Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования
Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
В майском обзоре изменений российского законодательства речь пойдет об отсрочках, которые были предоставлены регуляторами в связи с коронавирусной инфекцией, о нашумевших проектах документов по импортозамещению
В информационном письме от 14.05.2020 г. № ИН-014-56/88 "О неприменении мер в связи с коронавирусной инфекцией (COVID-19)"1 Банк России сообщает о неприменении до 01.07.2021 г. мер в случае нарушения кредитными организациями п. 4 положения Банка России от 17.04.2019 г. № 683-П и некредитными финансовыми организациями положения Банка России от 17.04.2019 г. № 684-П.
Таким образом, временные регуляторные послабления до 1 июля 2021 г. в отношении нарушений требований нормативных актов Банка России получили:
Требования вступили в силу с 1 января 2020 г.
Следует отметить, что отсрочка по применению мер за нарушение требований положений Банка России не отменяет самой необходимости исполнения требований в корректные сроки.
13 мая 2020 г. был официально опубликован приказ ФСТЭК России от 27.04.2020 г. № 61 "О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17"2. Приказ вступил в силу 24 мая 2020 г.
Этот приказ предусматривает сдвиг срока вступления в силу требования по применению в государственных информационных системах сертифицированных средств защиты информации, соответствующих уровням доверия, до 1 января 2021 г. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.
21 мая 2020 г. был опубликован проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры" 3.
Проектом указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры, а также порядок перехода на преимущественное использование российского оборудования и ПО. При этом, по проекту указа, требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., осуществить переход на российское ПО будет необходимо до 1 января 2021 г., а на российское оборудование – до 1 января 2022 г.
К проекту указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по контролю использования российского оборудования – Минпромторг России. В случае если переход на российское обеспечение все-таки невозможен, то необходимо согласовать перечень используемого (или планируемого к использованию) иностранного ПО с Минкомсвязью России, а иностранного оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязь России, и Минпромторг России, и ФСБ России, и ФСТЭК России. Пока неизвестно, в какие сроки будет подготовлено описание порядка согласования. Никаких временных рамок проект указа не устанавливает, а проекты нормативных актов от регуляторов еще не были представлены.
В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и/или оборудования и в течение 30 рабочих дней с момента утверждения направить копию этого плана в Минкомсвязь России и Минпромторг России.
При этом экспертным сообществом отмечается:
29 мая 2020 г. для общественного обсуждения был представлен проект нового Кодекса Российской Федерации об административных правонарушениях4. Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности.
Рассмотрим некоторые из основных изменений, предлагаемых проектом КоАП РФ:
В табл. ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ ст. 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.
Лицо | Административный штраф | За что? |
Должностное лицо | От 10 тыс. руб. до 50 тыс. руб. |
Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА |
От 10 тыс. руб. до 50 тыс. руб. | Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния | |
От 20 тыс. руб. до 50 тыс. руб. | Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты | |
Юридическое лицо | От 50 тыс. руб. до 100 тыс. руб. |
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ |
От 150 тыс. руб. до 200 тыс. руб. | Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ | |
От 100 тыс. руб. до 500 тыс. руб. |
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА |
|
Индивидуальный предприниматель | От 30 тыс. руб. до 70 тыс. руб. |
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ |
От 50 тыс. руб. до 100 тыс. руб. |
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА |
Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ, связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало проект федерального закона "О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации"5.
Согласно пояснительной записке к проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду этого авторами проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой ст. 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами "а равно для иных неправомерных действий в отношении указанной информации". Данная поправка должна привести перечень способов неправомерного воздействия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ.
Проектом ФЗ предлагается отказаться от термина "причинение вреда", который также не однозначен и субъективен."Причинение вреда" предлагается заменить на"причинение крупного ущерба".Понятие "причинение крупного ущерба" точно и однозначно трактуется и широко используется в УК РФ как связанное с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно п.2 примечания к ст. 272 УК РФ – "Неправомерный доступ к компьютерной информации" – крупным ущербом в статьях главы 28 "Преступления в сфере компьютерной информации" УК РФ признается ущерб, сумма которого превышает 1 млн руб.
Таким образом, предлагаемые изменения, по мнению авторов проекта ФЗ, позволят четко определить размер имущественноговреда, причинениекоторого станетоснованиемдлянаступленияуголовной ответственности по частям 2 и 3 ст. 274.1 УК РФ.
В июне были опубликованы требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ. В этом обзоре мы также ознакомимся с классификацией средств обеспечения ИБ и новым положением Банка России о системе управления операционным риском в кредитных организациях.
25 июня 2020 г. был официально опубликован приказ Минкомсвязи России от 17.03.2020 г. № 114 "Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"6, который вступает в силу 6 июля 2020 г.
Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России, в контексте установки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о технических, программных, программно-аппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены приказом ФСБ России от 06.05.2019 г. № 196.7
Согласно этому приказу необходимость и места установки средств ППКА определяются ФСБ России, в том числе выбор и привлечение сторонних организаций для таких работ (при необходимости). О всех работах ФСБ России уведомляет оператора связи согласно установленным процедурам.
Эксплуатация средств ППКА осуществляется ФСБ России, а оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установленных средств поиска атак также проводится ответственными лицами ФСБ России или организацией, которая была привлечена к работам.
Минкомсвязью России 22 июня 2020 г. был опубликован проект приказа "Об утверждении классификатора программ для электронных вычислительных машин и баз данных"8.
Этот проект приказа должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По проекту приказа Минкомсвязи к средствам обеспечения информационной безопасности будут относиться следующие классы средств:
Банк России опубликовал положение от 08.04.2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"9 (далее – положение № 716-П).
Положение № 716-П устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе. К операционным рискам в том числе относятся:
При этом к рискам ИБ относятся:
Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управления операционным риском необходимо привести в соответствие с его требованиями в срок до 1 января 2022 г. В случае если система управления операционным риском будет приведена в соответствие ранее 1 января 2022 г., кредитные организации вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям положения № 716-П.
1 https://cbr.ru/StaticHtml/File/59420/20200514_in_014_56-88.pdf
2 http://publication.pravo.gov.ru/Document/View/0001202005130016
3 https://regulation.gov.ru/projects#npa=102172
4 https://regulation.gov.ru/projects#npa=102447
5 https://regulation.gov.ru/projects#npa=102094
6 http://publication.pravo.gov.ru/Document/View/0001202006250021
7 http://publication.pravo.gov.ru/Document/View/0001201905310017
8 https://regulation.gov.ru/projects#npa=103165
9 http://www.cbr.ru/Queries/UniDbQuery/File/90134/1063