Закон «О критической информационной инфраструктуре» (КИИ), вступивший в силу 1 января 2018 года, полноценно пока не заработал, сообщили опрошенные “Ъ” участники рынка информбезопасности. Закон регулирует обеспечение безопасности при компьютерных атаках на информационно-телекоммуникационные сети, автоматизированные системы управления в сфере транспорта, связи, энергетики, в банках, топливно-энергетическом комплексе, атомной энергетике, оборонной, ракетно-космической, металлургической промышленности и т. д.
Принятие закона потребовало внесения изменений в действующие правовые акты и разработки еще около 20 новых нормативных документов, поясняет специалист по информационной безопасности Group-IB Сергей Золотухин. Часть документов уже принята, а ряд проектов еще находится в финальной стадии подготовки, говорит руководитель операционного направления центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков. Среди них — документы, касающиеся категорирования, требований к защите и контролю безопасности объектов КИИ. Они окажут большое влияние на отрасль, поэтому тщательность проработки должна превалировать над затраченным временем, считает господин Юдаков.
По данным портала regulation.gov.ru, на рассмотрении находится проект постановления правительства о порядке госконтроля за обеспечением безопасности значимых объектов КИИ, разработанный Федеральной службой по техническому и экспортному контролю (ФСТЭК). В нем указано, что госконтроль осуществляется путем плановых и внеплановых выездных проверок со сроками проведения до 20 и 10 рабочих дней соответственно. О плановой проверке субъект КИИ уведомляется не позднее чем за три рабочих дня, о внеплановой — за 24 часа.
Торгово-промышленная палата (ТПП) РФ предлагала скорректировать сроки проведения плановой проверки и уведомлений о внеплановой, следует из ее отзыва к проекту. Цель — уменьшить влияние этих процедур на значимые объекты КИИ, поясняет “Ъ” вице-президент ТПП Максим Фатеев. Уведомления о внеплановой проверке за 24 часа может оказаться недостаточно для подготовительных мероприятий и корректировки внутренних процессов с целью высвобождения ресурсов, необходимых для сопровождения проверки, констатирует он. Но разработчик не учел эти предложения, указано в сводке поступивших предложений. Вчера во ФСТЭК не ответили на запрос “Ъ”.
Можно ожидать появления в разработке и новых документов, прежде всего в направлении предупреждения атак, а также более широкого использования существующей на рынке экспертизы в рамках государственно-частных партнерств, говорит господин Золотухин. В части обнаружения и ликвидации компьютерных атак на уровне государства уже наработан опыт, а вот в части предупреждения «предстоит сделать еще очень многое», поясняет он.
Кристина Жукова