ФЗ 187 esmatähtsa teabe infrastruktuuri turvalisuse kohta. Seadus “Vene Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse kohta. Kategooriad on lõpule viidud. Mis järgmiseks

Majandusarengu ministeerium kavatseb keelata Venemaa tarkvara ja seadmete kasutamise Venemaa KII rajatistes

1. novembril 2019 sai teatavaks, et majandusarengu ministeerium valmistab ette muudatusi seaduses "Turvalisus (CII)", mis hõlmavad välismaiste tarkvara ja seadmete asendamist CII rajatistes Venemaa omadega. Muudatuste ettevalmistamise käsu andis mitu kuud tagasi kaitsepoliitika eest vastutav asepeaminister Juri Borisov. Sellest teatas RBC, viidates majandusministri asetäitja Azer Talibovi kirjale.

Talibov kirjutab, et praegusel kujul ei võimalda Venemaa seadused valitsusel nõuda CII rajatistes ainult kodumaise tarkvara ja seadmete kasutamist. Selle võimaldamiseks tuleb see norm sõnastada seaduses "CII ohutusest". KII olemasolevate rajatiste välismaiste toodete asendamise kodumaiste toodetega ajakava koostatakse eraldi.

Lisaks peaks seadus keelama välisettevõtetel suhtlemise KII võrkude ja infosüsteemidega. See tähendab, et selles osalevate juriidiliste isikute lõplikud kasusaajad peaksid olema Venemaa kodanikud, kellel pole topeltkodakondsust. Sama reegel mõjutab üksikuid ettevõtjaid, kes töötavad KII-ga. Selle tulemusel minimeeritakse välisriikide ja nende kodanike juurdepääsu KII teenustele ja arendamisele, usub Talibov.

Talybovi kirja saavad adressaadid Borisovi juhitud Venemaa sõjatööstuskomisjoni kollegium, föderaalne tehnilise ja ekspordikontrolli talitus (FSTEC) ning telekommunikatsiooni- jam. Telekommunikatsiooni- ja mvastas, et FSTEC ning tööstus- ja kaubandusministeerium töötavad valitsuse nimel välismaiste seadmete impordi asendamise küsimustega ning KII toimib Vene tarkvara abil turvalisemalt ja stabiilsemalt ning kodumaiste arendajate osakaal riigihangete turul kasvab.

Venemaal registreeriti umbes 17 tuhat küberrünnakut CII vastu

2019. aasta augustis teatas Julgeolekunõukogu esindaja, et 2018. aastal registreeriti Venemaal KII vastu umbes 17 tuhat küberrünnakut. Ründajad proovisid pahavara installida veel 7 tuhandele objektile. Ligikaudu 38% rünnakutest olid suunatud finantsasutustele.

ADE on avaldanud juhised CII objektide kategoriseerimiseks vastavalt nr 187-FZ

9. juulil 2019 sai teatavaks, et Dokumentaalse Telekommunikatsiooni Assotsiatsioon (ADE) avaldas kriitilise teabe infrastruktuuri (CII) objektide kategoriseerimise juhised. Dokument töötati välja ja teiste organisatsioonide - ADE liikmete - materjalide põhjal. Metoodiliste soovituste eesmärk on täpsustada ja ühtlustada CII objektide kategoriseerimise kord, mis on ette nähtud 26. juuli 2017. aasta föderaalseadusega "Vene Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse kohta" nr 187-FZ.

Suunised sisaldavad reeglite kogumit, mille alusel operaatorid peaksid CII-objektid erinevat tüüpi liigitama. Dokumendi avaldatud versiooni on heaks kiitnud Venemaa FSTEC ja Venemaa FSB 8. keskus ning seda saavad kasutada sideoperaatorid. Regulatiivse raamistiku muutmisel, metodoloogiliste soovituste rakendamise tulemuste põhjal kommentaaride ja ettepanekute saamisel plaanib ühing metoodika teksti muuta.

Anonüümseks jääda soovinud föderaalametnik ütles, et ühing on tegelikult avalik organisatsioon, selle soovitustel pole juriidilist jõudu.

MegaFon "ütles, et dokumendi avaldatud versiooni on heaks kiitnud peamised reguleerivad asutused vastavalt FZ-187-le ja seda saavad kasutada sideoperaatorid. Tööstuse dokument on vabatahtlik, kuid FSTEC ja FSB soovitavad seda kasutada sidetööstuses.

MTS PJSC pressiteenistuse pressiesindaja ütles, et telekommunikatsioonioperaatorid kasutavad soovitusi kriitilise teabe infrastruktuuri (CII) rajatiste kategoriseerimisel ja nende rajatiste turvasüsteemide ehitamisel.

Akado Telecomi pressiesindaja ütles, et algatus soovituste väljatöötamiseks on õige ja õigeaegne.

Andmed Venemaa Föderatsiooni kriitiliste rajatiste vastu suunatud küberrünnakute kohta lekivad välismaale. Ettevõtted rikuvad seadust

Venemaa ettevõtted, kelle vastutusalasse kuulub kriitilise infrastruktuuri rajatiste haldamine, ilma FSB teadmata, jagavad küberrünnakute andmeid väliskolleegidega. Neljapäeval, 27. juunil teatab RBC viitega föderaalse tehnilise ja ekspordikontrolli teenistuse (FSTEC) materjalidele, mis omakorda viitab FSB-le.

Eelmisest aastast kehtiva seaduse "Esmatähtsa infrastruktuuri turvalisuse kohta" kohaselt peavad esmatähtsate infrastruktuuride haldamisega tegelevad ettevõtted esitama nende kohta andmed föderaalsele tehnilise ja ekspordikontrolli teenistusele (FSTEC), et määrata neile sobiv kategooria (turvanõuded on iga kategooria jaoks erinevad). ... Lisaks peavad nad ühenduma FSB loodud riikliku arvutirünnakute tuvastamise, ennetamise ja tagajärgede likvideerimise süsteemiga (GosSOPKA) ning teatama oma rajatiste küberrünnakutest Riiklikule arvutiintsidentide koordineerimiskeskusele (NKTsKI).

Kuid mitte kõik ettevõtted ei järgi seaduse nõudeid ja teavitavad NKTsKI-d oma süsteemide küberrünnakutest. Sel põhjusel puudub keskusel täielik teave esmatähtsate infrastruktuuride rajatiste juhtumite kohta, ta ei saa neile piisavalt reageerida ega ennustada.

Olgu kuidas on, aga ettevõtted jagavad infot küberrünnakute kohta välismaiste organisatsioonidega. Seda tehes rikuvad nad FSB korraldusi nr 367 ja nr 368, mille kohaselt tuleb andmevahetus välismaiste organisatsioonidega kooskõlastada FSTECiga. Teenus ei saanud selles küsimuses siiski ühtegi apellatsiooni.

FSTEC on seisukohal, et välisettevõtetele Venemaa Föderatsiooni esmatähtsate infrastruktuuride küberrünnakute kohta antud teave satub lõpuks välisriikide eriteenistuste kätte, kes saavad seda kasutada Venemaa elutähtsa infrastruktuuri julgeolekuolukorra hindamiseks.

RBC sõnul on võimalik, et sel viisil üritavad ettevõtted vältida mainet ja rahalisi kahjusid. Kuid andmete saatmine välismaale seab esikohale ettevõtted. Kuna FSB kontrolli all oleval riiklikul arvutiõnnetuste koordineerimiskeskusel NKTsKI puudub täielik teave juhtumite kohta, ei saa ta neile adekvaatselt reageerida ega olukorra arenguks täpseid prognoose teha, märgib FSTEC.

Venemaal kehtib seadus "Kriitilise teabe infrastruktuuri turvalisuse kohta" alates 2018. aastast. Selle peamine eesmärk on kaitsta riigi tähtsamaid ettevõtteid küberrünnakute eest.

FSTECi sõnul ei tööta seadus mitmel põhjusel täies jõus. Esiteks märkis osakond juba eelmisel aastal pankade ja teabe puudumist oma rajatiste "kriitilisuse" kohta. Teiseks, mõned põhimäärused, mis peaksid kinnitama üksikasjad organisatsioonide suhtlemisest selle seaduse raames, pole veel vastu võetud.

FSB sõnastas nõuded GosSOPKA vahenditele KII RF kaitsmiseks

FSTEC ja FSB kehtestavad vastutuse Venemaa kriitilise tähtsusega IT-infrastruktuuri nõuete rikkumise eest

26. märtsil 2019 postitati föderaalsesse normatiivdokumentide portaali teade föderaalseaduse eelnõu "Vene Föderatsiooni haldusõiguserikkumiste seadustiku muutmise kohta (vastutuse tuvastamise eest CII rajatiste ohutuse tagamise nõuete rikkumise eest) väljatöötamise alustamise kohta".

Siiani on see ainult teade vastava dokumendi töö alustamise kohta. Seadus nr 187-FZ "Vene Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse kohta" näeb ette struktuurid, mis haldavad Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri olulisi objekte, et järgida seadustes ja määrustes määratletud nõudeid selliste objektide turvalisuse tagamiseks.

Eelkõige on kriminaalkoodeksi artikkel 274.1, mis näeb ette kriminaalvastutuse ebaseadusliku mõjutamise eest Vene Föderatsiooni elutähtsasse infoinfrastruktuuri.

Siiski pole seadust, mis määratleks juhtumid, kus neid nõudeid ei järgitud, kuid see ei toonud kaasa ebaseaduslikku mõju CII-le.

Projekti peamine arendaja peaks olema FSTEC, kuid kaasfooridena on nimetatud Venemaa Föderatsiooni föderaalne julgeolekuteenistus.

Eelnõu vastuvõtmise kavandatav kuupäev on jaanuar 2020. Saate dokumenti lugeda.

FSTEC teeb ettepaneku keelata Venemaa KII-ga seotud teabe töötlemine välismaal

Projekt sisaldab mitmeid erinevaid selgitusi, mille hulgas tuuakse esile kriitilise infrastruktuuri rajatiste riistvara, tarkvara ja teabe töötlemise protseduuridega seotud nõuded.

Eelkõige tehakse ettepanek korralduse punkti 31 täiendada järgmise lõikega:

Korralduse eelmine versioon selliseid piiranguid ei kehtestanud.

Lisaks kavatseb dokument kohustada kõige olulisemaid esmatähtsa infrastruktuuri ettevõtteid kasutama ainult infoturbenõuete täitmiseks sertifitseeritud ruutereid. Räägime siiski ainult KII vastloodud või moderniseeritud rajatistest ja ainult esimesest (maksimaalsest) olulisuse kategooriast.

On ette nähtud, et tehnilise teostatavuse puudumisel kasutada piiriruuterina ainult sertifitseeritud seadmeid (st neid, mille kaudu toimub kohtvõrgust Internetile juurdepääs), tuleb tegelikult kasutatud seadmete turvalisust hinnata oluliste objektide vastuvõtmise või testimise osana.

Tellimuse projekti täistekst on saadaval sellel lingil.

2018

2018. aastal pandi Vene Föderatsioonis toime umbes 4,3 miljardit küberrünnakut

"Tellin kinnitada lisatud korra Venemaa FSB teavitamiseks arvutiintsidentidest, neile reageerimisele, meetmete võtmisele Venemaa Föderatsiooni kriitilise teabe infrastruktuuri oluliste objektide vastu tehtud arvutirünnakute tagajärgede kõrvaldamiseks," - tuleneb korraldusest.

Nagu seletuskirjas märgitud, on projekti eesmärk parandada õiguslikku regulatsiooni Venemaa Föderatsiooni kriitilise teabe infrastruktuuri subjektide tegevuse koordineerimise valdkonnas arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise ning arvutiintsidentidele reageerimise küsimustes.

Korralduse kohaselt on Venemaa Föderatsiooni kriitilise informatsiooni infrastruktuuri subjektid arvutiintsidendi korral kohustatud sellest viivitamatult teavitama riiklike arvutijuhtumite koordineerimiskeskust (NCCCI). Kui selle tehnilise infrastruktuuriga pole ühendust, tuleks teave saata faksi, elektroonilise ja telefonitsi kaudu agentuuri veebisaidil näidatud NKTsKI aadressidele või telefoninumbritele.

Lisaks, kui juhtum juhtus KII asutuses, mis tegutseb panganduses ja finantsturu teistes piirkondades, tuleb sellest teavitada ka Venemaa Föderatsiooni keskpanka.

Elutähtsate infrastruktuuride subjektid peavad välja töötama ka arvutijuhtumitele reageerimise ja arvutirünnakute tagajärgede likvideerimise meetmete võtmise plaani ning vähemalt kord aastas läbi viima koolituse kava tegevuste väljatöötamiseks.

Teave KII turvalisuse kohta küberrünnakute eest klassifitseeriti riigisaladuseks

Määrus täiendab riigisaladuseks liigitatud teabe loetelu, mis kiideti heaks Venemaa Föderatsiooni presidendi 30. novembri 1995. aasta määrusega nr 1203 "Riigisaladuseks klassifitseeritud teabe loetelu kinnitamise kohta" uue lõikega. Dokumendi kohaselt sisaldavad sellised andmed nüüd teavet, mis avalikustab meetmed Venemaa Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse tagamiseks ja teavet, mis avalikustab CII kaitse staatuse arvutirünnakute eest.

FSB-le ning föderaalsele tehnilise ja ekspordikontrolli talitusele on antud volitused selliste andmete kõrvaldamiseks.

2017: mis ähvardab ebaseaduslikku mõju Venemaa kriitilisele IT-infrastruktuurile

Vastavalt regulatiivsetele õigusaktidele 187-FZ kuuluvad uute nõuete alla finants-, transpordi-, energeetika-, telekommunikatsiooniettevõtted, samuti valdkonna organisatsioonid. Pärast seda esitatakse objektide loetelu teatisena Venemaa FSTEC-ile ja iga loendis oleva objekti jaoks määrab CII subjekt olulisuse kategooria, mille järel kategooriatesse jaotamise tulemused saadetakse FSTEC-le kinnitamiseks. Teatud kategooriate põhjal peab CII rajatiste omanik tulevikus ehitama kaitse.

Ebaseaduslik mõjutamine hõlmab arvutiprogrammide või muu arvutiteabe loomist, levitamist ja / või kasutamist, mida kasutatakse teadlikult esmatähtsas infrastruktuuris teabe blokeerimise, muutmise, kopeerimise hävitamiseks või selle teabe kaitsmise vahendite neutraliseerimiseks.

Lisaks kaasnevad sanktsioonidega ebaseaduslik juurdepääs kaitstud arvutiteabele, mis sisaldub Venemaa Föderatsiooni kriitilises infoinfrastruktuuris, kui see on sellele infrastruktuurile kahju tekitanud.

Samuti on ette nähtud karistused kriitilises infostruktuuris, infosüsteemides, info- ja telekommunikatsioonivõrkudes, automatiseeritud juhtimissüsteemides ja telekommunikatsioonivõrkudes sisalduvate kaitstud arvutiteabe säilitamise, töötlemise või edastamise eeskirjade rikkumise eest.

Rikkujate infrastruktuuri mõjutamiseks mõeldud pahatahtlike programmide loomiseks ootab neid kuni viie aasta pikkune sunnitöö võimaliku vabadusepiiranguga kuni kaks aastat või vabadusekaotus kahest kuni viieks aastaks trahviga viissada tuhat kuni üks miljon rubla või summa ulatuses. süüdimõistetu palk või muu sissetulek ajavahemikuks üks kuni kolm aastat. Ebaseadusliku juurdepääsu eest kaitstud arvutiteabele sunnitöö kuni viieks aastaks trahviga 500 tuhat kuni üks miljon rubla, võimaliku vabadusepiiranguga kuni kaheks aastaks või vabadusekaotus kahe kuni kuue aasta pikkuseks trahviks viissada tuhat kuni miljon rubla.

Kaitstud arvutiteabe säilitamise, töötlemise või edastamise vahendite käitamiseeskirjade rikkumisele järgneb sunniviisiline töö kuni viieks aastaks koos võimaliku õiguse võtta teatavatel ametikohtadel või tegeleda teatud tegevusega kuni kolmeks aastaks. Samuti näeb see ette võimaliku vangistuse kuni kuueks aastaks.

Kui need teod on toime pannud isikute rühm eelneva vandenõu abil, organiseeritud rühmitus või ametiseisundit kasutav isik, suureneb karistuse raskus oluliselt: seadus näeb ette kolme kuni kaheksa aasta pikkuse vanglakaristuse võimaliku teatavatel ametikohtadel töötamise või teatud tegevusega tegelemise õiguse äravõtmisega kuni kolmeks aastaks. aastat.

Kui samad teod, mille isikute rühm pani toime eelneva vandenõu abil või kasutades oma ametiseisundit, toovad kaasa tõsiseid tagajärgi, saavad kurjategijad viie kuni kümne aasta pikkuse tähtaja, koos sellega või ilma õiguse võtta teatud ametikohad või osaleda teatud tegevuses kuni viieks aastaks.

"Kriitilise teabe infrastruktuuri turvalisuse kohta." Alates 2013. aastast, projekti etapis, on infoturbe kogukond seda seadust jõuliselt arutanud ja tekitanud palju küsimusi selle nõuete praktilise rakendamise kohta. Nüüd, kui need nõuded on jõustunud ja paljud ettevõtted seisavad silmitsi vajadusega neid täita, tuleb vastata kõige põletavamatele küsimustele.

Milleks see seadus on mõeldud?

Uue seaduse eesmärk on reguleerida tegevusi Venemaa Föderatsiooni infoinfrastruktuurirajatiste turvalisuse tagamiseks, mille toimimine on riigimajanduse seisukohalt kriitilise tähtsusega. Selliseid seaduse esemeid nimetatakse esmatähtsa teabe infrastruktuuri objektid (KII). Dokumendi kohaselt töötavad infosüsteemid ja -võrgud, samuti automatiseeritud juhtimissüsteemid, mis toimivad:

• tervishoid;
• teadused;
• transport;
• suhtlemine;
• energia;
• pangandus ja muud finantsturu valdkonnad;
• kütuse- ja energiakompleks;
• aatomienergia;
• kaitse- ning raketi- ja kosmosetööstus;
• kaevandus-, metallurgia- ja keemiatööstus.

Mõiste moodustavad CII-objektid, samuti telekommunikatsioonivõrgud, mida kasutatakse nende vahelise suhtluse korraldamiseks kriitilise tähtsusega teabe infrastruktuur.

Mis on seaduse nr 187-FZ eesmärk ja kuidas see peaks toimima?

Elutähtsate infrastruktuuride turvalisuse tagamise peamine eesmärk on elutähtsate infrastruktuuride stabiilne toimimine, sealhulgas selle vastu suunatud arvutirünnakute läbiviimisel. Turvalisuse peamine põhimõte on ennetada arvutirünnakuid.

KII või KII?

Enne infoturbe valdkonnas uue elutähtsate infrastruktuuride seaduse ilmumist oli sarnane mõiste "põhiinfosüsteemide süsteemid" (FIAC). Kuid alates 1. jaanuarist 2018 asendati FIAC mõiste ametlikult mõistega "FIAC olulised objektid".

Millised organisatsioonid kuuluvad selle seaduse reguleerimisalasse?

Elutähtsate infrastruktuuride ohutuse seaduse nõuded mõjutavad neid organisatsioone (valitsusasutused ja asutused, juriidilised isikud ja üksikud ettevõtjad), kellele kuuluvad (omandi, üürilepingu või muu õigusliku aluse alusel) CII rajatised või mis tagavad nende koostoime. Selliseid seaduses nimetatud organisatsioone nimetatakse CII subjektideks.

Milliseid meetmeid peaksid esmatähtsate infrastruktuuride üksused seaduse rakendamiseks tegema?

Dokumendi kohaselt peavad CII subjektid:

• kategoriseerida CII objektid;
• tagada integreerimine (kinnistamine) Vene Föderatsiooni inforessurssidele arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklikku süsteemi (GosSOPKA);
• võtma korralduslikke ja tehnilisi meetmeid KII rajatiste ohutuse tagamiseks.

Mida sisaldab CII objektide kategoriseerimine?

KII objekti kategoriseerimine hõlmab oma olulisuse kategooria määratlemist, tuginedes mitmetele kriteeriumidele ja näitajatele. Kokku määratakse kolm kategooriat: esimene, teine \u200b\u200bvõi kolmas. Kui CII objekt ei vasta ühelegi kehtestatud kriteeriumile, ei määrata sellele ühtegi kategooriat. Neid CII objekte, millele on määratud üks kategooriatest, nimetatakse seaduses olulisteks CII objektideks.

• kII olulise objekti nimi;
• cII teema nimi;
• teave KII olulise objekti ja telekommunikatsioonivõrkude koostoime kohta;
• teave isiku kohta, kes haldab olulist elutähtsate infrastruktuuride rajatist;
• määratud olulisuse kategooria;
• teave tarkvara ja tarkvara ning riistvara kohta, mida kasutatakse KII olulises rajatises;
• olulise elutähtsate objektide ohutuse tagamiseks rakendatud meetmed.

Oluline on märkida, et kui kategoriseerimise käigus tuvastati CII objekti jaoks olulise kategooria puudumine, tuleks kategoriseerimistulemused siiski esitada FSTEC-le. Reguleeriv asutus kontrollib esitatud materjale ja saadab vajadusel kommentaare, mida CII subjekt peab arvesse võtma. Kui CII subjekt ei esita andmeid kategoriseerimise kohta, on FSTEC-il õigus seda teavet nõuda.

Elutähtsate objektide oluliste objektide registri pidamise kord määratakse kindlaks vastava korraldusega, mille mustand on juba avaldatud.

Kuidas CII objekte kategoriseerida?

Olulisuse kriteeriumide näitajad, kategoriseerimise järjekorra ja tähtajad määratakse vastava valitsuse määrusega, mille eelnõu on samuti juba ette valmistatud. Dokumendi praeguse versiooni kohaselt hõlmab kategoriseerimise protseduur järgmist:

• kõigi protsesside kindlaksmääramine, mida CII subjekt oma tegevuse raames teostab;
• kriitiliste protsesside kindlakstegemine, mille rikkumine või lõpetamine võib põhjustada negatiivseid tagajärgi kogu riigis;
• kategoriseerimise alla kuuluvate esmatähtsate infrastruktuuridega objektide loetelu kindlaksmääramine - see etapp tuleb lõpule viia 6 kuu jooksul alates valitsuse määruse jõustumise kuupäevast;
• olulisuskriteeriumide näitajate hindamine vastavalt kehtestatud väärtustele - kogu valitsuse dekreedi eelnõus on sätestatud 14 näitajat, mis määravad kindlaks esmatähtsate infrastruktuuride rajatise sotsiaalse, poliitilise, majandusliku tähtsuse ja selle olulisuse riigi kaitse, riigi julgeoleku ning avaliku korra tagamiseks;
• cII-objektide vastavuse tuvastamine näitajate väärtustele ja neile igaühele ühe olulisuse kategooria määramine või otsuse tegemine, et neile ei ole vaja üht olulisuse kategooriat omistada.

Liigitamine peaks toimuma nii CII olemasolevate kui ka loodud või kaasajastatud objektide jaoks CII teema töötajate erikomisjoni poolt. Komisjoni otsus vormistatakse asjakohase aktiga ja kümne päeva jooksul pärast selle heakskiitmist tuleb FSTEC-ile saata teave kategoriseerimise tulemuste kohta. Maksimaalne periood CII objektide kategoriseerimiseks on 1 aasta alates kuupäevast, mil CII objekt on loa kinnitanud CII objekt.

See tellimus on esialgne ja vajab selgitamist pärast vastava valitsuse määruse kinnitamist.

Mis on GosSOPKA ja milleks see sobib?

Mis siis, kui selle seaduse nõuded ei ole täidetud?

Koos 26. juuli 2017. aasta föderaalseaduse nr 187-FZ "CII ohutuse kohta" kinnitamisega lisati Venemaa kriminaalkoodeksile ka artikkel. 274,1, millega tuvastatakse CII subjektide kriminaalvastutus KII rajatise tehniliste vahendite käitamise aktsepteeritud reeglite eiramise või neile juurdepääsu korra rikkumise eest kuni vangistusega 6 aastaks.

Siiani ei näe see artikkel ette vastutust KII rajatise ohutuse tagamiseks vajalike meetmete järgimata jätmise eest, kuid tagajärgede ilmnemise korral (õnnetused ja hädaolukorrad, millega kaasnesid suured kahjud) kuulub selliste meetmete võtmata jätmine Art. Vene Föderatsiooni kriminaalkoodeksi 293 "hooletus". Lisaks tuleks oodata muudatusi haldusõigusaktides karistuste määramise valdkonnas juriidilistele isikutele KII ohutuse seaduse rikkumise eest. Suure kindlusega võib öelda, et just märkimisväärsete rahatrahvide kehtestamine stimuleerib CII subjekte vastama arutatava seaduse nõuetele. [ics-cert.kaspersky.com]

Toimetus soovib tänada Kaspersky Labi loa eest selle artikkel uuesti printida.

2018. aasta teisel poolel kujunes välja elutähtsate infrastruktuuride valdkonna reguleeriv raamistik. See annab meile võimaluse vastata kõigile põhiküsimustele.

Alustuseks määratleme põhimõisted.

Mis on elutähtsa teabe infrastruktuur?

Kriitiline infoinfrastruktuur on infosüsteemid, info- ja telekommunikatsioonivõrgud, automatiseeritud juhtimissüsteemid, samuti telekommunikatsioonivõrgud, mida kasutatakse nende koostoime korraldamiseks. Peamine tingimus süsteemi klassifitseerimiseks elutähtsate infrastruktuuridega on selle kasutamine valitsusasutuse või -asutuse või Venemaa ettevõtte poolt järgmistes valdkondades:

• tervishoid,
• teadus,
• transport ,
• suhtlemine,
• energia,
• pangandussektor (finants)
• kütuse- ja energiakompleks,
• tuumaenergia,
• kaitsetööstus,
• raketi- ja kosmosetööstus
• mäetööstus,
• metallurgiatööstus
• keemiatööstus

Samuti hõlmavad elutähtsad infosüsteemid süsteeme, mis omandiõiguse, üürilepingu või muu õigusliku aluse alusel kuuluvad Venemaa ettevõttele või üksikettevõtjale ning tagavad ülaltoodud süsteemide või võrkude koostoime.

Kriitilise teabe infrastruktuuri mõiste on avalikustatud 26. juuli 2017. aasta föderaalseaduses nr 187-FZ "Kriitilise teabe infrastruktuuri turvalisuse kohta".

Mida ütleb 187-FZ "Kriitilise teabe infrastruktuuri turvalisuse kohta"?

187-FZ on kõigi CII teemade alusdokument.

• Tutvustab põhimõisteid
• Loob õigusliku reguleerimise aluse
• Määratletakse CII ohutuse tagamise põhimõtted
• Tutvustab arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi (edaspidi - GosSOPKA) kontseptsiooni
• Tutvustab arvutijuhtumite riikliku koordineerimiskeskuse (edaspidi - NCCCI) loomise alust
• Kirjeldab presidendi ja riigivõimu volitusi KII turvalisuse tagamisel
• Sisaldab alust CII objektide kategooriate määratlemiseks
• Loob seadusandliku aluse CII oluliste objektide registri pidamiseks
• Määratletakse CII subjektide õigused ja kohustused
• Määrab kindlaks KII olulise objekti ohutuse tagamise süsteemi ülesanded ja nõuded
• Paneb aluse elutähtsate infrastruktuuride ohutuse hindamisele
• Jagab riigi kontrolli õigused ja kohustused

Mis on GosSOPKA?

GosSOPKA on üks geograafiliselt jaotatud kompleks, mis sisaldab jõude ja vahendeid, mis on loodud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks ning arvutiintsidentidele reageerimiseks.

Seda määratlust näeme 187-FZ-s.

Selle keskmes on GosSOPKA geograafiliselt jaotatud keskuste (jõud ja vahendid) kogum, sealhulgas: Riiklik arvutiintsidentide koordineerimiskeskus.

Kokkuvõtteks võib öelda, et GosSOPKA struktuur näeb välja selline:

Üksikasju saab järgmistest dokumentidest:

• Vene Föderatsiooni presidendi 15. jaanuari 2013. aasta määrus nr 31s "Riikliku süsteemi loomise kohta Venemaa Föderatsiooni teabeallikatele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks"
• "Riikliku poliitika põhisuunad Venemaa Föderatsiooni esmatähtsa infrastruktuuri tootmise ja tehnoloogiliste protsesside automatiseeritud juhtimissüsteemide ohutuse tagamise valdkonnas" (kinnitatud Vene Föderatsiooni presidendi 03.02.2012 # 803)
• "Riikliku süsteemi mõiste arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks Venemaa Föderatsiooni teabeallikatele" (kinnitatud Vene Föderatsiooni presidendi 12.12.2014 nr К 1274)
• Metoodilised soovitused Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi osakondade ja ettevõtete keskuste loomiseks

Mis on NKTsKI?

Riiklik arvutiintsidentide koordineerimiskeskus - struktuur, mis vastutab CII subjektide tegevuse koordineerimise tagamise eest, on GosSOPKA lahutamatu osa.

Loodud Venemaa FSB 24. juuli 2018. aasta korraldusega nr 366 "Riiklikust arvutijuhtumite koordineerimiskeskusest".

NKTsKI funktsioonid hõlmavad järgmist:

• Tegevuste koordineerimine ja tegevustes osalemine arvutiintsidentidele reageerimiseks
• Korrastab ja vahetab teavet arvutiintsidentide kohta
• Pakub metoodilist tuge
• Osaleb arvutirünnakute avastamisel, ennetamisel ja tagajärgede likvideerimisel
• Pakub teavet arvutirünnakute kohta
• Kogub ja analüüsib teavet arvutiintsidentide ja rünnakute kohta

VENEMAA FÖDERATSIOON

FÖÖDERÕIGUS

VENEMAA FÖDERATSIOONI KRITEERITUD INFRASTRUKTUURI OHUTUS

Riigiduuma

Föderatsiooninõukogu

Artikkel 1. Käesoleva föderaalseaduse reguleerimisala

Käesolev föderaalseadus reguleerib suhteid Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri (edaspidi ka elutähtsa teabe infrastruktuur) turvalisuse tagamise valdkonnas, et tagada selle stabiilne toimimine tema vastu suunatud arvutirünnakute ajal.

Artikkel 2. Selles föderaalseaduses kasutatud põhimõisted

Käesolevas föderaalseaduses kasutatakse järgmisi põhimõisteid:

1) automatiseeritud juhtimissüsteem - tarkvara ja tarkvara ning riistvara komplekt, mis on ette nähtud tehnoloogiliste ja (või) tootmisseadmete (ajamid) ja nende protsesside juhtimiseks, samuti selliste seadmete ja protsesside juhtimiseks;

2) esmatähtsa teabe infrastruktuuri turvalisus - esmatähtsa teabe infrastruktuuri turvalisuse seisund, tagades selle stabiilse töö selle vastu suunatud arvutirünnakute läbiviimisel;

3) esmatähtsa teabe infrastruktuuri oluline objekt - esmatähtsa teabe infrastruktuuri objekt, millele on määratud üks olulisuse kategooriaid ja mis on kantud esmatähtsa teabe infrastruktuuri oluliste objektide registrisse;

4) arvutirünnak - tarkvara ja (või) tarkvara ja riistvara sihipärane mõju esmatähtsa infoinfrastruktuuri objektidele, telekommunikatsioonivõrkudele, mida kasutatakse selliste objektide interaktsiooni korraldamiseks, et häirida ja (või) lõpetada nende toimimine ja (või) luua oht töödeldava turvalisusele sellised teabeobjektid;

5) arvutiintsident - kriitilise infrastruktuuri objekti, selliste objektide interaktsiooni korraldamiseks kasutatud telekommunikatsioonivõrgu ja (või) arvutirünnaku tagajärjel toimunud teabe turvalisuse rikkumise ja (või) toimimise lõpetamise fakt ja (või) sellise objekti töödeldava teabe turvalisuse rikkumine;

6) esmatähtis teabe infrastruktuur - esmatähtsa teabe infrastruktuuri objektid, samuti telekommunikatsioonivõrgud, mida kasutatakse selliste objektide koostoime korraldamiseks;

7) esmatähtsa teabe infrastruktuuri objektid - infosüsteemid, info- ja telekommunikatsioonivõrgud, esmatähtsa teabe infrastruktuuri subjektide automatiseeritud juhtimissüsteemid;

8) esmatähtsa infoinfrastruktuuri subjektid - riigiorganid, valitsusasutused, Venemaa juriidilised isikud ja (või) üksikettevõtjad, kellel on omandi, üürilepingu või muu õigusliku aluse alusel infosüsteemid, info- ja telekommunikatsioonivõrgud, valdkonnas tegutsevad automatiseeritud juhtimissüsteemid tervishoid, teadus, transport, side, energeetika, pangandus ja muud finantsturu, kütuse- ja energiakompleksi alad tuumaenergia, kaitse-, raketi- ja kosmosetööstuse, kaevandus-, metallurgia- ja keemiatööstuse, Venemaa juriidiliste isikute ja (või) üksikute ettevõtjate valdkonnas mis pakuvad kindlaksmääratud süsteemide või võrkude koostoimet.

Artikkel 3. Suhete õiguslik reguleerimine esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas

1. Suhteid elutähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas reguleeritakse vastavalt Venemaa Föderatsiooni põhiseadusele, rahvusvahelise õiguse üldtunnustatud põhimõtetele ja normidele, käesolevale föderaalseadusele, teistele föderaalseadustele ja teistele nende alusel vastu võetud regulatiivsetele õigusaktidele.

2. Käesoleva föderaalseaduse avalike sidevõrkude suhtes kohaldamise eripära määratakse kindlaks 7. juuli 2003. aasta föderaalseadusega N 126-FZ "Side kohta" ja selle kohaselt vastuvõetud Venemaa Föderatsiooni regulatiivaktidega.

Artikkel 4. Kriitilise teabe infrastruktuuri turvalisuse tagamise põhimõtted

Kriitilise infrastruktuuri turvalisuse tagamise põhimõtted on järgmised:

1) seaduslikkus;

2) esmatähtsa teabe infrastruktuuri turvalisuse tagamise järjepidevus ja keerukus, mis saavutatakse muu hulgas volitatud föderaalsete täitevorganite ja esmatähtsa teabe infrastruktuuri subjektide koostoimel;

3) arvutirünnakute ennetamise prioriteet.

Artikkel 5. Riiklik süsteem Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks

1. Riiklik süsteem Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks on üks geograafiliselt jaotatud kompleks, mis hõlmab vägesid ja vahendeid, mis on ette nähtud arvutirünnakute tagajärgede avastamiseks, ennetamiseks ja kõrvaldamiseks ning arvutiintsidentidele reageerimiseks. Selle artikli tähenduses mõistetakse Vene Föderatsiooni teabeallikatena infosüsteeme, info- ja telekommunikatsioonivõrke ning automatiseeritud juhtimissüsteeme, mis asuvad Vene Föderatsiooni territooriumil, Vene Föderatsiooni diplomaatilistes esindustes ja (või) konsulaaresindustes.

2. Arvutirünnakute tagajärgede avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks ning arvutiintsidentidele reageerimiseks kavandatud jõud hõlmavad järgmist:

1) föderaalse täitevorgani jaoskonnad ja ametnikud, kes on volitatud tagama Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riigisüsteemi toimimise;

2) föderaalse täitevorgani loodud organisatsioon, mille ülesandeks on riikliku süsteemi toimimise tagamine Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks, et tagada kriitilise infoinfrastruktuuri subjektide tegevuse koordineerimine arvutirünnakute avastamisel, ennetamisel ja tagajärgede likvideerimisel ning reageerimine arvutiintsidentidele (edaspidi - riiklik arvutiintsidentide koordineerimiskeskus);

3) elutähtsa teabe infrastruktuuri subjektide allüksused ja ametnikud, kes osalevad arvutirünnakute avastamises, ennetamises ja tagajärgede likvideerimises ning arvutiintsidentidele reageerimises.

3. Arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise ning arvutiintsidentidele reageerimise vahendid on tehnilised, tarkvara-, tarkvara- ja riistvara ning muud tuvastamise vahendid (sealhulgas suhtluse korraldamiseks telekommunikatsioonivõrkudes arvutirünnakute tunnuste otsimiseks). esmatähtsa teabe infrastruktuuri objektid), ennetamine, arvutirünnakute tagajärgede kõrvaldamine ja (või) teabevahetus, mida kriitilise infrastruktuuri subjektid vajavad arvutirünnakute avastamiseks, ennetamiseks ja (või) tagajärgede likvideerimiseks, samuti krüptograafilised vahendid sellise teabe kaitsmiseks.

4. Riiklik arvutiintsidentide koordineerimiskeskus teostab oma tegevust vastavalt föderaalse täitevorgani heakskiidetud eeskirjadele, mis on volitatud tagama Venemaa Föderatsiooni teabeallikatele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi toimimise.

5. Riiklikus süsteemis Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks on sellesse süsteemi siseneva teabe kogumine, kogumine, süstematiseerimine ja analüüs arvutirünnakute tagajärgede avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks kavandatud vahendite abil. on esindatud elutähtsa teabe infrastruktuuri subjektide ja föderaalse täitevorganiga, kes on volitatud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas vastavalt teabe loetelule ja viisil, mille on kindlaks määranud riiklik tagajärgede avastamise, ennetamise ja kõrvaldamise riikliku süsteemi toimimise tagamiseks volitatud föderaalne täitevorgan arvutirünnakud Vene Föderatsiooni teabeallikate vastu, samuti teave, mida võivad esitada teised kriitilise tähtsusega inimesed infoinfrastruktuur organite ja organisatsioonide poolt, kaasa arvatud välis- ja rahvusvahelised.

6. Föderaalne täitevorgan, kellele on antud volitused Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklike süsteemide toimimise tagamise valdkonnas, korraldab oma kehtestatud viisil arvutijuhtumite alase teabevahetuse kriitilise teabe infrastruktuuri subjektide vahel, samuti kriitilise teabe subjektide vahel. infrastruktuur ja välisriikide volitatud asutused, rahvusvahelised, rahvusvahelised valitsusvälised organisatsioonid ja välisorganisatsioonid, mis tegelevad arvutijuhtumitele reageerimise valdkonnas.

7. Riigi süsteemist Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise kaudu riikliku või muu seadusega kaitstud saladuse moodustava teabe pakkumine toimub vastavalt Vene Föderatsiooni õigusaktidele.

Artikkel 6. Vene Föderatsiooni presidendi ja Venemaa Föderatsiooni riigivõimu volitused elutähtsa teabe infrastruktuuri turvalisuse tagamisel

1. Venemaa Föderatsiooni president otsustab:

1) riikliku poliitika põhisuunad kriitilise infrastruktuuri turvalisuse tagamise valdkonnas;

2) föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse;

3) föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riigisüsteemi toimimise;

4) Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi loomise kord ja ülesanded.

2. Venemaa Föderatsiooni valitsus kehtestab:

1) kriitilise infrastruktuuri objektide olulisuse ja nende olulisuse kriteeriumide näitajad, samuti nende kategoriseerimise kord ja ajastus;

2) riikliku kontrolli teostamise kord elutähtsa teabe infrastruktuuri oluliste objektide turvalisuse tagamise valdkonnas;

3) Venemaa Föderatsiooni ühtse telekommunikatsioonivõrgu ressursside ettevalmistamise ja kasutamise kord, et tagada olulise teabe infrastruktuuri oluliste objektide toimimine.

3. Föderaalne täitevorgan, kes on volitatud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas:

2) kinnitab esmatähtsa infrastruktuuri oluliste objektide registri pidamise korra ja peab seda registrit;

3) kinnitab vormi teabe saatmiseks ühele olulise tähtsusega kategooriale kriitilise infrastruktuuri omistamise tulemuste kohta või kui puudub vajadus omistada ühte neist kategooriatest;

4) kehtestab elutähtsa infrastruktuuri oluliste objektide turvalisuse tagamise nõuded (nõuded teabe- ja telekommunikatsioonivõrkude turvalisuse tagamiseks, millele on määratud üks olulise tähtsusega kategooriatest ja mis on kantud esmatähtsa teabe infrastruktuuri oluliste objektide registrisse, kehtestatakse kokkuleppel föderaalse täitevorganiga, kes täidab ülesandeid riikliku poliitika ja õigusliku regulatsiooni väljatöötamise ja rakendamise kohta side valdkonnas), samuti nõuded selliste rajatiste turvasüsteemide loomiseks ja nende toimimise tagamiseks (pangandussektoris ja muudes finantsturu valdkondades, seavad need nõuded kokkuleppel Vene Föderatsiooni keskpangaga). ;

5) teostab riiklikku kontrolli esmatähtsa teabetaristu oluliste objektide ohutuse tagamise valdkonnas ning kinnitab ka nimetatud kontrolli tulemuste põhjal koostatud kontrolliaruande vormi.

4. Föderaalne täitevorgan, mis on volitatud tagama Venemaa Föderatsiooni teabeallikatele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riigisüsteemi toimimise:

1) esitab Venemaa Föderatsiooni presidendile ja (või) Venemaa Föderatsiooni valitsusele ettepanekud regulatiivse raamistiku täiustamise kohta elutähtsa teabeinfrastruktuuri turvalisuse tagamise valdkonnas;

2) loob riikliku arvutijuhtumite koordineerimiskeskuse ja kinnitab selle kohta käivad eeskirjad;

3) koordineerib kriitilise informatsiooni infrastruktuuri subjektide tegevust arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise ning arvutiintsidentidele reageerimise küsimustes;

4) korraldab ja viib läbi kriitilise tähtsusega teabe infrastruktuuri turvalisuse hindamise;

5) määrab Vene Föderatsiooni inforessurssidele arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks riiklikule süsteemile esitatava teabe loetelu ning selle esitamise korra;

6) kinnitab Vene Föderatsiooni teabeallikatele arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklike süsteemide toimimise tagamise alal volitatud föderaalse täitevorgani informeerimise korra arvutiintsidentidest, neile reageerimisest, abinõude vastu suunatud arvutirünnakute tagajärgede likvideerimiseks olulise tähtsusega teabeinfrastruktuuri objektid (pangandussektoris ja muudes finantsturu valdkondades kinnitatakse kindlaksmääratud kord kokkuleppel Venemaa Föderatsiooni keskpangaga);

7) kinnitab teabejuhtumite kohta teabe vahetamise korra kriitilise informatsiooni infrastruktuuri subjektide vahel, kriitilise teabe infrastruktuuri subjektide ja välisriikide volitatud asutuste, rahvusvaheliste, rahvusvaheliste valitsusväliste organisatsioonide ja arvutiõnnetustele reageerimise valdkonnas tegutsevate välisorganisatsioonide vahel, samuti kriitilise teabe subjektide korra. teabetaristu arvutirünnakute läbiviimise vahendite ja meetodite ning nende ennetamise ja avastamise meetodite kohta;

8) korraldab esmatähtsa infoinfrastruktuuri oluliste rajatiste ja telekommunikatsioonivõrkude paigaldamise, mida kasutatakse kriitilise tähtsusega teabetaristu rajatiste, arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise ning arvutiintsidentidele reageerimise vahendite koostoime korraldamiseks;

9) kehtestab nõuded arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks ning arvutiintsidentidele reageerimiseks loodud vahenditele;

10) kinnitab arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede kõrvaldamiseks ning arvutiintsidentidele reageerimiseks mõeldud tööriistade paigaldamise ja kasutamise korra, tehnilised tingimused, välja arvatud arvutirünnakute tunnuste otsimiseks telekommunikatsioonivõrkudes kavandatud tööriistad, mida kasutatakse kriitilise tähtsusega teabetaristu objektide interaktsiooni korraldamiseks (kinnitab pangandussektoris ja muudes finantsturu valdkondades kokkuleppel Venemaa Föderatsiooni keskpangaga kindlaksmääratud korra ja tehnilised tingimused).

5. Föderaalne täitevorgan, kes vastutab riigi kommunikatsioonivaldkonna poliitika ja õigusliku regulatsiooni väljatöötamise ja rakendamise eest, kinnitab kokkuleppel föderaalse täitevorganiga volituse tagada riikliku süsteemi toimimine teabele suunatud arvutirünnakute avastamiseks, ärahoidmiseks ja tagajärgede likvideerimiseks. Vene Föderatsiooni ressursid, telekommunikatsioonivõrkudes arvutirünnakute tunnuste otsimiseks mõeldud tööriistade paigaldamise ja kasutamise tehnilised tingimused, mida kasutatakse kriitilise tähtsusega teabetaristu objektide interaktsiooni korraldamiseks.

1. Kriitilise teabe infrastruktuuri objekti liigitamine on kriitilise teabe infrastruktuuri objekti vastavuse tuvastamine olulisuse kriteeriumidele ja nende väärtuste näitajatele, määrates sellele ühe olulisuse kategooria, kontrollides teavet selle määramise tulemuste kohta.

1) sotsiaalne tähtsus, mis väljendub inimeste elule või tervisele tekitatud võimalike kahjude hindamises, objektide toimimise lõpetamise või häirimise võimalus elanikkonna elu, transpordi infrastruktuuri, sidevõrkude elu tagamiseks, samuti selliste teenuste saajate maksimaalne juurdepääsuaeg avalikele teenustele;

2) poliitiline tähtsus, mis väljendub Vene Föderatsiooni huvide võimaliku kahjustamise hindamisel sise- ja välispoliitilistes küsimustes;

3) majanduslik tähtsus, mis väljendub võimaliku otsese ja kaudse kahju hindamises esmatähtsa teabe infrastruktuuri subjektidele ja (või) Vene Föderatsiooni eelarvetele;

4) keskkonnamõju, väljendatuna keskkonnamõju taseme hindamisel;

5) esmatähtsa infoinfrastruktuuri objekti olulisus riigi kaitse, riigi julgeoleku ning õiguskorra tagamisel.

3. Esmatähtsate infoinfrastruktuuride objektide jaoks määratakse kindlaks kolm kategooriat - esimene, teine \u200b\u200bja kolmas.

4. Esmatähtsa teabe infrastruktuuri subjektid määravad vastavalt olulisuse kriteeriumidele ja nende väärtuste näitajatele ning kategoriseerimise järjekorra neile olulise teabe infrastruktuuri objektidele omandiõiguse, üürilepingu või muu õigusliku aluse alusel ühe olulisuse kategooriast. Kui esmatähtsa teabe infrastruktuuri objekt ei vasta olulisuse kriteeriumidele, nende kriteeriumide näitajatele ja nende väärtustele, ei määrata talle ühtegi neist kategooriatest.

5. Teave esmatähtsa teabe infrastruktuuri ühele olulise kategooria määramise tulemuste kohta või vajaduse määratleda üks neist kategooriatest, saadetakse esmatähtsa teabe infrastruktuuri subjektidele kirjalikult kümne päeva jooksul alates vastava otsuse tegemisest piirkonnas volitatud föderaalsele täitevorganile. Venemaa Föderatsiooni kriitilise tähtsusega teabe infrastruktuuri turvalisuse tagamine tema poolt heaks kiidetud kujul.

6. Föderaalne täitevorgan, kes on volitatud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas, kontrollib kolmekümne päeva jooksul pärast käesoleva artikli 5. osas nimetatud teabe kättesaamist kriitilise teabe infrastruktuuri objektile kategoriseerimise korra järgimist ja ühe olulise kategooria õiget määramist või neile kategooriaid määramata.

7. Kui esmatähtsa teabe infrastruktuuri subjekt on järginud kategooriatesse liigitamise korda ja kriitilise teabe infrastruktuuri objektile on õigesti määratud üks olulise tähtsusega kategooriatest tema omandis, rendileandmisel või muul õiguslikul alusel kuuluva esmatähtsa teabe infrastruktuuri objektil, on föderaalne täitevorgan volitatud elutähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas Venemaa Föderatsioonist sisestab teabe sellise esmatähtsa teabe infrastruktuuri objekti kohta esmatähtsa teabe infrastruktuuri oluliste objektide registrisse, millest kriitilise teabe infrastruktuuri teemat teavitatakse kümne päeva jooksul.

8. Juhul kui föderaalne täitevorgan, kelle volitused on antud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas, paljastab elutähtsa teabe infrastruktuuri subjektide omandiõiguse, üürilepingu või muu õigusliku aluse alusel kategoriseerimise ja (või) objekti klassifitseerimise korra rikkumise. , määras valesti ühe olulisuse kategooria ja (või) põhjendamatult ei määranud ühtegi neist kategooriatest ja (või) esmatähtsa teabe infrastruktuuri subjekt esitas puudulikku ja (või) ebatäpset teavet kriitilise teabe infrastruktuuri sellise objekti määramise tulemuste kohta või puudumise kohta vajadus määrata sellele kümnele päevale üks nendest kategooriatest, föderaalne täitevorgan, kes on volitatud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas ajavahemik alates esitatud teabe kättesaamisest tagastab need kirjalikult esmatähtsa teabe infrastruktuuri subjektile koos tagastamise põhjuste motiveeritud põhjendusega.

9. Olulise teabe infrastruktuuri subjekt kõrvaldab pärast käesoleva artikli 5. osas nimetatud teabe tagastamise põhjendatud põhjenduse saamist kümne päeva jooksul märgitud puudused ja saadab selle uuesti föderaalsele täitevorganile, kes on volitatud Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas. Föderatsioon.

10. Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalne täitevorgan saadab pärast kontrollimist teavet kriitilise infrastruktuuri infrastruktuuri määramise vajaduse puudumise kohta riiklikule süsteemile Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute tuvastamiseks, ennetamiseks ja tagajärgede likvideerimiseks. Föderatsioon, mille kohta teavitatakse esmatähtsa teabe infrastruktuuri teemat kümne päeva jooksul.

11. Kui esmatähtsa teabe infrastruktuuri subjekt ei esita käesoleva artikli 5. osas täpsustatud teavet, saadab Vene Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalne täitevorgan nimetatud subjektile taotluse selle artikli järgimise vajaduse kohta.

1) Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani põhjendatud otsusega, mis on vastu võetud riikliku kontrolli raames läbi viidud kriitilise teabe infrastruktuuri oluliste objektide turvalisuse tagamise valdkonnas läbi viidud auditi tulemuste põhjal;

2) kriitilise infrastruktuuri olulise objekti muutumise korral, mille tagajärjel selline objekt enam ei vasta enam olulisuse kriteeriumidele ja nende väärtuste näitajatele, mille alusel määrati talle teatav tähtsuse kategooria;

3) seoses elutähtsa teabetaristu subjekti likvideerimise, ümberkorraldamisega ja (või) selle organisatsioonilise ja õigusliku vormi muutmisega, mille tagajärjel muutusid või kaotasid elutähtsa teabe infrastruktuuri subjekti tunnused.

Artikkel 8. Olulise teabe infrastruktuuri oluliste objektide register

1. Kriitilise teabe infrastruktuuri oluliste objektide jälgimiseks peab Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas volitatud föderaalne täitevorgan registrit olulise tähtsusega teabe infrastruktuuri objektide kohta tema kehtestatud viisil. Sellesse registrisse kantakse järgmine teave:

1) elutähtsa teabe infrastruktuuri olulise objekti nimi;

2) esmatähtsa teabe infrastruktuuri subjekti nimi;

3) teave kriitilise tähtsusega teabe infrastruktuuri ja telekommunikatsioonivõrkude olulise objekti koostoime kohta;

4) teave kriitilise infrastruktuuri olulise objekti haldava isiku kohta;

6) teave tarkvara ja riistvara ning tarkvara kohta, mida kasutatakse olulise teabe infrastruktuuri olulisel objektil;

7) olulise teabe infrastruktuuri olulise objekti turvalisuse tagamiseks kasutatavad meetmed.

2. Kriitilise teabe infrastruktuuri oluliste objektide registrist saadetakse teave riiklikule süsteemile Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks.

3. Juhul kui oluline esmatähtsa teabe infrastruktuuri objekt kaotab olulise kategooria, arvab föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse, olulise teabe infrastruktuuri oluliste objektide registrist.

Artikkel 9. Kriitilise teabe infrastruktuuri subjektide õigused ja kohustused

1. Kriitilise infrastruktuuri objektidel on õigus:

1) saada föderaalselt täitevorganilt, kes on volitatud Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse tagamise valdkonnas, teavet, mis on vajalik nende omandis, üürileandmisel või muul õiguslikul alusel, sealhulgas turvalisuse ohtudel, nende omandis olevate esmatähtsa teabe infrastruktuuri objektide turvalisuse tagamiseks. selliste objektide poolt töödeldud teave ning nendes rajatistes kasutatava tarkvara, seadmete ja tehnoloogiate haavatavus;

2) saada Vene Föderatsiooni inforessurssidele arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi toimimise tagamise alal volitatud föderaalse täitevorgani kehtestatud korras nimetatud organilt teavet arvutirünnakute läbiviimise viiside ja meetodite ning nende meetodite kohta. hoiatamine ja tuvastamine;

3) Vene Föderatsiooni teabeallikatele arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklike süsteemide toimimise tagamise alal volitatud föderaalse täitevorgani nõusolekul omal kulul omandada, rentida, paigaldada ja hooldada avastamiseks, ennetamiseks ja kõrvaldamiseks mõeldud vahendeid. arvutirünnakute tagajärjed ja reageerimine arvutiintsidentidele;

4) töötab välja ja rakendab meetmeid olulise esmatähtsa teabe infrastruktuuri objekti turvalisuse tagamiseks.

2. Kriitilise teabe infrastruktuuri subjektid on kohustatud:

1) teavitama viivitamatult arvutiintsidentidest föderaalset täitevorganit, kes on volitatud riikliku süsteemi toimimise tagamiseks arvutirünnakute avastamiseks, ennetamiseks ja kõrvaldamiseks Venemaa Föderatsiooni inforessurssidele, samuti Vene Föderatsiooni keskpangale (kui kriitilise teabe infrastruktuuri subjekt tegutseb) pangandussektoris ja finantsturu muudes piirkondades) vastavalt föderaalse täitevorgani kehtestatud korrale (pangandussektoris ja muudes finantsturu valdkondades kehtestatakse see kord kokkuleppel Venemaa Föderatsiooni keskpangaga);

2) osutab föderaalse täitevorgani ametnikke, kes on volitatud riiklike süsteemide toimimise tagamiseks Venemaa Föderatsiooni inforessurssidele arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks, arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks, arvutiintsidentide esinemise põhjuste ja tingimuste väljaselgitamiseks;

3) tagama, et arvutirünnakute tagajärgede avastamiseks, ennetamiseks ja kõrvaldamiseks ning arvutiintsidentidele reageerimiseks kavandatud vahendid paigaldatakse esmatähtsa teabe infrastruktuuri rajatistesse, et järgitakse nende vahendite paigaldamise ja kasutamise korda, tehnilisi tingimusi ning nende ohutust.

3. Lisaks käesoleva artikli 2. osas sätestatud kohustuste täitmisele on esmatähtsa teabe infrastruktuuri subjektid, kellel on omandiõiguse, üürilepingu või muu õigusliku aluse alusel olulised esmatähtsa teabe infrastruktuuri objektid, samuti:

1) järgima Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamiseks volitatud föderaalse täitevorgani kehtestatud kriitilise teabe infrastruktuuri oluliste objektide turvalisuse tagamise nõudeid;

2) järgima Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani ametnike juhiseid rikkumiste kõrvaldamise kohta seoses olulise esmatähtsa teabe infrastruktuuri objekti turvalisuse tagamise nõuete täitmisega, mille on välja andnud need isikud vastavalt oma pädevusele;

3) reageerida arvutijuhtumitele viisil, mille on heaks kiitnud föderaalne täitevorgan, kes on volitatud riikliku süsteemi toimimise tagamiseks Venemaa Föderatsiooni teabeallikatele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks, võtma meetmeid oluliste kriitiliste objektide vastu korraldatud arvutirünnakute tagajärgede kõrvaldamiseks teabe infrastruktuur;

4) tagama Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani ametnikele takistamatu juurdepääsu olulise esmatähtsa teabe infrastruktuuri objektidele, kui need isikud kasutavad oma föderaalseaduse artiklis 13 sätestatud volitusi.

Artikkel 10. Kriitilise teabe infrastruktuuri olulise objekti turvasüsteem

1. Kriitilise teabe infrastruktuuri olulise objekti turvalisuse tagamiseks loob esmatähtsa teabe infrastruktuuri subjekt turvasüsteemi vastavalt selliste rajatiste turvasüsteemide loomise ja nende toimimise tagamise nõuetele, mille on heaks kiitnud Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse valdkonnas volitatud föderaalne täitevorgan selline objekt ja tagab selle toimimise.

2. Olulise teabe infrastruktuuri olulise objekti turvasüsteemi peamised ülesanded on:

1) ebaseadusliku juurdepääsu vältimine teabele, mida töödeldakse olulise esmatähtsa infrastruktuuri infrastruktuuri objektil, sellise teabe hävitamine, selle muutmine, blokeerimine, kopeerimine, edastamine ja levitamine ning muud sellise teabega seotud ebaseaduslikud toimingud;

2) mõju vältimine infotöötluse tehnilistele vahenditele, mille tagajärjel võib olulise teabe infrastruktuuri olulise objekti toimimine olla häiritud ja (või) lõpetatud;

3) olulise teabe infrastruktuuri olulise objekti toimimise taastamine, muu hulgas selleks vajaliku teabe varukoopiate loomise ja säilitamise teel;

4) pidev suhtlemine riikliku süsteemiga Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks.

Artikkel 11. Nõuded olulise teabe infrastruktuuri oluliste objektide turvalisuse tagamiseks

1. Vene Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamiseks volitatud föderaalse täitevorgani kehtestatud nõuded oluliste esmatähtsa teabe infrastruktuuri objektide turvalisuse tagamiseks eristatakse sõltuvalt esmatähtsa teabe infrastruktuuri objektide tähtsuse kategooriast ja need nõuded näevad ette:

1) kriitilise infrastruktuuri oluliste objektide turvalisuse tagamise meetmete kavandamine, väljatöötamine, täiustamine ja rakendamine;

2) organisatsiooniliste ja tehniliste meetmete vastuvõtmine olulise teabe infrastruktuuri oluliste objektide ohutuse tagamiseks;

3) esmatähtsa teabe infrastruktuuri oluliste objektide turvalisuse tagamiseks kasutatava tarkvara ning tarkvara ja riistvara parameetrite ja omaduste kehtestamine.

2. Riigiorganid ja Venemaa juriidilised isikud, kes täidavad riikliku poliitika ja (või) õigusliku reguleerimise väljatöötamise, elluviimise või rakendamise funktsioone kehtestatud tegevuspiirkonnas, kokkuleppel föderaalse täitevorganiga, kes on volitatud Venemaa Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse tagamise valdkonnas. võib kehtestada täiendavaid nõudeid esmatähtsa teabeinfrastruktuuri oluliste objektide turvalisuse tagamiseks, mis sisaldavad selliste objektide toimimise tunnuseid kehtestatud tegevusvaldkonnas.

Artikkel 12. Kriitilise teabe infrastruktuuri turvalisuse hindamine

1. Kriitilise teabe infrastruktuuri turvalisuse hindamise viib läbi föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni teabeallikatele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi toimimise, et ennustada kriitilise teabe infrastruktuuri turvalisusele võimalike ohtude esinemist ja töötada välja meetmed stabiilsuse suurendamiseks. selle toimimine arvutirünnakute vastu.

2. Kriitilise teabe infrastruktuuri turvalisuse hindamisel viiakse läbi analüüs:

1) andmed, mis on saadud arvutirünnakute avastamiseks, ennetamiseks ja tagajärgede likvideerimiseks ning arvutiintsidentidele reageerimiseks loodud tööriistade kasutamisel, sealhulgas teave esmatähtsate infoinfrastruktuuri objektide interaktsiooni korraldamiseks kasutatavate telekommunikatsioonivõrkude kohta, arvutirünnakute tunnused;

2) elutähtsa teabe infrastruktuuri subjektide ja Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani poolt pakutav teave vastavalt teabe loetelule ja viisil, mille määrab kindlaks riigi avastamissüsteemi toimimise tagamiseks volitatud föderaalne täitevorgan, Vene Föderatsiooni, samuti muude asutuste ja organisatsioonide, mis ei kuulu kriitilise infoinfrastruktuuri, sealhulgas välis- ja rahvusvaheliste infrastruktuuride alla, arvutirünnakute tagajärgede ennetamine ja kõrvaldamine;

3) riiklikule süsteemile esitatav teave Vene Föderatsiooni inforessurssidele suunatud arvutirünnakute tuvastamiseks, ennetamiseks ja tagajärgede likvideerimiseks pärast riikliku kontrolli tulemusi kriitilise informatsiooni infrastruktuuri oluliste objektide turvalisuse tagamise valdkonnas, kriitilise informatsiooni infrastruktuuri oluliste objektide turvalisuse tagamise nõuete rikkumise kohta mis loob eeldused arvutiintsidentide tekkeks;

4) muu teave, mille on saanud föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi toimimise vastavalt Venemaa Föderatsiooni õigusaktidele.

3. Käesoleva artikli 1. ja 2. osas sätestatud sätete rakendamiseks korraldab föderaalne täitevorgan, kes on volitatud Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklike süsteemide toimimise tagamise valdkonnas, installimise telekommunikatsioonivõrkudesse, mida kasutatakse suhtluse korraldamiseks. esmatähtsa teabe infrastruktuuri objektid, tööriistad, mis on ette nähtud arvutirünnakute märkide otsimiseks sellistes telekommunikatsioonivõrkudes.

4. Kriitilise teabe infrastruktuuri turvalisuse parandamise meetmete väljatöötamiseks saadab föderaalne täitevorgan, kes on volitatud Venemaa Föderatsiooni inforessurssidele suunatud arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riiklike süsteemide toimimise tagamise valdkonnas, turvalisuse valdkonnas volitatud föderaalsele täitevorganile Vene Föderatsiooni esmatähtsa teabe infrastruktuur, esmatähtsa teabe infrastruktuuri turvalisuse hindamise tulemused.

Artikkel 13. Riiklik kontroll olulise teabe infrastruktuuri oluliste objektide turvalisuse tagamise valdkonnas

1. Riiklik kontroll kriitilise tähtsusega teabe infrastruktuuri oluliste objektide turvalisuse tagamise valdkonnas viiakse läbi selleks, et kontrollida, kas esmatähtsa teabe infrastruktuuri subjektid, kellel on omandiõiguse, üürilepingu või muu õigusliku aluse alusel olulised esmatähtsa teabe infrastruktuuri objektid, vastavad käesoleva föderaalseadusega kehtestatud nõuetele, mis on vastu võetud temaga normatiivsed õigusaktid. Määratud riiklik kontroll viiakse läbi föderaalse täidesaatva organi poolt Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani plaaniliste või plaaniväliste kontrollide kaudu.

2. Planeeritud kontrolli aluseks on kolme aasta möödumine kuupäevast:

1) elutähtsa teabe infrastruktuuri objekti kohta teabe sisestamine elutähtsa teabe infrastruktuuri oluliste objektide registrisse;

2) viimase plaanilise kontrolli lõpp kriitilise infrastruktuuri olulise objekti suhtes.

3. Plaanivälise kontrolli aluseks on:

1) Venemaa Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani välja antud elutähtsa teabe infrastruktuuri subjekti tähtaja möödumine, et kõrvaldada kriitilise teabe infrastruktuuri oluliste objektide turvalisuse tagamise nõuete ilmnenud rikkumine;

2) negatiivse tagajärjega arvutiõnnetuse toimumine elutähtsa teabe infrastruktuuri olulisel objektil;

3) Vene Föderatsiooni esmatähtsa teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalse täitevorgani juhi korraldus (korraldus), mis on välja antud vastavalt Venemaa Föderatsiooni presidendi või Venemaa Föderatsiooni valitsuse korraldusele või prokuröri taotluse alusel teostada järelevalve raames plaaniväline ülevaatus. seadused prokuratuuri saabunud materjalide ja apellatsioonide kohta.

4. Planeeritud või plaanivälise kontrolli tulemuste põhjal koostab föderaalne täitevorgan, kes on volitatud tagama Venemaa Föderatsiooni elutähtsa teabe infrastruktuuri turvalisuse, inspekteerimisaruande nimetatud asutuse kinnitatud vormis.

5. Inspekteerimisaruande põhjal väljastab Venemaa Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse tagamise alal volitatud föderaalne täitevorgan käesoleva föderaalseaduse ja selle alusel vastuvõetud normatiivsete õigusaktide olulise teabe infrastruktuuri turvalisuse tagamise nõuete rikkumise korral subjektile kriitilise kriitika. teabe infrastruktuuri, et avastatud rikkumine kõrvaldada, märkides selle kõrvaldamise ajakava.

Artikkel 14. Vastutus käesoleva föderaalseaduse ja selle alusel vastu võetud muude regulatiivsete õigusaktide nõuete rikkumise eest

Käesoleva föderaalseaduse ja selle alusel vastuvõetud muude regulatiivsete õigusaktide nõuete rikkumine toob kaasa vastutuse vastavalt Vene Föderatsiooni õigusaktidele.

Artikkel 15. Käesoleva föderaalseaduse jõustumine

President

Venemaa Föderatsioon

Moskva Kreml

Üsna suure hulga 2018. aastal jõustunud seadusandlike IT / IS-i uuenduste hulgas võib välja tuua 26. juuli 2017. aasta föderaalseaduse nr 187-FZ "Vene Föderatsiooni kriitilise teabe infrastruktuuri turvalisuse kohta". Selle asjakohasus on nähtav juba seetõttu, et see võeti vastu iseseisva seaduse vormis, mitte varem kehtinud dokumentide muudatusi. Kuid see näitab ka seda, et me räägime uue (seadusandliku) IT-sfääri reguleerimisest ja seetõttu võib eeldada, et seaduse praktilise rakendamise protsess läbib täiesti loomuliku "jahvatamise".

Küsimustega selle kohta, kuidas 187-ФЗ võib mõjutada ettevõtte IT / küberturvalisuse turu olukorra arengut, selle rakendamise väljavaadete, võimalike probleemide ja nende lahendamise võimaluste kohta, pöördusime paljude ekspertide poole.

Mida uus seadus reguleerib

Seaduse üks peamisi uuendusi on Vene Föderatsiooni inforessurssidele arvutirünnakute avastamise, ennetamise ja tagajärgede likvideerimise riikliku süsteemi (GosSOPKA) rakendamise mehhanism, mis ilmselt peaks võtma kõik olemasolevad IS-süsteemid riigi kontrolli alla ja saama ühtseks juhtimiskeskuseks. kogu see majandus.

Seadusega laiendatakse nende infosüsteemide loetelu (mõiste "esmatähtis infoinfrastruktuur", nende jaoks on kasutusele võetud CII), mille suhtes kehtivad riigi kohustuslikud turvanõuded ja mille omanikud on nüüd vastutavad, sealhulgas kriminaalsete. Positive Technologies metoodika ja standardiseerimise direktor Dmitri Kuznetsov selgitas, et KII viitab valitsuse ja äriorganisatsioonide IT-süsteemidele, mille ebaõnnestumised (sealhulgas häkkerirünnakute tagajärjel) võivad põhjustada tõsiseid sotsiaalseid, poliitilisi, keskkonnaalaseid ja muid tagajärgi.

RT-INFORMi (Rostec State Corporationi IT- ja infoturbeturbe kompetentsikeskus) infoturbe direktori Aleksander Evtejevi seisukohast on oluline, et seadusega määrataks oluliste CII rajatiste kategoriseerimise kord, riikliku kontrolli kord nende turvalisuse tagamisel, organisatsioonide õigused ja kohustused, mis CII subjektid kuuluvad.

Seoses suhete reguleerimisega esmatähtsate infrastruktuuride turvalisuse tagamise valdkonnas häkkerirünnakute kontekstis määratletakse seaduses kaks valdkonda - turvalisuse tagamine ja rünnakute tõkestamine. Sellega seoses tuletab Servionika (ITECO ettevõtete grupp) infoturbeosakonna direktor Vassili Stepanenko meelde, et vastavalt Venemaa Föderatsiooni presidendi 25. novembri 2017. aasta määrusele nr 569 on KII turvalisuse tagamise valdkonnas volitatud föderaalne täitevorgan Venemaa FSTEC ja Venemaa Föderatsiooni presidendi 15. jaanuari 2013. aasta dekreedi nr 31c kohaselt on GosSOPKI loomise õigus Venemaa FSB-l.

"GosSOPKA peaks kontrollima Vene Föderatsiooni kriitilise teabe infrastruktuuri kaitset arvutirünnakute eest," märkis Angara Technologies Groupi arendusdirektor Dmitri Ogorodnikov. - Samal ajal ei olnud endiselt selget arusaama sellest, kes peaks selle süsteemiga konkreetselt ühendust võtma. Nüüd, 187-FZ väljaandmisega, on selles küsimuses selgust. Nimelt näitas seadus, et kõik CII subjektid peaksid olema ühendatud riikliku SOPC-ga ja sõltumata sellest, kas neil on olulisi CII-objekte või mitte. "

Moskva Linnaduma info- ja analüüsiosakonna juhataja Anton Taran toob seaduse põhiideede hulgas välja vajaduse luua riigi seisukohast oluliste IT-süsteemide infoturbe jälgimise ja haldamise ühtne keskus. "Täna ei pruugi keskvalitsus teada, et hantid ründasid Khanti-Mansiyskis asuva soojuselektrijaama mõnda juhtimiskeskust ja lülitasid tulekustutussüsteemi kaheks tunniks välja. Ja nüüd nad teavad ja reageerivad kuidagi, ”selgitas ta.

Tõepoolest, nüüd kohustab seadus selliste objektide infoturbeteenuseid otseselt edastama registreeritud rünnakute kohta teavet FSB-le. R-Visioni tegevjuht Alexander Bondarenko usub, et see võimaldab infovahetusspetsialistide vahel teabevahetust ja üldiselt suurendab CII-rajatiste kaitse taset.

Mida peaksid seaduse rakendamiseks tegema elutähtsate infrastruktuuride subjektid ja reguleerivad asutused

„Mis puutub FSTEC-i, siis peavad kõik esmatähtsate infrastruktuuride subjektid tegema mitmeid meetmeid, sealhulgas CII rajatiste määramine ja kategoriseerimine ning ohutusnõuete täitmine. Kuid enamik organisatsioone on täna juba rakendanud teatud turvameetmeid (näiteks vastavalt GIS-i ja / või PD-i eeskirjadele), seega peavad nad olemasoleva infoturbesüsteemi korreleerima FSTEC-i nõuetega CII osas ja vajadusel seda muutma, " usub Dmitri Ogorodnikov. FSB osas lisas ta, et GosSOPKiga ühenduse loomiseks on vaja teha tööd, mis on ilmselt kõige koormavam meede.

"Nüüd ootame valitsuse heakskiitu CII rajatiste kategoriseerimise eeskirjadele, samuti FSTECi nõuete kinnitamist CII rajatiste infokaitsemeetmete rakendamiseks, sõltuvalt määratud kategooriast," ütles süsteemitarkvara infoturbe juht Jakov Grodzensky. - Pärast nende dokumentide heakskiitmist võtab FSTEC tõenäoliselt KII objektide kategoriseerimise aega. Pärast seda algab asjakohaste lahenduste massiline juurutamine. "

„Vastavalt FSTECi 6. detsembri 2017. aasta korraldusele nr 227 KII registri pidamise korra kinnitamise kohta suletakse see register. Sellest saadetud teave saadetakse GosSOPKU-le ning seda saab edastada ka ainult riigiorganitele või Venemaa juriidilistele isikutele, kes täidavad ülesandeid riigi poliitika ja (või) õigusliku reguleerimise väljatöötamiseks, rakendamiseks või rakendamiseks kehtestatud piirkonnas, ”märkis Dmitri Ogorodnikov. Lisame, et vastavalt presidendi 02.03.2018 dekreedile nr 98 klassifitseeritakse riigisaladuseks teave, mis avalikustab elutähtsate infrastruktuuride turvalisuse tagamise meetmed, samuti teave, mis avalikustab selle kaitse seisundi.

Kindlasti võime öelda, et 187-FZ juurutamine nõuab turuosalistelt täiendavaid jõupingutusi, sealhulgas finantskulusid.

„Tulenevalt asjaolust, et selle seaduse alla kuuluvate objektide ja organisatsioonide arv on muljetavaldav ning nende infoturbetase pole eriti kõrge, nõuab see tõsiseid investeeringuid turvalisusse. Seega võib elutähtsate infrastruktuuride rajatiste kaitse tagamine saada järgmiseks turu tõukejõuks, milleks sai kunagi ka kurikuulus isikuandmete seadus, ”on Aleksander Bondarenko kindel.

„IS-turule ilmub uut tüüpi teenuseid, mis keskenduvad FSTEC-i nõuete täitmisele CII osas, samuti teenuseid GosSOPKiga ühenduse loomiseks. Siin on võimalikud erinevad võimalused: osakondade keskuste loomine, ühendus ärikeskustega jne. Kõik võimalused nõuavad ka asjakohaste infoturbevahendite ostmist, ”usub Dmitri Ogorodnikov.

Jakov Grodzensky sõnul peavad CII subjektide määratluse alla kuuluvad organisatsioonid paratamatult looma oma infrastruktuuri GosSOPKI keskused. Sellega seoses on vaja juurutada teabevahetusliides peakeskusega. „Sealhulgas kodumaiste arendajate juba olemasolevate lahenduste põhjal on vaja sisse viia juhtumite registreerimise ja neile reageerimise süsteem (IRP), mis põhineb organisatsiooni SOC-i osaks olevatel SIEM-lahendustel. Lisaks on vaja analüüsida infrastruktuuri turvalisust ja rakendada lahendusi töötajate teadlikkuse tõstmiseks infoturbest, “selgitas ta.

"Turvamüüjate jaoks toob seadus positiivseid uudiseid, kuid on raske öelda, kuidas see IT-turgu mõjutab, sest on täiesti võimalik, et turvalisuse suunas rakendatakse täiendavaid jõupingutusi, vähendades teiste IT-projektide aktiivsust," jagab Anton muret Ram.

Kuid Aleksander Evteev avaldab arvamust, et seaduse rakendamine avaldab positiivset mõju organisatsioonide tegevusele, mis tänapäeval kannavad sageli otsest kahju oma tähelepanematusest julgeolekuprobleemide suhtes: „Viimastel aastatel on arvutirünnakutega seotud juhtumite arv märkimisväärselt suurenenud, küberkurjategijad leiavad pidevalt uusi rünnakute viise. Viimaste aastate suundumus IS-i nõuete karmistamisele, eriti avaliku sektori ja esmatähtsate infrastruktuuride osas, on vajalik vastus.

Ilmselt on üks olulisi valdkondi, mis kuulub 187-FZ rakendusalasse, protsesside juhtimissüsteemid. Eriti juhib sellele tähelepanu Dmitri Kuznetsov: "Tööstusettevõtete omanikud ja tööstusautomaatika tööriistade arendajad on aru saanud, kui haavatav on tööstus rünnakute suhtes ning nüüd tehakse koostööd ICS-süsteemide tootjate ja selliste süsteemide turvalisuse analüüsimisele spetsialiseerunud ettevõtete vahel."

Omakorda märgib Vassili Stepanenko, et seadus ei tähenda ühekordset tegevust IT-süsteemide turvalisuse tugevdamiseks, vaid pidevat tööd selles suunas: „Kliendid peavad nüüd pidevalt arendama ja rakendama turvameetmeid, planeerima selleks eelarveid, informeerima FSB-d juhtumite kohta, uurida juhtumeid ja osutada abi FSB ja FSTECi esindajatele ". Tema sõnul toimub CII sertifitseerimine mitte vastavussertifikaadi väljaandmise tavapärases vormis, vaid FSTECi kehtestatud miinimumnõuete täitmise kontrollimise ja FSB poolt kaitsemeetmete tõhususe pideva hindamise vormis.

Kas 187-FZ-s on kõik sujuv?

Varasemate aastate kogemused näitavad, et vastuvõetud seaduste rakendamine IT-valdkonnas on mõnikord üsna keeruline. Selgub, et vastuvõetud õigusaktide mõningaid sätteid on praktikas raske rakendada ning seadusandjad ei ole mõnele olulisele aspektile piisavalt tähelepanu pööranud või on neist täielikult mööda vaadanud. Korrapäraselt kerkib üles ka seaduse nõuete täitmise rahastamise probleem.

"187-FZ kvaliteet pole parem ega halvem kui sarnased IT-ga seotud seadused," ütleb Anton Taran. - Pole täielikult välja töötatud määratlusi, mis võimaldaksid mitmetähenduslikke tõlgendusi. On udune sõnastus. Nagu tavaliselt juhtub, on halduse algoritmid ja volitatud asutuste funktsionaalsus täpsustatud, kuna sellest sõltuvad edasised reeglite väljatöötamine ja vastutusvaldkonnad ning vastavalt eelarve saajad. Siiani pole selge, millised on süsteemi loomise ja toimimise eelarvekulud. Arvestades, et seadus näeb ette arvutiõnnetuste riikliku teabekeskuse loomise, on kulud veel ees. Kui see pole virtuaalne keskus. "

Kõik eksperdid nõustuvad, et rakendamine nõuab märkimisväärseid kulusid nii infosüsteemide omanikelt kui ka riigilt. Kuid Dmitri Kuznetsov on kindel, et sellised kulutused on lihtsalt vajalikud: „Paljud organisatsioonid eirasid infoturbe probleemi. Kaitse nõue on viinud selleni, et paljudes elutähtsates infosüsteemides puuduvad põhilised kaitsemehhanismid. Haigus on unarusse jäetud ja nüüd nõuab selle ravi tõsiseid pingutusi. "

Aleksander Bondarenko näeb seaduse potentsiaalset probleemi selles, et selle rakendamine reaalses elus võtab mitu aastat, kuna kriitilised objektid vajavad nende omaduste tõttu olemasolevate kaitsemehhanismide tõsist kohandamist.

On hea, et riik on nii selgelt näidanud muret CII turvalisuse pärast. Kuid Vassili Stepanenko näeb 187-FZ probleemi selles, et tema arvates on see halvasti kooskõlas teiste seadustega, mis on juba ammu kehtinud paljudes tööstusharudes, mis on määratud CII potentsiaalseteks subjektideks. Vastutusega seaduse nõuete täitmise eest pole näiteks veel selge, näiteks kus asub subjekti juhi vastutusala ja kus - teised ametnikud. Kõik pole rahastamise osas selge. "Kõiki on võimalik kohustada eraldama eelarveid ja kartma kontrolle, kuid ilma nõuetekohase rahastamiseta, sealhulgas riigilt, on reaalseid tulemusi raske saavutada," ütles ekspert.

Mis puutub seaduse väljavaadetesse, siis on Anton Tarani sõnul sellest endiselt raske rääkida. Ühelt poolt pole puhtteoreetiliselt süstematiseerimine, kooskõlastamine ja standardimine veel kedagi kahjustanud ning kui tulevane süsteem tegelikult töötab ja kui esmatähtsate infrastruktuuride üksuste majanduse kulud ei ületa potentsiaalseid riske, siis võime oodata turvalisuse taseme tõusu. Teisalt on seaduse tõhususe hindamisest väga keeruline rääkida seni, kuni on kindlaks määratud turvalisuse kvantitatiivsed näitajad.

Seaduse põhiprobleemi näeb ta ettevõtluse kuludes. Lõppude lõpuks on üksik subjekt üsna võimeline end arvutirünnakute eest kaitsma ja üldiselt peab ta omama infoturbetehnoloogiaid, mis pole halvemad kui riik. Täiendavate organisatsiooniliste ja võimalike materiaalsete kulude loomine mis tahes ettevõtte jaoks tuleks kompenseerida täiendava sissetulekuga, samas on oht, et lisatasusid ei kompenseeri turvalisuse taseme tõus.

Üldiselt nõustuvad kõik eksperdid, et seaduse praktiline rakendamine sõltub olulisel määral järgnevate regulatiivsete põhimääruste süsteemist, mis muu hulgas peaks määrama teatud isikute vastutuse seaduse rakendamise eest.