Анализ (Обзор) успешного опыта защиты критической информационной инфраструктуры

Глава 1. Понятие, сущность и нормативное регулирование критической информационной инфраструктуры

1 января 2018 года вступил в силу Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Проект этого закона начал обсуждаться еще в 2006 году. Именно в том году 2 февраля в результате компьютерной атаки была приостановлена работа Срочного рынка ФОРТС, Классического и Биржевого рынков. В том же году 22 сентября в Совет Государственной Думы был внесен законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры». Там он обсуждался в течение 2 лет, но в 2008 году был отозван, так как депутаты посчитали его крайне затратным. К рассмотрению проблемы безопасности критической информационной инфраструктуры вернулись лишь в 2013 году, когда игнорировать эту проблему стало невозможно. Именно в тот год на общественное обсуждение был вынесен законопроект «О безопасности критической информационной инфраструктуры РФ». В том же году президент подписал указ №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ», возложив обязанности по созданию этой системы на Федеральную Службу Безопасности. Затем, 31 декабря 2015 года президент подписал указ №683 «О Стратегии национальной безопасности РФ», в котором говорилось, в том числе и о проблеме информационной безопасности КИИ. И только после принятия всех перечисленных законодательных актов, президент подписал №187-ФЗ.

1.1.  Характеристика объектов критической информационной инфраструктуры

        Данный Закон необходим для того чтобы отрегулировать взаимоотношения в области информационной безопасности объектов информационной инфраструктуры, которые крайне важны для экономики государства. В законе данные объекты называются объектами критической информационной инфраструктуры (КИИ). В отчете лаборатории Касперского отмечается, что ранее в сфере ИБ существовало схожее понятие – ключевые системы информационной инфраструктуры (КСИИ), но с 1 января 2018 года его заменили на КИИ. Закон показывает, какие информационные системы, сети, и автоматизированные системы управления относятся к объектам КИИ. Согласно данному федеральному закону к объектам критической информационной инфраструктуры относятся ИС, сети, и АСУ, функционирующие в определенных сферах. Таким образом, государство выделило наиболее значимые для своей жизнедеятельности области, отсеяв не слишком критичные. Точно такой же вывод сделал Коротков А.В. в своей работе «Безопасность критических информационных инфраструктур в международном гуманитарном праве». В ней он отметил, что Критическая информационная инфраструктура имеет ключевое значение для национальной безопасности, именно поэтому защитой объектов КИИ должно обеспокоиться государство. Но, несмотря на всю значимость КИИ, в мире все еще нет единого определения для объектов критической информационной инфраструктуры. Так, например, в США определение КИИ дано в «Акте Патриота», а в РФ в Федеральном законе «О безопасности критической информационной инфраструктуры Российской Федерации». Также свое определение в 2009 году предложила и Шанхайская организация сотрудничества.

        Тему неопределенности термина критическая информационная инфраструктура затрагиваю и в других работах. Так в статье «Теоретические основы исследования информационных войн и информационной безопасности государства», Нежельский А.А. говорит о причине перехода систем в информационное пространство и спорах вокруг термина КИИ. Так он отдельно стоит, выделяет, что все больше критических инфраструктур переходят в разряд информационных по причине эффективности и удобства управления. Это также породило множество споров о самом термине критической информационной инфраструктуры (КИИ). Свой вариант предложил даже институт проблем информационной безопасности МГУ. Определив критически важную информационную инфраструктуру как совокупность информационных, сетевых и программно-аппаратных компонентов необходимых для поддержания функций крайне важных для жизнедеятельности страны. Однако Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации» внес окончательное определение критической информационной инфраструктуры. В целом повторив предложение института проблем информационной безопасности МГУ, но более подробно расписав сетевые и информационные компоненты.