Закон о критической инфраструктуре принят во втором чтении Госдумой РФ

7 июля 2017 года Государственная Дума России приняла во втором чтении пакет законопроектов о критической информационной инфраструктуре (КИИ). Документами определяются основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ.

Закон «О безопасности критической информационной инфраструктуры (КИИ)» принят во втором чтении Госдумой РФ. Как ранее писал DR, в первом чтении закон был принят 26 января 2017 года. Документы подготовлены в соответствии с новой доктриной информационной безопасности и устанавливают основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ. И в том числе телекоммуникационных и инфраструктурных операторов, в сфере ответственности которых – обеспечение взаимодействия объектов. Планируется создание государственной системы ГосСОПКА (система уже работает, но обязательного требования о подключении к ней пока нет) для мониторинга и противодействия кибератакам на объекты КИИ. Вероятнее всего, владельцем и оператором системы будет назначена ФСБ.

Среди обязанностей владельцев КИИ:

информирование властей об киберинцидентах,
предотвращение неправомерного доступа к информации,
обеспечение резервного копирования данных и возможности восстановления работоспособности объектов.

Ко второму чтению в проект были внесены изменения. Например, собственники и арендаторы объектов КИИ должны быть зарегистрированы в России. Уточнены требования категорирования объектов и перечень сведений об объекте, который подается владельцем в Реестр значимых объектов критической информационной инфраструктуры. В перечень объектов КИИ включены научные организации. Финансовым организациям необходимо согласовывать с ЦБ РФ порядок, технические условия установки и эксплуатации средств киберзащиты и реагирования на инциденты. Вдобавок сведения о мерах по обеспечению кибербезопасности объектов КИИ будут считаться государственной тайной.

Соответствующие поправки в Уголовный кодекс предусматривают максимальную ответственность:

за неправомерный доступ к информации об объектах КИИ – лишение свободы на 2-6 лет или штраф в 0,5-1 млн рублей,
а также за разработку программ для кибератак на объекты КИИ – лишение свободы на 2-5 лет или штраф в 0,6-1 млн рублей,
нарушение правил эксплуатации элементов ИКТ-инфраструктуры объектов КИИ – лишение свободы до 6 лет и лишение права занимать определенные должности на срок до 3 лет.