Защиту критической инфраструктуры от кибератак поручат ФСБ

Софт Безопасность Бизнес Интеграция ИТ в госсекторе
мобильная версия
, Текст: Игорь Королев

Госдума одобрила во II чтении законопроект «О безопасности критической информационной инфраструктуры». ФСБ будет вести реестр операторов объектов критической инфраструктуры, собирать информацию об атаках на них и внедрять на их сетях системы защиты от атак.


Госдума одобрила законопроект о критической инфраструктуре

Государственная Дума приняла во II чтении закон «О безопасности критической информационной инфраструктуры». Документ был разработан Федеральной службой безопасности (ФСБ) и внесен в Думу правительством в декабре 2016 г. В январе 2017 г. законопроект был одобрен в I чтении.

Документ предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацинные ресурсы России (ГосСОПКА), Система должна обеспечивать сбор и обмен информацией о компьютерных атаках.

Президент Владимир Путин еще в 2013 г. поручил ФСБ заняться созданием данной системы. Из этого можно сделать вывод, что после принятия нынешнего законопроекта ФСБ будет назначено уполномоченным органом по обеспечению работы данной системы.

ГосСОПКА уже работает — в частности, к ней подключались подрядчики недавно прошедшего Кубка Конфедераций по футболу. Но нормы об обязательном подключении к системе до сих пор не было.

Депутаты поручили ФСБ защитить критическую инфраструктуру от компьютерных атак

Кроме того, Президенту необходимо будет определить уполномоченный орган обеспечение безопасности критической информационной инфраструктуры. Подготовкой соответствующего указа займутся ФСБ и Федеральная служба технического и экспортного контроля (ФСТЭК). Собеседники CNews на рынке информационной безопасности считают, что таковым уполномоченным органом станет ФСБ.

Кого будут контролировать спецслужбы

Субъектами критической информационной инфраструктуры станут госорганизации, юридические лица и индивидуальные предприниматели, которые владеют или арендуют информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления из определенного перечня отраслей.

В списке затронутых сфер оказались энергетика, транспорт, связь, наука, здравоохранение, топливно-энергетический комплекс, банковская и иные финансовые сектора, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Субъекты критической инфраструктуры (СКИ) должны будут создать системы безопасности на основе разработанных государством требований. Также СКИ должны будут незамедлительно сообщать в ГосСОПКА о компьютерных атаках на них, принимать указанные уполномоченными органами меры по отражению атак и допускать до своих объектов сотрудников спецслужб.

В случае атаки на объекты финансового сектора необходимо будет ставить в известность еще и Центробанк. Для координации деятельности СКИ по отражению компьютерных атак ФСБ создаст Национальный координационный центр по компьютерным инцидентам.

Реестр критической инфраструктуры

У ФСБ появится возможность устанавливать в системы СКИ средства обнаружения и защиты от компьютерных атак, В том числе такие средства будут устанавливаться и на сети электросвязи, обеспечивающие функционирование объектов критической инфраструктуры. С этой целью будут приняты специальные поправки в закон «О связи».

Орган, уполномоченный на обеспечение безопасности критической информационной инфраструктуры, будет вести реестр СКИ. Данный реестр буде собирать информацию для ГосСОПКА.

При внесении СКИ в реестр будет определяться категория его значимости — от первой до третьей. Категория будет присваиваться, исходя из экономической, социальной, политической, экологической значимости данного объекта, а также с учетом его значимости для обороны. Например, по мнению замначальника центра ФСБ Николая Мурашова, к объектам СКИ явно будет отнесен создаваемый в России при участии Минфина информационный ресурс, аккумулирующему сведения обо всем населении страны, потому что его выход из строя может повлечь серьезные последствия.

Уполномоченный орган получит возможность проведения плановых и внеплановых проверок СКИ, внесенных в реестр.

Уголовное наказание за атаки на объекты критической инфраструктуры

Одновременно в Уголовный кодекс вносятся поправки об усилении наказания за причинения вреда объектам критической информационной инфраструктуры (КИИ). Создание программ для ЭВМ, которые заведомо предназначены для неправомерного доступа к объектам КИИ, будет наказываться принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до пяти лет со штрафом в размере от 600 тыс. до 1 млн руб.

Неправомерный доступ к охраняемой законом компьютерной информации, хранящейся в объектах КИИ, будет наказывать принудительными работами на срок до пяти лет со штрафом на сумму от 500 тыс. до 1 млн руб. и ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до шести лет со штрафом в размере от 500 тыс. до 1 млн руб.

Нарушения правил эксплуатации средств хранения, обработки и передачи информации из объектов КИИ или автоматизированных сетей управления и сетей связи, отнесенных к КИИ, будут наказываться принудительными работами на срок до пяти лет с лишением права занимать определенные должности на срок до трех лет, либо лишением свободы на срок до шести лет с лишением права занимать определенные должности на срок до трех лет. 

Участники рынка в целом довольны

Источник CNews на телекоммуникационном рынке считает данный законопроект «весьма сбалансированным». «В документе речь идет о защите только объектов критической инфраструктуры, где происходит массовое скопление людей или электроэнергии, — говорит собеседник издания. — Операторам критической инфраструктуры придется потратиться на интеграцию с ГосСОПКА, но это незначительные затраты на фоне «закона Яровой». Правда, в законопроекте есть и перегибы, например, уголовная ответственность для операторов критической инфраструктуры».