Закон №187-ФЗ был принят 26 июля 2017 года и обязал организации принять меры по обеспечению безопасности объектов критической информационной инфраструктуры (далее — КИИ) от компьютерных атак.
Мы можем выделить три наиболее важных этапа работ для обеспечения защиты систем:
1. составление Перечня объектов, подлежащих категорированию;
2. категорирование объектов КИИ и определение их уровня значимости;
3. создание системы безопасности для значимых объектов КИИ (далее — ЗОКИИ).
Сроки и длительность этапов были обозначены следующими документами:
— проект Постановления Правительства «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
— принятая в итоге обсуждения проекта и действующая на данный момент редакция Постановления Правительства РФ от 08.02.2018 №127;
— решение Коллегии ФСТЭК России от 24.04.2018 № 59;
— проект изменений Постановления Правительства РФ от 08.02.2018 №127, находящийся сейчас в процессе обсуждения.
Диаграммы наглядно показывают разночтения по срокам исполнения в упомянутых нормативно-правовых актах. По итогам прошедшего времени с момента вступления закона в силу можно сделать вывод, что изначально времени, отведенного для надлежащего выполнения работ, было недостаточно. Этот момент должен скорректировать проект поправок.
Что касается сроков создания системы защиты значимых объектов КИИ, то они изначально были расплывчаты и документами точно не определялись. Позиция ФСТЭК России однозначно состояла и состоит в том, что затягивать с этими работами нельзя. Тем не менее проверки могут быть назначены организациям только по истечению 3-х лет с момента принятия закона №187-ФЗ. Пока регуляторы не имеют права применять штрафные санкции в случае обнаружения нарушений требований безопасности объектов КИИ. Эта поблажка перестает действовать в том случае, если в организации произошел инцидент информационной безопасности. Тогда субъекты будут нести полную ответственность за несвоевременное исполнение законодательства.