Проблемы закона о безопасности критической информации

Вадим Владимирович Петров
Количество просмотров132

федеральный закон о критической информационной инфраструктуре

Остался месяц до вступления в силу нового закона о безопасности критической информационной инфраструктуры РФ, но вокруг него по-прежнему много неясностей, касающихся его исполнения. Какие именно информационные системы будут подпадать под регулирование, кто станет субъектом КИИ, и как провести категорирование объектов при столь размытых формулировках закона.

Какие объекты отнесут к КИИ?

Прежние результаты правотворческой работы ФСТЭК отличались большей конкретикой. Так, приказ 31 ясно очертил границы применения: это АСУ и информационные системы, обслуживающие критически важные и потенциально опасные объекты. При этом есть точные критерии отнесения объектов к данным типам, ведется их реестр, есть указание на то, что приказ не регулирует ИС, где обрабатывается гостайна. Приказ № 17 также не вызывает особых вопросов: чётко определена сфера применения требований, есть перечень государственных информационных систем, нет обработки гостайны.

В случае с Федеральным законом о КИИ всё иначе. Дано определение критической информационной инфраструктуры — это объекты КИИ а также электросети, используемые для передачи данных между ними. Идём смотреть, что относится к таким объектам — и видим, что по определению закона все информационные системы, системы телекоммуникации и автоматизированного управления подпадают под требования закона 189-ФЗ, если принадлежат субъекту КИИ.

Проблема заключается в том, что по смыслу закона в существующей редакции все информационные системы, будь то программа 1С:Склад или портал организации для внутренних коммуникаций между сотрудниками будут относиться к КИИ, которым необходимо обеспечить повышенную безопасность. И не важно, что уязвимость данных программ никак прямо не влияет на управление важными и потенциально опасными процессами и не может повлечь наступления тяжких последствий и не влияют на безопасность людей или экологии, главное — их принадлежность определенному субъекту.

Кто является субъектом КИИ?

В законе о безопасности критической информационной инфраструктуры вроде бы определен круг субъектов:

закон о безопасности КИИ

И если с госорганами и учреждениями всё понятно, то как разграничить остальные компании и ИП на субъекты и не-субъекты КИИ? В статье есть попытка выделить их за счет отнесения к сферам и областям, либо жизненно важным для людей, либо потенциально опасным для людей и экологии (в случае нарушения безопасности и вмешательства в ИС с противоправной целью).

Можно попытаться выделить субъектов по наличию одновременно следующих признаков:

  • владеет АСУ или ИС на праве собственности, аренды или ином законном основании;
  • относится к одной из вышеназванных сфер деятельности.

Получается, что отнесение системы к КИИ будет зависеть не от назначения, важности и потенциальной опасности, а от принадлежности к одной из 13 отраслей, перечисленных в Федеральном законе о КИИ. И эта формулировка также создает ряд вопросов:

  1. Как и кто будет определять, относится ли компания или ИП к той или иной отрасли? Некоторые специалисты предполагают, что отнести ту или иную компанию к представителю отрасли можно будет по наличию/отсутствию лицензии на определенную деятельность.
  2. Почему к критической информационной инфраструктуре решили отнести лишь ИС и АСУ, обеспечивающие технологические и производственные процессы в важных сферах: атомной, оборонной, горнодобывающей и т.д., но не приняли во внимание другие ИС, применяемые, например, в сфере обороны и обеспечения правопорядка?
  3. Как будет регулироваться использование информационных систем или обеспечение взаимодействия между ними, если данные ИС и системы связи не находятся во владении субъектов, перечисленных выше, а, например, используются на условиях аутсорсинга?

Специалисты считают, что закон о безопасности критической информационной инфраструктуры в том виде, в каком он вступит в силу, исполнить будет проблематично. По смыслу определений, данных в 1 статье, под действие закона попадают практически все ИС, прямо или косвенно связанные с указанными сферами. Как именно отнести компанию или деятельность к перечисленным сферам — тоже неясно.

Есть риск, что регулятор будет трактовать положения Федерального закона о КИИ на свое усмотрение, пока не будет выработана единая практика или не приняты поправки и уточнения к закону. Между тем, обеспечение безопасности объектов по закону о безопасности критической информационной инфраструктуры предполагает не только оформление лицензии ФСТЭК на работу с такими ИС, но и ряд дополнительных требований, постоянные проверки со стороны контролирующих органов, а это — дополнительные затраты и «постоянная боевая готовность» IT-отделов. Пока представители ФСТЭК никак не комментируют пробелы и не состыковки законодательства.

Задать вопрос
Нужна косультация по новости?

Оставить комментарий