Законопроект предполагает не только создание системы обнаружения, но также выявление источников атак, ликвидацию последствий и наказание в виде лишения свободы.
В частности, по инициативе ФСБ России будет создан Национальный координационный центр по компьютерным инцидентам. В его компетенции будет контроль над установкой специальных технических средств в сетях электросвязи и на критически важных объектах информационной инфраструктуры Российской Федерации. Эти средства будут предназначены для выявления атак и ликвидации их последствий.
Законопроектом предусмотрена градация объектов критически важной информационной инфраструктуры по трем категориям опасности. В зависимости от этого будут варьироваться и требования по обеспечению безопасности, и уровень внимания, которое ФСБ России окажет их информационной безопасности.
Новый документ может способствовать внесению изменений в статью 272 УК РФ «Неправомерный доступ к компьютерной информации». ФСБ предложила внести новую (пятую) часть, которая предусмотрит ответственность за преступления, если они влекут «ущерб безопасности критической информационной инфраструктуры РФ» или создают «угрозу его наступления». Наказание — лишение свободы на срок до десяти лет. При этом другие части 272 статьи сейчас предусматривают более мягкие наказания.
Аналогично ужесточат наказание и по статье 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»: с 5 до 7 лет лишения свободы.
Эксперт проекта «Контур-Безопасность», обладатель статуса CISSP Игорь Луканин:
«Потребность в регулировании обеспечения информационной безопасности объектов критической информационной инфраструктуры Российской Федерации на уровне федерального законодательства ощущается уже в течение нескольких лет. Следует положительно оценить инициативу ФСБ России по ликвидации этого пробела в законодательстве.
Зоны ответственности регуляторов разделены в полном соответствии с ожиданиями: ФСБ будет отвечать за КСИИ высокой категории опасности, а ФСТЭК России — за КСИИ средней и низкой категорий опасности.
Однако правил отнесения КСИИ к той или иной категории нет. И в этом заключается одна из основных проблем. Законопроектом устанавливается ряд критериев, но как применять их для оценки конкретного объекта не говорится».
Что же касается ужесточения наказаний, то, как и во многих других случаях, действенной мерой является обеспечение неотвратимости наказание, считает эксперт. В рамках уже существующего правового поля (и действующей редакции УК РФ) имеются возможности для эффективного наказания преступников, угрожающих безопасности объектов критической информационной инфраструктуры РФ.
«Поправки к статьям 272 и 274 — исключительно вопрос гармонизации законодательства. Основное внимание следует уделить правоприменительной практике по новым составам преступлений», - рассказал Игорь Луканин.
С 11 июля 2015 года вступил в силу закон от 29 июня 2015 № 193-ФЗ «О внесении изменений в статью 183 УК РФ», в соответствии с которым скорректирована в сторону увеличения ответственность за незаконные получение и разглашение коммерческой, налоговой или банковской тайны.
Если организация использует корпоративную почту для пересылки конфиденциальной информации и никак не защищает доступ к ней, то, как показывает практика, рано или поздно этим воспользуется злоумышленник.