Открыть сервис

Федеральный закон о безопасности КИИ

Федеральный закон о безопасности КИИ — это нормативный правовой акт Российской Федерации, устанавливающий правовые, организационные и технические основы обеспечения безопасности критической информационной инфраструктуры (КИИ) страны. Полное наименование — Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон направлен на защиту объектов КИИ от компьютерных атак, сбоев и иных угроз, которые могут привести к нарушению функционирования государственных органов, оборонной, экономической и социальной сфер.

История принятия

Необходимость разработки отдельного закона о безопасности КИИ возникла в связи с ростом числа кибератак на информационные системы государственных и стратегических объектов. До 2017 года вопросы защиты критической инфраструктуры регулировались разрозненными нормативными актами, в том числе Доктриной информационной безопасности Российской Федерации (утверждена в 2016 году) и рядом подзаконных актов. Однако отсутствие единого закона затрудняло координацию действий между ведомствами и операторами.

Законопроект был внесён в Государственную Думу в 2016 году, прошёл широкое обсуждение с участием представителей ФСБ, Минцифры, Минобороны и бизнес-сообщества. Принят Государственной Думой 12 июля 2017 года, одобрен Советом Федерации 19 июля 2017 года, подписан Президентом Российской Федерации В. В. Путиным 26 июля 2017 года. Вступил в силу с 1 января 2018 года, за исключением отдельных положений, для которых установлены иные сроки.

Основные понятия и сфера действия

Закон вводит ключевые определения, используемые в сфере безопасности КИИ:

  • Критическая информационная инфраструктура — совокупность информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления субъектов КИИ, а также сетей электросвязи, используемых для организации их взаимодействия.
  • Субъекты КИИ — государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым принадлежат объекты КИИ на праве собственности или ином законном основании и которые обеспечивают их функционирование.
  • Объекты КИИ — информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.
  • Компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации их взаимодействия, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой информации.

Сфера действия закона распространяется на все организации, признанные субъектами КИИ, независимо от их организационно-правовой формы и формы собственности. Исключение составляют объекты, деятельность которых связана с государственной тайной (регулируются отдельными законами).

Категории значимости объектов КИИ

Законом предусмотрено категорирование объектов КИИ по степени значимости. Категория присваивается в зависимости от масштаба возможных последствий нарушения функционирования объекта:

  • Первая категория — нарушение может привести к чрезвычайной ситуации федерального или межрегионального характера, либо к существенному ущербу обороноспособности и безопасности государства.
  • Вторая категория — нарушение может привести к чрезвычайной ситуации регионального или межмуниципального характера, либо к значительному ущербу экономике и социальной сфере.
  • Третья категория — нарушение может привести к чрезвычайной ситуации муниципального или локального характера, либо к ограниченному ущербу.

Объекты, не подлежащие категорированию, не относятся к объектам КИИ. Категорирование проводится субъектом КИИ самостоятельно или с привлечением специализированных организаций, после чего результаты направляются в Федеральную службу по техническому и экспортному контролю (ФСТЭК России) для включения в реестр объектов КИИ.

Требования к субъектам КИИ

Закон устанавливает ряд обязательных требований для субъектов КИИ:

Создание системы безопасности

Субъект КИИ обязан создать систему безопасности объектов КИИ, которая включает:

  • организационные и технические меры по защите информации;
  • мониторинг и выявление компьютерных атак;
  • реагирование на инциденты;
  • обеспечение непрерывности функционирования объектов.

Назначение ответственного лица

В организации должно быть назначено должностное лицо, ответственное за обеспечение безопасности объектов КИИ. В крупных организациях может создаваться структурное подразделение.

Взаимодействие с ГосСОПКА

Субъекты КИИ обязаны взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). В частности, они должны:

  • незамедлительно информировать ФСБ России о компьютерных инцидентах;
  • предоставлять доступ к информации, необходимой для расследования инцидентов.

Лицензирование и сертификация

Для осуществления деятельности по защите объектов КИИ субъекты обязаны иметь лицензию на техническую защиту конфиденциальной информации (если объект обрабатывает такую информацию). Средства защиты информации, используемые на объектах КИИ, должны проходить обязательную сертификацию в ФСТЭК России или ФСБ России.

Органы государственного регулирования

Основные органы, осуществляющие регулирование и контроль в сфере безопасности КИИ:

  • ФСТЭК России — устанавливает требования к обеспечению безопасности объектов КИИ, ведёт реестр объектов КИИ, проводит проверки.
  • ФСБ России — координирует деятельность ГосСОПКА, расследует компьютерные инциденты, выявляет угрозы.
  • Минцифры России — участвует в разработке нормативных правовых актов, координирует вопросы информационной безопасности.

Ответственность за нарушение требований

Закон предусматривает административную и уголовную ответственность за нарушение требований безопасности КИИ:

  • Административная ответственность (КоАП РФ, статья 13.12.1) — штрафы для должностных лиц от 10 до 50 тысяч рублей, для юридических лиц — от 100 до 500 тысяч рублей. За повторное нарушение — до 1 миллиона рублей.
  • Уголовная ответственность (УК РФ, статья 274.1) — за неправомерное воздействие на объекты КИИ, повлёкшее тяжкие последствия, предусмотрено лишение свободы на срок до 10 лет.

Критика и обсуждение

Закон № 187-ФЗ вызвал неоднозначную реакцию в профессиональном сообществе. Основные замечания:

  • Высокие затраты на внедрение — для многих организаций, особенно среднего и малого бизнеса, выполнение требований закона требует значительных финансовых вложений на закупку сертифицированных средств защиты и проведение работ.
  • Сложность категорирования — процедура категорирования объектов КИИ не всегда однозначна, что приводит к спорам с контролирующими органами.
  • Отсутствие чётких критериев — в первые годы действия закона не были до конца проработаны методики оценки значимости объектов, что вызывало правовую неопределённость.
  • Риски избыточного регулирования — некоторые эксперты отмечали, что требования могут быть избыточными для объектов третьей категории, создавая излишнюю бюрократическую нагрузку.

Вместе с тем, закон признаётся важным шагом в укреплении кибербезопасности страны, особенно в условиях роста геополитической напряжённости и увеличения числа компьютерных атак на российские объекты.

Источники

  1. Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Кодекс Российской Федерации об административных правонарушениях (статья 13.12.1).
  3. Уголовный кодекс Российской Федерации (статья 274.1).
  4. Приказы ФСТЭК России, устанавливающие требования к обеспечению безопасности объектов КИИ.
  5. Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 5 декабря 2016 года № 646).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →