1 января 2018 года вступил в силу новый Федеральный закон «О критической информационной инфраструктуре» (далее – Закон о КИИ)1.
Цель Закона о КИИ усилить безопасность особо важных информационных систем, увеличить устойчивость к компьютерным атакам, предотвратить уничтожение данных и выведение из строя информационных систем в тех случаях, когда это касается государственного управления и процессов в особо важных сферах.
Кого затрагивает Закон о КИИ?
Согласно ч.8 ст. 2 Закона о КИИ новые требования затрагивают относительно широкий круг лиц, а именно организации в некоторых сферах, имеющие на любых основаниях (создание, лицензия и т.д.) информационные системы.
К таким сферам относятся в частности:
• Энергетика,
• Транспорт,
• Оборонная сфера,
• Здравоохранения,
• И иные.
В статье мы рассмотрим порядок соблюдения Закона о КИИ на примере медицинской организации.
Если медицинская организация использует любую информационную систему, в т.ч. на правах лицензии, то возникает обязанность соблюсти требования Закона о КИИ. Поскольку в согласно ч. 8 ст. 2 Закона о КИИ к субъектам критической информационной инфраструктуры (далее – Субъекты КИИ) относятся те юридические лица, кому на каком-либо основании принадлежат информационные системы (далее – ИС).
Таким образом, медицинской организации, использующей ИС на правах лицензии, следует выполнить следующие действий.
Какие действия необходимо выполнить Субъекту КИИ?
Обязанности Субъекта КИИ делятся на два вида: (1) категорирования и (2) сопровождение объектов КИИ.
Основное, что следует сделать – это провести категорирование имеющихся ИС и направить информацию в ФСТЭК. Далее в зависимости от присвоенной категории либо соблюдать определенные требования, либо на этом действия заканчиваются.
Категорирование
Категорирование регулируется специальными Правилами категорирования 2.
Процесс категорирования заключается в соотнесении характеристик объекта КИИ критериям значимости, в соответствии с результатом такого соотнесения присваивается та или иная категория значимости (ст. 7 Закона о КИИ).
Категорирование осуществляется специальной комиссией, которая состоит из работников медицинской организации, на основе перечня показателей критериев значимости, утвержденном Правилами категорирования. Комиссия должна быть постоянной (хотя фактически может потребоваться лишь несколько раз), для обеспечения деятельности комиссии необходимо принять Положение о комиссии по категорированию.
Процесс категорирования можно поделить на этапы:
1. Предварительное выделение критических бизнес-процессов. Формирование реестра бизнес-процессов;
2. Определение ИС, которые обрабатываются критические бизнес-процессы;
3. Соотнесение выделенных ИС с критериями значимости.
По результату работы комиссии по категорированию принимается решение о присвоении категории значимости ИС либо об отсутствии необходимости присвоения категории значимости. Решение оформляется соответствующим протоколом комиссии и выносится акт категорирования (в случае присвоение категории).
После вынесение акта категорирования медицинская организация обязуется в течение 10 рабочих дней направить информацию в ФСТЭК.
В рамках категорирования могут присваиваться 3 категории значимости – самая высокая первая, самая низкая – третья. При этом возможно неприсвоение никакие категории вовсе (пункт 6 Правил категорирования).
Некоторые специалисты по информационной безопасности считают необходимым предварительно согласовать с ФСТЭК перечень объектов КИИ и сроки проведения категорирования 3. В тоже время Правила категорирования и Закон о КИИ не содержат такой обязанности.
Минздрав РФ утвердил соответствующие методические рекомендации, согласованные с ФСТЭК, по категорированию объектов КИИ 4.
Сопровождение объекта КИИ
После завершения процедуры категорирования и отправки результатов в ФСТЭК необходимо сопровождать ИС.
Нормативные правовые акты 5 содержат обязанности Субъекта КИИ в случае присвоения ИС категории значимости. Если категория значимости присвоена не была, то сопровождать ИС не нужно.
К обязанностям Субъекта КИИ относятся в частности:
1) незамедлительно информировать о компьютерных инцидентах ФСТЭК;
2) оказывать содействие должностных лицам в предотвращении компьютерных инцидентов;
3) соблюдать требования по обеспечению безопасности объектов КИИ;
4) Не реже чем раз в 5 лет пересматривать присвоенные критерии значимости;
5) И иные.
Ответственность
С 6 июня 2021 года введена ответственность за несоблюдение Закона о КИИ. Ответственность предусмотрена статьями 13.12.1 и 19.7.15 КоАП РФ. Размер ответственности по указанным статьям для должностных лиц (ответственных работников медорганизации) от 10 до 50 тысяч, для юридических лиц от 50 до 500 тысяч.
При этом важно ответить, что на момент подготовки настоящей статьи в открытом доступе нет какой-либо судебной практики по привлечению к ответственности за нарушения Закона о КИИ.
Выводы:
(1) Медицинские организации обязаны соблюдать Закон о КИИ, если используют в работе какие-либо информационные системы.
(2) На момент выхода статьи не известны случаи привлечения к ответственности за несоблюдение Закона о КИИ.
Дополнительно подборка нормативных правовых актов по теме:
Основной закон 6
Категорирование (основной подзаконный акт) 7
Правила контроля 8
Реестр ФСТЭК 9 10
Сопровождение значимого объекта КИИ (только в случае присвоения категории) 11
ПРИМЕЧАНИЕ
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
- Бегишев И.Р. Безопасность критической информационной инфраструктуры Российской Федерации // Безопасность бизнеса. 2019. N 1. С. 27 – 32.
- “Национальный проект “Здравоохранение”. Федеральный проект “Создание единого цифрового контура в здравоохранении на основе единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ)”. Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Версия 1.0)” (утв. Минздрав России 05.04.2021). Ссылка: https://minzdrav.gov.ru/documents/9646-metodicheskie-rekomendatsii-po-kategorirovaniyu-ob-ektov-kriticheskoy-informatsionnoy-infrastruktury-sfery-zdravoohraneniya.
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»
- Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
- Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
