деятель-
ность в банковской сфере, то дополни-
тельно информировать ЦБ РФ); оказы-
вать содействие ФСБ РФ в обнаружении,
предупреждении и ликвидации послед-
ствий компьютерных атак, установле-
нии причин и условий возникновения
компьютерных инцидентов.
Для значимых объектов КИИ, поми-
мо интеграции в ГосСОПКА, субъекты
КИИ должны: реагировать на компью-
терные инциденты; создать систему
безопасности объекта, предоставлять
на объект беспрепятственный доступ
регуляторам и выполнять предписа-
ния по результатам проведенных про-
верок. А субъекты КИИ, не владеющие
значимыми объектами, в обязатель-
ном порядке должны обеспечить толь-
ко обмен информацией с ГосСОПКА.
Вопрос ответственности владельца
объекта КИИ был освещен выше в дан-
ной статье. Однако информационная
система, отнесенная к КИИ, может об-
служиваться сторонней организацией
по договору (аутсорсинг)... Несмотря
на то, что в соответствии с 187-ФЗ РФ
ответственным за надлежащее обеспе-
чение технической защиты информа-
ции является субъект КИИ – владелец
информационной системы, субъект
КИИ может предусмотреть в договоре
условие соответствия защиты требова-
ниям ФЗ-187 и т. п.
Несомненно, что каждый случай
является индивидуальным, но к ответ-
ственности могут быть привлечены
как организация – владелец субъекта
КИИ, так и организация, обслуживаю-
щая информационную систему.
После завершения катего-
рирования сведения
о результатах должны
направляться субъектом
КИИ во ФСТЭК