Обзор внесенных изменений в закон 187-ФЗ о критической информационной инфраструктуре

В марте 2024 года вступили в силу изменения в 187-ФЗ КИИ. Установлены новые правила информационной безопасности с учетом последних санкций против России.

Напомним, 187-ФЗ — закон о безопасности критической информационной инфраструктуры (КИИ). К КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Такие системы есть, например, в государственных учреждениях, больницах, научно-исследовательских институтах и лабораториях, транспортных сетях, объектах связи, банках, в ракетно-космической сфере.

Любая кибератака на КИИ — попытка нарушить безопасность государства и вывести из строя стратегически важные объекты.

Изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в 2024 году

В частности, нововведения направлены на расширение полномочий Правительства России в области информационной безопасности. Это описано в части 2 статьи 6 187-ФЗ.

Поступило предложение расширить полномочия Правительства, чтобы оно стало устанавливать:

• требования к ПО и программно-аппаратному комплексу (ПАК), которые входят в перечень значимых объектов критической информационной инфраструктуры (ЗОКИИ);
• сроки перехода на российское ПО и российские аппараты в ЗОКИИ;
• порядок надзора за процедурой перехода на российские аналоги.

Какие еще произошли изменения в 187-ФЗ КИИ в 2024?

1. 1. Установили правила, по которым объекты КИИ должны перейти на российское программное обеспечение до 1 января 2025 года, а также правила закупок для выполнения постановления. Подробнее об этом в постановлении Правительства РФ № 1478 от 22.08.2022 года.
   2. Для ПАК утвердили порядок и правила перехода, назначили надзорные органы. Подробности описаны в ПП № 1912. Переход по этому направлению нужно сделать до 1 января 2030 года.
   3. Среди предложений, которые, наверняка, примут, присутствуют обязанности объектов КИИ перейти на российское ПО и отечественные радиоэлектронные аналоги и соблюдать на объектах КИИ требования к ПО и ПАК.
   4. Дополнили порядок категорирования объектов КИИ в статье 7 187-ФЗ. Сейчас установлен список типовых объектов КИИ для следующих сфер:

• химическая промышленность;
• топливно-энергетический комплекс;
• транспорт;
• энергетика;
• здравоохранение;
• горнодобывающая промышленность;
• металлургическая промышленность;
• оборонная промышленность;
• банки и иные сферы финансового рынка;
• наука;
• связь;
• государственная регистрация прав на недвижимое имущество и сделок с ним;
• атомная энергия;
• ракетно-космическая промышленность.

Методические указания по категорированию, описанные в пункте 8 статьи 2 187-ФЗ, уже есть для здравоохранения, связи, топливно-энергетического комплекса.

Что еще предлагает изменить правительство в 187-ФЗ?

В законопроекте правительства есть предложение расширить 7 статью. В нее предлагают добавить следующее:

• Обязанности разрабатывать перечни отраслевых объектов КИИ возложить на госорганы, Банк России и юрлица, которые разрабатывают и внедряют государственную политику и нормы и правила в своей сфере.
• Утверждение методических указаний с отраслевыми особенностями категорирования объектов КИИ передать госорганам и юрлицам. Согласовывать это должна будет Федеральная служба по техническому и экспортному контролю (ФСТЭК).
• Закрепить в законе надзор за актуальными сведениями об объектах КИИ, которые представляют субъекты КИИ. Дополнительно намерены закрепить в законе сроки, в которые будут уведомлять субъект КИИ, что он предоставил неактуальные данные. Соответственно, закрепят сроки для предоставления актуальных сведений и объяснений, почему таковые отсутствуют.
• Обязать субъекты КИИ при категорировании опираться на утвержденные в своей сфере перечни типовых объектов. При запросах из надзорных органов предоставлять сведения об этом. Сейчас перечни готовы и утверждены для:
  • химической промышленности;
  • оборонной промышленности;
  • топливно-энергетического комплекса;
  • металлургии;
  • транспорта;
  • горнодобывающей промышленности (камни и руды);
  • энергетики;
  • здравоохранения.

В Правилах категорирования объектов КИИ описан общий регламент оценки актуальности и достоверности данных о КИИ. Для химической, оборонной и металлургической промышленностей есть свой утвержденный Минпромторгом приказ, где описаны сроки и порядок оценки аутентификации субъектов КИИ.

В силу предложенные изменения вступят, вероятно, 1 марта 2025.

Отдельно отметим, что ФСТЭК предписала отправлять актуальные сведения об объектах КИИ федеральным органам исполнительной власти, организациям, работающим в двух и более регионах России, а также подведомственным учреждениям и организациям в сфере транспорта. Остальные субъекты КИИ работают с ФСТЭК в своем федеральном округе.

Какое наказание предусмотрено за несоблюдение 187-ФЗ?

Если несоблюдение закона принесет незначительный вред КИИ, должностных лиц ждет административная ответственность и штраф в размере от 10 до 50 тысяч рублей.

Если серьезно нарушена информационная безопасность КИИ, может быть применена уголовная ответственность. В статье 274.1 УК РФ подробно описаны наказания за несоблюдение правил обеспечения информационной безопасности.

Да, это строгие меры, но они направлены на защиту государственной безопасности и предотвращение киберугроз.

Проходите обучение и регулярно обновляйте знания, чтобы всегда соблюдать новые требования закона и усиливать информационную безопасность.

В ITCOM Академии можно пройти обучение по информационной безопасности, повысить квалификацию. Так вы будете в курсе внесения изменений в 187-ФЗ и в другие законы. Мы регулярно актуализируем курсы, чтобы они соответствовали всем изменениям. Подробнее о нашем обучении смотрите по ссылке.

Также мы можем провести аудит вашей системы безопасности, протестировать уязвимые места и дать рекомендации по защите. Все подробности можно узнать по телефону: 8 (800) 550-76-43.