Федеральный закон от 7 апреля 2025 года №58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации»» вступил в силу 1 сентября 2025 года.
В пояснительной записке к законопроекту отмечается, что его целью «является обеспечение технологической независимости субъектов критической информационной инфраструктуры Российской Федерации посредством перехода на преимущественное использование российских программ для электронных вычислительных машин и баз данных и радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов, на объектах критической информационной инфраструктуры Российской Федерации, а также совершенствование механизма категорирования объектов критической информационной инфраструктуры Российской Федерации».
Статья 6. закона «Полномочия Президента Российской Федерации и органов государственной власти Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры» добавила полномочия Правительству РФ, которое теперь должно будет устанавливать:
- Перечни типовых отраслевых объектов критической информационной инфраструктуры (ОКИИ);
- Отраслевые особенности категорирования ОКИИ (по согласованию со ФСТЭК России, в банковской сфере и иных сферах финансового рынка - также по согласованию с Центральным банком РФ), определяющие порядок установления соответствия ОКИИ критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости и включающие в себя отраслевые признаки значимости ОКИИ, соответствующие критериям значимости и показателям их значений, а также порядок расчета значений показателей критериев значимости с учетом особенностей функционирования ОКИИ;
- Требования к используемым на значимых ОКИИ программно-аппаратным средствам (в банковской сфере и иных сферах финансового рынка - по согласованию с Центральным банком РФ);
- Порядок и сроки перехода субъектов критической информационной инфраструктуры на использование на значимых ОКИИ программ для электронных вычислительных машин и баз данных (программное обеспечение) и программно-аппаратных средств, соответствующих установленным требованиям;
- Порядок осуществления мониторинга за исполнением субъектами критической информационной инфраструктуры обязанности по использованию на значимых ОКИИ программного обеспечения и программно-аппаратных средств, соответствующих установленным требованиям.
Мой комментарий: Перечисленные выше нормативно-правовые акты пока Правительством РФ не утверждены.
Статья 7 «Категорирование объектов критической информационной инфраструктуры» дополнена двумя новыми частями:
- 13. В перечни типовых отраслевых ОКИИ включаются только типы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, обладающие признаком значимости.
- 14. Перечни типовых отраслевых ОКИИ подлежат пересмотру и дополнению на основании предложений ФСТЭК и ФСБ.
Статья 9 «Права и обязанности субъектов критической информационной инфраструктуры, а также иных органов и организаций в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» дополнена новыми положениями. Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры теперь также обязаны (часть 3):
- Использовать на значимых ОКИИ программное обеспечение:
- Сведения о котором включены в единый реестр российских программ для электронных вычислительных машин и баз данных;
- Которое используется в соответствующих требованиям о защите информации, государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений;
- Соблюдать требования к используемым на значимых ОКИИ программно-аппаратным средствам;
- Осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Обязанности распространяются также на руководителей государственных органов (за исключением органов ФСБ, внешней разведки, государственной охраны, федерального органа обеспечения мобилизационной подготовки органов государственной власти РФ, ФСТЭК России), государственных унитарных предприятий, государственных учреждений, государственных фондов, государственных корпораций (компаний), иных российских юридических лиц, которые, если иное не предусмотрено международным договором РФ, находятся под контролем Российской Федерации, и/или субъекта РФ, и/или контролируемых ими совместно или по отдельности лиц, в части информационных ресурсов РФ, принадлежащих таким органам и юридическим лицам на праве собственности, аренды или ином законном основании. При этом под «контролем» понимается возможность определять решения, принимаемые юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица (часть 4).
Порядок и технические условия установки и эксплуатации в информационных ресурсах средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, устанавливаются ФСБ России (часть 5).
Порядок информирования руководителями ФСБ России о компьютерных атаках и компьютерных инцидентах, связанных с функционированием информационных ресурсов, устанавливается ФСБ (часть 6).
Федеральный закон вступил в силу с 1 сентября 2025 года.
До установления перечней типовых отраслевых ОКИИ, отраслевых особенностей категорирования ОКИИ категорирование осуществляется в соответствии с порядком осуществления категорирования, установленным Правительством РФ (часть 2 ст.2).
Мой комментарий: Требования к защите информационных ресурсов начинает устанавливаться на уровне законодательных актов. Эти требования постоянно уточняются и совершенствуются; усиливается контроль над организацией и осуществлением этой работы в организациях различного уровня.
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=502581
Комментариев нет:
Отправить комментарий