Заключение Комитета Государственной Думы Федерального Собрания РФ по энергетике по проекту федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации", внесенному Правительством Российской Федерации (утв. Решением Комитета Государственной Думы по энергетике от 20.01.2017 N 3.25-5/13) (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ по энергетике
по проекту федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации", внесенному Правительством Российской Федерации
(утв. Решением Комитета Государственной Думы по энергетике от 20 января 2017 г. N 3.25-5/13)

Досье на проект федерального закона

Комитет Государственной Думы по энергетике, рассмотрев проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации", внесенный Правительством Российской Федерации, в части вопросов ведения Комитета сообщает следующее.

Настоящим проектом федерального закона устанавливаются организационные и правовые основы обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак. Законопроектом устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов Российской Федерации в области обеспечения критической информационной инфраструктуры, а также права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами критической информационной инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

К критической информационной инфраструктуре законопроектом отнесены, в том числе и объекты топливно-энергетического комплекса (далее - объекты ТЭК).

Согласно Стратегии национальной безопасности Российской Федерации одним из главных направлений обеспечения национальной безопасности в области экономики на долгосрочную перспективу является повышение уровня энергетической безопасности.

В свою очередь, в соответствии с Указом Президента Российской Федерации от 05.12.2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации" одной из стратегических целей обеспечения информационной безопасности является повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, а также повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры.

Глобализация современных информационно-коммуникационных сетей и информационных систем, вынужденное применение при их построении иностранного оборудования и заимствованного программного обеспечения, имеющего уязвимости, а также существенное увеличение количества автоматизированных систем управления производственными и технологическими процессами в сочетании с интенсивным совершенствованием средств и методов применения информационных и коммуникационных технологий в противоправных целях формируют новые угрозы безопасности для критических информационных систем и объектов ТЭК.

Расширяющиеся возможности использования информационно-телекоммуникационных сетей на объектах ТЭК, обусловленные их постоянным совершенствованием, вызывают повышенный интерес к ним со стороны организованной преступности, экстремистских и террористических организаций, иностранных специальных служб. Существующие особенности построения современного информационного пространства (в том числе информационной телекоммуникационной сети "Интернет") позволяют обеспечивать анонимность действий и существенно осложняют идентификацию и авторизацию пользователей.

В настоящее время только в электроэнергетике в технологических процессах производства и передачи электроэнергии и тепла повсеместно применяются автоматизированные системы управления. Сложность данных технологических процессов обуславливает усложнение систем и алгоритмов управления объектами - участниками технологических процессов, что повышает уязвимость объектов электроэнергетики (угрозы удаленного управления объектами, нарушение целостности информации, на основе которой принимаются управленческие решения). От корректной работы и алгоритмов АСУ ТП и её составляющих компонентов непосредственно зависит надёжность и безопасность объектов и энергопринимающих установок, участвующих в едином технологическом процессе.

Так, к техногенным угрозам энергетической безопасности относится повышение уязвимости объектов ТЭК, связанное с усложнением систем и алгоритмов управления этими объектами. Кроме того, в числе угроз безопасности ТЭК Российской Федерации все еще остаются риски эмбарго (блокирования поставок продукции или предоставления услуг) и отзыва (приостановки) лицензии, так как в основном авторизированные системы управления поставляются иностранными производителями.

В этой связи Комитет Государственной Думы по энергетике считает важным и своевременным необходимость принятия проекта федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" для топливно-энергетического комплекса Российской Федерации.

В настоящее время требования к средствам защиты информации и информационной безопасности объектов электроэнергетики в целом устанавливаются государственными стандартами и приказами федеральных органов исполнительной власти (в том числе ФСБ России и ФСТЭК России). Вместе с тем, требования к информационной безопасности, устанавливаемые государственными стандартами Российской Федерации, не имеют нормативного, обязывающего характера, модель угроз информационной безопасности автоматизированных систем управления на объектах электроэнергетики отсутствует.

В соответствии со статьей 7 законопроекта субъекты критической информационной инфраструктуры обязаны информировать уполномоченный орган обо всех компьютерных инцидентах, к которым могут быть отнесены также неисправности автоматизированных систем управления технологическими процессами, в том числе не связанных с компьютерными атаками, что представляется явно избыточным.

В этой связи в статье 2 законопроекта целесообразно уточнить (сузить) понятие "компьютерный инцидент", рассматривая его только как последствие компьютерной атаки.

Подпунктом 4 пункта 3 статьи 7 законопроекта установлена обязанность обеспечения беспрепятственного доступа субъектом критической информационной инфраструктуры (при признании объекта электроэнергетики значимым объектом критической информационной инфраструктуры) должностных лиц федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры. Комитет обращает внимание, что техника безопасности при работе с электрооборудованием предусматривает приобретение компетенции в вопросах электробезопасности, которая закрепляется присвоением персоналу соответствующей группы допуска для обслуживания электроустановок. Для определенной группы устанавливается предельное напряжение и другие параметры доступа к электроустановкам. Персоналу, не имеющему соответствующей группы допуска по электробезопасности, категорически запрещен доступ к электроустановкам. Учитывая особый статус и потенциальную опасность отдельных объектов энергетики, представляется целесообразным дополнительно обсудить данный вопрос.

Согласно подпункту 4 пункта 2 статьи 8 законопроекта система безопасности значимого объекта критической информационной инфраструктуры должна обеспечивать восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемое, в том числе за счет создания и хранения резервных копий необходимой для этого информации. Комитет отмечает, что применительно к объектам ТЭКа в ряде случаев может потребоваться не только наличие резервных копий информации, но и резервного оборудования. Положениями указанной статьи подразумевается создание и последующая эксплуатация системы информационной безопасности. Задачи обеспечения безопасности критической информационной инфраструктуры в большей степени относятся к инженерно-техническим, а не к организационно-методологическим проблемам. Если объект критической информационной инфраструктуры эксплуатируется через полностью автоматизированную технологию с применением удаленного телеуправления, то представляется сложным обосновать целесообразность затрат на проведение документарных проверок. В этой связи представляется целесообразным предусмотреть проведение инструментального аудита.

Комитет отмечает, что учитывая важность обеспечения безопасности критической информационной инфраструктуры топливно-энергетического комплекса для страны, статью 14 законопроекта необходимо дополнить пунктом 2, согласно которому субъекты критической информационной инфраструктуры несут ответственность в соответствии с законодательством Российской Федерации в области безопасности критической информационной инфраструктуры Российской Федерации.

Принимая во внимание стратегическое значение энергетической отрасли для экономики, обороноспособности, энергообеспечения и безопасности Российской Федерации, Комитет предлагает дополнительно рассмотреть возможность регламентации особого статуса объектов ТЭК, внеся ко второму чтению проекта федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" корреспондирующие ему изменения в Федеральный закон от 21.07.2011 г. N 256-ФЗ "О безопасности топливно-энергетического комплекса России".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду Федеральный закон от 21.07.2011 г. N 256-ФЗ "О безопасности объектов топливно-энергетического комплекса"

Исходя из вышеизложенного, учитывая важность усиления контроля за безопасностью критической информационной инфраструктуры объектов ТЭКа, Комитет Государственной Думы по энергетике поддерживает концепцию законопроекта N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" и рекомендует Государственной Думе принять проект федерального закона в первом чтении при условии учета указанных замечаний ко второму чтению.

Председатель Комитета

П.Н. Завальный