Комитет Госдумы по информационной политике, информационным технологиям и связи рекомендовал принять во втором чтении законопроект о безопасности критической информационной инфраструктуры РФ (КИИ) с учетом 17 рекомендованных к принятию поправок из поступивших 26. В частности, не было учтено предложение Российской ассоциации электронных коммуникаций о введении уголовной ответственности за DDoS-атаки. Рассмотрение проекта продолжалось десять минут, он был одобрен единогласно.
Проект закона «О безопасности критической информационной инфраструктуры РФ» (КИИ), подготовленный в рамках Доктрины информационной безопасности, будет рассмотрен Госдумой во втором чтении 7 июля. В первом чтении законопроект был принят в январе 2017 года. Он предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.
В соответствии с поправками, рекомендованными комитетом к принятию, собственниками или арендаторами объектов КИИ должны быть российские юрлица или индивидуальные предприниматели. Объекты КИИ, каждому из которых будет присваиваться категория значимости, будут вноситься в специальный реестр. В новой версии уточняется перечень сведений, предоставляемых в реестр, и сроки их предоставления. В случае несоблюдения установленных правил субъекту КИИ будет направляться требование от уполномоченного органа о необходимости соблюдения положений закона.
Перечень отраслей объектов критической информационной сферы дополнен организациями в сфере науки. В соответствии с первоначальной версией закона к объектам критической инфраструктуры относились инфосистемы и телекомсети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной и других видов промышленности.
В новой версии законопроекта уточняется статус национального координационного центра по компьютерным инцидентам, который будет осуществлять координацию деятельности субъектов критической информационной инфраструктуры.
Уточняется также, что в случае реагирования на компьютерные инциденты в банковской и финансовой сфере потребуется согласование с Центробанком, который необходимо будет уведомлять о компьютерных инцидентах. Предполагается также наделить правом утверждения дополнительных требований по обеспечению безопасности объектов КИИ госорганы, госкорпорации и ЦБ РФ.
В случае принятия закона он вступит в силу 1 января 2018 года. Предложенная поправка перенести вступление закона в силу на 1 января 2019 года была отклонена: это «неприемлемо» «в сложившихся условиях необходимости укрепления информационной безопасности государства», следует из материалов профильного комитета.
Комитет также рекомендовал принять во втором чтении сопутствующий основному законопроекту пакет поправок к законам о гостайне, о связи, о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля, а также к УК РФ — с учетом пяти поправок из поступивших шести. Пакет поправок подготовлен ФСБ. В частности, уточняется, что к сведениям, составляющим гостайну, относятся также сведения о мерах обеспечения безопасности объектов КИИ. Порядок подготовки и использования ресурсов сети электросвязи для обеспечения работы объектов КИИ утверждается правительством.
Блок поправок к Уголовному кодексу РФ предусматривает максимальную ответственность до десяти лет лишения свободы — например, за неправомерный доступ к информации из объектов критической информационной инфраструктуры, а также за создание хакерских программ для воздействия на КИИ. Ранее Российская ассоциация электронных коммуникаций (РАЭК) предлагала доработать проект поправок к УК РФ и ввести ответственность за осуществление DDoS-атак. Ответственность за DDoS-атаки РАЭК предлагала включить в ст. 274 УК РФ, при этом добавить квалифицирующим признаком посягательство на критическую инфраструктуру. «Насколько мы можем судить на данный момент, версия законопроекта не сильно поменялась и в ней не учтены наши замечания и предложения, в частности, по ответственности за DDoS-атаки»,— сообщил “Ъ” директор РАЭК Сергей Плуготаренко. Согласно материалам комитета, поправки, рекомендуемые им к отклонению, «не учитывают правовой и технической специфики компьютерных инцидентов, вызываемых в том числе компьютерными атаками».