О формировании системы обеспечения безопасности критической информационной инфраструктуры Российской Федерации
В работе предприятий всех указанных областей в настоящее время задействованы современные телекоммуникационные и информационные ресурсы, составляющие собственно критическую информационную инфраструктуру (далее – КИИ), сбои в работе которой могут повлечь серьезные и даже катастрофические последствия для населения и государства в целом.
Именно масштабы потенциальной общественной опасности стали поводом для разработки и принятия данного федерального закона. Можно утверждать, что авторы законопроекта использовали риск-ориентированный подход при формулировании инициативы принятия рассматриваемого нормативного правового акта.
В пояснительной записке к законопроекту было указано, что информационная инфраструктура является связующим звеном между другими секторами национальной инфраструктуры, а автоматизация управления наряду с очевидными позитивными инновациями влечет риски, связанные с различного рода компьютерными атаками, распространением вредоносных программ, способных вывести из строя любое оборудование, работающее с использованием бинарного кода.
По данным за последние годы, исходя из различных методик оценки ущерба от вредоносных программ, он составлял от трехсот миллиардов до одного триллиона долларов, то есть от 0,4% до 1,4% общемирового ежегодного ВВП, и эти показатели имеют тенденцию к росту.
Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 г. и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г.
Очевидно, что сбои в работе организаций, обеспечивающих не только жизнеспособность государственной инфраструктуры, но и человеческих жизней, должны предотвращаться на законодательном уровне.
Закон № 187-ФЗ стал системообразующим законодательным актом, устанавливающим порядок отношений в области безопасности КИИ в Российской Федерации.
В системе понятий, используемых в Законе, оговаривается, что безопасность КИИ – это состояние ее защищенности, обеспечивающее устойчивое функционирование в условиях компьютерных атак.
Согласно п. 6, 7 ст. 2 Закона № 187-ФЗ КИИ включает в себя информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
По этой причине в регулировании отношений по обеспечению безопасности КИИ задействован еще один законодательный акт – Федеральный закон 7 июля 2003 г. № 126-ФЗ «О связи», в который были внесены соответствующие изменения (Федеральный закон от 26 июля 2017 г. № 193-ФЗ), в частности предусмотрено введение порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов КИИ. Указанный порядок находится в стадии проекта (подготовлен Минкомсвязи России). Кроме того, на операторов связи была возложена дополнительная обязанность: в случае установки в сети электросвязи, используемой для организации взаимодействия объектов КИИ Российской Федерации, средств, предназначенных для поиска признаков компьютерных атак в таких сетях, обеспечивать выполнение утвержденных в соответствии с Законом № 187-ФЗ порядка, технических условий установки и эксплуатации таких средств и их сохранность (будет утверждаться Правительством РФ).
В целом Закон № 187-ФЗ устанавливает институциональную структуру обеспечения безопасности КИИ, элементами которой являются:
– государственные органы, государственные учреждения;
– российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в перечисленных выше сферах жизнеобеспечения;
– российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Таким образом, институциональную структуру составляют государственные органы и частные организации. Важно подчеркнуть, что существенная часть объектов КИИ во многих странах, как и в Российской Федерации, не находится в собственности государства, поэтому при реализации мер по обеспечению безопасности КИИ важно учитывать также Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Система обеспечения безопасности КИИ на государственном уровне предполагает обнаружение, предупреждение и ликвидацию последствий компьютерных атак на информационные ресурсы Российской Федерации.
К силам, задействованным в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
– подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования соответствующей государственной системы (ФСБ России);
– организация, создаваемая ФСБ России, для обеспечения координации деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (национальный координационный центр по компьютерным инцидентам).
Проект Положения о национальном координационном центре по компьютерным инцидентам (далее – НКЦКИ) разработан ФСБ России (пока не подписан). Предполагается, что такой центр будет координировать мероприятия по реагированию на компьютерные инциденты и непосредственно участвовать в таких мероприятиях, организовывать и осуществлять обмен информацией о компьютерных инцидентах между субъектами КИИ, а также между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, в том числе посредством использования своей технической инфраструктуры, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.
На НКЦКИ планируется возложить обязанности по методическому обеспечению деятельности субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
В проекте предусмотрены и другие права и обязанности НКЦКИ, которые определяют его правовой статус в качестве связующего звена между государственными ведомствами и частными организациями.
Два ключевых государственных органа для обеспечения безопасности КИИ – это Федеральная служба безопасности (ФСБ России) и Федеральная служба по техническому и экспортному контролю (ФСТЭК России).
Их сферы деятельности разделены. В полномочия ФСТЭК России входит обеспечение безопасности КИИ, в то время как ФСБ России отвечает за функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
В целях исполнения своих обязанностей в данной области ФСТЭК России издал приказ от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования», а также приказ от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Важным моментом является то, что субъекты КИИ теперь должны формировать внутри своих организаций специальные подразделения, относящиеся к силам обеспечения безопасности значимых объектов КИИ, в частности:
– подразделения (работники) субъекта КИИ, ответственные за обеспечение безопасности значимых объектов КИИ;
– подразделения (работники), эксплуатирующие значимые объекты КИИ;
– подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) значимых объектов КИИ;
– иные подразделения (работники), участвующие в обеспечении безопасности значимых объектов КИИ.
Законом № 187-ФЗ устанавливается необходимость категорирования объектов КИИ. Категории объектов (всего их три) устанавливаются исходя:
1) из социальной значимости;
2) политической значимости;
3) экономической значимости;
4) экологической значимости;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
Субъекты КИИ самостоятельно определяют категорию объекта, принадлежащего им на законном основании, и представляют эту информацию ФСТЭК России. Категория может быть скорректирована указанным уполномоченным ведомством. Цель категорирования определить приоритетность при осуществлении защитных действий в отношении объектов КИИ.
Таким образом, безопасность КИИ обеспечивается скоординированной работой следующих составляющих: системой обнаружения и ликвидации, государственным контролем (проведение плановых и внеплановых проверок субъектов КИИ), взаимодействием всех субъектов (включая информирование и методологическую поддержку).
Для владельцев объектов КИИ, конечно, важны вопросы ответственности за нарушение законодательства об обеспечении безопасности КИИ.
Такая ответственность установлена в Уголовном кодексе РФ (ч. 3, 4, 5 ст. 274.1) и предполагает санкции, в частности, за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.
В зависимости от наличия отягчающих обстоятельств наказание дифференцируется:
- от принудительных работ на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового (ч. 3 ст. 274.1 УК РФ)
- до лишения свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового (в случае совершения деяния группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения – ч. 4 ст. 274.1 УК РФ)
- либо лишения свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового (если преступные деяния, предусмотренные ч. 1, 2, 3 или 4 ст. 274.1 УК РФ повлекли тяжкие последствия – ч. 5 ст. 274.1 УК РФ).
Следует отметить, что тяжкие последствия являются оценочной категорией для правоприменителя, их четкого определения в законодательстве не установлено. Вместе с тем в п. 19 Постановления Пленума Верховного Суда РФ от 29 ноября 2016 г. № 55 «О судебном приговоре» говорится, что выводы относительно квалификации преступления по той или иной статье уголовного закона, ее части либо пункту должны быть мотивированы судом. Признавая подсудимого виновным в совершении преступления по признакам, относящимся к оценочным категориям (например, тяжкие последствия, существенный вред, наличие корыстной или иной личной заинтересованности), суд не должен ограничиваться ссылкой на соответствующий признак, а обязан привести в описательно-мотивировочной части приговора обстоятельства, послужившие основанием для вывода о наличии в содеянном указанного признака.
Например, можно говорить о наступлении тяжких последствий, учитывая критерий массовости, т.е. когда нарушаются права и свободы большого количества субъектов права.
Свежие комментарии