Определение категории опасности по 187 фз. Подписанные президентом федеральные законы. А если требования этого закона не будут выполнены

2 августа 2019 , Бюджеты субъектов Федерации. Межбюджетные отношения Президент России подписал разработанный Правительством Федеральный закон, направленный на совершенствование системы межбюджетных отношений Федеральный закон от 2 августа 2019 года №307-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 24 октября 2018 года №2288-р. Федеральным законом уточняются условия и порядок распределения и предоставления межбюджетных трансфертов. Уточняются положения, регулирующие вопросы предоставления субвенций бюджетам субъектов Федерации из федерального бюджета, в том числе в форме единой субвенции.

2 августа 2019 , Демографическая политика Президент России подписал разработанный Правительством Федеральный закон об изменении порядка установления ежемесячной выплаты в связи с рождением или усыновлением первого или второго ребенка Федеральный закон от 2 августа 2019 года №305-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 28 мая 2019 года №1092-р. Федеральным законом изменяется критерий нуждаемости, в соответствии с которым гражданам будет назначаться ежемесячная выплата в связи с рождением (усыновлением) первого или второго ребенка. С 1 января 2020 года право на получение такой выплаты получат семьи, у которых размер среднедушевого дохода не будет превышать двукратную величину прожиточного минимума трудоспособного населения, установленную в субъекте Федерации. Кроме того, такая ежемесячная выплата будет производиться гражданам до достижения ребенком возраста трех лет.

2 августа 2019 , Оборот лекарств, медицинских изделий и субстанций Президент России подписал Федеральный закон об уточнении норм, касающихся обращения лекарственных средств для ветеринарного применения Федеральный закон от 2 августа 2019 года №297-ФЗ. Федеральным законом, в частности, Россельхознадзор наделяется правом на проведение контрольной закупки лекарственных препаратов для ветеринарного применения, находящихся в обращении. Минсельхоз России наделяется полномочиями по утверждению порядка назначения лекарственных препаратов для ветеринарного применения, утверждению формы рецептурных бланков на эти лекарственные препараты, порядка их учета и хранения.

2 августа 2019 , Антитеррористическая безопасность Президент России подписал разработанный Правительством Федеральный закон об изменениях в правовом регулировании вопросов обеспечения транспортной безопасности Федеральный закон от 2 августа 2019 года №270-ФЗ. Проект федерального закона был внесён в Госдуму распоряжением Правительства от 21 марта 2015 года №469-р. Федеральным законом, в частности, устанавливается, что в число основных задач обеспечения транспортной безопасности входит категорирование объектов транспортной инфраструктуры, а также оценка уязвимости объектов транспортной инфраструктуры, подлежащих категорированию, и судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами.

2 августа 2019 , Общие вопросы промышленной политики Президент России подписал разработанные Правительством федеральные законы о совершенствовании механизма специальных инвестиционных контрактов Федеральные законы от 2 августа 2019 года №290-ФЗ, №269-ФЗ. Проекты федеральных законов были внесены в Госдуму распоряжениями Правительства от 13 апреля 2019 года №722-р, №723-р. В целях развития высокотехнологичного производства и совершенствования механизма заключения СПИК, уточняются требования к контракту и его сторонам, предмет и содержание, порядок заключения, изменения, расторжения и прекращения действия контракта. Для налогоплательщиков – участников СПИК налоговая ставка налога на прибыль организаций, подлежащего зачислению в федеральный бюджет, устанавливается в размере 0%.

2 августа 2019 , Налоги и неналоговые платежи. Финансовая отчётность и аудит Президент России подписал Федеральный закон о расширении списка продовольственных товаров, облагаемых НДС Федеральный закон от 2 августа 2019 года №268-ФЗ. В список продовольственных товаров, облагаемых налогом на добавленную стоимость при их реализации по налоговой ставке 10%, включаются фрукты и ягоды, в том числе виноград.

2 августа 2019 , Земельные отношения. Кадастровая система. Недвижимость. Оценочная деятельность Президент России подписал Федеральный закон об уточнении порядка оформления прав на садовые дома и другие объекты недвижимости Федеральный закон от 2 августа 2019 года №267-ФЗ. До 1 марта 2021 года допускается проведение государственного кадастрового учета или регистрации прав на жилой или садовый дом, созданный на земельном участке, предназначенном для ведения садоводства, на основании только технического плана, подготовленного в соответствии с декларацией об объекте, составленной владельцем земельного участка, и правоустанавливающего документа на земельный участок, если в Едином государственном реестре недвижимости не зарегистрировано право заявителя на земельный участок, на котором расположен этот объект недвижимости.

2 августа 2019 , Денежно-кредитная политика. Финансовые рынки Президент России подписал Федеральный закон об уточнении требований к иностранным платежным системам Федеральный закон от 2 августа 2019 года №264-ФЗ. Федеральным законом устанавливаются требования к иностранным платежным системам, функционирующим в России, и к правилам иностранной платежной системы, включая систему управления рисками и требования к защите информации.

2 августа 2019 , Деловая среда. Развитие конкуренции Президент России подписал Федеральный закон о правовом регулировании деятельности операторов инвестиционных платформ Федеральный закон от 2 августа 2019 года №259-ФЗ. Федеральным законом регулируются отношения, возникающие в связи с инвестированием и привлечением инвестиций с использованием инвестиционных платформ, а также устанавливаются правовые основы деятельности операторов таких платформ. При этом под инвестиционной платформой понимается информационная система в интернете, которая используется для заключения договоров инвестирования.

1. Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения.

1) социальной значимости, выражающейся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

2) политической значимости, выражающейся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

3) экономической значимости, выражающейся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

4) экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду;

5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

3. Устанавливаются три категории значимости объектов критической информационной инфраструктуры - первая, вторая и третья.

4. Субъекты критической информационной инфраструктуры в соответствии с критериями значимости и показателями их значений, а также порядком осуществления категорирования присваивают одну из категорий значимости принадлежащим им на праве собственности, аренды или ином законном основании объектам критической информационной инфраструктуры. Если объект критической информационной инфраструктуры не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

5. Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты критической информационной инфраструктуры в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, по утвержденной им форме.

6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо неприсвоения ему ни одной из таких категорий.

7. В случае, если субъектом критической информационной инфраструктуры соблюден порядок осуществления категорирования и принадлежащему ему на праве собственности, аренды или ином законном основании объекту критической информационной инфраструктуры правильно присвоена одна из категорий значимости, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, вносит сведения о таком объекте критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

8. В случае, если федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, выявлены нарушения порядка осуществления категорирования и (или) объекту критической информационной инфраструктуры, принадлежащему на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, неправильно присвоена одна из категорий значимости и (или) необоснованно не присвоена ни одна из таких категорий и (или) субъектом критической информационной инфраструктуры представлены неполные и (или) недостоверные сведения о результатах присвоения такому объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в десятидневный срок со дня поступления представленных сведений возвращает их в письменном виде субъекту критической информационной инфраструктуры с мотивированным обоснованием причин возврата.

9. Субъект критической информационной инфраструктуры после получения мотивированного обоснования причин возврата сведений, указанных в части 5 настоящей статьи, не более чем в десятидневный срок устраняет отмеченные недостатки и повторно направляет такие сведения в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

10. Сведения об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости после их проверки направляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о чем в десятидневный срок уведомляется субъект критической информационной инфраструктуры.

11. В случае непредставления субъектом критической информационной инфраструктуры сведений, указанных в части 5 настоящей статьи, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, направляет в адрес указанного субъекта требование о необходимости соблюдения положений настоящей статьи.

1) по мотивированному решению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, принятому по результатам проверки, проведенной в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

2) в случае изменения значимого объекта критической информационной инфраструктуры, в результате которого такой объект перестал соответствовать критериям значимости и показателям их значений, на основании которых ему была присвоена определенная категория значимости;

3) в связи с ликвидацией, реорганизацией субъекта критической информационной инфраструктуры и (или) изменением его организационно-правовой формы, в результате которых были изменены либо утрачены признаки субъекта критической информационной инфраструктуры.

Москва, Кремль

Подписан Закон о безопасности критической информационной инфраструктуры России.

Он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.

Определены основные принципы обеспечения безопасности, полномочия госорганов, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

К объектам инфраструктуры отнесены информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.

Закреплены понятия компьютерной атаки, компьютерного инцидента и др. Определен порядок функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.

Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Настоящий Федеральный закон вступает в силу с 1 января 2018 г.

Текст Федерального закона опубликован на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru) 26 июля 2017 г., в "Российской газете" от 31 июля 2017 г. N 167, в Собрании законодательства Российской Федерации от 31 июля 2017 г. N 31 (часть I) ст. 4736

История рассмотрения и принятия Федерального закона

Во второй половине 2018 года оформилась нормативная база в теме КИИ. Это дает нам возможность ответить на все основные вопросы.

Для начала определимся с основными понятиями.

Что такое критическая информационная инфраструктура?

Критическая информационная инфраструктура – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации их взаимодействия. Ключевым условием отнесения системы к КИИ является ее использование государственным органом или учреждением, либо российской компанией в следующих сферах:

• здравоохранение,
• наука,
• транспорт,
• связь,
• энергетика,
• банковский (финансовый) сектор,
• топливно-энергетический комплекс,
• атомная энергетика,
• оборонная промышленность,
• ракетно-космическая промышленность
• горнодобывающая промышленность,
• металлургическая промышленность
• химическая промышленность

Также к КИИ будут относиться системы, которые на праве собственности, аренды или на ином законном основании принадлежат российской компании или ИП, и обеспечивают взаимодействие указанных выше систем или сетей.

Понятие критической информационной инфраструктуры раскрыто в Федеральном законе №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры» .

О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?

187-фз является базовым документом для всей тематики КИИ.

• Вводит основные понятия
• Создает основу правового регулирования
• Определяет принципы обеспечения безопасности КИИ
• Вводит понятие Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА)
• Вводит основу для создания Национального координационного центра по компьютерным инцидентам (далее — НКЦКИ)
• Описывает полномочия Президента и органов госвласти в области обеспечения безопасности КИИ
• Содержит базу для определения категорий объектов КИИ
• Создает законодательную основу ведения реестра значимых объектов КИИ
• Определяет права и обязанности субъектов КИИ
• Определяет задачи и требования системы обеспечения безопасности значимого объекта КИИ
• Закладывает основу оценки безопасности КИИ
• Распределяет права и обязанности по государственному контролю

Что такое ГосСОПКА?

ГосСОПКА — это единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Данное определение мы видим в 187-ФЗ.

По своей сути, ГосСОПКА является территориально распределенной совокупностью центров (сил и средств), в числе которых - Национальный координационный центр по компьютерным инцидентам .

Если обобщить, то структура ГосСОПКА выглядит следующим образом:

Подробности можно получить из следующих документов:

• Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
• «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012№803)
• «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014№ К 1274)
• Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации

Что такое НКЦКИ?

Национальный координационный центр по компьютерным инцидентам – структура, отвечающая за обеспечение координации деятельности субъектов КИИ, является составной частью ГосСОПКА.

Создана приказом ФСБ России №366 от 24 июля 2018 года «О Национальном координационном центре по компьютерным инцидентам».

В функции НКЦКИ входит:

• Координация мероприятий и участие в мероприятиях по реагированию на компьютерные инциденты
• Организует и осуществляет обмен информацией о компьютерных инцидентах
• Осуществляет методическое обеспечение
• Участвует в обнаружении, предупреждении и ликвидации последствий компьютерных атак
• Обеспечивает информирование о компьютерных атаках
• Собирает и анализирует информацию о компьютерных инцидентах и атаках

Среди достаточно большого числа законодательных ИТ/ИБ-новшеств, вступивших в силу в 2018 г., можно выделить Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» . Его актуальность видна уже потому, что он принят в виде самостоятельного закона, а не поправок к ранее действовавшим документам. Но это же показывает, что речь идет о регулировании новой (для законодательства) ИТ-сферы, а потому можно ожидать, что процесс практического применения закона будет проходить вполне естественную «притирку».

С вопросами о том, как 187-ФЗ может повлиять на развитие ситуации на корпоративном ИТ/ИБ-рынке, о перспективах его применения, возможных проблемах и вариантах их решения, мы обратились к ряду экспертов.

Что регулирует новый закон

Одна из главных новаций закона - механизм реализации «Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ГосСОПКА), которая, по-видимому, должна взять под государственный контроль все уже существующие системы ИБ и стать единым центром управления всем этим хозяйством.

Закон расширяет перечень информационных систем (для них вводится понятие «критическая информационная инфраструктура», КИИ), к которым предъявляются обязательные требования по безопасности со стороны государства и владельцы которых теперь несут ответственность, в том числе уголовную. Как пояснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.

С точки зрения директора по ИБ компании РТ-ИНФОРМ (Центр компетенций по ИТ и ИБ госкорпорации Ростех) Александра Евтеева, важным является то, что закон определяет порядок категорирования значимых объектов КИИ, порядок госконтроля в области обеспечения их безопасности, права и обязанности организаций, которым принадлежат субъекты КИИ.

В плане регулирования отношений в области обеспечения безопасности КИИ в условиях проведения хакерских атак закон выделяет два направления - обеспечение безопасности и противодействие атакам. В этом связи директор департамента ИБ компании «Сервионика» (ГК «АйТеко») Василий Степаненко напоминает, что в соответствии с Указом Президента РФ от 25.11.2017 № 569 федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ, является ФСТЭК России, а согласно Указу Президента РФ от 15.01.2013 № 31с полномочия по созданию ГосСОПКИ возложены на ФСБ России.

«ГосСОПКА должна контролировать степень защищенности критической информационной инфраструктуры РФ от компьютерных атак, - отметил Дмитрий Огородников, директор по развитию Angara Technologies Group. - При этом до сих пор не было четкого понимания, кто должен конкретно подключаться к этой системе. Теперь, с выходом 187-ФЗ, появилась ясность в данном вопросе. А именно, в законе указали, что к ГосСОПКЕ должны подключаться все субъекты КИИ, причем вне зависимости, есть ли у них значимые объекты КИИ или нет».

Начальник информационно-аналитического управления Московской городской Думы Антон Таран среди ключевых идей закона выделяет необходимость создания единого центра мониторинга и управления ИБ для важных с точки зрения государства ИТ-систем. «Сегодня центральная власть может не знать, что на какой-нибудь центр управления ТЭЦ в Ханты-Мансийске напали хакеры и вывели на два часа из строя систему пожаротушения. А теперь будут знать и как-то реагировать», - пояснил он.

Действительно, теперь закон напрямую обязывает службы ИБ таких объектов передавать информацию о зафиксированных атаках в ФСБ. Генеральный директор R-Vision Александр Бондаренко считает, что это позволит наладить обмен информацией между специалистами по ИБ и в целом повысит уровень защищенности объектов КИИ.

Что предстоит сделать субъектам КИИ и регуляторам для реализации закона

«В части ФСТЭК всем субъектам КИИ необходимо будет выполнить ряд мероприятий, в том числе выделение и категорирование объектов КИИ, выполнение требований по безопасности. Но у большинства организаций на сегодняшний день уже реализованы определенные меры безопасности (например, в соответствии с нормативными актами по ГИС и/или ПДн), поэтому им потребуется соотнести имеющуюся систему защиты информации с требованиями ФСТЭК в части КИИ и при необходимости ее доработать», - считает Дмитрий Огородников. В части ФСБ, добавил он, потребуется провести работы по подключению к ГосСОПКЕ, что, наверно, является самым обременительным мероприятием.

«Сейчас мы ждем утверждения правительством правил категорирования объектов КИИ, а также утверждения требований ФСТЭК по внедрению мер по защите информации на объектах КИИ в зависимости от присвоенной категории, - рассказал руководитель направления ИБ компании „Системный софт“ Яков Гродзенский. - После того, как эти документы будут утверждены, видимо определенное время займет у ФСТЭК работа по категорированию объектов КИИ. После этого начнется массовое внедрение соответствующих решений».

«В соответствии с приказом ФСТЭК № 227 от 6.12.2017 об утверждении порядка ведения реестра КИИ данный реестр будет закрытым. Сведения из него направляются в ГосСОПКУ, а также могут предоставляться только государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере», - отметил Дмитрий Огородников. Добавим, что в соответствии с Указом Президента от 02.03.2018 № 98 сведения, раскрывающие меры по обеспечению безопасности КИИ, а также сведения, раскрывающие состояние ее защищенности, отнесены к государственной тайне.

Совершенно определенном можно сказать, что реализация 187-ФЗ потребует от участников рынка дополнительных усилий, в том числе финансовых затрат.

«В силу того, что количество объектов и организаций, которые подпадают под действие данного закона, внушительно, а уровень обеспечения ИБ на них не очень высокий, это потребует серьезных инвестиций в безопасность. Таким образом, обеспечение защиты объектов КИИ может стать очередным драйвером рынка, каким в свое время стал пресловутый закон о персональных данных», - уверен Александр Бондаренко.

«На рынке ИБ появится новый вид услуг, ориентированных на приведение в соответствие требованиям ФСТЭК в части КИИ, а также услуги по подключению к ГосСОПКЕ. Здесь возможны различные варианты: создание ведомственных центров, подключение к корпоративным центрам и т. д. Все варианты также потребуют закупки соответствующих средств защиты информации», - полагает Дмитрий Огородников.

По словам Якова Гродзенского, организациям, подпадающим под определение субъектов КИИ, неминуемо придется создавать центры ГосСОПКИ в своей инфраструктуре. В связи с этим будет необходимо реализовать интерфейс обмена информацией с Головным центром. «В том числе на основе уже существующих решений отечественных разработчиков нужно внедрить систему учета инцидентов и реагирования на них (IRP), основанную на SIEM-решениях, которые являются частью SOC организации. Кроме того, необходимо проводить анализ защищенности инфраструктуры и внедрить решения по повышению осведомленности сотрудников по вопросам ИБ», - пояснил он.

«Для поставщиков средств безопасности закон несет позитивные новости, но как это отразится на ИТ-рынке - сказать сложно, ведь вполне возможно, что дополнительные усилия в направлении безопасности будут реализовываться за счет сокращения активности по другим ИТ-проектам», - делится своими опасениями Антон Таран.

Но Александр Евтеев высказывает мнение, что реализация закона скажется позитивно на деятельности организаций, которые сегодня зачастую несут прямые потери от своего невнимания к проблемам безопасности: «В последние годы существенно увеличилось число инцидентов, связанных с компьютерными атаками, злоумышленники постоянно находят новые способы атак. Тенденция последних лет к ужесточению требований ИБ, особенно для госсектора и КИИ, является необходимой ответной мерой».

По-видимому, одним из важных направлений, которые попадают в поле применения 187-ФЗ, являются системы управления технологическими процессами. На это, в частности, обращает внимание Дмитрий Кузнецов: «Владельцы промышленных предприятий и разработчики средств промышленной автоматизации осознали, насколько промышленность уязвима к атакам, и сейчас происходит кооперация между производителями систем АСУ ТП и компаниями, специализирующимися на анализе защищенности таких систем».

В свою очередь, Василий Степаненко отмечает, что закон подразумевает не проведение некоторой одноразовой акции по усилению безопасности ИТ-систем, а постоянную работу в этом направлении: «Заказчикам нужно теперь постоянно разрабатывать и осуществлять мероприятия по обеспечению безопасности, планировать бюджеты на это, информировать ФСБ об инцидентах, расследовать инциденты и оказывать содействие представителям ФСБ и ФСТЭК». По его словам, аттестация КИИ будет проходить не в привычном формате выдачи аттестата соответствия, а в виде проверки выполнения установленному ФСТЭК минимуму требований и постоянной оценки эффективности мер защиты со стороны ФСБ.

Все ли гладко в 187-ФЗ?

Опыт предыдущих лет показывает, что реализация принятых законов в области ИТ порой проходит довольно сложно. Оказывается, что какие-то положения принятых актов трудновыполнимы на практике, а каким-то важным аспектам законодатели уделили недостаточное внимание или вовсе упустили их из виду. Регулярно возникает и проблема финансирования исполнения требований закона.

«Качество 187-ФЗ - не лучше и не хуже аналогичных законов, связанных с ИТ, - отмечает Антон Таран. - Есть не до конца проработанные определения, допускающие неоднозначные толкования. Есть размытость формулировок. Как обычно бывает, довольно подробно прописаны алгоритмы администрирования и функционал уполномоченных органов, поскольку от этого зависит дальнейшее нормотворчество и зоны ответственности, а соответственно и бюджетополучатели. Пока не понятно, каковы будут затраты бюджета на создание и функционирование системы. Учитывая, что законом предусмотрено создание национального координационного центра по компьютерным инцидентам, затраты все же предстоят. Если только это не будет виртуальный центр».

С тем, что исполнение потребует существенных затрат как со стороны владельцев информационных систем, так и со стороны государства, согласны все эксперты. Но Дмитрий Кузнецов уверен, что такие расходы просто необходимы: «Проблема ИБ многими организациями игнорировалась. Необязательность защиты привела к тому, что во многих жизненно важных информационных системах отсутствуют элементарные механизмы защиты. Болезнь стала запущенной, и сейчас ее лечение требует серьезных усилий».

Александр Бондаренко видит потенциальную проблему закона в том, что на его внедрение в реальную жизнь потребуется несколько лет, так как критические объекты в силу своих особенностей потребуют серьезной адаптации существующих механизмов защиты.

То, что государство в столь явном виде проявило озабоченность вопросами безопасности КИИ, - хорошо. Но Василий Степаненко видит проблему 187-ФЗ в том, что он, по его мнению, плохо состыкован с другими законами, которые уже давно действуют в ряде отраслей, обозначенных как потенциальные субъекты КИИ. Не ясно пока и с ответственностью по исполнению требований закона, например, где лежит зона ответственности руководителя субъекта, а где - иных должностных лиц. Не все понятно и с финансированием. «Обязать всех выделять бюджеты и бояться проверок можно, но без должного финансирования, в том числе со стороны государства, сложно добиться реальных результатов», - считает эксперт.

Что же касается перспектив закон, то, по мнению Антона Тарана, об этом говорить пока сложно. С одной стороны, чисто теоретически, систематизация, координация и стандартизация никому еще не вредили, и если будущая система будет реально работать, а издержки для экономики субъектов КИИ не будут превышать потенциальные риски, то можно ожидать повышения уровня безопасности. С другой, говорить об оценке эффективности закона будет очень сложно, пока не будут определены количественные показатели обеспечения безопасности.

Главную же проблему закона он видит в издержках для бизнеса. Ведь отдельно взятый субъект вполне способен обеспечить себя защитой от компьютерных атак и в целом должен владеть технологиями ИБ не хуже государства. Создание же дополнительных организационных и, возможно, материальных затрат для любого бизнеса должно компенсироваться дополнительными доходами, при этом есть риск, что дополнительные затраты не будут компенсированы повышением уровня безопасности.

В целом все эксперты согласны с тем, что практическая реализация закона в решающей степени будет зависеть от системы последующий нормативных подзаконных актов, которые в том числе должны определить ответственность тех или иных лиц за исполнение закона.