О мерах ответственности за нарушение требований Закона
Федеральным законом от 26 июля 2017 года № 194-ФЗ в УК РФ с 1 января 2018 г. введена новая статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», в частности предусматривающая:
«3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, -
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.».
Однако в настоящее время объекты КИИ, нарушение правил эксплуатации которых может квалифицироваться как преступление, предусмотренное ст. 274.1 УК РФ, не определены.
|
|
О степени секретности сведений о мерах защиты КИИ
Федеральным законом от 26 июля 2017 № 193-ФЗ внесены изменения в Закон РФ «О государственной тайне», согласно которым сведения «о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии её защищенности от компьютерных атак» включены в Перечень сведений, составляющих государственную тайну. Какие конкретно сведения будут отнесены к этой категории и порядок работы с этими сведениями субъектов КИИ - российских юридических лиц и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления в настоящее время не определено.
Вероятно, такой порядок будет впоследствии разъяснён уполномоченных органом исполнительной власти. Можно прогнозировать, что в отношении таких сведений будет принят порядок работы с ними, аналогичный порядку работы со сведениями «о мерах по обеспечению защищенности критически важных объектов и потенциально опасных объектов инфраструктуры Российской Федерации от террористических актов».
|
|
О рекомендациях по обеспечению безопасности информации в АСУ ТП на текущий период времени
Существующий федеральный закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» (в соответствии со ст. 11 этого закона устанавливается необходимость создания на объектах топливно-энергетического комплекса системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий) говорит только о необходимости создания системы защиты и не определяет конкретные требования к системе защиты АСУ ТП.
В целях повышения уровня защищённости АСУ ТП рекомендуется принять меры защиты, указанные в документе «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31 (в настоящее время эти Требования носят рекомендательный характер).
|
|
Для этого владельцу (оператору) АСУ ТП рекомендуется определить класс защищённости АСУ ТП в соответствии с Приложением № 1 к Требованиям, утверждённые приказом ФСТЭК России от 14 марта 2014 г. № 31, выбрать и реализовать необходимые меры защиты, предусмотренные для выбранного класса.
При реализации мер защиты АСУ ТП рекомендуется в качестве приоритетных использовать меры защиты:
· физическую/логическую изоляцию технологического контура АСУ ТП от корпоративной сети и сетей связи общего пользования, в том числе с применением средств однонаправленной передачи данных (data diode);
· ограничение физического доступа к элементам АСУ ТП, реализацию мер физической защиты;
· ограничение доступа и управление доступом легальных пользователей к ресурсам АСУ ТП, минимизацию привилегий пользователей;
· контроль действий пользователей АСУ ТП;
· антивирусную защиту;
· организацию резервного копирования конфигурационных файлов, информационных образов систем, а также журналов регистрации событий, организацию контроля их неизменности;
· контроль целостности сетевого сегмента АСУ ТП, обнаружение несанкционированно подключенных устройств и линий связи;
|
|
· обеспечение действий в нештатных (непредвиденных) ситуациях (инцидентах информационной безопасности) в ходе эксплуатации АСУ ТП.
· Также необходимо учитывать, что согласно Требованиям, утверждённым приказом ФСТЭК России от 14 марта 2014 г. № 31, в системах защиты АСУ ТП могут применяться несертифицированные средства защиты информации. Сертифицированных СЗИ для АСУ ТП в настоящее время практически нет, поэтому применение существующих несертифицированных СЗИ решает проблему по крайней мере на этом временном (переходном) этапе.
· Обращаем внимание, что в соответствии со ст. 54 Конституции РФ, закон, устанавливающий или отягчающий ответственность, обратной силы не имеет. В соответствии с этим обязательные требования, принятые во исполнение Закона, будут распространяться на объекты КИИ, вновь вводимые в эксплуатацию или подвергаемые модернизации после утверждения соответствующих требований. Подобный подход к срокам и порядку реализации вновь вводимых требований неоднократно анонсировала ФСТЭК России в разъяснениях к соответствующим нормативным актам, подчёркивая, что изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления соответствующих актов в силу.
Дата добавления: 2019-03-09; просмотров: 150; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!