Вопросы безопасности критической информационной инфраструктуры
Добавлено 28 апреля 2017
В том виде, в котором существует проект, который регулирует безопасность критической информационной инфраструктуры, он не устраивает банкиров.
В соответствии с предложенным законом, финансовые организации всех форматов могут войти в число критической информационной инфраструктуры, а значит, попадают под действие государственной тайны. А это уже накладывает определенные обязательства на весь рынок финансовых услуг.
Данный проект был принят в первом чтении 27 января. И сейчас ряд банков из топ-10 готовят предложения к этому проекту и к ряду другим, сопутствующим.
В том виде, в котором есть проект сейчас, он внушает опасения банкирам. Так, например, в проекте не указаны критерии, по которым организации будут относить к критической информационной инфраструктуре. Планируется, что все это появится позже, через год после принятия основного закона. В результате оказывается, что проект для участников финансового рынка будет схож с «котом в мешке», когда многое остается неизвестным.
Еще несколько лет назад уже обсуждался критерий, согласно которому будет браться в расчет сумма ущерба, который может быть, если на организацию будет направлена информационная атака. Тогда обсуждалась сумма в районе 1 млн рублей. Если данный критерий будет прописан в основном проекте, то тогда он обретет конкретику и станет более понятен тем, кто не собирается закрывать предприятие.
Но будут у такой идеи и свои минусы. Например, могут возникнуть сложности, если придется поменять критерий. Так как менять его на уровне постановления правительства намного проще, чем на уровне федерального закона.
Не остался незамеченным и пункт привязки к государственной тайне, который очень смущает бизнесменов. Согласно сопутствующему законопроекту документу, организации, которые имеют критическую инфраструктуру, должны создавать особые отделы, отвечающие за режим секретности, или отдавать такую деятельность на аутсорсинг другим организациям. А к числу таких организация относятся лишь те, кто имеет лицензию на работу с гостайной. Для того чтобы получить лицензию такого рода, компания должна провести сертификацию рабочих мест, а в руководстве компании, которая будет заниматься подобным, должно быть как минимум 2 человека, имеющих доступ к подобной информации. Все это ведет к более тесной работе с ФСБ и к увеличению числа отчетов и проверок.
А между тем, и без того вложения компаний для обеспечения информационной безопасности велики. Так, уже потрачено более 12 млн долларов в качестве разовой инвестиции, но к этому еще добавляется 1,5 млн долларов в год на поддержание лицензий программного обеспечения и оплаты труда персонала.
Если же компания нарушит требования к безопасности, то наказание предусматривается в виде уголовной ответственности — лишения свободы на срок 10 лет. Причем получить срок можно не только в случае, если ущерб был принесен, но даже если была лишь угроза его нанесения.
Комментариев пока нет
Комментарии