Исполнение закона о КИИ: первая практика

Дата публикации: 12 января 2024

Вадим Владимирович Петров
Ведущий эксперт по защите информации

177

Закон о критической информационной инфраструктуре действует уже полгода, однако большинство владельцев объектов КИИ до сих пор находятся в начальной стадии его исполнения: проводят категорирование. Проблемы, о которых мы писали ранее, несмотря на разъяснения и конференции с участием ФСТЭК, остались те же: многие не знают, являются ли они субъектами КИИ, как определить этот момент, с чего начать при определении значимости объектов и создании защищённой информационной системы.

Статья по теме: Закон о КИИ вступил в силу: проблемы исполнения

Законодательная база

Помимо федерального законодательства разъяснить спорные вопросы призваны подзаконные акты, которых в сфере обеспечения безопасности КИИ уже более 18. Эксперты на конференциях и в профильных интернет-ресурсах активно обсуждают способы практической реализации требований регулятора. Однако пробелы и неоднозначности законодательства неизбежно влекут ряд проблем для субъектов КИИ.

Срок исполнения

Проектом приказа регулятора на определение перечня объектов КИИ отводилось полгода. На вопросы исполнителей представители ФСТЭК утверждают, что категорирование должно быть завершено до конца 2018 года. Однако конкретный срок окончания категорирования официально нигде не фигурирует. Будут ли применяться санкции к тем, кто не уложится в срок? Точного ответа никто не даёт.

Крупные компании, государственные органы и организации, где объекты КИИ явно присутствуют, уже начали работы по определению информационных систем, подпадающих под законодательство, определению их значимости. Для них это не столь ощутимо в финансовом плане, как для представителей малого и среднего бизнеса. Последние же заняли выжидательную позицию: ожидают, когда сложится практика определения и категорирования объектов, а также пытаются выяснить, относятся ли они к субъектам КИИ и нужно ли проводить вышеуказанные работы.

Госорганы и подотчётные организации сразу столкнулись с проблемой: множество информационных систем в филиалах и подразделениях, каждую нужно изучить и выявить именно значимые объекты, определить, являются ли проводимые процессы критическими и т. д. Выполнить это своими силами довольно проблематично, поэтому к работе привлекаются компании с лицензией ФСТЭК на техническую защиту информации.

Если обслуживание ИС на аутсорсинге

Кто несёт ответственность за защиту информационной системы, отнесённой к КИИ, если ИС обслуживается сторонней организацией по договору? Это важный момент, ведь в случае ненадлежащего исполнения обязанностей по технической защите КИИ, ответственного могут привлечь к уголовной ответственности по ст. 274.1 УК РФ (наказание по ней — до 10 лет лишения свободы).

Статья по теме: уголовная ответственность за нарушение закона о КИИ ФЗ-187

Представители ФСТЭК пока не комментируют данный вопрос. Мнения специалистов разделились.

Представители обслуживающих компаний указывают, что их ответственность ограничивается тем, что прописано в договоре. Оператор, который взял ИС на сервисное обслуживание, может им не знать, для каких целей используется инфраструктура. Кроме того, согласно ФЗ-187 ответственным за надлежащее обеспечение технической защиты информации, в том числе за выбор сервисной организации, является тот, кому принадлежит информационная система, т. е. субъект КИИ. Однако владелец может указать в договоре особые условия, например, соответствие защиты требованиям ФЗ-187, сроки и регламенты инспекции соблюдения таких требований.

Иной подход к определению ответственности предлагается в случае, если ИС передана в непрофильное подразделение крупной компании, по сути — информационная инфраструктура находится на балансе самостоятельного юридического лица. Таким образом работа в критически важной отрасли ведётся одной компанией, а информационное обслуживание данной деятельности — другой. Например, ООО с лицензией ФСБ на гостайну передаёт электронный документооборот на аутсорс в 1 отдел другой компании. Формально первая фирма избавлена от ответственности и обязанностей по категорированию и обеспечению надлежащей защиты ИС, а владельцем инфраструктуры является вторая фирма.

Однако специалисты отмечают, что такой формальный подход чреват затяжными судебными процессами, ведь суть не меняется — информационное обслуживание неотделимо от самой деятельности, и к ответственности будут привлечены как организация, ведущая основную деятельность, так и организация, обслуживающая информационную систему.

Субъект или не субъект?

Учитывая, что владельцы информационной инфраструктуры самостоятельно должны определить, относятся ли они к субъектам КИИ, многие предпочли указать, что таковыми не являются, тем самым исключив себя из-под действия ФЗ-187.

Однако ст. 274.1 УК РФ распространяется даже на тех владельцев ИС, которые не провели категорирования и не считают себя субъектами КИИ. Достаточно того, что ФСБ как орган, призванный расследовать преступления по вышеуказанной статье, сочтёт инфраструктуру критической, действующей в рамках закона № 187-ФЗ, а её владельца — надлежащим субъектом КИИ. Возражения владельца при этом особой роли не играют.

Многие предпочитают дождаться разъяснений ФСТЭК, а также первой судебной практики по данному закону и статье УК РФ. Однако сам регулятор подчёркивает, что его задача — выстроить максимально защищённую информационную инфраструктуру на особо значимых объектах, а не наказать их владельцев. В качестве примера приводит банковскую сферу, где сначала тоже пришлось принудительно обязывать владельцев уделить повышенное внимание вопросам защиты информации и компьютерных систем, а сейчас их инфраструктура — наиболее защищённая, способная устоять перед серьёзными кибератаками и попытками взлома или несанкционированного проникновения, а также одна из немногих, кто не пострадал от действий хакеров, запустивших в 2017 году в сеть всемирно известные вирусы-шифровальщики.

Есть вопросы по оформлению лицензий ФСБ или ФСТЭК на защиту информации? Звоните, поможем!

Нужна косультация по новости?

Проконсультироваться