УДК 340
Талипова Ляйсан Ринатовна
юрисконсульт,
Салым Петролеум Девелопмент Н.В. [email protected]
Lyaysan R. Talipova
Legal Counsel,
Salym Petroleum Development N.V. [email protected]
Концептуальные основы
правовой регламентации критической информационной инфраструктуры в российской федерации
Conceptual bases of
legal regulation of critical information infrastructure in the russian federation
Аннотация. В данной статье проанализированы законодательные новшества Российской Федерации в области безопасности критической информационной инфраструктуры. Рассмотрена система нормативно - правовых актов, дополняющих Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Определены основные положения данных документов, выделены направления, требующие дальнейшего усовершенствования и более детальной регламентации, с учётом их практической реализации. Дана авторская оценка законотворческой деятельности, в отношении информационной безопасности.
Ключевые слова: Информация, информационная безопасность, критическая информационная инфраструктура, киберпреступность.
Annotation. In this article, the legislative innovations of the Russian Federation in the field of security of critical information infrastructure are analyzed. The system of normative legal acts supplementing the Federal Law of July 26, 2017 № 187-FZ «On the Security of the Critical Information Infrastructure of the Russian Federation» is considered. The main provisions of these documents are defined, directions are identified that require further improvement and more detailed regulation, taking into account their practical implementation. Author's assessment of lawmaking activity regarding information security is given.
Keywords: Information, information security, critical information infrastructure, cybercrime.
«Кто владеет информацией, тот владеет миром». Эта знаменитая фраза братьев Ротшильдов в современных реалиях не просто продолжает быть ,
, -
ры и социальные сети способствуют молниеносной ,
,
повлиять как на выбор ими определённого товара , , -
но предположить исходя из недавнего крупного скандала, связанного с передачей данных социальной сети Facebook британской компании
Cambridge Analytica.
, -
сурсом наряду с полезными ископаемыми или
, ,
вопрос о её защите правовыми средствами и, ,
неправомерно на неё посягающих.
В Российской Федерации нормативно-правовая база в области информационной безопасности находится на этапе своего активного становления, и, в первую очередь, следует отметить
необходимость усиления эффективности в части уголовно-правовой охраны информационной безопасности.
Определённые шаги в этом направлении уже .
С 1 января 2018 г. вступил в силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1].
Исходя из специфики объекта правового регулирования, данный закон не является единственным в указанном правоотношении и уже сейчас
дополняется разнообразными нормативными ,
отдельные его положения.
Порядок ведения реестра значимых объектов критической информационной инфраструктуры (далее - «КИИ») вступил в силу 20 февраля 2018 г [5].
Документ содержит продублированные положения Закона о КИИ, а также некоторые техниче-
ские вопросы ведения реестра. Установлен также срок внесения сведений в реестр - 30 дней с момента получения сведений Федеральной службой по техническому и экспортному контролю (далее - «ФСТЭК России»). В то же время документ не предусматривает внесение в реестр значимых объектов КИИ сведений о разработчике объекта КИИ.
С 21 февраля 2018 г. начали действовать Правила категорирования объектов КИИ [3], которые, в частности, устанавливают для субъектов КИИ ряд обязанностей. Так, руководитель субъекта КИИ должен создать комиссию, которая подготавливает перечень объектов КИИ и присваивает объектам категории. Эти категории зависят от тех негативных социальных, экономических или иных последствий, к которым может привести нарушение процессов, осуществляемых .
быть согласован с уполномоченным органом. После категорирования объектов КИИ сведения об этом направляются в ФСТЭК России и определяются меры по защите объектов КИИ.
С 1 марта 2018 г. вступили в силу Правила госконтроля обеспечения безопасности значимых [2].
Плановые проверки по этим Правилам будут проводиться не ранее чем через три года с даты внесения сведений об объекте КИИ в реестр . -можны внеплановые проверки, о которых субъект проверки будет уведомлен не менее чем за 24 часа до их начала. Внеплановую проверку можно ожидать и без предупреждения, в случае если возникнет компьютерный инцидент на значимом объекте КИИ.
В Законе о КИИ под компьютерным инцидентом понимается факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
С 5 марта 2018 г. начали реализовываться Требования к созданию систем безопасности значи-[4].
В соответствии с данным документом руководитель субъекта КИИ должен назначить лицо, обеспечивающее безопасность объектов КИИ (или лич-
), -
ное подразделение по безопасности, обеспечить разработку правил безопасности и выполнение пользователями разработанных правил.
Определены требования к программному обеспечению и программно-аппаратному комплексу.
Литература:
1. Федеральный закон от 26.07.2017 № 187-ФЗ «
Установлен целый комплекс требований к организационно-распорядительным документам по безопасности, которые должны быть разработаны и утверждены субъектом КИИ.
,
26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», понимаются объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Однако данная формулировка является несколько обобщённой и не позволяет составить закрытый перечень обязанных лиц. Первым критерием признания лица субъектом КИИ названо наличие у него информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления или обеспечение им поддержки таких систем. Второй критерий отнесения к субъектам КИИ - деятельность в определенной отрасли экономики.
К таковым объектам КИИ можно отнести: здравоохранение, науку, транспорт, связь, энергетику, банки и различные сферы финансового рынка, ТЭК, деятельность в области атомной энергии, оборонной, ракетно-космической, горнодо-,
.
Тем не менее, федеральное законодательство и подзаконные акты не предусматривают четкое определение владельца объекта КИИ в случае использования объекта КИИ несколькими субъектами в процессе хозяйственной деятельности, например, в случае предоставления услуг об.
воздействия на объекты КИИ к ответственности могут быть привлечены как и облачные провайдеры, так и субъекты, пользующиеся услугами по сервисной модели.
Подводя итоги проведённого исследования можно сделать вывод о том, что в настоящее время проблема информационной безопасности является как никогда актуальной и требует детального подхода к её решению.
В первую очередь, он должен включать в себя должное интегрированное нормативно - правовое регулирование сферы использования, хранения и передачи критической информации.
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «
инфраструктуры Российской Федерации» выступает эффективной законодательной инициативой, поскольку является узко-отрастгевым и с помощью детализации в отдельных правовых документах позволит охватить большой объём вопросов, прежде всего в, части освящения технических моментов борьбы с киберпреступностью.
Literature:
1. Federal Law of July 26, 2017 № 187-FZ «On the Security of the Critical Information Infra-
инфраструктуры Российской Федерации». URL: http://www.consultant.ru/
2. Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». URL: http:// www.consultant.ru/
3. Постановление Правительства РФ от 08.02. 2018 г. № 127 «Об утверждении Правил катего-рирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». URL: http://www.consultant.ru/
4. Приказ ФСТЭК России от 21.12.2017 г. № 235 «
безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования». URL: http://www.consultant.ru/
5. Приказ ФСТЭК России от 06.12.2017 г.№ 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации». URL: http://www.consultant.ru/
structure of the Russian Federation». URL: http:// www.consultant.ru/
2. Decree of the Government of the Russian Federation № 162 of 17.02.2018 «On Approving the Rules for the Implementation of State Control in the Sphere of Ensuring the Security of Significant Objects of the Critical Information Infrastructure of the Russian Federation». URL: http://www. consult-ant.ru/
3. Decree of the Government of the Russian Federation of 08.02. 2018 № 127 «On the Approval of the Rules for categorizing the objects of the critical information infrastructure of the Russian Federation, as well as the list of indicators of criteria for the significance of critical information infrastructure facilities of the Russian Federation and their meanings». URL: http://www. consultant.ru/
4. Order FSTEC of Russia of December 21, 2017 № 235 «On Approving the Requirements for the Creation of Security Systems for Significant Objects of the Critical Information Infrastructure of the Russian Federation and Ensuring Their Functioning». URL: http://www.consultant. ru/
5. Order FSTEC of Russia from 06.12.2017 № 227 «On approval of the order of keeping the register of significant objects of critical information infrastructure of the Russian Federation». URL: http://www. consultant.ru/