Проверки уязвимости критически важной информационной инфраструктуры, то есть инфраструктуры, связанной с энергетикой, связью, водоснабжением и транспортом, предложили проводить не реже раза в год. Такое предложение в разговоре с «Парламентской газетой» высказал первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин.
По словам сенатора, сегодня таких обязательств в законодательстве нет — равно как нет и четкого порядка устранения обнаруженных «брешей», которыми могут воспользоваться злоумышленники. Подробности — в нашем материале.
Эксперимент длиной в два года
Отметим, что критическая информационная инфраструктура, от которой в значительной степени зависит нормальная жизнь всей страны, конечно, проверяется. Так, согласно постановлению Правительства, опубликованному в четверг, 27 марта, с 1 апреля 2025 года по 31 декабря 2027 в России будет проходить масштабный эксперимент по повышению уровня защищенности государственных информационных систем. Он затронет федеральные органы власти и подведомственные им учреждения.
Как указано в документе, основными целями эксперимента будут независимая оценка текущего уровня защищенности государственных информационных систем, сбор информации о системах защиты, выявление уязвимостей и проверка возможности их использования нарушителями и установление рисков «недопустимых событий» — масштабных сбоев, успешных хакерских атак и так далее. По итогам найденные уязвимости, конечно, устранят, а системы защиты усовершенствуют.
Конкретные ТЗ разработают (вернее, уже разработали) в Минцифры. Там же займутся анализом результатов и организацией работ по «повышению уровня защищенности систем». Исполнителями выступят федеральные органы исполнительной власти и их подведомственные организации — на добровольной основе и на основании заранее подготовленных соглашений о взаимодействии.
Как именно будут тестировать системы, кто войдет в состав участников и прочие подробности, конечно, на данном этапе не разглашаются. Судя по всему, эксперимент — по крайней мере на горизонте до 2030 года — будет явлением разовым, хоть и очень масштабным. Однако в будущем такого рода проверки могут стать регулярными.
Штрафы до 500 тысяч рублей
Первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин накануне направил статс-секретарю — замглавы Минцифры Ивану Лебедеву письмо с предложением сделать проведение программ по поиску уязвимостей на объектах критической информационной инфраструктуры (КИИ) обязательным. А за нарушение их порядка установить ответственность.
Как пояснил сам Артем Шейкин в разговоре с «Парламентской газетой», сегодня такого правила ни в одном законе нет. Притом что разного рода угрозы КИИ за последнее время кратно возросли.
«Важно проводить регулярные программы по поиску уязвимостей значимых объектов критической информационной инфраструктуры периодичностью не реже одного раза в год, — подчеркнул сенатор. — Кроме того, необходимо будет разработать четкий регламент, как и в какие сроки устранять незащищенности, выявленные в ходе программ по поиску уязвимостей объектов информационной инфраструктуры. Порядок такого регламента целесообразно разработать в подзаконных правовых актах, тщательно проанализировав текущие требования и учитывая сегодняшние тенденции угроз безопасности».
Артем Шейкин предложил также установить за нарушение порядка устранения субъектом КИИ уязвимости объекта информационной инфраструктуры ответственность в виде административного штрафа: для должностных лиц в размере от 20 до 50 тысяч рублей, для юрлиц — от 100 до 500 тысяч рублей. По словам сенатора, пока этого достаточно.
«На сегодняшний день существует уголовная ответственность, если были нарушены правила эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, и это повлекло причинение вреда КИИ, — напомнил собеседник издания. — Если вред причинен здоровью человека, то речь может идти о халатности, неисполнении или ненадлежащем исполнении должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности».
В целом, по словам сенатора, предпосылок для введения уголовной ответственности за нарушение порядка устранения уязвимостей на данный момент нет.
«Важно создавать сбалансированную систему, которая могла бы эффективно защищать критическую инфраструктуру без излишних рисков для участников», — заключил Артем Шейкин.