комментарии к закону о защите информации

Как будет работать новый закон о безопасности КИИ

Автор Владимир в . Опубликовано Новости

В конце 2017 года в силу вступит новый закон о защите КИИ – критической информационной инфраструктуры. Судя по комментариям к новому закону о защите информации, он до сих пор неясен для тех, кто занимается обеспечением безопасности информации: какие ИС войдут в сферу действия закона, кого считать субъектом КИИ и т.п. Это подтверждают комментарии к новому закону об информации (КИИ) специалистов, которым предстоит его исполнять. Итак, какие трудности видят профессионалы в реализации нового закона об информации.

Что входит в определение КИИ

Обычно ФСТЭК довольно четко указывает границы действия своих приказов. Так, приказ №31 действует только для автоматизированных систем управления и ИС, установленных на объектах критической важности или потенциальной опасности. Определить, что объект попадает в какую-то из этих двух категорий, помогают четкие критерии; кроме того, отдельно оговаривается, что ИС, работающие с гостайной, в сферу действия приказа не попадают. Все ясно и в приказе №17: указаны границы действия (не входит работа с гостайной), включен список государственных ИС.

С законом о КИИ всё иначе: он относит к критической информационной инфраструктуре, во-первых, все объекты КИИ, а, во-вторых, электросети, по которым осуществляется передача данных между объектами. Определение объектов КИИ дано в общем виде:

комментарии к новому закону о защите информации

Получается, что в список объектов попадают все ИС, телекоммуникации и АСУ, принадлежащие субъекту КИИ, даже если это какие-то внутренние программы компании, не имеющие прямого отношения к процессам критической важности. И все эти системы, включая даже самые незначительные, должны быть обеспечены защитой по высшему разряду. По мнению некоторых экспертов, эта неопределенность искажает основной смысл и цель нового закона об информации и открывает простор для манипуляций контролирующих органов.

Кого считать субъектом КИИ

На скрине выше видно, что понятие объекта КИИ прямо привязано к принадлежности их субъектам. Однако определение субъекта в закона также весьма размыто.

новый закон о информации

В первую очередь, разумеется, государственные организации и аппарат власти. Но, кроме них, закон относит к субъектам КИИ организации, которые, во-первых, являются собственниками, арендуют или каким-то еще законным способом владеют АСУ и ИС, а, во-вторых, относятся к одной из 13 перечисленных в законе отраслей (в т.ч. здравоохранение, энергетика и оборонная промышленность).

Возникают следующие вопросы:

  • Как определить, что компания работает в нужной отрасли? Эксперты считают, что решающим может стать наличие либо отсутствие лицензии на определенный вид деятельности.
  • Каким образом отбирали отрасли для списка? Например, обеспечение правопорядка вполне могло бы попасть туда наряду с оборонной промышленностью – но его там нет.
  • Что делать, если компания не владеет ИС или АСУ непосредственно, а пользуется ими, скажем, по договору аутсорсинга?

Таким образом, в настоящей редакции закон о КИИ содержит множество моментов, которые нуждаются в пояснениях компетентных органов и конкретизации. Комментариев от ФСТЭК по данным вопросам пока не поступало. Судя по окончательной версии текста, замечания и комментарии к новому закону на рабочих встречах представителей ФСТЭК, разработчиков закона и практиков в большинстве своем остались без внимания.

Возможно, что до того, как выйдут эти пояснения или утвердится единая практика, закон будет толковаться по субъективному усмотрению проверяющих. А ведь обеспечение защиты объектов КИИ по этому закону требует не только наличия лицензии ФСТЭК на работу с этими системами, но и соответствия некоторому числу дополнительных требований, а также готовности к периодическим инспекциям ФСТЭК – т.е. это еще часть затрат, которые могут в будущем оказаться необоснованными.

Есть вопросы по технической защите информации и последним новинкам законодательства в этой сфере? Звоните, поможем.

Заказать звонок

Трекбэк с Вашего сайта.

Оставить комментарий

Контакты

Телефон:
+7 (499) 403-33-59 ежедневно 9:00-22:00
+7 (812) 409-97-73 ежедневно 9:00-22:00

Почта:
Info@srodopuski.com - по всем вопросам
partnership@srodopuski.com - предложения и сотрудничество

Адрес:
105318, Москва, Ибрагимова 35 к2, офис 14
192012, Санкт-Петербург, Белоостровская 22