Позиция РАЭК по законопроектам ФСБ России о безопасности критической информационной инфраструктуры

Позиция РАЭК по законопроектам ФСБ России о безопасности критической информационной инфраструктуры

22 Августа 2013

Тексты законопроекта «О безопасности критической информационной инфраструктуры Российской Федерации» (ID: 00/04-5890/08-13/20-13-4) и законопроекта, вносящего поправки в Федеральный закон «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (ID: 00/04-5892/08-13/20-13-4) размещены на Едином портале раскрытия информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения.

Законопроект "О безопасности критической информационной инфраструктуры Российской Федерации" ставит своей целью установление основных направлений и принципов обеспечения деятельности по обеспечению безопасности критической информационной инфраструктуры РФ и полномочия государственных органов РФ в данной области.

В законопроекте определяются такие понятия как информационные ресурсы РФ, компьютерная атака, компьютерный инцидент, критически важный объект, критическая информационная инфраструктура РФ, субъекты критической информационной инфраструктуры РФ и ряд других.

Документ также предусматривает разработку критериев отнесения объектов критической информационной инфраструктуры к различным категориям опасности и установление требований к системам безопасности данных объектов.

Законопроект о внесении изменений в Федеральный закон «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает меры ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры РФ.

В документе предполагается уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации, повлекший ущерб безопасности критической информационной инфраструктуры РФ или создавший угрозу его наступления – лишение свободы на срок до 10 лет.

Также предусматривается уголовная ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к таким сетям, повлекшее ущерб безопасности критической информационной инфраструктуры РФ или создавшее угрозу его наступления – до 7 лет лишения свободы.

Комиссия РАЭК по информационной безопасности и киберпреступности рассмотрела данные законопроекты и при общем понимании концептуальной необходимости обеспечения безопасности критической информационной инфраструктуры, отмечает следующие недоработки указанных проектов законов:

  1. Термин "критически важный объект" не совпадает с аналогичным определением в ранее принятых нормативных актах. В связи с чем считаем целесообразным привести термин в соответствие с уже принятой терминологией, либо внести изменения в действующие НПА.

  2. В рамках термина "компьютерная атака" происходит расширение понятия до "безопасности информации". Однако учитывая направленность регулирования, обозначенную авторами инициативы, речь в проекте должна идти о "безопасности критической информационной инфраструктуры".

  3. В редакциях норм проекта акта используются термины "значимость", "важность", "значительный", "высокий", "средний". При этом проектом акта и действующими нормативными правовыми актами не определяются указанные термины и их граничные значения. Неопределенность, возникающая таким образом в рамках норм, на практике способна привести к возникновению избыточных административных и иных обязанностей и ограничений в отношении субъектов критической информационной инфраструктуры.

  4. В понятие "нарушение функционирования критической информационной инфраструктурой" есть отсыл к "отрицательным последствиям", которые носят оценочный характер и никак не определены.

  5. Часть 2 статьи 12 устанавливает, что субъект критической информационной инфраструктуры должен незамедлительно информировать о компьютерных инцидентах. Аналогичный термин "незамедлительно" установлен и в части 2 статьи 14. Понятие "незамедлительно" является нечетким и также должно быть уточнено.

  6. Нормами проекта акта на субъекта критической информационной инфраструктуры возлагается обязанность по категорированию объектов критической информационной инфраструктуры. При этом действующими нормативными правовыми актами Российской Федерации не установлен порядок такого категорирования. Таким образом, предлагаемая норма представляется неопределенной и способной привести к возникновению избыточных административных и иных ограничений в отношении субъектов предпринимательской деятельности, эксплуатирующих или обслуживающих КВО.

  7. Согласно предлагаемым нормам, оценку защищенности могут проводить аккредитованные ФСТЭК и ФСБ организации. Формулировка допускает и иных участников, но на практике вряд ли это будет осуществимо, так как аккредитация требует наличия лицензии на работу с государственной тайной, специального инструментария, прошедшего оценку соответствия, трех специалистов с высшим профессиональным образованием. Требование наличия высшего профессионального образования в области информационной безопасности сильно ограничивает спектр возможных компаний, планирующих получать аккредитацию: высшее профессиональное образование по информационной безопасности в России существует не так давно и многие специалисты по ИБ не имеют профильного высшего образования. Также наличие ВПО не говорит о наличии у специалистов аккредитованных организаций знаний по сфере деятельности субъекту критической информационной инфраструктуры.

  8. Оценка защищенности в терминах законопроекта представляется не оперативным процессом: процесс составления акта ФСТЭК или ФСБ по результатам оценки и предписание с мерами по устранению крайне сложный и при этом не вносит ясности относительно того, кто именно будет нести ответственность за решения о мерах по нейтрализации той или иной уязвимости.

  9. Положение о том, что Президент определяет случаи использования государственной системы обнаружения атак для решения задач, не связанных с обеспечением безопасности объектов критической инфраструктуры не относится к цели регулирования, обозначенной в законопроекте.

  10. Часть 2 статьи 8 не позволяет провести категорирование объектов критической информационной инфраструктуры, в связи с чем остаётся неясным, как провести различия между объектами критической информационной инфраструктуры разных категорий опасности.

  11. Часть 5 статьи 8 говорит о форме уведомления о результатах категорирования объектов критической информационной инфраструктуры. Указанная форма утверждается ФСБ и ФСТЭК, но при этом в проекте не установлены сроки разработки и утверждения данной формы. Также не установлен порядок отправки сведений о категорировании субъектами критической информационной инфраструктуры.

  12. В части 6 статьи 8 не установлен срок проверки достоверности категорирования.

  13. В части 2 статьи 9 не установлено за чей счет на сетях электросвязи устанавливаются средства обнаружения признаков компьютерных атак. Также не установлен порядок установки и эксплуатации таких средств.

  14. Часть 7 статьи 9 говорит о том, что оценку защищенности могут проводить аккредитованные организации. При этом в части 8 той же статьи говорится, что акт с результатами оценки защищенности готовит уполномоченный федеральный орган. При этом порядок, форма и сроки передачи сведений от аккредитованных организаций уполномоченному органу не определены.

  15. Порядок, сроки и форма выдачи предписания субъекту критической информационной инфраструктуры, а также сроки устранения полученных замечаний не определены.

  16. Статья 10 требует наличия лицензии на работу с государственной тайной от компании, желающей заниматься оценкой защищенности объектов критической информационной инфраструктуры. Для объектов с низкой и средней категорией опасности данное требование является избыточным.

Кроме этого, обращаем внимание, что к законопроекту могут быть применены и замечания, включенные в заключение Минэкономразвития от 17.08.2012 об оценке регулирующего воздействия на проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». В частности:

  1. Учитывая значительное количество указанных объектов, необходимость установления проектом акта существенных требований к ИС КВО требует соответствующего исследования и обоснования. Принятие проекта акта в отношении всех объектов критической информационной инфраструктуры представляется необоснованным вследствие того факта, что ущерб, на предотвращение которого направлены нормы проекта акта, значительно ниже оценочных затрат на выполнение устанавливаемых им требований. Кроме того, установление требований проекта акта в отношении большинства объектов критической информационной инфраструктуры требует дополнительного обоснования. Разработчиком в пояснительной записке не приводится статистических данных о размере ущерба, наступившего вследствие инцидентов в сфере защиты информации на критически важных объектах, в Российской Федерации по отраслям промышленности. Необходимо оценить последствия принятия проекта акта с учетом ожидаемых выгод (предотвращаемого ущерба) и ожидаемых затрат субъектов предпринимательской и иной деятельности, направленных на выполнение положений предлагаемого регулирования.

  2. Ряд требований по безопасности объектов критической информационной инфраструктуры уже установлен в действующих нормативных правовых актах Российской Федерации, регулирующих организационные и правовые основы в сфере обеспечения безопасности соответствующих объектов. Так, статьей 11 Федерального закона от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» на субъекты топливно-энергетического комплекса возложена обязанность по созданию на объектах ТЭК системы защиты информации и информационно-телекоммуникационных сетей, от неправомерного доступа, уничтожения, модификации, блокирования информации и иных неправомерных действий. Существенная часть объектов ТЭК являются критически важными объектами. Таким образом, во исполнение положений закона № 256-ФЗ, субъектами ТЭК уже реализованы необходимые мероприятия по созданию систем защиты информации в информационных системах. Предусмотренные проектом акта требования к безопасности объектов критической информационной инфраструктуры с учетом категорий опасности, которые предстоит установить соответствующим федеральным органам исполнительной власти в соответствии с предлагаемой проектом акта, могут привести к существенным дополнительным материальным и временным издержкам, вследствие необходимости приведения в соответствие с нормами проекта акта действующих системы безопасности КВО, эксплуатируемых субъектами ТЭК с учетом требований закона № 256-ФЗ.Учитывая изложенное, введение норм дополнительного регулирования в сфере обеспечения безопасности указанных объектов без дополнительного обоснования и без соответствующей доработки действующего регулирования представляется избыточным.

  3. Правовое регулирование по законопроекту будут осуществлять два федеральных органа исполнительной власти, Правительство и Президент России. Также аналогичное регулирование производится уполномоченным федеральным органом исполнительной власти в рамках реализации требований закона № 256-ФЗ. Требования по безопасности операторов связи установлены нормативными актами Минкомсвязи. Представляется, что предлагаемое регулирование может носить неопределенный характер, поскольку в нем принимают участие несколько федеральных органов исполнительной власти, что на практике может способствовать установлению противоречивых и избыточных требований.

  4. Предлагаемое регулирование на практике способно оказывать избыточное влияние на субъектов предпринимательской деятельности, эксплуатирующих ИС КВО с учетом следующего. В настоящее время в существующих ИС КВО широко используются программно-аппаратные средства иностранной разработки, использование которых является экономически и технологически эффективным, но для которых выполнение устанавливаемых проектом акта требований (а также требований ФСТЭК России и ФСБ России в соответствии с рассматриваемой нормой проекта акта) по защите информации сопряжено с существенными затратами или на практике может быть технически невозможным. для ряда субъектов предпринимательской деятельности в информационно-телекоммуникационной области затраты на замену или доработку этих программно-аппаратных средств могут быть сравнимы со стоимостью бизнеса. Субъекты критической информационной инфраструктуры в соответствии с предлагаемыми проектом акта нормами статьи 12 имеют возможность только определять дополнительные требования к безопасности критической информационной инфраструктуры, которые уже являются избыточными, но не могут их снижать при наличии к тому достаточных оснований.

  5. Дополнительно необходимо обратить внимание на то, что действующими нормативными правовыми актами по защите сведений ограниченного доступа среди прочего установлено требование об использовании средств защиты информации прошедших в установленном порядке процедуру оценки соответствия, которую невозможно провести без наличия исходных кодов программ, использования в средствах защиты исключительно российских алгоритмов криптографической защиты информации. Если используются средства защиты иностранной разработки или производства, то эти требования не могут быть выполнены. Замена средств защиты информации на отечественные или разработка собственных средств защиты информации и их сертификация требует существенных материальных издержек, особенно для коммерческих операторов связи, бизнес процессы которых в большинстве случаев реализованы с использованием телекоммуникационного оборудования и программно-аппаратных средств защиты информации иностранной разработки.

  6. Предлагаемая проектом акта норма статьи 12 и 13 устанавливает обязанность субъекта критической информационной инфраструктуры реагировать на инциденты безопасности. Вместе с тем, порядок реагирования и определения, какие случаи можно отнести к инцидентам, проектом акта не определяются. Неисполнение указанной нормы на практике способно послужить основанием для привлечения определенных субъектов, попадающих в сферу регулирования проекта акта, к установленной законодательством Российской Федерации ответственности. Учитывая изложенное, предлагаемая норма проекта акта представляется недостаточно определенной и способной привести к возникновению избыточных административных и иных обязанностей и ограничений в отношении субъектов предпринимательской деятельности, эксплуатирующих объекты критической информационной инфраструктуры.

  7. Статьей 17 проекта акта устанавливается его срок вступления в силу 1 января 2015 года. В отношении предлагаемой нормы проекта акта разработчиком не представлено данных, обосновывающих и подтверждающих возможность своевременного исполнения субъектами предпринимательской и иной деятельности, попадающими в сферу его регулирования, требований, установленных проектом акта. Согласно мнению указанных субъектов, полученному в ходе проведения консультаций и экспертной оценке, в целях надлежащего выполнения предлагаемых требований целесообразно установить в проекте акта переходный период продолжительностью не менее трех лет после принятия нормативных правовых актов, предусмотренных положениями проекта акта.

Заключение направлено по контактным данным, указанным в реквизитах документа на Едином портале раскрытия информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения regulation.gov.ru и официальным письмом в ФСБ России.

Источник фотографии: http://alexio-marziano.livejournal.com/8764.html

Поделиться новостью: