Сегодня Госдума рассмотрит проект закона «О безопасности критической информационной инфраструктуры РФ» (КИИ), подготовленный в рамках Доктрины информационной безопасности. В первом чтении законопроект был принят в январе 2017 года.
Документ предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.
В соответствии с поправками, рекомендованными комитетом к принятию, собственниками или арендаторами объектов КИИ должны быть российские юрлица или индивидуальные предприниматели. Объекты КИИ, каждому из которых будет присваиваться категория значимости, будут вноситься в специальный реестр. В новой версии уточняется перечень сведений, предоставляемых в реестр, и сроки их предоставления. В случае несоблюдения установленных правил субъекту КИИ будет направляться требование от уполномоченного органа о необходимости соблюдения положений закона.
Перечень отраслей объектов критической информационной сферы дополнен организациями в сфере науки. В соответствии с первоначальной версией закона к объектам критической инфраструктуры относились инфосистемы и телекомсети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной и других видов промышленности.
В новой версии законопроекта уточняется статус национального координационного центра по компьютерным инцидентам, который будет осуществлять координацию деятельности субъектов критической информационной инфраструктуры.
Уточняется также, что в случае реагирования на компьютерные инциденты в банковской и финансовой сфере потребуется согласование с Центробанком, который необходимо будет уведомлять о компьютерных инцидентах. Предполагается также наделить правом утверждения дополнительных требований по обеспечению безопасности объектов КИИ госорганы, госкорпорации и ЦБ РФ.
В случае принятия закона он вступит в силу 1 января 2018 года. Предложенная поправка перенести вступление закона в силу на 1 января 2019 года была отклонена: это «неприемлемо» «в сложившихся условиях необходимости укрепления информационной безопасности государства», следует из материалов профильного комитета.
Комитет также рекомендовал принять во втором чтении сопутствующий основному законопроекту пакет поправок к законам о гостайне, о связи, о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля, а также к УК РФ — с учетом пяти поправок из поступивших шести. Пакет поправок подготовлен ФСБ. В частности, уточняется, что к сведениям, составляющим гостайну, относятся также сведения о мерах обеспечения безопасности объектов КИИ. Порядок подготовки и использования ресурсов сети электросвязи для обеспечения работы объектов КИИ утверждается правительством.
Блок поправок к Уголовному кодексу РФ предусматривает максимальную ответственность до десяти лет лишения свободы — например, за неправомерный доступ к информации из объектов критической информационной инфраструктуры, а также за создание хакерских программ для воздействия на КИИ.
Документ предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.
В соответствии с поправками, рекомендованными комитетом к принятию, собственниками или арендаторами объектов КИИ должны быть российские юрлица или индивидуальные предприниматели. Объекты КИИ, каждому из которых будет присваиваться категория значимости, будут вноситься в специальный реестр. В новой версии уточняется перечень сведений, предоставляемых в реестр, и сроки их предоставления. В случае несоблюдения установленных правил субъекту КИИ будет направляться требование от уполномоченного органа о необходимости соблюдения положений закона.
Перечень отраслей объектов критической информационной сферы дополнен организациями в сфере науки. В соответствии с первоначальной версией закона к объектам критической инфраструктуры относились инфосистемы и телекомсети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной и других видов промышленности.
В новой версии законопроекта уточняется статус национального координационного центра по компьютерным инцидентам, который будет осуществлять координацию деятельности субъектов критической информационной инфраструктуры.
Уточняется также, что в случае реагирования на компьютерные инциденты в банковской и финансовой сфере потребуется согласование с Центробанком, который необходимо будет уведомлять о компьютерных инцидентах. Предполагается также наделить правом утверждения дополнительных требований по обеспечению безопасности объектов КИИ госорганы, госкорпорации и ЦБ РФ.
В случае принятия закона он вступит в силу 1 января 2018 года. Предложенная поправка перенести вступление закона в силу на 1 января 2019 года была отклонена: это «неприемлемо» «в сложившихся условиях необходимости укрепления информационной безопасности государства», следует из материалов профильного комитета.
Комитет также рекомендовал принять во втором чтении сопутствующий основному законопроекту пакет поправок к законам о гостайне, о связи, о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля, а также к УК РФ — с учетом пяти поправок из поступивших шести. Пакет поправок подготовлен ФСБ. В частности, уточняется, что к сведениям, составляющим гостайну, относятся также сведения о мерах обеспечения безопасности объектов КИИ. Порядок подготовки и использования ресурсов сети электросвязи для обеспечения работы объектов КИИ утверждается правительством.
Блок поправок к Уголовному кодексу РФ предусматривает максимальную ответственность до десяти лет лишения свободы — например, за неправомерный доступ к информации из объектов критической информационной инфраструктуры, а также за создание хакерских программ для воздействия на КИИ.
