Журнал "Information Security/ Информационная безопасность" #1, 2018

По мнению автора, остав- ленная законодателем воз- можность для руководителя субъекта КИИ уклониться от указанного процесса (назна- чить уполномоченное лицо) на практике приведет к тотально- му наделению функциями председателя комиссии по категорированию объекта КИИ руководителя службы безопас- ности (службы ИБ). Он же является председателем этой комиссии; l работников субъекта критиче- ской информационной инфра- структуры, являющихся специа- листами в области выполняемых функций или осуществляемых видов деятельности, в области информационных технологий и связи, по эксплуатации основного технологического оборудования, технологической (промышлен- ной) и пожарной безопасности, контролю за опасными веще- ствами и материалами, учету опасных веществ и материалов; l работников субъекта крити- ческой информационной инфраструктуры, на которых возложены функции обеспече- ния безопасности (информа- ционной безопасности) объ- ектов критической информа- ционной инфраструктуры; l работников подразделения по защите государственной тайны субъекта КИИ (в случае, если объект КИИ обрабатывает информацию, составляющую государственную тайну); l работников структурного под- разделения по гражданской обороне объекта или работни- ков, уполномоченных на реше- ние задач в области граждан- ской обороны. 2. Формирование перечня объ- ектов КИИ, подлежащих катего- рированию, с указанием сроков проведения их категорирования и согласование указанного перечня со ФСТЭК России (п. 15 проекта постановления Пра- вительства РФ "Об утверждении показателей критериев значи- мости объектов критической информационной инфраструк- туры Российской Федерации и их значений, а также порядка и сроков осуществления их кате- горирования"). Максимальный срок категорирования объектов критической информационной инфраструктуры не должен пре- вышать одного года со дня утверждения субъектом крити- ческой информационной инфра- структуры перечня объектов кри- тической информационной инфраструктуры, подлежащих категорированию. 3. Осуществление категори- рования объектов КИИ в соот- ветствии с планом и составле- ние актов категорирования для каждого из объектов. Акт кате- горирования подписывается членами комиссии и утвержда- ется руководителем субъекта КИИ. 4. Направление сведений о результатах присвоения объ- екту (объектам) КИИ одной из категорий значимости либо об отсутствии необходимости при- своения ему такой категорий во ФСТЭК России, в 10-дневный срок со дня утверждения акта категорирования. 5. Получение уведомления из ФСТЭК России о включении объекта (объектов) в реестр значимых объектов КИИ. ФСТЭК России после получения сведений о результатах катего- рирования от субъекта КИИ обя- зан в течение 30 дней проверить правильность категорирования и при выявлении нарушений воз- вратить направленный документ субъекту КИИ для исправления. Можно ли не проводить категорирование? Субъект КИИ будет обязан приступить к категорированию с момента вступления в силу постановления Правительства РФ "Об утверждении показа- телей критериев значимости объектов критической инфор- мационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их кате- горирования" и в течение шести месяцев согласовать со ФСТЭК России перечень объ- ектов КИИ, подлежащих кате- горированию, а также сроки проведения их категорирова- ния, а затем в течение одного года провести категорирова- ние объектов КИИ и направить утвержденные акты во ФСТЭК. В случае непредставления субъектом КИИ сведений о результатах категорирования объ- екта критической информацион- ной инфраструктуры ФСТЭК Рос- сии направляет в адрес указан- ного субъекта требование о необходимости соблюдения поло- жений ст. 7 Федерального закона "О безопасности критической информационной инфраструкту- ры Российской Федерации" (ч. 11 ст. 7 соответствующего феде- рального закона). Невыполнение указанного тре- бования влечет административ- ную ответственность по ст. 19.4 Кодекса об административных правонарушениях Российской Федерации. Помимо этого, само по себе непредоставление во ФСТЭК России информации о категорировании объектов КИИ образует состав административ- ного правонарушения, предусмот- ренного ст. 19.7 Кодекса об адми- нистративных правонарушениях Российской Федерации. Таким образом, с учетом изложенного, автор не реко- мендует пренебрегать исполне- нием требований Федерального закона "О безопасности крити- ческой информационной инфраструктуры Российской Федерации". l 18 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Начало 2018 г. ознаменовалось жаркими дебатами на тему всту- пившего в силу закона “О без- опасности критической инфор- мационной инфраструктуры”, который, по моему мнению, открывает новую страницу в исто- рии российской индустрии кибер- безопасности. Схожая картина была с ФЗ-152 “О персональных данных” за одним исключением – за его нарушения не было уго- ловной ответственности и ком- мерческие операторы персональ- ных данных не попадали под государственный контроль и над- зор. Поэтому можно предполо- жить, что тема с безопасностью КИИ будет гораздо более горя- чей, чем все предыдущие. Но обратить внимания я бы хотел на другое явление – почти полную безинициативность российской отрасли ИБ, которая по неведомым мне при- чинам стесняется или просто боится вступать в диалог с регуляторами для получения разъяснения по нормам нового законодательства. Возьмем, к примеру недавно принятые Президентом поправки в законодательство о государственной тайне. Вы бы видели какой шум начался в социальных сетях и мессенджерах по поводу новых законодательных инициатив. Будет ли относиться тен- дерная документация на объект КИИ к гостайне? А опи- сание системы защиты? А выступление на конференции по защите АСУ ТП? Страшилок про вторую и даже пер- вую формы допуска, сдачу загранпаспорта, отказ от выезда заграницу, я начитался много. Аналогичная шумиха была совсем недавно, когда ФСТЭК на своей конференции объявила о необходимости в недельный срок сформировать перечень всех объектов КИИ, что было физически невозможно. Вы думаете кто- то обратился во ФСТЭК за разъяснениями? Нет. Все стали обсуждать это между собой, строить догадки, ругать регулятора… Но никто не обратился к регулятору, вновь оставшись наедине с собой, побоявшись привлечь к себе внимание. При этом все мнят себя юристами и друг другу толкуют нормы действующего законодатель- ства (да я и сам такой). Именно этот страх и удивляет меня. Мы постоянно ругаем регуляторов за выпуск ими непонятных или второпях написанных нормативных актов, мы начинаем додумывать, что же имелось в них ввиду, мы постоянно слышим, что регулятор призывает к диалогу… и мы продолжаем бояться, не верим и ждем, что кто-то придет и решит за нас все вопросы. Кто-то, только не мы. Пассивная у нас отрасль ИБ, боязливая. Алексей Лукацкий, бизнес- консультант по информационной безопасности Колонка эксперта