12 июля 2017 года Комитет Государственной Думы РФ принял законопроект ФЗ-47571-7 «О безопасности критической информационной инфраструктуры РФ» (КИИ), подготовленный в рамках Доктрины информационной безопасности, ранее утвержденной Президентом России. Закон вступит в силу 1 января 2018 года и обяжет объекты КИИ информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации и обеспечивать возможность восстановления объектов за счет создания резервных копий информации.
Появление новой Доктрины информационной безопасности России было обусловлено тем, что предыдущая версия, утвержденная в 2000 году, утратила силу. За последние 17 лет в стране произошли существенные изменения в части технологического развития в мире в целом и на различных предприятиях в частности. Вместе с тем возросло и число потенциальных угроз. Утверждение подобного документа стало важнейшим этапом для всей отрасли ИБ: теперь государство рассматривает информационную безопасность как составляющую национальной безопасности. Кроме того, в Доктрине существенно расширен круг сфер, в которых должна обеспечиваться информационная безопасность: здравоохранение, транспорт, связь, энергетика и промышленность. Также особенный акцент сделан на обеспечение информационной безопасности в кредитно-финансовой сфере.
Законопроект «О безопасности КИИ», подготовленный в рамках Доктрины, в первую очередь направлен на регулирование отношений в области обеспечения безопасности критической информационной инфраструктуры РФ в целях ее устойчивого функционирования при проведении компьютерных атак. Он вводит четкое разделение обязанностей по обеспечению безопасности на объектах ТЭК, а также устанавливает полномочия государственных органов в этом вопросе. В проекте оговариваются процедуры государственного контроля КИИ и порядок подготовки и контроля единой сети электросвязи, обеспечивающей функционирование сетей и групп КИИ. Зафиксирована возможность дифференцированных наказаний за нарушение закона – от административной до уголовной ответственности.
Законопроект ФЗ-47571-7 утвержден в третьем чтении. Первое — состоялось в январе 2017 года. С его помощью были усилены акценты, связанные с безопасностью критической информационной инфраструктуры и необходимостью обеспечения непрерывности ее функционирования. К объектам подобной инфраструктуры отнесены информация, информационные системы, телекоммуникационные сети и автоматизированные системы управления технологическими процессами.
Во втором чтении к законопроекту поступило 26 поправок, 17 из которых были рекомендованы Комитетом к принятию. Перечень отраслей объектов критической информационной сферы был дополнен организациями в сфере науки. В новой версии законопроекта уточняется статус национального координационного центра по компьютерным инцидентам, который будет осуществлять координацию деятельности субъектов критической информационной инфраструктуры. При третьем чтении были также рассмотрены два «законопроекта-спутника», (№/№ 47579-7 и 47591-7), вносящие изменения в УК РФ и отдельные законодательные акты по части обеспечения безопасности КИИ.
«Каждому значимому объекту критической инфраструктуры предстоит пройти категоризацию, исходя из оценки возможного ущерба здоровью людей, политической, экономической и экономической значимости для государства, степени влияния на безопасность и обороноспособность государства, — прокомментировал Евгений Климов, технический директор ЗАО НИП "Информзащита". Информация о присвоенной категории и рисках войдет в государственный реестр. Субъекты критической инфраструктуры будут обязаны выполнять установленные требования по защите информации и предупреждению компьютерных атак. Для нас это означает, что существенно возрастет спрос на качественные услуги по выявлению и предотвращению кибератак, построению комплексных систем защиты объектов критической инфраструктуры, а также увеличится роль государства в части контроля установленных требований. Мы прогнозируем, что инициатива государства по координации субъектов критической инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий кибератак положительным образом отразится на общем уровне защищенности Российской Федерации, привлечет дополнительное внимание руководства современных организаций к проблематике обеспечения информационной безопасности и простимулирует развитие отечественного рынка продуктов и услуг в области безопасности».