Рубрикатор |
Все новости | Новости отрасли |
Николай НОСОВ | 02 февраля 2018 |
За безопасность заставят платить
Вступил в действие закон об обеспечении безопасности критической информационной инфраструктуры.
Вступивший в силу первого января закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» не привлек внимания широкой общественности. Более того, даже на прошедшем в Москве Большом национальном форуме информационной безопасности «Инфофорум-2018» не все специалисты знали о его существовании. Пока трудно оценить влияние закона на экономику страны, но оно может быть существенным. Ведь под действие закона о безопасности критической информационной инфраструктуры (КИИ) могут попасть сотни тысяч российских предприятий, которые будут вынуждены потратить часть своего бюджета на выполнение новых требований регулятора.
Закон определил права, обязанности и ответственность лиц, которые владеют объектами КИИ, а так же операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ теперь обязаны предотвращать неправомерные попытки доступа к информации и информировать государство о компьютерных инцидентах в автоматическом режиме, установив специальное программное обеспечение.Нормативно-правовое регулирование и государственный контроль за выполнением нового закона возложены на Федеральную службу по техническому и экспортному контролю (ФСТЭК России).
«Как минимум будет 18 подзаконных нормативных актов. По ним ведется активная работа. Наиболее важным из подзаконных нормативных актов является постановление правительства, утверждающее критерии значимости объектов критической информационной инфраструктуры», – пояснил заместитель директора ФСТЭК России Виталий Лютиков. В настоящий момент проект находится на рассмотрении в аппарате правительства. После утверждения можно будет приступить к первому шагу – определению объектов, в отношении которых выдвигаются требования регулятора и осуществляется государственный контроль за обеспечением безопасности.
Документ оказался сложным для разработки. По словам представителя ФТЭК, это «первый практический опыт выработки критериев ущерба для безопасности государства в различных сферах и отраслях деятельности».
«Я бы рекомендовал уже планировать свою деятельность по реализации федерального закона и подзаконных актов, в частности по категорированию. Объем работ очень большой, количество объектов, подпадающих под регулирование, исчисляется сотнями тысяч, если не больше», – отметил Виталий Лютиков и призвал собравшихся приступить к работам по выполнению требований нового законодательства.
ФСТЭК уже разработала требования по безопасности значимых объектов КИИ и требования к системам обеспечения безопасности, которые должны создаваться субъектами. Они еще до конца не утверждены, но представитель ФСТЭК призвал взять проекты за основу и приступить к внедрению. Некоторые системы имеют длительный жизненный цикл, процесс будет долгим и сложным, так что планировать работы по доработке систем нужно прямо сейчас.
Лучше всех знает КИИ их владелец. Субъекту предлагается самому по разработанным критериям оценить имеющиеся системы, определить, являются ли они значимыми, и по установленной форме направить оценки регулятору.
Закон принят, его надо выполнять. Но у организаций нет понимания, что конкретно надо делать. Должны быть регулирующие документы – нормативные правовые акты. Они еще не приняты, но даже принятые могут поменяться, как это было в случае закона «О персональных данных». Так что выжидательная позиция владельцев КИИ объяснима.
«Полное понимание у регулятора и объектов регулирования возникнет только тогда, когда появится хотя бы перечень всех нормативных правовых актов, всех действий, которые должен совершить владелец КИИ», – дал комментарий председатель Правления АРСИБ Виктор Минин.
В первую очередь новое законодательство затронет государственные предприятия, хотя и частных предприятий под действие закона подпадет не мало. При этом простой перенос на частный бизнес требований к организациям, работающим с гостайной, может нанести бизнесу непоправимый урон. У малых предприятий нет своих служб информационной безопасности, потребуются услуги сторонних организаций по обеспечению требований регулятора. Многим организациям, владеющим КИИ, потребуется закупка нового оборудования и программных средств. Организация с КИИ должна оповещать органы власти о взломе своей системы. Полиция придет и заведет уголовное дело со всеми вытекающими последствиями – материальными затратами на ведение дела и потерями рабочего времени. Так что нагрузка на бизнес возрастет.
Эксперты отмечают важность и своевременность принятия закона в условиях роста киберугроз для КИИ страны. Одна из критически важных для функционирования экономики систем – финансовая. Банк России занялся вопросами обеспечения информационной безопасности отечественной банковской сферы еще 15 лет назад и добился значительных успехов. По словам выступившего на форуме замначальника главного управления безопасности и защиты информации ЦБ РФ Артема Сычева, финансовая сфера не пострадала от нашумевших в прошлом году атак вируса Petya и WannaCry. Само внедрение стандартов информационной безопасности в банках шло долго и нелегко, но сейчас это одна из наиболее защищенных от киберугроз отраслей нашей экономики.
Теперь государство заставит бизнес выделять больше денег на обеспечение информационной безопасности для всей критической информационной инфраструктуры. Реализация нового закона позволит снизить киберугрозы для организаций – вледельцев КИИ, что важно для функционирования самого государства.Контроль начнется через три года, так что время еще есть. Скорее всего, как и в случае принятия закона «О персональных данных», окончательная дата выполнения требований законодательства будет перенесена. А ведь тот закон выполнить было проще. В отношении КИИ только организационными мерами не обойтись. Процесс внедрения систем обеспечения безопасности будет долгим. Но задуматься об этом стоит уже сейчас.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.