Заключение Комитета Государственной Думы Федерального Собрания РФ по информационной политике, информационным технологиям и связи на проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации", внесенный Правительством Российской Федерации (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ по информационной политике, информационным технологиям и связи
на проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации", внесенный Правительством Российской Федерации

Досье на проект федерального закона

Комитет Государственной Думы по информационной политике, информационным технологиям и связи, рассмотрел внесенный Правительством Российской Федерации проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" и отмечает следующее.

Законопроектом предусматривается установить основные принципы обеспечения безопасности критической информационной инфраструктуры Российской Федерации, понятийный аппарат в регулируемой сфере, полномочия органов государственной власти Российской Федерации, права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами критической информационной инфраструктуры, операторов связи и информационных систем. В связи с этим предполагается установить особенности осуществления категорирования объектов критической информационной инфраструктуры, осуществления уполномоченными органами государственного контроля и надзора за осуществлением надлежащего категорирования объектов критической информационной инфраструктуры, состояния их защищенности. Также законопроектом предполагается формирование единой государственной системы обнаружения, пресечения и ликвидации компьютерных атак.

Законопроект разработан с учетом Утвержденной Президентом Российской Федерации "Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" от 12 декабря 2014 года N К 1274, Указа Президента Российской Федерации от 15 января 2013 года N 31с.

Комитет полагает, что принятие данного законопроекта будет способствовать формированию устойчивой системы обеспечения защиты критической информационной инфраструктуры, как от компьютерных атак, так и компьютерных инцидентов в целом, сформирует нормативно определенную деятельность по обеспечению безопасности критической информационной инфраструктуры Российской Федерации, а также деятельность по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Поэтому актуальность и необходимость принятия законопроекта не вызывает сомнений.

Поддерживая в целом концепцию представленного законопроекта, обращаем внимание, что отдельные его положения нуждаются в согласовании с нормами действующего законодательства Российской Федерации, а также в юридико-технической и лингвостилистической корректировке.

В связи с этим необходимо обратить внимание на следующие обстоятельства.

Необходимо отметить, что 5 декабря 2016 года Указом Президента Российской Федерации N 646 была утверждена Доктрина информационной безопасности Российской Федерации. Полагаем, что положения законопроекта в части понятийного аппарата и формулировок по тексту целесообразно откорректировать с учетом норм указанного документа стратегического планирования, в котором содержится система взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.

Понятийный аппарат законопроекта (статья 2) требует корректировки в части логики изложения начиная с базовых понятий - критической информационной инфраструктуры, объектов критической информационной инфраструктуры, субъектов критической информационной инфраструктуры и т.д.

Введение в законодательство понятия "категорирование" необходимо раскрыть, поскольку данная норма может подпадать под действие иных отраслевых законодательных актов. Также вызывает сомнение возможность отнесения к категорированию объектов критической информационной инфраструктуры в случае "неприсвоения" таким объектам какой-либо категории значимости, поскольку в данном случае категорирование, по сути, не осуществляется. Кроме того в связи с введением понятия "категорирование" полагаем, что виды категорий целесообразно выделить в самостоятельную статью законопроекта.

Требует дополнительной проработки и уточнения понятие "компьютерный инцидент", которое согласно законопроекту (статья 2) включает в себя факты нарушения или прекращения функционирования объекта критической информационной инфраструктуры, в том числе в результате компьютерной атаки. При этом основные причины компьютерного инцидента в понятии не раскрываются.

Нуждается в дополнительном обсуждении необходимость введения в законодательство понятия "автоматизированная система управления технологическими процессами", либо его конкретизация применительно к предмету регулирования законопроекта, поскольку указанное понятие является чрезмерно обобщающим, под которое подпадают любые автоматизированные системы управления, не имеющие отношения в целом к информационной сфере, и к безопасности критической информационной инфраструктуры в частности.

Полагаем целесообразным рассмотреть вопрос об объединении содержащихся в законопроекте понятий "безопасность критической информационной инфраструктуры Российской Федерации" и "обеспечение безопасности критической информационной инфраструктуры Российской Федерации", а также "критическая информационная инфраструктура Российской Федерации" и "объекты критической информационной инфраструктуры".

Законопроектом предлагается введение понятия "значимый объект критической информационной инфраструктуры", которому по итогам категорирования присваивается категория значимости. Полагаем целесообразным лингвистически уточнить, что такой объект критической информационной инфраструктуры является стратегически значимым (стратегическим), и которому в свою очередь присваивается категория значимости.

Понятие "объект критической информационной инфраструктуры" содержит неполный и узкий перечень стратегически важных с точки зрения информационной безопасности отраслей, который целесообразно расширить, либо в рамках отсылочной нормы возложить на Правительство Российской Федерации утверждение такого перечня.

В понятие "субъект критической информационной инфраструктуры" включены государственные органы, юридические лица, владеющие на праве собственности или ином законном основании объектами критической информационной инфраструктуры, операторы связи, обеспечивающие взаимодействие объектов критической информационной инфраструктуры. Требует правовой проработки вопрос о формулировке пользования "на ином законном основании", поскольку перечень видов владения по гражданскому законодательству является довольно широким - от аренды имущества до доверительного управления, ссуды, залога, и ответственного хранения. Установление же в понятии "субъекты критической информационной инфраструктуры" категории "или" в правоприменительной практике при реализации законопроекта создаст сложность в определении ответственных за категорирование лиц, в том числе в части привлечения их к юридической ответственности. Полагаем также, что нуждается в дополнительном обсуждении вопрос о включении в законопроект каких-либо ограничений для владельцев и пользователей объектов критической информационной инфраструктуры с иностранным участием либо аффилированных с иностранными государствами, международными и неправительственными организациями в части владения пользования и распоряжения объектами критической информационной инфраструктуры, поскольку без установления таких положений, в случае принятия законопроекта, могут быть созданы предпосылки для возникновения новых угроз, как информационной безопасности, так и национальной безопасности в Российской Федерации в целом.

Статьей 4 законопроекта предусматривается установление принципов обеспечения безопасности критической информационной инфраструктуры Российской Федерации. В частности, в качестве базовых принципов предполагается установить соблюдение баланса личности, общества и государства, а также их взаимную ответственность. При этом основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством Российской Федерации определены Федеральным законом "О безопасности", статья 2 которого не предполагает возможность установления принципов законодательства в сфере безопасности другими федеральными законами. Поэтому для устранения правовой коллизии полагаем необходимым включение в Федеральный закон "О безопасности" нормы, устанавливающей, что принципы обеспечения безопасности могут устанавливаться другими федеральными законами.

Пунктом 3 части 2 статьи 5 законопроекта предусматривается наделить Правительство Российской Федерации полномочием по установлению порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов критической информационной инфраструктуры. При этом пунктом 3 статьи 16 Федерального закона "О связи" Правительство Российской Федерации наделено полномочием по подготовке и использованию ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования сетей связи специального назначения. Для устранения возникающей в случае принятия законопроекта правовой коллизии необходимо согласование указанных норм.

Частью 3 и 4 статьи 5 законопроекта предлагается наделить федеральные органы исполнительной власти в сфере безопасности критической информационной инфраструктуры Российской Федерации и в области создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак полномочием по осуществлению научно-исследовательской деятельности в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. При этом указанные федеральные органы исполнительной власти не являются ни одним из субъектов научной и (или) научно-технической деятельности, определенных Федеральным законом "О науке и государственной научно-технической политике".

Частью 5 статьи 5 законопроекта устанавливаются полномочия федерального органа исполнительной власти в сфере связи по утверждению требований по обеспечению безопасности, технических условий установки и эксплуатации технических средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи. Полагаем, что данные полномочия должны быть отнесены к федеральному органу исполнительной власти, уполномоченному в сфере безопасности.

Законопроектом предлагается установить (часть 3 статьи 6 законопроекта), что категорирование объектов критической информационной инфраструктуры Российской Федерации осуществляется самостоятельно субъектами критической информационной инфраструктуры. Такой подход с точки зрения интересов государственного регулирования в сфере информационной безопасности нуждается в содержательном пересмотре в пользу позиции о необходимости осуществления категорирования объектов критической информационной инфраструктуры не самостоятельно собственниками и пользователями имущества, относящегося к объектам критической информационной инфраструктуры, не по результатам плановых и внеплановых проверок в рамках государственного надзора (контроля), а непосредственно силами и средствами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры.

Частями 8 и 9 статьи 6 устанавливается, что при несоблюдении субъектом критической информационной инфраструктуры процедуры категорирования или неправильности присвоения категории значимости объекту критической информационной инфраструктуры, а также в случае несоблюдения установленной формы предоставления этих сведений федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, возвращает в письменном виде субъекту критической информационной инфраструктуры указанные сведения с мотивированным обоснованием причин возврата. Субъект критической информационной инфраструктуры после получения им мотивированного обоснования устраняет недостатки и повторно направляет сведения об объекте критической информационной инфраструктуры в уполномоченный орган. Однако отсутствие четко определенных сроков в указанных нормах приведет к правовой неопределенности при реализации законопроекта.

Статья 10 законопроекта согласно наименованию определяет вопросы координации деятельности субъектов критической информационной инфраструктуры, однако не содержит никакого правового регулирования и фактически дублирует положения пунктов 3, 5 и 6 части 4 статьи 5 законопроекта, определяющие полномочия федерального органа исполнительной власти в сфере безопасности критической информационной инфраструктуры.

К объектам критической информационной инфраструктуры законопроектом относятся информационные сети всех государственных органов к которым относятся, в том числе правоохранительные органы, органы безопасности, прокуратуры и суда и т.д. При этом положениями части 5 статьи 11 и части 6 статьи 13 законопроекта предполагается установить, что сведения, содержащиеся в государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также сведения, полученные в ходе проведения государственного контроля и содержащие информацию об уязвимостях программного обеспечения и оборудования значимого объекта критической информационной инфраструктуры, относятся к информации ограниченного доступа. Обращаем внимание, что Закон Российской Федерации "О государственной тайне" не содержит понятия "информация ограниченного доступа", что влечет правовую неопределенность в случае принятия законопроекта в части правового режима охраны указанных сведений.

Статьей 13 законопроекта устанавливается механизм государственного контроля обеспечения безопасности значимых объектов критической информационной инфраструктуры. Пунктом 3 части 3 указанной статьи определено, что основанием для проведения внеплановой проверки является поручение Президента Российской Федерации, Правительства Российской Федерации или требование прокурора о проведении внеплановой проверки в рамках осуществляемого им прокурорского надзора за исполнением законов. Полагаем необходимым рассмотреть вопрос о возложении указанных полномочий на должностных лиц прокуратуры в зависимости от уровня государственных органов (федеральный, субъектов Российской Федерации).

Согласно нормам статьи 14 законопроекта уголовную, административную, гражданско-правовую и дисциплинарную ответственность за нарушение законодательства Российской Федерации в области безопасности критической информационной инфраструктуры Российской Федерации несут только граждане Российской Федерации, иностранные граждане и лица без гражданства. Поскольку к понятию субъектов критической информационной инфраструктуры отнесены только юридические лица, в случае принятия законопроекта на них не будут распространяться указанные положения об ответственности за нарушение законодательства Российской Федерации в сфере критической информационной инфраструктуры. Поэтому указанные положения статьи 14 законопроекта требуют уточнения.

Необходимо отметить также отдельные положения законопроекта, которые нуждаются в лингвостилистической и правовой проработке по тексту законопроекта.

Статьями 2 и 10 законопроекта в законодательство вводится наименование и наделяется полномочием Национальный координационный центр по компьютерным инцидентам. Включение в законопроект наименования самостоятельного структурного подразделения федерального органа исполнительной власти, а также наделение такого подразделения собственным полномочием федерального органа исполнительной власти, в том числе в сфере взаимодействия с международными и зарубежными организациями, не правомерно.

Статьями 2, 5 законопроекта вводится понятие Реестр значимых объектов критической информационной инфраструктуры, статус которого в тексте законопроекта не раскрыт и требует определения в отдельной статье.

В статье 6 законопроекта содержатся критерии категорирования, и порядок его осуществления. Предлагаемый критерий "политическая значимость" вызывает сомнения с точки зрения подхода законопроекта о самостоятельном категорировании собственниками объектов критической информационной инфраструктуры, в том числе вызывает сомнение целесообразность оценки по таким критериям политической значимости частными компаниями, среди которых могут быть иностранные и аффилированные с ними компании. Не корректным представляется определение в законопроекте "экологической значимости" (пункт 4 части 1 статьи 6 законопроекта) в форме "оценки вреда, причиняемого окружающей среде" с учетом использования указанного термина в Федеральном законе "Об охране окружающей среды" (статья 5).

В законопроекте не раскрыты и требуют уточнения в целях правовой определенности такие понятия, как "оператор, эксплуатирующий значимый объект критической информационной инфраструктуры", "проверка правильности", "специально выделенный сотрудник" и другие.

Понятие "государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак" изложено в законопроекте различными формулировками, что не допустимо. С точки зрения юридической техники требуется унификация этой и иных формулировок по всему тексту законопроекта.

Также требуют корректировки сроки вступления законопроекта в силу, поскольку в редакции, внесенной в Государственную Думу, предполагается вступление части законопроекта в силу с 1 января 2017 года.

С учетом изложенного, Комитет Государственной Думы по информационной политике, информационным технологиям и связи поддерживает проект федерального закона N 47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации" и рекомендует Государственной Думе принять его в первом чтении при условии доработки с учетом высказанных замечаний ко второму чтению.

Председатель комитета