Выполнение федерального закона № 187 «О безопасности критической инфраструктуры» по-прежнему вызывает вопросы у наблюдателей и участников рынка. Несмотря на то что закон вступил в силу с начала 2018 года, некоторые моменты по-прежнему остаются непонятными, в частности, детали процедуры подключения к системе ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), а также точный перечень инцидентов, о которых нужно сообщать в НКЦКИ (Национальный координационный центр по компьютерным инцидентам). Сами участники ИТ и инфобезопасности региона ссылаются на «отсутствие ясности некоторых формулировок».

В конце августа правительство Новосибирской области, «Опора России» и сообщество RUSCADASEC провели круглый стол с участием Министерства цифрового развития, ФСТЭК и ФСБ РФ. Одной из ключевых тем встречи стала работа с возможными сбоями инфосистем. В ходе дискуссии появилась информация о том, что с будущего года регуляторы будут внимательнее.

«Основная сложность закона — очень широкая область действия, а также необходимость вовлечения множества органов государственной власти, — прокомментировал руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. — Поэтому подготовка подзаконных актов заняла значительно больше времени, чем планировалось изначально. Однако на текущий момент все документы приняты, а сроки их выполнения утверждены».

Регуляторы, как отметили участники встречи, в последние месяцы относились с пониманием к тому, что закон требует доработок, поэтому реагировали на нарушения «очень лояльно» и давали максимальные отсрочки для их устранения. Однако, как отметили представители ФСБ РФ, участвующие в работе круглого стола, со следующего года практика может ужесточиться.

Они сослались на приказ № 367, принятый в июле 2018 года, где перечисляется информация и инциденты, которые должны передаваться в ГосСОПКА. И один из пунктов — информация о сбоях, о которых следует оповещать ФСБ, а точнее НКЦКИ, немедленно. Субъект КИИ (критической информационной инфраструктуры) может сделать это любым способом: через интернет-портал НКЦКИ, электронным письмом, звонком по телефону или официальным письмом. Проинформировать регулятора нужно в течение 24 часов. Подтверждение о том, что информация дошла адресату, также должно прийти в течение суток.

Между тем, как уже писал «Континент Сибирь», до 70% российских компаний, в том числе крупных, предпочитают замалчивать инциденты. Но с будущего года, отметили участники круглого стола, ответственность за это возрастет.

«На самом деле было бы не совсем корректно говорить, что регулятор игнорирует нарушения 187–ФЗ, — высказывает свою точку зрения начальник отдела аудита и консалтинга центра компетенций по информационной безопасности компании «Техносерв» Михаил Коптенков. — Я бы сказал, что на текущий момент еще не сформировалась практика проведения проверок со стороны регулятора».

«Зачастую мы самостоятельно создаем трудности на пути цифровизации»

Они заключаются в следующем. Правила осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры были утверждены в феврале 2018 года. Проверки, согласно данным правилам, могут быть двух типов — плановые и внеплановые. И плановые могут проводиться по истечении трех лет со дня внесения сведений в реестр значимых объектов КИИ. С учетом того, что 187–ФЗ вышел в июле 2017 года, даты проведения плановых проверок еще не настали. Внеплановые проверки, по словам Михаила Коптенкова, еще не проводились.

Неясным пока остается вопрос и с санкциями по отношению к нарушителям закона. Сейчас все отталкивается не столько от самого факта нарушения, сколько от их последствий. «Невыполнение требований закона 187–ФЗ, которое повлекло за собой инцидент ИБ, может повлечь как административную, так и уголовную ответственность», — комментирует Павел Коростелев.

Наглядный пример приводит Михаил Коптенков. «На сегодня есть одно, но очень серьезное наказание — согласно ст. 274.1 УК РФ неправомерное воздействие на КИИ может повлечь за собой лишение свободы на срок до 10 лет. Под неправомерным воздействием в том числе понимается нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации, содержащейся в КИИ и повлекшее за собой вред. На сегодня осужденных по этой статье нет», — поясняет он.

Участники встречи со стороны регуляторов не анонсировали ужесточения УК и КоАП — речь шла о более жестких сроках устранения нарушений.

Однако, по словам Михаила Коптенкова, в Кодексе об административных правонарушениях уже есть законопроект, предполагающей внесение в две статьи, касающиеся инфобезопасности, информации о штрафах в размере 40–50 тыс. руб. для должностных лиц и 100–500 тыс. руб. для юридических лиц. «Можно быть уверенными, что к моменту первых проверок со стороны регулятора новые штрафы в КоАП РФ появятся, — делает вывод он. — Однако, возможно, цифры будут отличаться от указанных выше. Субъекты КИИ не спешат с выполнением требований 187–ФЗ. Одна из мер, чтобы подтолкнуть их к выполнению этих требований, — введение высоких штрафов за их невыполнение».

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@sibpress.ru или через наши группы в Facebook и ВКонтакте

Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.