Главная> Аналитика> Журнал ФБК (архив)>Электронный журнал "Финансовые и бухгалтерские консультации". #3 (103) Март 2018

Электронный журнал "Финансовые и бухгалтерские консультации". #3 (103) Март 2018

Содержание
АКТУАЛЬНЫЙ КОММЕНТАРИЙ
Критическая информационная инфраструктура: новые правила и требования к безопасности
Е.С. Капустина

ОБЗОР НОВЫХ ДОКУМЕНТОВ
Общие вопросы налогообложения / Уплата и возврат налогов и сборов / Налог на прибыль организаций / Специальные налоговые режимы / Налог на добавленную стоимость / Прочие налоги и сборы / Страховые взносы / Налоговый контроль / Ответственность / Отчетность / Интеллектуальная собственность / Недвижимость / Строительство / Хозяйственная деятельность / Банковское законодательство / Трудовое и миграционное законодательство / Антимонопольное законодательство / Валютное законодательство

ДЕЛА СУДЕБНЫЕ
Новости судебной практики в области налогов, сборов, страховых взносов РФ

УЧЕТ И НАЛОГООБЛОЖЕНИЕ
Что учитывать за балансом
В.И. Неверова

КОРПОРАТИВНЫЙ ЮРИСТ
Перевод работников в обособленное подразделение: что учесть при оформлении
С.М. Родионова

СЛОЖНЫЙ СЛУЧАЙ. ОТВЕТЫ НА ВОПРОСЫ
Нюансы регистрации обособленного подразделения
Подарки работникам и НДФЛ
Ю.М. Лермонтов

НОВОСТИ КОМПАНИИ «ФБК»
Исследования ФБК / Конференции / Новые проекты ФБК

Статья номера

Е.С. Капустина,
старший юрисконсульт компании «ФБК Право» 

Критическая информационная инфраструктура: новые правила и требования к безопасности 

Новый институт правового регулирования информационной безопасности, направленный на защиту критической информационной инфраструктуры (КИИ), только в начале своего развития: приняты и вступают в силу первые нормативные акты. Полагаем, после завершения формирования блока необходимых нормативно-правовых актов контролирующий орган приступит к активной реализации своих полномочий. 

Закон о КИИ[1] вступил в силу 1 января 2018 г. Перечень субъектов КИИ сформулирован в Законе общо и не позволяет составить закрытый перечень обязанных лиц. Первым критерием признания лица субъектом КИИ названо наличие у него информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления или обеспечение им поддержки таких систем. Второй критерий отнесения к субъектам КИИ — деятельность в определенной отрасли экономики[2].

Для уточнения общих правил, закрепленных в Законе о КИИ, уполномоченные органы последовательно принимают нормативно-правовые акты.

Порядок ведения реестра значимых объектов КИИ[3] вступил в силу 20 февраля 2018 г. В документе фактически продублированы положения Закона о КИИ и закреплены технические вопросы ведения реестра. Примечательно, что срок внесения сведений в реестр — 30 дней с момента получения ФСТЭК России сведений.

Правилами категорирования объектов КИИ[4], которые начали действовать 21 февраля 2018 г., для субъектов КИИ установлен ряд обязанностей. Так, руководитель субъекта КИИ должен создать комиссию, которая подготовит перечень объектов КИИ и присвоит объектам категории. Эти категории зависят от тех негативных социальных, экономических или иных последствий, к которым может привести нарушение процессов, осуществляемых субъектами КИИ. Перечень объектов КИИ должен быть согласован с уполномоченным органом. После категорирования объектов КИИ сведения об этом направляются в ФСТЭК России.

Правила госконтроля обеспечения безопасности значимых объектов КИИ[5] вступили в силу 1 марта 2018 г. Плановые проверки по этим Правилам будут проводиться не ранее чем через три года с даты внесения сведений об объекте КИИ в реестр значимых объектов. До указанного срока возможны внеплановые проверки, о которых субъект будет уведомлен не менее чем за 24 часа до их начала. Внеплановую проверку можно ожидать и без предупреждения, если возникнет компьютерный инцидент[6] на значимом объекте КИИ.

Требования к созданию систем безопасности значимых объектов КИИ[7] стали применяться с 5 марта 2018 г. В соответствии с документом руководитель субъекта КИИ должен назначить лицо, обеспечивающее безопасность объектов КИИ (или лично обеспечивать безопасность), создать структурное подразделение по безопасности, обеспечить разработку правил безопасности и выполнение пользователями разработанных правил. Определены требования к программному обеспечению и программно-аппаратному комплексу. Установлен целый комплекс требований к организационно-распорядительным документам по безопасности, которые должны быть разработаны и утверждены субъектом КИИ.

Таким образом, с каждым днем появляется все больше нормативно-правовых актов, которыми регулируется информационная безопасность субъектов КИИ. Рекомендуем оперативно реагировать на новые требования к безопасности и уже сейчас приступить к исполнению возлагаемых на бизнес обязанностей.


[1] Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

[2] К таким сферам отнесены здравоохранение, наука, транспорт, связь, энергетика, банки и различные сферы финансового рынка, ТЭК, деятельность в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

[3] Приказ ФСТЭК России от 6 декабря 2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».

[4] Постановление Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

[5] Постановление Правительства РФ от 17 февраля 2018 г. № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

[6] В Законе о КИИ под компьютерным инцидентом понимается факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

[7] Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Подписка