Концептуальные основы правовой регламентации критической информационной инфраструктуры в Российской Федерации

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Концептуальные основы правовой регламентации критической информационной инфраструктуры в Российской Федерации

Талипова Ляйсан Ринатовна юрисконсульт. Салым Петролеум Девелопмент Н.В.

Аннотация

В данной статье проанализированы законодательные новшества Российской Федерации в области безопасности критической информационной инфраструктуры. Рассмотрена система нормативно - правовых актов, дополняющих Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Определены основные положения данных документов, выделены направления, требующие дальнейшего усовершенствования и более детальной регламентации, с учётом их практической реализации. Дана авторская оценка законотворческой деятельности, в отношении информационной безопасности.

Ключевые слова: Информация, информационная безопасность, критическая информационная инфраструктура, киберпреступность.

Annotation

In this article, the legislative innovations of the Russian Federation in the field of security of critical information infrastructure are analyzed. The system of normative legal acts supplementing the Federal Law of July 26, 2017 №. 187-FZ «On the Security of the Critical Information

Infrastructure of the Russian Federation» is considered. The main provisions of these documents are defined, directions are identified that require further improvement and more detailed regulation, taking into account their practical implementation. Author's assessment of lawmaking activity regarding information security is given.

Keywords: Information, information security, critical information infrastructure, cybercrime.

информационный безопасность законотворческий

«Кто владеет информацией, тот владеет миром». Эта знаменитая фраза братьев Ротшильдов в современных реалиях не просто продолжает быть актуальной, но как нельзя лучше характеризует действующую эпоху, когда мобильные мессенджеры и социальные сети способствуют молниеносной передаче информации, а также содержат данные о своих пользователях, которые могут позволить повлиять как на выбор ими определённого товара или услуги, так и президента государства, что можно предположить исходя из недавнего крупного скандала, связанного с передачей данных социальной сети Facebook британской компании Cambridge Analytica.

В условиях, когда информация становится ресурсом, наряду с полезными ископаемыми или драгоценными металлами, безусловно, встаёт вопрос о её защите правовыми средствами и, как следствие, введении санкций против лиц неправомерно на неё посягающих.

В Российской Федерации нормативно-правовая база в области информационной безопасности находится на этапе своего активного становления, и в первую очередь следует отметить необходимость усиления эффективности в части уголовно-правовой охраны информационной безопасности.

Определённые шаги в этом направлении уже предприняты.

С 1 января 2018 г. вступил в силу Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [1].

Исходя из специфики объекта правового регулирования, данный закон не является единственным в указанном правоотношении и уже сейчас дополняется разнообразными нормативными актами, более подробно регламентирующими отдельные его положения.

Порядок ведения реестра значимых объектов критической информационной инфраструктуры (далее- «КИИ») вступил в силу 20 февраля 2018 г [5].

Документ содержит продублированные положения Закона о КИИ, а также некоторые технические вопросы ведения реестра. Установлен также срок внесения сведений в реестр - 30 дней с момента получения сведений Федеральной службой по техническому и экспортному контролю (далее- «ФСТЭК России»). В то же время документ не предусматривает внесение в реестр значимых объектов КИИ сведений о разработчике объекта КИИ.

С 21 февраля 2018 г. начали действовать Правила категорирования объектов КИИ [3], которые, в частности, устанавливают для субъектов КИИ ряд обязанностей. Так, руководитель субъекта КИИ должен создать комиссию, которая подготавливает перечень объектов КИИ и присваивает объектам категории. Эти категории зависят от тех негативных социальных, экономических или иных последствий, к которым может привести нарушение процессов, осуществляемых субъектами КИИ. Перечень объектов КИИ должен быть согласован с уполномоченным органом. После категорирования объектов КИИ сведения об этом направляются в ФСТЭК России и определяются меры по защите объектов КИИ.

С 1 марта 2018 г. вступили в силу Правила госконтроля обеспечения безопасности значимых объектов КИИ [2].

Плановые проверки по этим Правилам будут проводиться не ранее чем через три года с даты внесения сведений об объекте КИИ в реестр значимых объектов. До указанного срока возможны внеплановые проверки, о которых субъект проверки будет уведомлен не менее чем за 24 часа до их начала. Внеплановую проверку можно ожидать и без предупреждения, в случае если возникнет компьютерный инцидент на значимом объекте КИИ.

В Законе о КИИ под компьютерным инцидентом понимается факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

С 5 марта 2018 г. начали реализовываться Требования к созданию систем безопасности значимых объектов КИИ [4].

В соответствии с данным документом руководитель субъекта КИИ должен назначить лицо, обеспечивающее безопасность объектов КИИ (или лично обеспечивать безопасность), создать структурное подразделение по безопасности, обеспечить разработку правил безопасности и выполнение пользователями разработанных правил.

Определены требования к программному обеспечению и программно-аппаратному комплексу. Установлен целый комплекс требований к организационно-распорядительным документам по безопасности, которые должны быть разработаны и утверждены субъектом КИИ.

Под КИИ, согласно Федеральному закону от 26 июля 2017 г. № 187ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» понимаются объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Однако данная формулировка является несколько обобщённой и не позволяет составить закрытый перечень обязанных лиц. Первым критерием признания лица субъектом КИИ названо наличие у него информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления или обеспечение им поддержки таких систем. Второй критерий отнесения к субъектам КИИ - деятельность в определенной отрасли экономики.

К таковым объектам КИИ можно отнести: здравоохранение, наука, транспорт, связь, энергетика, банки и различные сферы финансового рынка, ТЭК, деятельность в области атомной энергии, оборонной, ракетнокосмической, горнодобывающей, металлургической и химической промышленности.

Тем не менее федеральное законодательство и подзаконные акты не предусматривают четкое определение владельца объекта КИИ в случае использования объекта КИИ несколькими субъектами в процессе хозяйственной деятельности, например, в случае предоставления услуг облачным провайдером. В случае неправомерного воздействия на объекты КИИ к ответственности могут быть привлечены как и облачные провайдеры, так и субъекты, пользующиеся услугами по сервисной модели.

Подводя итоги проведённого исследования можно сделать вывод о том, что в настоящее время проблема информационной безопасности является как никогда актуальной и требует детального подхода к её решению.

В первую очередь он должен включать в себя должное интегрированное нормативно - правовое регулирование сферы использования, хранения и передачи критической информации.

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» выступает эффективной законодательной инициативой, поскольку является узко-отраслевым и с помощью детализации в отдельных правовых документах позволит охватить большой объём вопросов, прежде всего в, части освящения технических моментов борьбы с киберпреступностью.

Литература

1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

2. Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

3. Постановление Правительства РФ от 08.02. 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

4. Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

5. Приказ ФСТЭК России от 06.12.2017 г.№227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

Размещено на Allbest.ru