Закон "О безопасности критической информационной инфраструктуры" (КИИ), вступивший в силу в январе 2018 года, пока не заработал, признали российские власти. Как сообщает РБК, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков заявил на "Инфофоруме" в Москве, что сведения о своих "критических" объектах ведомству представили только около 40 операторов притом, что всего их в России около 10 тысяч.

Лютиков отметил, что при реализации положений закона "есть сложности методологического характера". По его словам, операторы преднамеренно занижают значимость своих объектов и потенциальных последствий компьютерных атак на них.

Напомним, закон, подписанный президентом Владимиром Путиным в июле 2017 года, определяет понятие критической информационной инфраструктуры и ее объектов - ими являются российские государственные учреждения и юрлица, которым принадлежат информационные системы, сети в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии и т.п. Все объекты разделяются на три категории на основе социальной, политической, экономической и экологической значимости их обороны и вносятся в соответствующий реестр.

В документе не указаны конкретные сроки, в которые операторы должны ранжировать свои объекты, но, по планам ФСТЭК, процесс присвоения категорий должен завершиться в 2019 году.

В "МегаФоне" и "ВымпелКоме" РБК сообщили, что составили и передали ФСТЭК перечни объектов критической информационной инфраструктуры. Представитель "МегаФона" Дмитрий Лукьянчиков уточнил, что теперь у оператора есть год на то, чтобы ранжировать объекты по значимости.

Представитель МТС Алексей Меркутов в свою очередь рассказал, что компания занимается определением критических процессов и объектов, при этом владельцы КИИ ждут изменений в постановление правительства, где описан порядок и правила категорирования, а Андрей Поляков из "Ростелекома" отметил, что оператор проведет весь необходимый перечень работ в установленные сроки.

Источник агентства пояснил, что телеком-операторам сложно выполнить требования о категорировании, так как речь идет "о колоссальном объеме инфраструктуры, которая более масштабна и распределена, чем даже у энергетических компаний".

Между тем, по словам генерального директора юридической компании "ОрдерКом" Дмитрия Галушко, специального наказания за невыполнение закона "О безопасности КИИ" не предусмотрено, а за невыполнение предписания ФСТЭК или ФСБ, согласно кодексу об административных правонарушениях, максимум возможен штраф в 10-20 тысяч рублей.

К федеральному закону "О безопасности критической информационной инфраструктуры" должны быть приняты еще несколько подзаконных нормативных актов. Так, в ноябре 2018 года Минкомсвязь разработала новый порядок установки оборудования для защиты критической информационной инфраструктуры Рунета от хакерских атак. В нем описан порядок установки на сетях связи оборудования для обнаружения хакерских атак, которое в дальнейшем должно стать частью государственной системы защиты КИИ. Документ до сих пор находится на стадии обсуждения.

Отметим, что меры по обеспечению безопасности критической информационной инфраструктуры страны, а также сведения о состоянии защищенности такой инфраструктуры от компьютерных атак с весны прошлого года относятся к государственной тайне.