Пояснительная записка к проекту федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" (не действует)

Пояснительная записка
к проекту федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"

Досье на проект федерального закона

Осуществляемый в настоящее время в Российской Федерации переход к информационному обществу приводит к тому, что подавляющее большинство систем принятия решений и бизнес-процессов в ключевых отраслях экономики и сфере государственного управления реализуются или планируются к реализации с использованием информационных технологий. В различных информационных системах уже сейчас хранятся и обрабатываются значительные объемы информации, в том числе касающейся вопросов государственной политики и обороны, финансовой и научно-технической сферы, частной жизни граждан.

Одновременно информационные технологии повсеместно внедряются при построении автоматизированных систем управления производственными и технологическими процессами, используемых в топливно-энергетическом, финансовом, транспортном и других секторах критической инфраструктуры Российской Федерации.

Глобализация современных информационно-коммуникационных сетей и информационных систем, вынужденное применение при их построении иностранного оборудования и заимствованного программного обеспечения, имеющего уязвимости, а также существенное увеличение количества автоматизированных систем управления производственными и технологическими процессами в сочетании с интенсивным совершенствованием средств и методов применения информационных и коммуникационных технологий в противоправных целях формируют новые угрозы безопасности Российской Федерации.

Нанесение ущерба критической информационной инфраструктуре может привести к катастрофическим последствиям, а учитывая, что она является связующим звеном между другими секторами национальной инфраструктуры, неизбежно нанесет ущерб и этим секторам. Переход информационных и коммуникационных технологий на систему цифровых сигналов упростил и частично автоматизировал управление процессами, но, в то же время, сделал их более уязвимыми перед компьютерными атаками. Вредоносная программа, направленная на внесение изменений в бинарный код программы (алгоритм программы, записанный в двоичной системе исчисления) способна вывести из строя любое оборудование, работающее с использованием бинарного кода. При этом равную опасность могут представлять атаки, совершаемые в преступных, террористических и разведывательных целях со стороны отдельных лиц, сообществ, иностранных специальных служб и организаций.

По данным за последние годы, исходя из различных методик оценки ущерба от вредоносных программ, он составлял от трехсот миллиардов до одного триллиона долларов, то есть от 0,4% до 1,4% общемирового ежегодного ВВП, и эти показатели имеют тенденцию к неуклонному росту.

При развитии событий по наихудшему сценарию компьютерная атака способна полностью парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и/или экологическую катастрофу.

Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 г. и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г.

Таким образом, стабильность социально-экономического развития Российской Федерации и ее безопасность, по сути, поставлены в прямую зависимость от надежности и безопасности функционирования информационно-телекоммуникационных сетей и информационных систем.

В настоящее время эффективное правовое регулирование в данной сфере затруднено из-за отсутствия системообразующих законодательных актов, устанавливающих порядок отношений в сфере обеспечения безопасности критической информационной инфраструктуры в Российской Федерации.

Законопроектом устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами критической информационной инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

В соответствии с законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:

- определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

- разработки критериев категорирования объектов критической информационной инфраструктуры, показателей этих критериев и порядка категорирования объектов критической информационной инфраструктуры;

- категорирования объектов критической информационной инфраструктуры в соответствии с указанными критериями, показателями и порядком;

- ведения реестра значимых объектов критической информационной инфраструктуры;

- установления требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учетом их категорий;

- создания систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечение их функционирования;

- обеспечения взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. N 31с;

- осуществления оценки состояния защищенности критической информационной инфраструктуры Российской Федерации;

- осуществления государственного контроля в области безопасности критической информационной инфраструктуры Российской Федерации.

Реализация мероприятий на указанных направлениях позволит обеспечить комплексность и непрерывность обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

Результаты анализа опыта правового регулирования безопасности критической информационной инфраструктуры стран с развитой информационной инфраструктурой, таких как Германия, США, Великобритания, Япония и Южная Корея, а также международных правовых актов в данной области, показывают, что обеспечение безопасности критической информационной инфраструктуры Российской Федерации исключительно силами и средствами государства невозможно. Существенная часть объектов критической информационной инфраструктуры в этих странах, как и в Российской Федерации, не находится в собственности государства. Исходя из этого, законопроектом предусматриваются дополнительные обременения, налагаемые на лиц, владеющих значимыми объектами критической информационной инфраструктуры на праве собственности или ином законном основании, касающиеся категорирования, создания и обеспечения функционирования систем безопасности этих объектов, а также обеспечения их взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Принятие законопроекта позволит создать правовую и организационную основу для эффективного функционирования системы безопасности критической информационной инфраструктуры Российской Федерации, направленной в первую очередь на предупреждение возникновения компьютерных инцидентов на ее объектах, а также существенно снизит общественно-политические, финансовые и иные негативные последствия для Российской Федерации в случае проведения против нее компьютерных атак.

Финансово-экономическое обоснование
к проекту федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"

Принятие федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства.

Перечень
федеральных законов, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"

Принятие федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" потребует внесения изменений в следующие федеральные законы:

1. Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации.

Обоснование: высокая общественная опасность деяний, причиняющих вред безопасности критической информационной инфраструктуры Российской Федерации или создающих угрозу его причинения.

Краткое описание.

Дополнение Уголовного кодекса Российской Федерации статьей 274.1, устанавливающей ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, в том числе за:

создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации;

неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации;

нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации.

Внесение изменения в пункт 2 части второй статьи 151 Уголовно-процессуального кодекса Российской Федерации (определение прямой подследственности органов федеральной службы безопасности по составам преступлений, предусмотренных статьей 274.1 Уголовного кодекса Российской Федерации), а также в часть пятую статьи 151 Уголовно-процессуального кодекса Российской Федерации (определение альтернативной подследственности по составам преступлений, предусмотренных статьей 274.1 Уголовного кодекса Российской Федерации, иных органов, уполномоченных проводить предварительное расследование).

2. Закон Российской Федерации "О государственной тайне".

Обоснование: необходимость защиты сведений о мерах, предпринимаемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации высокой и средней категорий опасности, а также сведений об оценке степени защищенности критической информационной инфраструктуры Российской Федерации.

Краткое описание.

Дополнение пункта 4 статьи 5 (сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму) новыми абзацами. Таким образом, сведения о мерах, предпринимаемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, а также об оценке степени защищенности критической информационной инфраструктуры Российской Федерации будут отнесены к сведениям, составляющим государственную тайну.

3. Федеральный закон "О связи".

Обоснование: необходимость обеспечения технических условий для функционирования технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также создание условий для обеспечения сохранности данных технических средств.

Краткое описание.

Дополнение части 1 статьи 46 Федерального закона "О связи" новым абзацем. Таким образом, операторы связи будут обязаны в случае установки в сетях электросвязи технических средств, предназначенных для поиска признаков компьютерных атак, обеспечивать выполнение утвержденных в соответствии с законодательством Российской Федерации о безопасности критической информационной инфраструктуры Российской Федерации технических условий установки и эксплуатации технических средств, порядка установки и эксплуатации таких технических средств, а также сохранность этих технических средств.

4. Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Обоснование: соблюдение принципа непрерывности и комплексности обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

Краткое описание.

Дополнение части 3.1 статьи 1 пунктом 22. Тем самым положения указанного Федерального закона, устанавливающие порядок организации и проведения проверок, не будут применяться при осуществлении государственного контроля (надзора) в области безопасности критической информационной инфраструктуры Российской Федерации.

Подготовка проектов федеральных законов "О внесении изменений в законодательные акты Российской Федерации в связи с принятием федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и "О внесении изменений в Уголовный кодекс Российской Федерации и в Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", предусматривающих внесение указанных изменений, осуществляется одновременно с проектом федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

Головной исполнитель - ФСБ России.

Соисполнители: Минкомсвязь России, МВД России, ФСО России,

ФСТЭК России, Минэкономразвития России, Минпромторг России.

Перечень
нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"

N п/п	Наименование проекта нормативного правового акта	Обоснование необходимости подготовки, краткое описание	Срок подготовки	Исполнители
Нормативные правовые акты Президента Российской Федерации
1.	Проект указа Президента Российской Федерации "О федеральном органе исполнительной власти, уполномоченном в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"	Реализация пункта 2 части 1 статьи 5 законопроекта. Указом будет определен федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее - КИИ)	В течение 6 месяцев после принятия закона	ФСТЭК России ФСБ России
Нормативные правовые акты Правительства Российской Федерации
2.	Проект постановления Правительства Российской Федерации "Об утверждении показателей критериев категорирования объектов критической информационной инфраструктуры Российской Федерации, значений таких показателей, а также порядка категорирования объектов критической информационной инфраструктуры Российской Федерации"	Реализация пункта 1 части 2 статьи 5 законопроекта. Постановлением будут утверждены конкретные показатели и их значения следующих критериев категорирования объектов КИИ: - социальной значимости; - политической значимости; - экономической значимости; - экологической значимости; - значимости для обеспечения обороноспособности, безопасности государства и правопорядка. Руководствуясь данными показателями, субъекты КИИ будут осуществлять отнесение своих объектов КИИ к низкой, средней или высокой категориям значимости. Постановлением будет утвержден порядок, в соответствии с которым субъекты КИИ будут проводить категорирование своих объектов КИИ	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации ФСБ России Федеральные органы исполнительной власти в соответствии с компетенцией
3.	Проект постановления Правительства Российской Федерации "Об утверждении порядка осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации	Реализация пункта 2 части 2 статьи 5 законопроекта. Постановлением будет утвержден порядок организации и проведения проверок соблюдения требований по обеспечению безопасности значимых объектов КИИ	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации Федеральные органы исполнительной власти в соответствии с компетенцией
4.	Проект постановления Правительства Российской Федерации "Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры Российской Федерации"	Реализация пункта 3 части 2 статьи 5 законопроекта. Постановлением будет утвержден порядок подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов КИИ, регламентирующий правила предоставления услуг связи операторами связи для таких объектов	В течение 6 месяцев после принятия закона	Минкомсвязь России ФСБ России
Нормативные правовые акты федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
5.	Проект приказа федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации "Об утверждении формы предоставления сведений о проведенном категорировании"	Реализация части 4 статьи 6 законопроекта. Приказом будут утверждены формы предоставления субъектами КИИ сведений о проведенном категорировании для их проверки федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности КИИ	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
6.	Проект приказа федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации "Об утверждении формы реестра объектов критической информационной инфраструктуры Российской Федерации и правил его ведения"	Реализация пункта 3 части 3 статьи 5 законопроекта. Приказом будут утверждены форма реестра объектов КИИ и правила его ведения, включающие порядок подготовки, утверждения и внесения изменений в реестр значимых объектов КИИ	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
7.	Проект приказа федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"	Реализация пункта 5 части 3 статьи 5 и части 1 статьи 9 законопроекта. Приказом будут утверждены требования по обеспечению безопасности для каждой категории значимых объектов КИИ, включающие в себя требования: - к организации деятельности по обеспечению безопасности таких объектов; - для информационных систем; - для автоматизированных систем управления технологическими процессами	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации ФСБ России
8.	Проект приказа федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации "Об утверждении формы акта по результатам проведенной проверки в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"	Реализация части 4 статьи 13 законопроекта. Приказом будет утверждена форма акта по результатам проведенной проверки в рамках осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Нормативные правовые акты ФСБ России
9.	Проект приказа ФСБ России "Об утверждении порядка реагирования на компьютерные инциденты и ликвидации последствии компьютерных атак на значимых объектах критической информационной инфраструктуры Российской Федерации"	Реализация пункта 5 части 4 статьи 5 законопроекта. Приказом будет утвержден порядок реагирования на компьютерные инциденты и ликвидации последствии компьютерных атак на значимые объекты КИИ	В течение 9 месяцев после принятия закона	ФСБ России
10.	Проект приказа ФСБ России "Об утверждении перечня сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и порядка их предоставления"	Реализация части 4 статьи 11 законопроекта. Приказом будут утверждены перечень сведений, предоставляемых в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также порядок их предоставления субъектами КИИ	В течение 9 месяцев после принятия закона	ФСБ России
11.	Проект приказа ФСБ России "Об утверждении порядка доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"	Реализация части 6 статьи 11 законопроекта. Приказом будет утвержден порядок доступа к информации, содержащейся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации	В течение 9 месяцев после принятия закона	ФСБ России
12.	Проект приказа ФСБ России "Об утверждении требований к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"	Реализация пункта 8 части 4 статьи 5 законопроекта. Приказом будут утверждены требования к техническим средствам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации	В течение 9 месяцев после принятия закона	ФСБ России Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
13.	Проект приказа ФСБ России "Об утверждении технических условий установки и эксплуатации технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"	Реализация части 4 статьи 12 законопроекта. Приказом будут утверждены технические условия установки и эксплуатации устанавливаемых на объектах КИИ технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации	В течение 9 месяцев после принятия закона	ФСБ России Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
14.	Проект приказа ФСБ России "Об утверждении Положения о Национальном координационном центре по компьютерным инцидентам"	Реализация статьи 10, пункта 1 части 2 статьи 7 и пункта 6 части 4 статьи 5 законопроекта. Приказом будут утверждены Положение о Национальном координационном центре по компьютерным инцидентам, включающее в себя порядок информирования субъектами критической информационной инфраструктуры Российской Федерации о компьютерных инцидентах, произошедших на объектах КИИ, принадлежащих им на праве собственности или ином законном основании, порядок обмена информацией о компьютерных инцидентах субъектов КИИ между собой, а также с уполномоченными органами иностранных государств, международными и неправительственными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты	В течение 9 месяцев после принятия закона	ФСБ России
Нормативные правовые акты Минкомсвязи России
15.	Проект приказа Минкомсвязи России "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"	Реализация пункта 1 части 5 статьи 5 и части 1 статьи 9 законопроекта. Приказом будут утверждены требования по обеспечению безопасности для каждой категории значимых объектов КИИ, включающие в себя требования: - для объектов связи; - для информационно-телекоммуникационных сетей	В течение 6 месяцев после определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации	Минкомсвязь России Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
16.	Проект приказа Минкомсвязи России "Об утверждении порядка и технических условий установки и эксплуатации для операторов связи устанавливаемых в сетях электросвязи технических средств, предназначенных для поиска признаков компьютерных атак"	Реализация пункта 2 части 5 статьи 5 законопроекта. Приказом будут утверждены порядок и технические условия установки и эксплуатации технических средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи	В течение 9 месяцев после принятия закона	Минкомсвязь России ФСБ России