Административная эпоха КИИ
Административная эпоха КИИ
В самом начале лета 6 июня тихо вступил в силу закон № 141-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях” [1], который является новым этапом развития законодательства в области защиты КИИ. Как отметил в своем личном блоге специалист по защите информации в ДИТ Москвы Валерий Комаров [2]: «Мы вступили в новую эпоху обеспечения безопасности КИИ РФ, часть нарушений субъектом КИИ требований закона №187-ФЗ теперь официально относится к правонарушениям и влечет “наказание рублем”». Теперь за нарушение требований закона №187-ФЗ «О безопасности КИИ» может быть назначен штраф, а ФСТЭК и НКЦКИ официально стали органами, которые могут предъявлять обвинения за несоблюдение этих требований.
Законодательная новелла
Закон №141-ФЗ вносит в КоАП новую статью №13.12.1: «Нарушение требований в области обеспечения безопасности КИИ РФ». Она предполагает штрафы на должностных лиц в размере от 10 тыс. до 50 тыс. руб., а также на юридических лиц – от 50 тыс. до 500 тыс. руб. В качестве состава преступления указываются три нарушения: требований к созданию систем безопасности значимых объектов КИИ (ЗОКИИ), порядка информирования о компьютерных инцидентах и порядка обмена информацией о компьютерных инцидентах между субъектами КИИ. Указанные законодательные требования были приняты на уровне приказов ФСТЭК и ФСБ.
Также в КоАП внесена статья №19.7.15: «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ». Правда, она выступает в силу с 1 сентября 2021 года, но порядок штрафов у этой статьи такой же, как и у ст. №13.12.1. Здесь составов два: нарушение сроков представления в ФСТЭК сведений о результатах присвоения объекту КИИ РФ одной из категорий значимости и непредставление или нарушение порядка либо сроков представления в ГосСОПКА сведений о инцидентах. Срок категорирования, определенный поастановлением Правительства РФ №127-ПП, составляет 1 год со дня подачи перечня объектов КИИ, а требования по срокам информирования – определены приказом ФСБ №368.
Также в КоАП внесена ещё две статьи: №23.90 и №23.91, которые дают ФСТЭК и ФСБ соответственно права наказывать за нарушение собственных приказов в части КИИ – теперь штрафы могут выписываться не через Прокуратуру, как это было ранее, но напрямую – соответствующими ведомствами и их территориальными представительствами. Фактически этот закон завершает процесс обеспечения государственных органов всем необходимым для принуждения владельцев ЗОКИИ к соблюдению требований безопасности и информировании о инцидентах НКЦКИ.
Необходимость защиты КИИ
Сейчас экономика все больше зависит от цифровых активов и сервисов. Критическая инфраструктура – это те отрасли, которые являются ключевыми для развития всей экономики страны – банки, телеком, промышленность, ОПК, космическая отрасль и множество других. Если не обеспечить защиту для предприятий из этих отраслей, то и вся экономика России может пострадать. Поэтому давление государства на предприятия из этих отраслей вполне закономерно – правительство отвечает за стабильное развитие экономики.
Это же мнение подтверждают и эксперты. Так генеральный директор компании ИВК Григорий Сизоненко поддерживает новый закон. «Введение штрафов за нарушения при обеспечении безопасности ЗОКИИ – мера вынужденная и правильная, – считает он. – Поскольку сегодня практически все деловые процессы госсектора и бизнеса переведены «на цифру», то ужесточение требований к безопасности их ИТ-инфраструктуры является вполне логичным. Здесь нет мелочей, которыми можно пренебречь. Каждый просчет может оборачиваться не только угрозой для самой организации-владельца КИИ, но и косвенно «ударить» по множеству субъектов КИИ».
Обмен информацией о компьютерных инцидентах важен не только для субъектов КИИ и специалистов по информационной безопасности, но и для совершенствования программного обеспечения. Сведения об уязвимостях необходимы в том числе для наполнения базы данных угроз и уязвимостей, которую ведет ФСТЭК. А она является основной для разработчиков российских информационных технологий и программных продуктов в качестве основы отправной точки для безопасной разработки ПО и решений. «Могу привести в пример опыт ИВК и наших коллег, которые разрабатывают российское ПО, – продолжает Григорий Сизоненко. – Мы уделяем огромное внимание выявлению и максимально быстрому устранению уязвимостей в наших программных продуктах. Более того, совместно с коллегами из ИСП РАН и «Базальт СПО» мы разработали и развиваем методы, инструменты и организационные подходы безопасной разработки. Они позволяют выявлять потенциальные уязвимости программных продуктов уже на стадии их разработки».
Собственно, примеры последнего времени показывают важность обеспечения безопасности критических инфраструктур. Инциденты с Colonial Pipeline и JBS USA показывают, что коммерческие вредоносные компании уже сейчас могут причинить вред целым индустриям и отрицательно сказываться на экономики страны в целом. В то же время в России пока настолько серьезных инцидентов зафиксировано не было. Но, наоборот, становятся достоянием общественности случаи успешного отражения хакерских атак коммерческими SOC, входящими в систему ГосСОПКА. Государство со своей стороны построило необходимую инфраструктуру защиты, поэтому и рассчитывает на реакцию со стороны владельцев объектов КИИ – без их участия сложно будет защититься от нападения. Чтобы их все-таки стимулировать и пришлось вносить изменения в КоАП, завершив тем самым построение на законодательном уровне государственной системы защиты. Теперь дело за правоприменением принятых норм.
[1] http://publication.pravo.gov.ru/Document/View/0001202105260038
[2] https://valerykomarov.blogspot.com/2021/06/blog-post_7.html