По мере автоматизации производства, экономики и государственного управления информационные системы (ИС), информационно-телекоммуникационные сети (ИТС) и автоматические системы управления (АСУ) становятся ключевыми элементами управления, обеспечивающими максимально быстрое получение информации о состоянии объектов и оперативное дистанционное управление ими. Нарушение работы некоторых ИС, ИТС и АСУ может привести к серьезным экономическим, экологическим, социальным и политическим последствиям и даже ухудшить безопасность страны в целом. Понимая важность обеспечения информационной безопасности указанных критических элементов, Государственная Дума в течении пяти лет разрабатывала закон об обязательной защите критических элементов информационной инфраструктуры.
Критическая инфраструктура
Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ РФ) был принят 26 июля 2017 г. и получил порядковый номер 187. Он определил ключевые понятия для обеспечения информационной безопасности ИС, ИТС и АСУ значимых объектов КИИ (ЗОКИИ), функционирующих в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности – в наиболее важных сферах для эффективного функционирования Российского государства.
Закон устанавливает административную ответственность для организаций и уголовную ответственность для их руководителей в случае инцидента, который привел к ущербу для государства. При этом ответственность за несоблюдение требований в рамках закона уже наступила с 1 января 2018 г. для генеральных директоров. Поэтому, если на объекте КИИ случается серьезный киберинцидент, приведший к существенному ущербу, его владелец может понести ответственность, вплоть до уголовной, уже сейчас.
В выработке требований по безопасности объектов КИИ ключевой процедурой является категорирование, т. е. определение категории значимости объекта. Эта процедура определена на уровне Постановления Правительства РФ № 127-ПП. На процесс категорирования постановление отводит год. Постановление предписывает проводить раз в год или в случае значительного изменения информационных систем самооценку рисков, причем ее возможно проводить с привлечением сторонних организаций. Предполагается также проводить не реже чем раз в три года плановую проверку объектов со стороны государственных органов. Однако возможно и проведение внеплановой проверки, в случае если инцидент произошел и информация об этом стала доступна государственным ведомствам.
В первую очередь владелец ЗОКИИ должен выполнить требования ФСТЭК, которые сформулированы в приказах: № 235 «Об утверждении Требований к созданию систем безопасности ЗОКИИ РФ и обеспечению их функционирования» и № 239 «Об утверждении Требований по обеспечению безопасности ЗОКИИ РФ». Первый приказ обязывает компании создавать системы информационной безопасности на предприятии, которые необходимы как для выявления инцидентов, так и для реагирования на них. Второй приказ определяет требования к используемым на предприятии средствам ИБ.
Таким образом, инфраструктура киберзащиты, которую строит государство в соответствии с требованиями Закона № 187-ФЗ, следующая: центром является ГосСОПКА – распределенная система мониторинга ситуации в киберпространестве, которая собирает сведения от средств защиты ЗОКИИ, обрабатывает их и выдает рекомендации по реакции на инциденты, которые должны реализовать службы информационной безопасности компаний, эксплуатирующих ЗОКИИ. Таким образом государство рассчитывает защитить от кибернападений российские компании, которые поддерживают критическую информационную инфраструктуру. Конечно, большую часть работы придется делать самим компаниям: проводить категорирование, заниматься моделированием угроз, вырабатывать методы противодействия, устанавливать необходимое оборудование, но государство будет следить как за процессом построения защиты, так и за ее эксплуатацией, чтобы координировать деятельность служб ИБ у всех ЗОКИИ.
Если же проследить истоки требований, которые были законодательно закреплены законом № 187-ФЗ, то они были впервые сформулированы в приказе ФСТЭК России № 31 от 14.03.2014 г. «Об утверждении Требований к обеспечению защиты информации в АСУП и ТП на КВО, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». На тот момент законопроект «О безопасности КИИ РФ» уже находился в Государственной Думе. Не дожидаясь признания проблемы на федеральном уровне, ФСТЭК в рамках своих полномочий начала разработку требований для критически важных объектов. Конечно, требования этого приказа были рекомендательными, но уже тогда было понятно, что в конце концов они будут приняты на законодательном уровне.
Следует отметить, что приказ № 31 ФСТЭК имеет уже не первую редакцию, но практически перед самым принятием Закона № 187-ФЗ он был модернизирован в соответствии с «Доктриной информационной безопасности РФ» (утверждена Указом Президента РФ от 05.12.2016 г. № 646). Таким образом, требования, содержащиеся в приказе № 239, – это третья версия документа, и компаниям, которые уже занимались реализацией требований приказа № 31, достаточно будет только актуализировать документы, т. е. в основном пройти процедуру категорирования и зарегистрироваться в реестре ЗОКИИ. Хотя формально приказ № 31 все еще продолжает действовать, но его требования полностью покрываются требованиями Закона № 187-ФЗ и теперь уже обязательны к исполнению.
Относительной новеллой Закона № 187-ФЗ является система ГосСОПКА, но и она появилась задолго до принятия закона. Ее начали разрабатывать в рамках Указа Президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Утверждается, что уже зимой 2014 г. на сочинской Олимпиаде состоялось боевое крещение названной системы, которая показала свою эффективность. Хотя сам указ является ДСП, но, судя по открытым выдержкам из него, система изначально предполагалась как иерархическая с возможностью создания ведомственных, региональных и даже корпоративных узлов обмена информацией об инцидентах. Так что и эта часть Закона № 187-ФЗ является достаточно проработанной и действенной. Возможно, именно потому законопроект «О безопасности КИИ РФ» пролежал в Госдуме так долго, чтобы ведомства, в нем указанные, успели проработать требования к информационным системам объектов КИИ и создать работающую систему ГосСОПКА.
Персональные данные
В соответствии с принципом Черномырдина «никогда не было и вот опять» Закон № 187-ФЗ отчасти повторяет в своем развитии более старый Закон № 152-ФЗ «О персональных данных». Для полноты картины стоит рассмотреть историю его внедрения, чтобы понять, как за шесть лет с момента его принятия изменился подход российский ведомств, занимающихся информационной безопасностью.
Итак, российский закон «О персональных данных» был принят 27 июля 2006 г. и получил порядковый номер 152. Он закрепил, что ответственными ведомствами за соблюдение закона являются: Роскомнадзор – в части организационных мер, ФСТЭК – в части формирования требований к защите ИСПДн и ФСБ – в части криптографических средств защиты. В нем также были перечислены организационные меры, такие как назначение ответственных, разработка набора корпоративных документов, регистрация в реестре операторов персональных данных, вести который на тот момент было доверено Роскомнадзору.
Впрочем серьезные проблемы возникли у операторов с выпуском подзаконных актов, которые подготовили ФСТЭК, Роскомнадзор и ФСБ. Наиболее сложными из этих требований оказались обязательная сертификация средств защиты для базы персональных данных и аттестация объектов. Требования были завышены, но они могли предъявляться только к новым системам, поскольку закон обратной силы не имеет. Требование о приведении в соответствие всех остальных систем было связано с датой 1 января 2010 г., после которой уже все компании без исключения должны были выполнить предписания регуляторов. Только после этого можно было проводить проверки на соответствие техническим требованиям. Поэтому соблюдение технических требований ни кто не проверял до 1 января 2010 г. Однако эту дату перенесли еще на год, а потом на полгода – окончательно закон вступил в силу почти через пять лет после подписания 1 июля 2011 года. Однако перед самым вступлением закона в силу Президент России Дмитрий Медведев потребовал снять излишние обременения с операторов персональных данных, поэтому в конце весенней сессии 2011 г. в Государственной Думе наблюдалась лихорадочная активность законодателей по изменению Закона «О персональных данных». В новой редакции Закона «О персональных данных» появились совсем другие нормы, которые фактически закрепляли на законодательном уровне часть технических требований из подзаконных актов. Тогда новая версия закона очень быстро прошла все три чтения в Госдуме, слушания в Совете Федерации и была передана на подпись Президенту. Она и была подписана 27 июля 2011 г. – ровно через пять лет после выпуска первого закона. Видимо, в это время ведомства, занимающиеся ИБ, поняли порочность практики принятия плохо подготовленных законов с последующим доведением их до работоспособного состояния. Понятно, что они потратили на доработку те же пять лет, что и законопроект «О безопасности КИИ РФ», который столько же пролежал в Государственной Думе, но затраченных сил на его доработку, сломанных копий и шума вокруг него было гораздо больше.
Впрочем, к правкам Закона № 152-ФЗ вернулись летом 2014 г. – в законе появилась новелла, связанная с похолоданием отношений с Западом. Федеральный закон от 21.07.2014 № 242-ФЗ внес требования по хранению персональных данных россиян на территории РФ. В результате все облака и базы данных начали проверять в том числе и на соблюдение требований Закона № 152-ФЗ. Вполне возможно, что после завершения первого этапа внедрения Закона № 187-ФЗ и завершения всероссийской категоризации, и этот закон будет модифицирован для решения геополитических задач – опыт у законодателей в этом деле уже есть.
Следует отметить, что различных изменений в Закон № 152-ФЗ на сегодняшний день насчитывается уже 20 штук, и, скорее всего, внесение изменений будет продолжаться. Впрочем, первые изменения в него были внесены в ноябре 2009 г., т. е. более чем через три года – такой срок для Закона № 187-ФЗ еще не прошел. Скорее всего, модификации будут появляться уже после категоризации большинства объектов критической инфраструктуры.
Заключение
У Законов № 187-ФЗ и № 152-ФЗ много общего. В обоих случаях государство заботится о безопасности граждан за счет обязательного внедрения средств защиты в коммерческих предприятиях. И даже контролирующие органы, обеспечивающие соблюдение требований, у обоих законов одинаковые – ФСТЭК и ФСБ. Схема требований у обоих законов также очень похожа: разделение на три категории, для каждой из которых свои требования по организации защиты. Причем правила формирования защиты формулируются в приказах ФСТЭК: предполагается, что эти приказы будут гармонизированы, чтобы в них не было расхождений.
Однако стоит отметить, что при подготовке подзаконных актов после принятия Закона № 187-ФЗ ответственные ФОИВ в целом уложились в намеченные сроки – срок вступления закона в силу не переносили ни разу. Кроме того, они достаточно внятно донесли до общественности свои требования и позицию по подготовленным документам. Налицо более продуманная стратегия введения в действие закона, хотя пока заметны и некоторые огрехи в Законе № 187-ФЗ. В частности, предприятия АПК и ЖКХ почему-то не попали в список 12 критических отраслей, хотя при целенаправленном нарушении некоторых из процессов в этих отраслях вполне могут пострадать люди. Очевидно, что Закон № 187-ФЗ будет дорабатываться, но уже по первым результатам его работы в течении ближайших двух-трех лет.
Валерий Коржов, Connect
