О принятии закона по безопасности критической информационной инфраструктуры

26 июля 2017 года был официально опубликован Федеральный закон № 187 «О безопасности критической информационной инфраструктуры Российской Федерации». Событие примечательно тем, что впервые такие понятия, как «критическая информационная инфраструктура», «значимый объект критической информационной инфраструктуры», «субъекты критической информационной инфраструктуры» закреплены на уровне федерального закона. А в ближайшее время должны появится подзаконные нормативные акты, которые вместе с федеральным законом и уже существующими документами (Концепция ГосСОПКА, РД ФСТЭК «Общие требования по обеспечению безопасности КСИИ» и др.) образуют целый свод норм и правил, регулирующих защиту критической информационной инфраструктуры (КИИ) РФ.

Документ определяет перечень отраслей, на которые распространяется действие данного закона. К ним относятся сферы здравоохранения, науки, транспорта, связи, энергетики, финансов, топливно-энергетического комплекса, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Закон обязывает организации, подпадающие под приведенный выше перечень, информировать об инцидентах информационной безопасности уполномоченный орган и оказывать ему содействие в расследовании таких инцидентов.

Требования же по обеспечению безопасности применяются не ко всем субъектам перечня, а лишь к организациям, эксплуатирующим объекты, которые будут признаны значимыми. Для таких объектов в том числе предполагается интеграция с системой ГосСОПКА (Государственная система обнаружения, предотвращения и ликвидации последствий компьютерных атак).

Порядок категорирования в документе определен достаточно расплывчато. Закон определяет только показатели значимости (социальный, политический, экономический, экологический и влияние на оборону государства), на основании которых будет определяться категория. Нормативные акты, определяющие, каким образом будет осуществляться категорирование, необходимо ждать в ближайшем будущем.

В любом случае, организации, попадающей под определение субъекта КИИ, необходимо будет подать уведомление в уполномоченный орган (на данный момент он не определен), содержащее информацию о присвоении категории, или информацию об отсутствии необходимости присвоения категории, принадлежащей объекту. Организации, которым присвоена категория, попадают в реестр значимых объектов КИИ и будут обязаны выполнять все требования, предъявляемые законодательством. Также в отношении них могут проводится проверки уполномоченного органа.

Отдельно стоит отметить, что согласно текущей редакции закона информация о мерах по обеспечению безопасности КИИ и о состоянии её защищённости должна быть отнесена к государственной тайне. Буквально это означает то, что сведения о состоянии защищенности автоматизированных систем любой больницы должны быть отнесены к гос. тайне, что на практике не выполнимо. Поэтому, вероятнее всего, позднее эта норма будет каким-либо образом уточнена или исключена.

Федеральный закон вступает в силу с 1 января 2018 года.

Георгий Морозов
Менеджер по сопровождению корпоративных клиентов, Акрибия