Татьяна Берсенева
24.01.2017

В Госдуме намерены поддержать в первом чтении пакет правительственных инициатив, направленных на обеспечение безопасности информационной инфраструктуры России.

Ключевым с точки зрения информационной инфраструктуры для государства компаниям придется оплатить систему защиты от хакерских атак, а самим организаторам кибератак может грозить до 10 лет лишения свободы.

Думские комитеты по информационной политике и по безопасности рассмотрят сегодня законопроект правительства "О безопасности критической информационной инфраструктуры РФ", который разработан в рамках утвержденной в декабре прошлого года Доктрины информационной безопасности. Сразу несколько собеседников "Известий" в комитетах заявили, что проект будет рекомендован к принятию в первом чтении.

К критической информационной структуре предлагается отнести информационные системы госорганов, а также автоматизированные системы управления технологическими процессами в оборонной промышленности, в сфере здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей промышленности.

Первый зампредседателя комитета по безопасности Эрнест Валеев ("Единая Россия") заявил "Известиям", что под действие закона подпадают как госструктуры, так и частные предприятия. Законопроект правительства, по словам Валеева, отвечает вызовам времени.

— Мы уже сегодня испытываем компьютерные атаки на структуры Центробанка, есть попытки атаковать сайт президента. Но сейчас законодательно эти проблемы не урегулированы, — говорит депутат.

Предполагается, что к началу 2018 году будет создан специальный реестр с перечислением объектов критической инфраструктуры. Они будут поделены на три категории по степени значимости для страны: высокую, среднюю и низкую. Правила ранжирования по категориям установит правительство, а ведением реестра займется федеральный орган, который будет определен позднее. В комитете по информполитике не исключают, что им станет Федеральная служба безопасности РФ.

Предприятия, информационную структуру которых сочтут критически важной, смогут по согласованию с уполномоченным федеральным органом "за свой счет приобретать и устанавливать средства государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Такая система создана по указу президента от 15 января 2013 года. Кроме того, компании смогут получать от уполномоченного органа данные о методах обнаружения и предупреждения кибератак. Им придется отчитываться о произошедших атаках, оказывать содействие уполномоченным органам в установлении причин "компьютерных инцидентов", ликвидации их последствий.

Разработчики проекта считают, что нововведения "существенно снизят общественно-политические, финансовые и иные негативные последствия для РФ в случае проведения против нее компьютерных атак".

Старший системный аналитик "Лаборатории Касперского" Татьяна Рудина говорит, что это первый детальный обязательный проект в области защиты критической инфраструктуры. Она отмечает практический характер документа.

— До этого в России не было каких-то законов, обязательных к исполнению, только рекомендации. Минус — это обратная сторона плюса. Поскольку это первый документ подобного рода, то в нем есть, например, очень много расхождений в формулировках, — говорит она.

Из минусов, по словам Рудиной, — неясность порядка установки на значимых объектах технических средств системы обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Затраты компаний и государства

В финансово-экономическом обосновании к проекту говорится, что затрат на реализацию проекта из федерального бюджета не потребуется. Эрнест Валеев объясняет это тем, что ряд мероприятий, направленных на информационную безопасность страны, реализуется и сейчас. Поэтому дополнительных затрат, например, на создание реестра объектов критической информационной инфраструктуры, не нужно.

Однако потратиться предприятиям всё же придется, однако, по мнению Валеева, безопасность важнее затрат.

— На одних весах затраты государственных и коммерческих структур на обеспечение безопасности, а на вторых — жизнь и безопасность граждан и государства. В целом обеспечение безопасности никогда дешевым мероприятием не было. С учетом усложнения технологических процессов, безусловно, решение этих проблем становится всё дороже и дороже, — говорит он, добавляя, что хакерские атаки теоретически могут даже разрушить систему управления атомными реакторами.

— К чему это может привести? К нескольким десяткам Чернобылей? Какая будет цена вопроса? В любом случае, какая бы ни была сумма затрат, это несопоставимо с теми последствиями, которые могут наступить, — полагает Валеев.

Татьяна Рудина также говорит о неизбежности дополнительных затрат на для участников рынка.

— Затрат потребует не только приобретение, но и интеграция этих средств в систему критической информационной инфраструктуры, обеспечение технической возможности передачи им данных для анализа, а также эксплуатация и техническое обслуживание, — говорит она. 

Компаниям могут потребоваться дополнительные квалифицированные сотрудники либо им придется оплачивать услуги сторонних организаций для анализа информации, предоставляемой техническими средствами и информировании о компьютерных инцидентах, добавляет эксперт.

Наказание для хакеров

Правительство намерено ужесточить и ответственность для хакеров, которые атакуют объекты критической инфраструктуры. В Уголовном кодексе РФ появится специальная статья 274.1, предусматривающая наказание за создание, распространение вредоносных программ, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру РФ, а также за неправомерный доступ к сведениям в ней. Максимальное наказание по этой статье — до 10 лет лишения свободы, если хакерские атаки, к примеру, привели к тяжким последствиям или же была угроза их наступления.

Ранее думский комитет по госстроительству и законодательству рекомендовал депутатам принять в первом чтении соответствующие поправки в УК.