В марте 2024 года вступили в силу изменения в 187-ФЗ КИИ. Установлены новые правила информационной безопасности с учетом последних санкций против России.
Напомним, 187-ФЗ — закон о безопасности критической информационной инфраструктуры (КИИ). К КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. Такие системы есть, например, в государственных учреждениях, больницах, научно-исследовательских институтах и лабораториях, транспортных сетях, объектах связи, банках, в ракетно-космической сфере.
Любая кибератака на КИИ — попытка нарушить безопасность государства и вывести из строя стратегически важные объекты.
Изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в 2024 году
В частности, нововведения направлены на расширение полномочий Правительства России в области информационной безопасности. Это описано в части 2 статьи 6 187-ФЗ.
Поступило предложение расширить полномочия Правительства, чтобы оно стало устанавливать:
- требования к ПО и программно-аппаратному комплексу (ПАК), которые входят в перечень значимых объектов критической информационной инфраструктуры (ЗОКИИ);
- сроки перехода на российское ПО и российские аппараты в ЗОКИИ;
- порядок надзора за процедурой перехода на российские аналоги.
Какие еще произошли изменения в 187-ФЗ КИИ в 2024?
- Установили правила, по которым объекты КИИ должны перейти на российское программное обеспечение до 1 января 2025 года, а также правила закупок для выполнения постановления. Подробнее об этом в постановлении Правительства РФ № 1478 от 22.08.2022 года.
- Для ПАК утвердили порядок и правила перехода, назначили надзорные органы. Подробности описаны в ПП № 1912. Переход по этому направлению нужно сделать до 1 января 2030 года.
- Среди предложений, которые, наверняка, примут, присутствуют обязанности объектов КИИ перейти на российское ПО и отечественные радиоэлектронные аналоги и соблюдать на объектах КИИ требования к ПО и ПАК.
- Дополнили порядок категорирования объектов КИИ в статье 7 187-ФЗ. Сейчас установлен список типовых объектов КИИ для следующих сфер:
- химическая промышленность;
- топливно-энергетический комплекс;
- транспорт;
- энергетика;
- здравоохранение;
- горнодобывающая промышленность;
- металлургическая промышленность;
- оборонная промышленность;
- банки и иные сферы финансового рынка;
- наука;
- связь;
- государственная регистрация прав на недвижимое имущество и сделок с ним;
- атомная энергия;
- ракетно-космическая промышленность.
Методические указания по категорированию, описанные в пункте 8 статьи 2 187-ФЗ, уже есть для здравоохранения, связи, топливно-энергетического комплекса.
Что еще предлагает изменить правительство в 187-ФЗ?
В законопроекте правительства есть предложение расширить 7 статью. В нее предлагают добавить следующее:
- Обязанности разрабатывать перечни отраслевых объектов КИИ возложить на госорганы, Банк России и юрлица, которые разрабатывают и внедряют государственную политику и нормы и правила в своей сфере.
- Утверждение методических указаний с отраслевыми особенностями категорирования объектов КИИ передать госорганам и юрлицам. Согласовывать это должна будет Федеральная служба по техническому и экспортному контролю (ФСТЭК).
- Закрепить в законе надзор за актуальными сведениями об объектах КИИ, которые представляют субъекты КИИ. Дополнительно намерены закрепить в законе сроки, в которые будут уведомлять субъект КИИ, что он предоставил неактуальные данные. Соответственно, закрепят сроки для предоставления актуальных сведений и объяснений, почему таковые отсутствуют.
- Обязать субъекты КИИ при категорировании опираться на утвержденные в своей сфере перечни типовых объектов. При запросах из надзорных органов предоставлять сведения об этом. Сейчас перечни готовы и утверждены для:
- химической промышленности;
- оборонной промышленности;
- топливно-энергетического комплекса;
- металлургии;
- транспорта;
- горнодобывающей промышленности (камни и руды);
- энергетики;
- здравоохранения.
В Правилах категорирования объектов КИИ описан общий регламент оценки актуальности и достоверности данных о КИИ. Для химической, оборонной и металлургической промышленностей есть свой утвержденный Минпромторгом приказ, где описаны сроки и порядок оценки аутентификации субъектов КИИ.
В силу предложенные изменения вступят, вероятно, 1 марта 2025.
Отдельно отметим, что ФСТЭК предписала отправлять актуальные сведения об объектах КИИ федеральным органам исполнительной власти, организациям, работающим в двух и более регионах России, а также подведомственным учреждениям и организациям в сфере транспорта. Остальные субъекты КИИ работают с ФСТЭК в своем федеральном округе.
Какое наказание предусмотрено за несоблюдение 187-ФЗ?
Если несоблюдение закона принесет незначительный вред КИИ, должностных лиц ждет административная ответственность и штраф в размере от 10 до 50 тысяч рублей.
Если серьезно нарушена информационная безопасность КИИ, может быть применена уголовная ответственность. В статье 274.1 УК РФ подробно описаны наказания за несоблюдение правил обеспечения информационной безопасности.
Да, это строгие меры, но они направлены на защиту государственной безопасности и предотвращение киберугроз.
Проходите обучение и регулярно обновляйте знания, чтобы всегда соблюдать новые требования закона и усиливать информационную безопасность.
В ITCOM Академии можно пройти обучение по информационной безопасности, повысить квалификацию. Так вы будете в курсе внесения изменений в 187-ФЗ и в другие законы. Мы регулярно актуализируем курсы, чтобы они соответствовали всем изменениям. Подробнее о нашем обучении смотрите по ссылке.
Также мы можем провести аудит вашей системы безопасности, протестировать уязвимые места и дать рекомендации по защите. Все подробности можно узнать по телефону: 8 (800) 550-76-43.
Статьи
Остались вопросы
Оставьте номер телефона, мы перезвоним в ближайшее время