2 августа 2019 , Бюджеты субъектов Федерации. Межбюджетные отношения Президент России подписал разработанный Правительством Федеральный закон, направленный на совершенствование системы межбюджетных отношений Федеральный закон от 2 августа 2019 года №307-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 24 октября 2018 года №2288-р. Федеральным законом уточняются условия и порядок распределения и предоставления межбюджетных трансфертов. Уточняются положения, регулирующие вопросы предоставления субвенций бюджетам субъектов Федерации из федерального бюджета, в том числе в форме единой субвенции.
2 августа 2019 , Демографическая политика Президент России подписал разработанный Правительством Федеральный закон об изменении порядка установления ежемесячной выплаты в связи с рождением или усыновлением первого или второго ребенка Федеральный закон от 2 августа 2019 года №305-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 28 мая 2019 года №1092-р. Федеральным законом изменяется критерий нуждаемости, в соответствии с которым гражданам будет назначаться ежемесячная выплата в связи с рождением (усыновлением) первого или второго ребенка. С 1 января 2020 года право на получение такой выплаты получат семьи, у которых размер среднедушевого дохода не будет превышать двукратную величину прожиточного минимума трудоспособного населения, установленную в субъекте Федерации. Кроме того, такая ежемесячная выплата будет производиться гражданам до достижения ребенком возраста трех лет.
2 августа 2019 , Оборот лекарств, медицинских изделий и субстанций Президент России подписал Федеральный закон об уточнении норм, касающихся обращения лекарственных средств для ветеринарного применения Федеральный закон от 2 августа 2019 года №297-ФЗ. Федеральным законом, в частности, Россельхознадзор наделяется правом на проведение контрольной закупки лекарственных препаратов для ветеринарного применения, находящихся в обращении. Минсельхоз России наделяется полномочиями по утверждению порядка назначения лекарственных препаратов для ветеринарного применения, утверждению формы рецептурных бланков на эти лекарственные препараты, порядка их учета и хранения.
2 августа 2019 , Антитеррористическая безопасность Президент России подписал разработанный Правительством Федеральный закон об изменениях в правовом регулировании вопросов обеспечения транспортной безопасности Федеральный закон от 2 августа 2019 года №270-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 21 марта 2015 года №469-р. Федеральным законом, в частности, устанавливается, что в число основных задач обеспечения транспортной безопасности входит категорирование объектов транспортной инфраструктуры, а также оценка уязвимости объектов транспортной инфраструктуры, подлежащих категорированию, и судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами.
2 августа 2019 , Общие вопросы промышленной политики Президент России подписал разработанные Правительством федеральные законы о совершенствовании механизма специальных инвестиционных контрактов Федеральные законы от 2 августа 2019 года №290-ФЗ, №269-ФЗ. Проекты федеральных законов были внесены в Госдуму распоряжениями Правительства от 13 апреля 2019 года №722-р, №723-р. В целях развития высокотехнологичного производства и совершенствования механизма заключения СПИК, уточняются требования к контракту и его сторонам, предмет и содержание, порядок заключения, изменения, расторжения и прекращения действия контракта. Для налогоплательщиков – участников СПИК налоговая ставка налога на прибыль организаций, подлежащего зачислению в федеральный бюджет, устанавливается в размере 0%.
2 августа 2019 , Налоги и неналоговые платежи. Финансовая отчётность и аудит Президент России подписал Федеральный закон о расширении списка продовольственных товаров, облагаемых НДС Федеральный закон от 2 августа 2019 года №268-ФЗ. В список продовольственных товаров, облагаемых налогом на добавленную стоимость при их реализации по налоговой ставке 10%, включаются фрукты и ягоды, в том числе виноград.
2 августа 2019 , Земельные отношения. Кадастровая система. Недвижимость. Оценочная деятельность Президент России подписал Федеральный закон об уточнении порядка оформления прав на садовые дома и другие объекты недвижимости Федеральный закон от 2 августа 2019 года №267-ФЗ. До 1 марта 2021 года допускается проведение государственного кадастрового учета или регистрации прав на жилой или садовый дом, созданный на земельном участке, предназначенном для ведения садоводства, на основании только технического плана, подготовленного в соответствии с декларацией об объекте, составленной владельцем земельного участка, и правоустанавливающего документа на земельный участок, если в Едином государственном реестре недвижимости не зарегистрировано право заявителя на земельный участок, на котором расположен этот объект недвижимости.
2 августа 2019 , Денежно-кредитная политика. Финансовые рынки Президент России подписал Федеральный закон об уточнении требований к иностранным платежным системам Федеральный закон от 2 августа 2019 года №264-ФЗ. Федеральным законом устанавливаются требования к иностранным платежным системам, функционирующим в России, и к правилам иностранной платежной системы, включая систему управления рисками и требования к защите информации.
2 августа 2019 , Деловая среда. Развитие конкуренции Президент России подписал Федеральный закон о правовом регулировании деятельности операторов инвестиционных платформ Федеральный закон от 2 августа 2019 года №259-ФЗ. Федеральным законом регулируются отношения, возникающие в связи с инвестированием и привлечением инвестиций с использованием инвестиционных платформ, а также устанавливаются правовые основы деятельности операторов таких платформ. При этом под инвестиционной платформой понимается информационная система в интернете, которая используется для заключения договоров инвестирования.
Президент России подписал Федеральный закон об изменениях в законодательстве в сфере энергосбережения и повышения энергетической эффективности Федеральный закон от 26 июля 2019 года №241-ФЗ. Федеральным законом в отношении многоквартирных домов, физический износ основных конструктивных элементов которых превышает 70% и которые не включены в региональную программу капремонта общего имущества, а также в отношении домов, включенных в программу реновации, исключаются требования по обязательному учёту производимых, передаваемых, потребляемых энергетических ресурсов с применением приборов учёта. 1Статья 1. Сфера действия настоящего Федерального закона
Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
Для целей настоящего Федерального закона используются следующие основные понятия:
1) автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
2) безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
3) значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
4) компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;
5) компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;
6) критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Статья 3. Правовое регулирование отношений в области обеспечения безопасности критической информационной инфраструктуры
1. Отношения в области обеспечения безопасности критической информационной инфраструктуры регулируются в соответствии с Конституцией Российской Федерации, общепризнанными принципами и нормами международного права, настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами.
2. Особенности применения настоящего Федерального закона к сетям связи общего пользования определяются Федеральным законом от 7 июля 2003 года N 126-ФЗ "О связи" и принимаемыми в соответствии с ним нормативными правовыми актами Российской Федерации.
Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры
Принципами обеспечения безопасности критической информационной инфраструктуры являются:
1) законность;
2) непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти и субъектов критической информационной инфраструктуры;
3) приоритет предотвращения компьютерных атак.
Статья 5. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
1. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В целях настоящей статьи под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.
2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:
1) подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее - национальный координационный центр по компьютерным инцидентам);
3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.
3. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.
4. Национальный координационный центр по компьютерным инцидентам осуществляет свою деятельность в соответствии с положением, утверждаемым федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
5. В государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами критической информационной инфраструктуры и федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в соответствии с перечнем информации и в порядке, определяемыми федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также информации, которая может представляться иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.
6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, организует в установленном им порядке обмен информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, а также между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
7. Предоставление из государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации.
Статья 6. Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры
1. Президент Российской Федерации определяет:
1) основные направления государственной политики в области обеспечения безопасности критической информационной инфраструктуры;
2) федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
3) федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
4) порядок создания и задачи государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
2. Правительство Российской Федерации устанавливает:
1) показатели критериев значимости объектов критической информационной инфраструктуры и их значения, а также порядок и сроки осуществления их категорирования;
2) порядок осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
3) порядок подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры.
3. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации:
2) утверждает порядок ведения реестра значимых объектов критической информационной инфраструктуры и ведет данный реестр;
3) утверждает форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;
4) устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (требования по обеспечению безопасности информационно-телекоммуникационных сетей, которым присвоена одна из категорий значимости и которые включены в реестр значимых объектов критической информационной инфраструктуры, устанавливаются по согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи), а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования (в банковской сфере и в иных сферах финансового рынка устанавливает указанные требования по согласованию с Центральным банком Российской Федерации);
5) осуществляет государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также утверждает форму акта проверки, составляемого по итогам проведения указанного контроля.
4. Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:
1) вносит предложения о совершенствовании нормативно-правового регулирования в области обеспечения безопасности критической информационной инфраструктуры Президенту Российской Федерации и (или) в Правительство Российской Федерации;
2) создает национальный координационный центр по компьютерным инцидентам и утверждает положение о нем;
3) координирует деятельность субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
4) организует и проводит оценку безопасности критической информационной инфраструктуры;
5) определяет перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядок ее представления;
6) утверждает порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанный порядок по согласованию с Центральным банком Российской Федерации);
7) утверждает порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, а также порядок получения субъектами критической информационной инфраструктуры информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
8) организует установку на значимых объектах критической информационной инфраструктуры и в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры, средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
9) устанавливает требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
10) утверждает порядок, технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанные порядок и технические условия по согласованию с Центральным банком Российской Федерации).
5. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в области связи, утверждает по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, порядок, технические условия установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры.
1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.
1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;
2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;
3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;
4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;
5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.
3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.
4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.
5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.
6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.
7. В случае, если субъектом критической информационной инфраструктуры соблюден порядок осуществления категорирования и принадлежащему ему на праве собственности, аренды или ином законном основании объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.
8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.
9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.
11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.
1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;
2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;
3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.
Статья 8. Реестр значимых объектов критической информационной инфраструктуры
1. В целях учета значимых объектов критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, ведет реестр значимых объектов критической информационной инфраструктуры в установленном им порядке. В данный реестр вносятся следующие сведения:
1) наименование значимого объекта критической информационной инфраструктуры;
2) наименование субъекта критической информационной инфраструктуры;
3) сведения о взаимодействии значимого объекта критической информационной инфраструктуры и сетей электросвязи;
4) сведения о лице, эксплуатирующем значимый объект критической информационной инфраструктуры;
6) сведения о программных и программно-аппаратных средствах, используемых на значимом объекте критической информационной инфраструктуры;
7) меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры.
2. Сведения из реестра значимых объектов критической информационной инфраструктуры направляются в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
3. В случае утраты значимым объектом критической информационной инфраструктуры категории значимости он исключается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, из реестра значимых объектов критической информационной инфраструктуры.
Статья 9. Права и обязанности субъектов критической информационной инфраструктуры
1. Субъекты критической информационной инфраструктуры имеют право:
1) получать от федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, информацию, необходимую для обеспечения безопасности значимых объектов критической информационной инфраструктуры, принадлежащих им на праве собственности, аренды или ином законном основании, в том числе об угрозах безопасности обрабатываемой такими объектами информации и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах;
2) в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
3) при наличии согласия федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
4) разрабатывать и осуществлять мероприятия по обеспечению безопасности значимого объекта критической информационной инфраструктуры.
2. Субъекты критической информационной инфраструктуры обязаны:
1) незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации);
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
3) в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
3. Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 настоящей статьи, также обязаны:
1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
2) выполнять предписания должностных лиц федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта критической информационной инфраструктуры, выданные этими лицами в соответствии со своей компетенцией;
3) реагировать на компьютерные инциденты в порядке, утвержденном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;
4) обеспечивать беспрепятственный доступ должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, к значимым объектам критической информационной инфраструктуры при реализации этими лицами полномочий, предусмотренных статьей 13 настоящего Федерального закона.
Статья 10. Система безопасности значимого объекта критической информационной инфраструктуры
1. В целях обеспечения безопасности значимого объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры в соответствии с требованиями к созданию систем безопасности таких объектов и обеспечению их функционирования, утвержденными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, создает систему безопасности такого объекта и обеспечивает ее функционирование.
2. Основными задачами системы безопасности значимого объекта критической информационной инфраструктуры являются:
1) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;
2) недопущение воздействия на технические средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта критической информационной инфраструктуры;
3) восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации;
4) непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Статья 11. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры
1. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, устанавливаемые федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, дифференцируются в зависимости от категории значимости объектов критической информационной инфраструктуры и этими требованиями предусматриваются:
1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
2) принятие организационных и технических мер для обеспечения безопасности значимых объектов критической информационной инфраструктуры;
3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры.
2. Государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, могут устанавливать дополнительные требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, содержащие особенности функционирования таких объектов в установленной сфере деятельности.
Статья 12. Оценка безопасности критической информационной инфраструктуры
1. Оценка безопасности критической информационной инфраструктуры осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в целях прогнозирования возникновения возможных угроз безопасности критической информационной инфраструктуры и выработки мер по повышению устойчивости ее функционирования при проведении в отношении ее компьютерных атак.
2. При осуществлении оценки безопасности критической информационной инфраструктуры проводится анализ:
1) данных, получаемых при использовании средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе информации о наличии в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры, признаков компьютерных атак;
2) информации, представляемой субъектами критической информационной инфраструктуры и федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в соответствии с перечнем информации и в порядке, определяемыми федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными;
3) сведений, представляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, о нарушении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, в результате которого создаются предпосылки возникновения компьютерных инцидентов;
4) иной информации, получаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с законодательством Российской Федерации.
3. Для реализации положений, предусмотренных частями 1 и 2 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, организует установку в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры, средств, предназначенных для поиска признаков компьютерных атак в таких сетях электросвязи.
4. В целях разработки мер по совершенствованию безопасности критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, направляет в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, результаты осуществления оценки безопасности критической информационной инфраструктуры.
Статья 13. Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры
1. Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры проводится в целях проверки соблюдения субъектами критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, требований, установленных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Указанный государственный контроль проводится путем осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, плановых или внеплановых проверок.
2. Основанием для осуществления плановой проверки является истечение трех лет со дня:
1) внесения сведений об объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры;
2) окончания осуществления последней плановой проверки в отношении значимого объекта критической информационной инфраструктуры.
3. Основанием для осуществления внеплановой проверки является:
1) истечение срока выполнения субъектом критической информационной инфраструктуры выданного федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, предписания об устранении выявленного нарушения требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры;
2) возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры;
3) приказ (распоряжение) руководителя федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, изданный в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора об осуществлении внеплановой проверки в рамках проведения надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.
4. По итогам плановой или внеплановой проверки федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, составляется акт проверки по утвержденной указанным органом форме.
5. На основании акта проверки в случае выявления нарушения требований настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов по обеспечению безопасности значимых объектов критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выдает субъекту критической информационной инфраструктуры предписание об устранении выявленного нарушения с указанием сроков его устранения.
Статья 14. Ответственность за нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов
Нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации.
Статья 15. Вступление в силу настоящего Федерального закона
Президент Российской Федерации В. Путин
Минэкономразвития намерено запретить использование иностранного ПО и оборудования на объектах КИИ России
1 ноября 2019 года стало известно, что Минэкономразвития готовит поправки в закон «О безопасности (КИИ) », которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские . Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым , в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.
Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.
Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.
Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России , которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи . В Минкомсвязи ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО , а доля отечественных разработчиков на рынке госзакупок при этом вырастет .
Зафиксировано порядка 17 тыс. кибератак на КИИ в России
В августе 2019 года представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России . Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно -финансовые организации .
АДЭ опубликовала методические рекомендации по категорированию объектов КИИ в соответствии с №187-ФЗ
9 июля 2019 года стало известно, что Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры РФ " от 26 июля 2017 г. №187-ФЗ.
Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.
Пожелавший остаться неизвестным федеральный чиновник сказал, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы.
| При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами, |
МегаФон " сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи.
| Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов,
прокомментировал представитель пресс-службы "МегаФона" |
Представитель пресс-службы ПАО "МТС " сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов.
| Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ,
ответил представитель пресс-службы МТС |
Представитель пресс-службы "Акадо Телеком " сказал, что инициатива разработать рекомендации правильная и своевременная.
Данные о кибератаках на критические объекты в РФ утекают за рубеж. Компании нарушают закон
Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК » со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ .
Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры », компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.
Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.
В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.
Как пишет РБК, возможно, таким образом компании пытаются избежать имиджевых и финансовых потерь. Но практика отправки данных за рубеж ставит под угрозу прежде всего сами компании. Поскольку Национальный координационный центр по компьютерным инцидентам НКЦКИ, подконтрольный ФСБ, не обладает полной информацией об инцидентах, он не может адекватно реагировать на них и строить точные прогнозы по развитию ситуации, отмечают в ФСТЭК.
Закон «О безопасности критической информационной инфраструктуры» действует в России с 2018 года. Его основной целью является защита важнейших предприятий страны от кибератак .
По мнению ФСТЭК закон не работает в полную силу по нескольким причинам. Во-первых, в прошлом году ведомство уже отмечало отсутствие сведений о «критичности» своих объектов от банков и операторов связи. Во-вторых, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках данного закона, все еще не принята.
ФСБ сформулировала требования к средствам ГосСОПКА для защиты КИИ РФ
ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России
На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».
Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.
В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.
| В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, - говорится в описании проекта. |
| Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности , - отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего ». - Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае - не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого. |
Основным разработчиком проекта должен выступить ФСТЭК , однако в качестве соисполнителей указана Федеральная служба безопасности РФ .
Планируемый срок принятия законопроекта - январь 2020 года. Ознакомиться с документом можно .
ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России
Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.
В частности, предлагается дополнить пункт 31 приказа следующим абзацем:
| Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации). |
Предыдущая версия приказа таких ограничений не накладывала.
| Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, - отметил Дмитрий Гвоздев , генеральный директор компании «Информационные технологии будущего ». - В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России - это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски - слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго. |
Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы , сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.
Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.
Полный текст проекта приказа доступен по этой ссылке .
2018
За 2018 год на РФ было совершено около 4,3 млрд кибератак
«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.
Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.
Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.
Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.
Информацию о защищенности КИИ от кибератак отнесли к гостайне
Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.
Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю .
2017: Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России
Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые , транспортные , энергетические , телекоммуникационные компании , а также организации в сфере). После этого перечень объектов подается в виде уведомления во ФСТЭК России , а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.
К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.
Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.
Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.
За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.
За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.
Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.
| Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода , генеральный директор компании SEC Consult Services . - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне. » |
На сегодняшний день у субъектов КИИ уже должны быть готовы и переданы во ФСТЭК России перечни критически важных объектов. Одни компании смогут сделать это своими силами, другие могут воспользоваться услугами консалтинговых компаний и системных интеграторов. Для приведения систем защиты в соответствие Федеральному закону №187 от 26.07.2017 г. «О безопасности КИИ РФ» нужно провести обследование ИТ-инфраструктуры и запланировать организационные и технические мероприятия. Но, как водится, есть нюансы.
Введение
Еще год назад, когда речь шла о безопасности критически важных объектов, на ум приходила защита промышленных объектов, например гидроэлектростанций, и 31-й Приказ ФСТЭК России. Ситуация изменилась - на самом высшем государственном уровне было решено, что если, например, кибератака остановит на неделю работу крупного банка, то ущерб для людей будет, мягко говоря, значительным. С 1 января 2018 года вступил в силу Федеральный закон №187 от 26.07.2017 г. «О безопасности КИИ РФ» , вводящий понятие критической информационной инфраструктуры. Кто сегодня подпадает под его действие и какие меры необходимо предпринять для обеспечения безопасности в соответствии с новыми требованиями - расскажем в статье.
187-ФЗ: что такое субъекты и объекты КИИ
Согласно закона «О безопасности КИИ РФ», субъекты КИИ - это государственные органы и учреждения, коммерческие компании или ИП, которым на законных основаниях (например, на правах собственности или аренды) принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), использующиеся в определенных сферах деятельности. Эти ИС, ИТКС и АСУ закон называет объектами КИИ, а их совокупность составляет критическую информационную инфраструктуру Российской Федерации. Под ее безопасностью подразумевается состояние защищенности, обеспечивающее устойчивое функционирование при проведении компьютерных атак, а функции контроля за исполнением закона возложены на ФСТЭК России указом Президента РФ №569 от 25 ноября 2017 г. «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 » .
Кого касаются требования 187-ФЗ о безопасности КИИ
Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи. Субъектами КИИ также являются предприятия топливно-энергетического комплекса и организации из банковской и финансовой сферы.
Чтобы понять, нужно ли вам позаботиться о защите объектов КИИ, придется проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит - необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях.
Как составить перечень объектов КИИ
В первую очередь субъектам необходимо сформировать перечень объектов КИИ и провести их категорирование. Для этого создается специальная комиссия, утверждаемая приказом - в нем обязательно указывается состав комиссии, план мероприятий со сроками исполнения, а также ответственный за взаимодействие со ФСТЭК России (туда отправляется перечень объектов). Необходимо определить выполняемые субъектом КИИ управленческие, производственные, финансовые процессы и выявить среди них критические, нарушение или прекращение которых может привести к масштабным негативным последствиям. Затем нужно выявить объекты КИИ, относящиеся к критическим процессам, составить перечень подлежащих категорированию и передать его ФСТЭК в течение 5 дней с момента утверждения. Согласно решению №59 Коллегии ФСТЭК России от 24.04.2018 , сделать это нужно было до 1 августа 2018 года.
Как определить категории значимости объекта КИИ
Критерии значимости рассмотрены в постановлении Правительства РФ №127 от 08.02.2018 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» . Критериев всего пять: социальный, политический, экономический, экологический, а также обеспечение обороноспособности, безопасности государства и правопорядка. В каждом критерии выделяется четыре категории: первая (высшая), вторая, третья и самая низшая - без значимости. Последняя применяется, если показатели значимости ниже, чем в третьей категории.
Первое, что нужно сделать, проанализировать уязвимости и смоделировать действия злоумышленников, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ. В результате формируется модель угроз и модель нарушителя. После этого необходимо оценить показатели критериев значимости, установить соответствие объектов КИИ значениям этих показателей и присвоить каждому из объектов одну из категорий значимости (либо принять решения об отсутствии необходимости в присвоении категории).
Показатели значимости подробно расписаны все в том же 127-м постановлении правительства. Если взять, к примеру, социальный критерий, можно говорить об ущербе для жизни и здоровья людей. Третья категория присваивается, если в результате инцидента пострадает один и более человек, а первая - если есть риски для более чем 500 человек. Следующий показатель социального критерия - нарушение или прекращение функционирования объектов обеспечения жизнедеятельности населения. Это системы водоснабжения, канализации, теплоснабжения, очистки сточных вод и электроснабжения. Тут категории присваиваются по площади, на которой возникают нарушения. Третья категория - муниципальные образования, а первая присваивается, если происходит выход за пределы субъекта федерации.
Социальный критерий оценивается еще по нескольким показателям: транспорт, сети связи и доступ к государственным услугам. С другими критериями ситуация аналогичная - есть множество показателей, и по каждому из них мы оцениваем категории в соответствии со степенью возможного ущерба: количеству пострадавших, затронутым инцидентом территориям, времени недоступности услуг, снижению дохода, уровню вредного воздействия на окружающую среду и т. д. По результатам составляются акты категорирования объектов КИИ, которые необходимо направить в ФСТЭК в течение 10 дней после подписания (приказ ФСТЭК России №236 от 22.12.2017 «Об утверждении формы направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» ). Категорирование объектов КИИ нужно закончить до 1 января 2019 года.
Оценивая объекты КИИ, выгодно делать их разбивку: если у вас есть один большой объект с множеством критичных систем и разными критериями значимости, для него будет установлена максимальная из всех возможных категория значимости. Если такой объект можно разбить на несколько более мелких, то у них могут быть разные (в том числе и более низкие) категории значимости в соответствии с определенными постановлением правительства критериями и показателями. Такой подход выгоден, поскольку для менее значимых объектов меры по защите будут проще и дешевле.
Как защитить объекты КИИ
Перечень организационных и технических мер по обеспечению безопасности для значимых объектов КИИ есть в приказе ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» . Требования очень серьезные и защита значимых объектов КИИ должна им соответствовать, но для не значимых объектов такие меры не нужны.
Перечень организационных и технических мер по защите значимых объектов КИИ:
- Идентификация и аутентификация (ИАФ);
- Управление доступом (УПД);
- Ограничение программой среды (ОПС);
- Защита машинных носителей информации (ЗНИ);
- Аудит безопасности (АУД);
- Антивирусная защита (АВЗ);
- Предотвращение вторжений (компьютерных атак) (СОВ);
- Обеспечение целостности (ОЦЛ);
- Обеспечение доступности (ОДТ);
- Защита технических средств и систем (ЗТС);
- Защита информационной (автоматизированной) системы и её компонентов (ЗИС);
- Реагирование на компьютерные инциденты (ИНЦ);
- Управление конфигурацией (УКФ);
- Управление обновлениями программного обеспечения (ОПО);
- Планирование мероприятий по обеспечению безопасности (ПЛН);
- Обеспечение действий в нештатных ситуациях (ДНС);
- Информирование и обучение персонала (ИПО).
Нелишне будет ознакомиться и с приказом ФСТЭК России №235 от 21.12.2017 «Об утверждении Требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования» . Здесь, в частности, перечислены средства обеспечения безопасности:
- СрЗИ от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение);
- межсетевые экраны;
- средства обнаружения (предотвращения) вторжений (компьютерных атак);
- средства антивирусной защиты;
- средства (системы) контроля (анализа) защищенности;
- средства управления событиями безопасности;
- средства защиты каналов передачи данных.
Все они должны быть сертифицированы на соответствие требованиям по безопасности или пройти оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27.12.2002 г. № 184-ФЗ «О техническом регулировании».
Как подключиться к НКЦКИ (ГосСОПКА)
Все субъекты КИИ должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), даже если у них нет значимых объектов КИИ. В главный центр ГосСОПКА в обязательном порядке будут передаваться данные о связанных с информационной безопасностью инцидентах на объектах КИИ - подчеркиваем, здесь речь идет обо всех объектах, а не только о значимых. Регулирующая процесс законодательная и нормативная база еще не до конца разработана, однако не так давно приказом ФСБ РФ от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам» была учреждена новая структура. НКЦКИ будет координировать мероприятия по реагированию на инциденты, осуществлять обмен информацией об атаках между субъектами КИИ и другими организациями, а также займется методическим обеспечением. Центр будет получать от субъектов КИИ и других организаций данные для передачи в ГосСОПКА, в его задачи также войдет определение форматов обмена информацией и технических параметров компьютерного инцидента, передаваемых в ГосСОПКА.
Какова ответственность за нарушения?
Если вы не успели отправить в ФСТЭК перечень объектов КИИ, никакой ответственности за это не предусмотрено. Но ФЗ-187 действует с начала 2018 года, и если произойдет инцидент, а необходимые меры по защите не были приняты, последствия для субъекта КИИ будут серьезными - в уголовный кодекс уже внесены соответствующие изменения. Согласно ст. 274.1 УК РФ за создание, распространение и (или) использование ПО или иной компьютерной информации для неправомерного воздействия на КИИ предусмотрены принудительные работы на срок до 5 лет или до 5 лет лишения свободы, а также штраф до 1 млн рублей. Неправомерный доступ к информации КИИ, если он повлек вред, будет наказан принудительными работами сроком до 5 лет, до 6 лет лишения свободы и штрафами до 1 млн рублей.
Есть ответственность и для субъектов КИИ. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом информации КИИ либо правил доступа, если оно повлекло причинение вреда для КИИ, наказывается принудительными работами на срок до 5 лет, лишением свободы до 6 лет, запретом на определенные виды деятельности на срок до 3 лет для юридических лиц и индивидуальных предпринимателей или запретом занимать определенные должности для физических лиц на тот же срок.
У этой статьи есть усиление. Если преступление совершено группой лиц или с использованием служебного положения, оно наказывается лишением свободы на срок до 8 лет, а также запретом на определенные виды деятельности (юридические лица и ИП) или запретом занимать определенные должности (физические лица) на срок до 3 лет. В случае тяжких последствий максимальный срок лишения свободы увеличивается до 10 лет, а запрет на виды деятельности и должности - до 5 лет.
Выводы
Правила игры изменились. Нравится нам это или нет, защита важной для жизнедеятельности людей и безопасности страны информационной инфраструктуры больше не является личным делом ее владельцев. У субъектов КИИ уже должны быть готовы (и переданы в ФСТЭК России) перечни объектов. Практика показывает, что далеко не все успели это сделать - стоит поторопиться и заняться категорированием. Крупные организации могут иметь соответствующие компетенции, чтобы провести все мероприятия самостоятельно, но для небольших это станет серьезной проблемой - на выручку придут консалтинговые компании и системные интеграторы. Для приведения систем защиты в соответствие ФЗ-187 нужно провести обследование ИТ-инфраструктуры и сформировать дорожную карту работ, включающую перечень организационных и технических мероприятий. Время на это пока еще есть, но его осталось уже не так много, стоит поспешить.
Москва, Кремль
Подписан Закон о безопасности критической информационной инфраструктуры России.
Он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
Определены основные принципы обеспечения безопасности, полномочия госорганов, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.
К объектам инфраструктуры отнесены информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Закреплены понятия компьютерной атаки, компьютерного инцидента и др. Определен порядок функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Настоящий Федеральный закон вступает в силу с 1 января 2018 г.
Текст Федерального закона опубликован на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru) 26 июля 2017 г., в "Российской газете" от 31 июля 2017 г. N 167, в Собрании законодательства Российской Федерации от 31 июля 2017 г. N 31 (часть I) ст. 4736
История рассмотрения и принятия Федерального закона
