Если вы хотите кого-то изменить, сначала полюбите его. © Мартин Лютер Кинг-Младший 1321 - | 880 - или читать все...
Обратная связь Пожаловаться на материал

О порядке информирования ГосСОПКА о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак


Стр 1 из 3Следующая ⇒

О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

11.09.2017

Булаев Михаил Александрович, ведущий консультант-аналитик

 

Общие сведения

1. Принятый 26 июля 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - Закон) устанавливает общие принципы правового регулирования отношений в области обеспечения безопасности критической информационной инфраструктуры (далее - КИИ) Российской Федерации. Закон вступает в силу с 1 января 2018 года и носит рамочный характер. В частности, Закон НЕ ОПРЕДЕЛЯЕТ:

· перечень объектов КИИ, на которые распространяются требования закона;

· порядок и критерии категорирования (определения значимости) объектов КИИ;

· федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

· федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

· требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры;

· временные параметры (сроки) реализации положений закона;

· порядок осуществления государственного контроля и надзора в области обеспечения безопасности значимых объектов критической информационной инфраструктуры;

· порядок и критерии оценки безопасности критической информационной инфраструктуры;

· ряд других положений, необходимых для практической реализации требований закона.

2. Для практической реализации положений Закона предусматривается разработка комплекса подзаконных актов (указаны в Приложении 1), сроки принятия которых могут составлять 1,5-2,5 года с момента вступления Закона в силу. До принятия этих нормативных правовых актов практическая реализации требований Закона в полном объеме НЕВОЗМОЖНА.

Необходимо также учитывать, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ или вновь вводимые в эксплуатацию, или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.

О прогнозировании состава технических требований, которые могут распространяться на объекты КИИ, отнесённые к одной из категорий значимости

В соответствии со ст. 2 Закона можно прогнозировать, что к объектам КИИ потенциально могут быть отнесены наиболее важные объекты, в том числе функционирующие сфере электроэнергетики.

В случае отнесения объектов к КИИ одной из категорий значимости, на них будут распространяться «требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, а также требования к созданию систем безопасности таких объектов и обеспечению их функционирования». В настоящее время такие требования не разработаны и не определён орган исполнительной власти, уполномоченный на их разработку. Тем не менее, можно прогнозировать следующий подход к формированию таких требований: в отношении категорированных объектов, функционирующих в сфере транспорта, связи, энергетики, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности - требования будут сформированы на базе приказа ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», при этом для категорированных объектов КИИ требования приказа ФСТЭК России от 14 марта 2014 г. № 31 будут иметь обязательную силу и будут согласованы с соответствующими категориями значимости объектов КИИ.

О порядке информирования ГосСОПКА о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак

В соответствии со ст. 9 Закона на субъектов критической информационной возложена обязанность:

«незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке».

Однако в настоящее время:

а) орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в настоящее время формально ещё не определён. Вместе с тем, в соответствии с Указом Президента от 15 января 2013г. №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», функции по созданию такой системы возложены на ФСБ России. Очевидно, что и в дальнейшем государственную политику в области обеспечения функционирования системы будет определять ФСБ России;

б) порядок информирования о компьютерных инцидентах официально не установлен. Вместе с этим, ФСБ России подготовлены «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», которые содержат необходимые рекомендации по взаимодействию и перечень передаваемых в рамках функционирования системы сведений. В настоящее время данный документ носит рекомендательный характер, но активно применяется при взаимодействии с ведомственными и корпоративными сегментами. Очевидно, что он будет положен в основу предусмотренных Законом документов.

С учётом изложенного, при создании ведомственного сегмента и организации взаимодействия, считаем целесообразным ориентироваться на указанные выше «Методические рекомендации…» вплоть до официального опубликования нормативного правового акта, регламентирующего порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры, после чего необходимо провести корректировку принятых мер по выстраиванию процесса реагирования на компьютерные атаки.

Дата добавления: 2019-03-09; просмотров: 220; Мы поможем в написании вашей работы!

Поделиться с друзьями:


123Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.013)