Өнөөдрийг хүртэл CII субъектууд чухал ач холбогдолтой объектуудын жагсаалтыг бэлэн болгож, ОХУ-ын FSTEC-д шилжүүлсэн байх ёстой. Зарим компаниуд үүнийг бие даан хийх боломжтой, бусад нь зөвлөх компаниуд болон системийн интеграторуудын үйлчилгээг ашиглаж болно. Хамгаалалтын системийг "ОХУ-ын ТУХН-ийн аюулгүй байдлын тухай" 2017 оны 7-р сарын 26-ны өдрийн 187 дугаар Холбооны хуульд нийцүүлэхийн тулд мэдээллийн технологийн дэд бүтцийн судалгааг хийж, зохион байгуулалт, техникийн арга хэмжээг төлөвлөх шаардлагатай байна. Гэхдээ ердийнх шиг нюансууд байдаг.

Оршил

Жилийн өмнө чухал объектуудын аюулгүй байдлын тухай ярихад хамгаалалт санаанд орж ирсэн. аж үйлдвэрийн байгууламжууд, тухайлбал усан цахилгаан станц, ОХУ-ын FSTEC-ийн 31-р тушаал. Нөхцөл байдал өөрчлөгдсөн - төрийн дээд түвшинд, жишээлбэл, кибер халдлага нь томоохон банкны ажлыг долоо хоногоор зогсоовол хүмүүст бага зэргийн хохирол учруулах болно гэж шийдсэн. 2018 оны 1-р сарын 1-нээс эхлэн хүчин төгөлдөр болно холбооны хууль 2017 оны 7-р сарын 26-ны өдрийн 187 тоот "RF-ийн KII аюулгүй байдлын тухай"чухал мэдээллийн дэд бүтцийн тухай ойлголтыг нэвтрүүлэх. Өнөөдөр түүний үйл ажиллагаанд хэн хамрагдаж, шинэ шаардлагын дагуу аюулгүй байдлыг хангахын тулд ямар арга хэмжээ авах шаардлагатай байгааг бид нийтлэлд хэлэх болно.

187-ФЗ: CII-ийн субьект, объектууд юу вэ

"ОХУ-ын CII-ийн аюулгүй байдлын тухай" хуульд заасны дагуу CII субъектууд нь мэдээллийн систем (IS), мэдээлэл, мэдээллийн системийг хууль ёсны дагуу (жишээлбэл, өмчлөх эсвэл түрээслэх замаар) эзэмшдэг төрийн байгууллага, байгууллага, арилжааны компаниуд эсвэл хувиараа бизнес эрхлэгчид юм. Харилцаа холбооны сүлжээ (ITKS) болон автоматжуулсан удирдлагын систем (ACS) нь үйл ажиллагааны тодорхой хэсэгт ашиглагддаг. Хуульд эдгээр IS, ITKS болон ACS объектуудыг CII-ийн объект гэж нэрлэдэг бөгөөд тэдгээрийн нийлбэр нь мэдээллийн чухал дэд бүтцийг бүрдүүлдэг. Оросын Холбооны Улс. Түүний аюулгүй байдал нь компьютерийн халдлагын үед тогтвортой ажиллагааг хангах аюулгүй байдлын төлөв гэж ойлгогдож, хуулийн хэрэгжилтийг хянах чиг үүргийг ОХУ-ын Ерөнхийлөгчийн 11-р сарын 25-ны өдрийн 569-р зарлигаар ОХУ-ын FSTEC-д өгсөн. 2017 "ОХУ-ын Ерөнхийлөгчийн 2004 оны 8-р сарын 16-ны өдрийн 1085 тоот зарлигаар батлагдсан Техникийн болон экспортын хяналтын холбооны албаны журамд нэмэлт, өөрчлөлт оруулах тухай" » .

CII-ийн аюулгүй байдлын талаархи 187-FZ-ийн шаардлагад хэн нөлөөлж байна

CII аюулгүй байдлын тухай хууль тогтоомжийн шаардлага нь цөмийн, пуужин, сансар огторгуй, уул уурхай, металлурги, химийн болон батлан ​​​​хамгаалах үйлдвэр, эрүүл мэнд, шинжлэх ухаан, эрчим хүч, тээвэр, харилцаа холбооны салбарт ажилладаг субъектуудыг хамардаг. CII субъектууд нь түлш, эрчим хүчний цогцолборын аж ахуйн нэгжүүд, банк санхүүгийн салбарын байгууллагууд юм.

CII объектын хамгаалалтад анхаарал тавих шаардлагатай эсэхийг ойлгохын тулд та OKVED код, хууль тогтоомжийн баримт бичиг, холбогдох үйл ажиллагаанд олгосон лицензийг шалгах хэрэгтэй. Хэрэв албан ёсны үндэслэлээр байгууллага нь Холбооны хууль-187-д заасан салбаруудад хамааралгүй бол та тайвширч болохгүй - зохицуулалттай салбаруудад үйл ажиллагаа явуулж буй бизнесийн үйл явц, мэдээллийн системд (IS, ITCS, ACS) дүн шинжилгээ хийх шаардлагатай.

CII объектуудын жагсаалтыг хэрхэн гаргах вэ

Юуны өмнө субъектууд CII объектуудын жагсаалтыг гаргаж, тэдгээрийг ангилах хэрэгтэй. Үүний тулд тусгай комисс байгуулагдаж, тушаалаар батлагдсан - энэ нь комиссын бүрэлдэхүүн, үйл ажиллагааны төлөвлөгөөг эцсийн хугацаатай, түүнчлэн ОХУ-ын FSTEC-тэй харилцах үүрэгтэй хүнийг зааж өгөх ёстой (объектуудын жагсаалтыг тэнд илгээсэн болно). . CII субъектийн гүйцэтгэсэн удирдлага, үйлдвэрлэл, санхүүгийн үйл явцыг тодорхойлж, тэдгээрийн дотор зөрчигдсөн эсвэл дуусгавар болох нь томоохон хэмжээний сөрөг үр дагаварт хүргэж болзошгүй чухал үйл явцыг тодорхойлох шаардлагатай. Дараа нь та чухал үйл явцтай холбоотой CII объектуудыг тодорхойлж, ангилах жагсаалтыг гаргаж, батлагдсан өдрөөс хойш 5 хоногийн дотор FSTEC-д өгөх шаардлагатай. дагуу ОХУ-ын FSTEC-ийн зөвлөлийн 2018 оны 4-р сарын 24-ний өдрийн 59-р шийдвэр.Үүнийг 2018 оны 8-р сарын 1-нээс өмнө хийх ёстой.

CII объектын ач холбогдлын категорийг хэрхэн тодорхойлох вэ

Ач холбогдолын шалгуурыг ОХУ-ын Засгийн газрын 2018 оны 2-р сарын 8-ны өдрийн 127 тоот "ОХУ-ын CII-ийн объектуудыг ангилах журам, түүнчлэн ач холбогдлын шалгуур үзүүлэлтүүдийн жагсаалтыг батлах тухай" тогтоолоор авч үзсэн болно. ОХУ-ын CII-ийн объектууд ба тэдгээрийн үнэ цэнэ". Нийгэм, улс төр, эдийн засаг, байгаль орчин, түүнчлэн батлан ​​хамгаалах чадвар, төрийн аюулгүй байдал, хууль, хэв журмыг хангах гэсэн таван шалгуур байдаг. Шалгуур тус бүрд дөрвөн ангиллыг ялгадаг: эхний (хамгийн өндөр), хоёр дахь, гурав дахь, хамгийн бага - ач холбогдолгүй. Хэрэв ач холбогдлын үзүүлэлтүүд гурав дахь ангиллаас доогуур байвал сүүлчийнх нь хамаарна.

Хамгийн эхний хийх зүйл бол CII байгууламжид компьютерийн осолд хүргэж болзошгүй эмзэг байдалд дүн шинжилгээ хийх, халдагчдын үйлдлийг дууриах явдал юм. Үүний үр дүнд аюул заналхийллийн загвар болон халдагч загвар бий болно. Үүний дараа ач холбогдлын шалгуур үзүүлэлтүүдийг үнэлж, CII объектуудын эдгээр үзүүлэлтүүдийн утгатай тохирч байгааг тогтоож, объект тус бүрт ач холбогдлын ангиллын аль нэгийг оноох шаардлагатай (эсвэл байхгүй гэж шийднэ). ангилал өгөх шаардлагатай).

Засгийн газрын мөнөөх 127 дугаар тогтоолд ач холбогдлын үзүүлэлтүүдийг нарийвчлан тодорхойлсон. Жишээлбэл, нийгмийн шалгуурыг авч үзвэл хүний ​​амь нас, эрүүл мэндэд учирч буй хохирлын тухай ярьж болно. Гурав дахь ангиллыг ослын улмаас нэг буюу хэд хэдэн хүн гэмтэж бэртсэн тохиолдолд, эхнийх нь 500-аас дээш хүнд эрсдэлтэй тохиолдолд хамаарна. Нийгмийн шалгуурын дараагийн үзүүлэлт бол хүн амын амин чухал үйл ажиллагааг хангах байгууламжийн үйл ажиллагааг зөрчих, зогсоох явдал юм. Эдгээр нь усан хангамж, ариутгах татуурга, дулаан хангамж, цэвэрлэгээний системүүд юм Бохир усболон цахилгаан хангамж. Энд зөрчил гарсан газар нутгийг харгалзан ангилдаг. Гурав дахь ангилал - хотын захиргаа, мөн холбооны субьектээс гарах гарц байгаа бол эхнийх нь томилогдсон.

Нийгмийн шалгуурыг тээвэр, харилцаа холбооны сүлжээ, хүртээмж зэрэг хэд хэдэн үзүүлэлтээр үнэлдэг нийтийн үйлчилгээ. Бусад шалгуурын хувьд нөхцөл байдал ижил төстэй байдаг - олон үзүүлэлтүүд байдаг бөгөөд тэдгээр нь тус бүрийн хувьд хохирлын зэрэглэлээр ангиллыг үнэлдэг: хохирогчдын тоо, осолд өртсөн нутаг дэвсгэр, үйлчилгээ байхгүй байх хугацаа. , орлогын бууралт, хортой нөлөөллийн түвшин орчингэх мэт үр дүнд үндэслэн, CII объектуудыг ангилах акт зурсан байна, гарын үсэг зурснаас хойш 10 хоногийн дотор FSTEC илгээсэн байх ёстой (Түүнд эдгээрийн аль нэгийг нь даалгах шаардлага байхгүй тухай ОХУ-ын FSTEC дугаар тушаал. ангилал "). CII объектуудын ангилалыг 2019 оны 1-р сарын 1-ээс өмнө дуусгах ёстой.

CII объектуудыг үнэлэхдээ тэдгээрийг задлах нь ашигтай байдаг: хэрвээ танд олон чухал систем, өөр өөр ач холбогдлын шалгуур бүхий нэг том объект байгаа бол түүнд бүх боломжит ач холбогдлын ангиллын дээд хэмжээг тогтоох болно. Хэрэв ийм объектыг хэд хэдэн жижиг зүйлд хувааж болох юм бол тэдгээр нь засгийн газрын тогтоолоор тогтоосон шалгуур, үзүүлэлтийн дагуу өөр өөр (доод зэрэг) ач холбогдолтой байж болно. Энэ арга нь ашигтай, учир нь ач холбогдол багатай объектуудын хувьд хамгаалалтын арга хэмжээ нь илүү хялбар бөгөөд хямд байх болно.

CII объектыг хэрхэн хамгаалах вэ

CII-ийн чухал объектуудын аюулгүй байдлыг хангах зохион байгуулалт, техникийн арга хэмжээний жагсаалтыг ОХУ-ын FSTEC-ийн 2017 оны 12-р сарын 25-ны өдрийн 239 тоот "Оросын CII-ийн чухал байгууламжийн аюулгүй байдлыг хангахад тавигдах шаардлагыг батлах тухай" тушаалаар тусгасан болно. Холбоо". Шаардлагууд нь маш ноцтой бөгөөд чухал ач холбогдолтой CII объектуудын хамгаалалт нь тэдгээрт нийцсэн байх ёстой, гэхдээ ач холбогдолгүй объектуудын хувьд ийм арга хэмжээ авах шаардлагагүй.

CII-ийн чухал байгууламжийг хамгаалах зохион байгуулалт, техникийн арга хэмжээний жагсаалт:

• Таних, баталгаажуулах (IAF);
• Хандалтын хяналт (UPD);
• Байгаль орчны хөтөлбөрийн хязгаарлалт (OPS);
• Машин хадгалах хэрэгслийг хамгаалах (ZNI);
• Аюулгүй байдлын аудит (SAU);
• Вирусны эсрэг хамгаалалт (AVZ);
• Халдлагаас урьдчилан сэргийлэх (компьютерийн халдлага) (ISV);
• Бүрэн бүтэн байдлыг хангах (OCL);
• Хүртээмжтэй байдлыг хангах (CTA);
• Техникийн хэрэгсэл, системийг хамгаалах (ZTS);
• Мэдээллийн (автоматжуулсан) систем ба түүний бүрэлдэхүүн хэсгүүдийг хамгаалах (VIS);
• Компьютерийн ослын хариу арга хэмжээ (INC);
• Тохиргооны удирдлага (UCF);
• Програм хангамжийн шинэчлэлийн менежмент (SOP);
• Аюулгүй байдлыг хангах арга хэмжээг төлөвлөх (PLN);
• Онцгой байдлын үед авах арга хэмжээг баталгаажуулах (DNS);
• Боловсон хүчнийг мэдээлэх, сургах (IPO).

ОХУ-ын FSTEC-ийн 2017 оны 12-р сарын 21-ний өдрийн 235 тоот "RF-ийн KII-ийн томоохон байгууламжийн хамгаалалтын системийг бий болгох, тэдгээрийн ажиллагааг хангахад тавигдах шаардлагыг батлах тухай" тушаалтай танилцах нь зүйтэй болов уу. Энд, ялангуяа аюулгүй байдлын арга хэмжээг жагсаав.

• Зөвшөөрөлгүй хандалтаас SrZI (системийн өргөн хэрэглээний програм хангамжид суулгагдсаныг оруулаад);
• галт хана;
• халдлагаас (компьютерийн халдлага) илрүүлэх (урьдчилан сэргийлэх) хэрэгсэл;
• вирусын эсрэг хамгаалах хэрэгсэл;
• аюулгүй байдлын хяналтын (шинжилгээний) хэрэгсэл (систем);
• аюулгүй байдлын үйл явдлын менежментийн хэрэгсэл;
• мэдээлэл дамжуулах сувгийг хамгаалах хэрэгсэл.

Эдгээр нь бүгд аюулгүй байдлын шаардлагад нийцэж байгаа эсэхийг баталгаажуулсан байх ёстой эсвэл стандартын дагуу туршилт, хүлээн авах хэлбэрээр тохирлын үнэлгээнд хамрагдах ёстой. Холбооны хууль 2002 оны 12-р сарын 27-ны өдрийн 184-ФЗ "Техникийн зохицуулалтын тухай".

NCCKI (GosSOPKA) руу хэрхэн холбогдох вэ

Бүх CII субъектууд нь CII чухал объектгүй байсан ч гэсэн компьютерийн халдлагын үр дагаврыг илрүүлэх, урьдчилан сэргийлэх, арилгах улсын системд (GosSOPKA) холбогдох ёстой. CII байгууламжид гарсан мэдээллийн аюулгүй байдалтай холбоотой ослын талаархи мэдээллийг Улсын SOPKA-ийн үндсэн төвд заавал шилжүүлэх болно - энд бид зөвхөн чухал объектуудын тухай биш бүх объектын тухай ярьж байгааг онцлон тэмдэглэж байна. Уг үйл явцыг зохицуулдаг хууль тогтоомж, зохицуулалтын орчин бүрэн боловсрогдоогүй байгаа ч тийм ч удалгүй ОХУ-ын Холбооны аюулгүй байдлын албаны 2018 оны 7-р сарын 24-ний өдрийн 366 тоот "Компьютерийн ослын үндэсний зохицуулалтын төвийн тухай" тушаал.шинэ бүтэц бий болсон. NCCCI нь ослын хариу арга хэмжээний үйл ажиллагааг зохицуулах, CII субъектууд болон бусад байгууллагуудын хооронд халдлагын талаар мэдээлэл солилцох, мөн түүнчлэн арга зүйн дэмжлэг. Тус төв нь CII субъектууд болон бусад байгууллагуудаас Улсын SOPKA-д шилжүүлэх мэдээллийг хүлээн авах бөгөөд түүний үүрэг даалгаварт мэдээлэл солилцох формат, Улсын SOPKA-д дамжуулагдсан компьютерийн ослын техникийн үзүүлэлтүүдийг тодорхойлох зэрэг багтана.

Зөрчил гаргасан тохиолдолд ямар хариуцлага тооцох вэ?

Хэрэв танд CII объектуудын жагсаалтыг FSTEC-д илгээх цаг байхгүй байсан бол үүнд хариуцлага хүлээхгүй. Гэхдээ FZ-187 нь 2018 оны эхэн үеэс хэрэгжиж байгаа бөгөөд хэрэв осол гарч, шаардлагатай хамгаалалтын арга хэмжээ аваагүй бол CII субъектийн үр дагавар нь ноцтой байх болно - холбогдох өөрчлөлтийг эрүүгийн хуульд аль хэдийн оруулсан болно. . Урлагийн дагуу. ОХУ-ын Эрүүгийн хуулийн 274.1. Програм хангамж эсвэл бусад хэрэгслийг бий болгох, түгээх, (эсвэл) ашиглах. компьютерийн мэдээлэл CII-д хууль бусаар нөлөөлсөн бол албадан ажил хийлгэх, 5 жил хүртэл хугацаагаар хорих, эсвэл 5 жил хүртэл хорих ял, мөн 1 сая хүртэлх рублийн торгууль ногдуулдаг. CII-ийн мэдээлэлд хууль бусаар нэвтэрсэн тохиолдолд хохирол учруулсан бол 5 жил хүртэл хугацаагаар албадан ажил хийлгэх, 6 жил хүртэл хорих ял, 1 сая хүртэлх рублийн торгууль ногдуулна.

CII-ийн субьектууд ч бас хариуцлагатай байдаг. МЭҮТ-ийн хуулиар хамгаалагдсан мэдээлэл хадгалах, боловсруулах, дамжуулах хэрэгслийг ажиллуулах журам, эсхүл мэдээллийн хүртээмжийн дүрмийг зөрчсөн, хэрэв энэ нь ИНХ-д хохирол учруулсан бол таван жил хүртэл хугацаагаар албадан ажил хийлгэх, хорих ял шийтгэнэ. 6 жил хүртэл, зарим төрлийн үйл ажиллагааг 3 жил хүртэл хугацаагаар хориглох хуулийн этгээдболон хувиараа бизнес эрхлэгчид, эсвэл тодорхой хугацаанд хувь хүмүүст тодорхой албан тушаал хашихыг хориглох.

Энэ нийтлэлд түлхэц өгсөн. Гэмт хэргийг бүлэг этгээд, албан тушаалын байдлаа ашиглан үйлдсэн бол 8 жил хүртэл хугацаагаар хорих, түүнчлэн тодорхой төрлийн үйл ажиллагаа явуулахыг хориглох (хуулийн этгээд, хувиараа бизнес эрхлэгчид), эсхүл тодорхой үйл ажиллагаа эрхлэхийг хориглоно. албан тушаал ( хувь хүмүүс) 3 жил хүртэл хугацаагаар. Ноцтой үр дагавар гарсан тохиолдолд хорих ялын дээд хэмжээг 10 жил хүртэл, үйл ажиллагаа, албан тушаалыг нь 5 жил хүртэл хугацаагаар хориглодог.

дүгнэлт

Тоглоомын дүрэм өөрчлөгдсөн. Хүссэн ч эс хүссэн ч иргэдийн амьдрал, улс орны аюулгүй байдалд чухал ач холбогдолтой мэдээллийн дэд бүтцийг хамгаалах нь эздийн хувийн асуудал байхаа больсон. CII субъектууд объектуудын жагсаалтыг аль хэдийн бэлэн болгосон байх ёстой (мөн ОХУ-ын FSTEC-д шилжүүлсэн). Дадлагаас харахад хүн бүр үүнийг хийж чадаагүй - та яаран ангилж эхлэх хэрэгтэй. Томоохон байгууллагууд бүх үйл ажиллагааг бие даан гүйцэтгэх зохих чадвартай байж болох ч жижиг байгууллагуудын хувьд энэ нь ноцтой асуудал болж хувирах болно - зөвлөх компаниуд болон системийн интеграторууд аврах ажилд ирнэ. Хамгаалалтын системийг Холбооны хууль-187-д нийцүүлэхийн тулд мэдээллийн технологийн дэд бүтцийн судалгааг хийж, зохион байгуулалт, зохион байгуулалтын жагсаалтыг багтаасан ажлын замын зураглалыг бүрдүүлэх шаардлагатай. техникийн арга хэмжээ. Үүнд цаг хугацаа байсаар байгаа ч тийм ч их зүйл үлдээгүй тул яарах нь зүйтэй.

Эдийн засгийн хөгжлийн яам ОХУ-ын КII-ийн байгууламжид гадаадын программ хангамж, тоног төхөөрөмж ашиглахыг хориглох бодолтой байна.

2019 оны 11-р сарын 1-ний өдөр Эдийн засгийн хөгжлийн яам нь "Аюулгүй байдлын тухай (KII)" хуульд нэмэлт, өөрчлөлт оруулахаар бэлтгэж байгаа бөгөөд үүнд KII байгууламжууд дахь гадаадын программ хангамж, тоног төхөөрөмжийг Оросынхоор солих шаардлагатай болсон. Нэмэлт өөрчлөлтүүдийг бэлтгэх тушаалыг Батлан ​​хамгаалахын салбар хариуцсан Шадар сайд Юрий Борисов хэдхэн сарын өмнө өгсөн юм. Энэ тухай РБК Эдийн засгийн дэд сайд Азер Талибовын захидалд иш татан мэдээлэв.

Талибов одоогийн байдлаар Оросын хууль тогтоомжууд засгийн газраас зөвхөн дотоодын программ хангамж, тоног төхөөрөмжийг KII байгууламжид ашиглахыг шаардахыг зөвшөөрдөггүй гэж бичжээ. Үүнийг боломжтой болгохын тулд энэ хэм хэмжээг "CII-ийн аюулгүй байдлын тухай" хуульд заасан байх ёстой. Одоо байгаа CII байгууламжуудад гадаадын бүтээгдэхүүнийг дотоодын бүтээгдэхүүнээр солих хуваарийг тусад нь гаргана.

Дээрээс нь хуулиар хориглох ёстой гадаадын компаниуд KII-ийн сүлжээ, мэдээллийн системтэй харилцах. Өөрөөр хэлбэл, үүнийг хийдэг хуулийн этгээдийн эцсийн ашиг хүртэгчид байх ёстой Оросын иргэд, байхгүй давхар иргэншил. Үүнтэй ижил дүрэм нь CII-тэй ажилладаг хувиараа бизнес эрхлэгчдэд хамаарна. Үүний үр дүнд гадаад улсууд болон тэдний иргэдийн CII-ийн засвар үйлчилгээ, хөгжилд хүрэх боломж хамгийн бага байх болно гэж Талибов үзэж байна.

Талыбовын захидлыг хүлээн авагчид бол Борисов тэргүүтэй ОХУ-ын Цэрэг-аж үйлдвэрийн комиссын зөвлөл юм. холбооны үйлчилгээТехникийн болон экспортын хяналт (FSTEC) болон Харилцаа холбооны яаманд. ССАЖЯ, ҮХААЯ нь засгийн газрын нэрийн өмнөөс гадаадын тоног төхөөрөмжийг импортыг орлох асуудлаар ажиллаж байгаа бөгөөд KII нь Оросын программ хангамжийг ашиглан илүү найдвартай, тогтвортой ажиллах болно гэж Харилцаа холбоо, олон нийтийн харилцааны яамнаас хариулав. төрийн худалдан авалтын зах зээлд дотоодын хөгжүүлэгчдийн тоо нэмэгдэнэ.

ОХУ-д CII-д 17 мянга орчим кибер халдлага бүртгэгдсэн байна

2019 оны наймдугаар сард Аюулгүйн зөвлөлийн төлөөлөгч мэдээлснээр 2018 онд ОХУ-д CII-д 17 мянга орчим кибер халдлага бүртгэгдсэн байна. Халдагчид өөр 7000 сайт дээр хортой програм суулгахыг оролдсон. Халдлагын 38 орчим хувь нь санхүүгийн байгууллагуудын эсрэг байсан.

ADE нь 187-FZ-ийн дагуу CII объектуудыг ангилах удирдамжийг нийтлэв

2019 оны 7-р сарын 9-ний өдөр Баримтат харилцаа холбооны холбоо (ADE) нь мэдээллийн чухал дэд бүтцийн объектуудыг (CII) ангилах арга зүйн зөвлөмжийг нийтэлсэн нь тодорхой болсон. Баримт бичгийг харилцаа холбооны операторууд болон ADE-ийн гишүүн бусад байгууллагуудын материалд үндэслэн боловсруулсан. Удирдамж нь 2017 оны 7-р сарын 26-ны өдрийн 187-ФЗ "ОХУ-ын чухал мэдээллийн дэд бүтцийн аюулгүй байдлын тухай" Холбооны хуульд заасан CII объектуудыг ангилах журмыг нарийвчлан, стандартчилахад чиглэгддэг.

Зөвлөмжүүд нь операторууд CII объектуудыг өөр өөр төрөлд хамааруулах ёстой дүрмийн багцыг агуулдаг. Баримт бичгийн хэвлэгдсэн хувилбарыг ОХУ-ын FSTEC болон ОХУ-ын ФСБ-ын 8-р төвөөс баталсан бөгөөд харилцаа холбооны операторууд ашиглах боломжтой. Энэ нь өөрчлөгдөхөд зохицуулалтын хүрээ, өргөдлийн үр дүнгийн талаархи санал хүсэлтийг хүлээн авах удирдамжхолбоо аргачлалын бичвэрт нэмэлт өөрчлөлт оруулахаар төлөвлөж байна.

Нэрээ нууцлахыг хүссэн холбооны албан тушаалтан хэлэхдээ, тус холбоо нь үндсэндээ олон нийтийн байгууллага бөгөөд түүний зөвлөмжүүд хууль зүйн хүчингүй юм.

Баримт бичгийн хэвлэгдсэн хувилбарыг FZ-187-ийн дагуу үндсэн зохицуулагчид баталж, харилцаа холбооны операторууд ашиглах боломжтой гэж MegaFon хэлэв.Салбарын баримт бичиг нь сонголттой боловч FSTEC болон FSB-ээс харилцаа холбооны салбарт ашиглахыг зөвлөж байна.

MTS PJSC-ийн хэвлэлийн албаны төлөөлөгч хэлэхдээ, зөвлөмжийг харилцаа холбооны операторууд мэдээллийн чухал дэд бүтцийн (CII) объектуудыг ангилах, эдгээр объектын хамгаалалтын системийг барихад ашиглах болно.

Зөвлөмж боловсруулах санаачилга нь зөв бөгөөд цаг үеэ олсон зүйл гэж "Акадо Телеком" компанийн төлөөлөгч мэдэгдэв.

ОХУ-ын чухал объектуудад кибер халдлагын талаарх мэдээлэл гадаадад цацагдаж байна. Компаниуд хууль зөрчдөг

Дэд бүтцийн чухал байгууламжуудыг удирдах үүрэгтэй Оросын компаниуд кибер халдлагын талаарх мэдээллийг ФСБ-ын мэдэлгүйгээр гадаадын хамт олонтой хуваалцдаг. 6-р сарын 27-ны Пүрэв гарагт РБК Холбооны Техникийн болон Экспортын Хяналтын албаны (FSTEC) материалаас иш татан мэдээлэв.

Өнгөрсөн жилээс хүчин төгөлдөр мөрдөгдөж буй "Мэдээллийн чухал дэд бүтцийн аюулгүй байдлын тухай" хуулийн дагуу чухал дэд бүтцийн байгууламжуудыг удирдаж буй компаниуд тэдгээрийн талаарх мэдээллийг Техникийн болон экспортын хяналтын Холбооны алба (FSTEC) -д өгөх шаардлагатай. тэдэнд тохирох ангиллыг хуваарилах (ангилал тус бүрийн аюулгүй байдлын шаардлага өөр өөр байдаг) . Түүнчлэн, тэд МХБХ-ноос үүсгэн байгуулсан Компьютерийн халдлагыг илрүүлэх, урьдчилан сэргийлэх, үр дагаврыг арилгах улсын систем (GosSOPKA)-тай холбогдож, өөрсдийн байгууламжид гарсан кибер халдлагын талаар Компьютерийн осол гэмтлийг зохицуулах үндэсний төвд (NCCC) мэдээлэх үүрэгтэй.

Гэсэн хэдий ч бүх компаниуд хуулийн шаардлагыг дагаж мөрдөж, системдээ кибер халдлагын талаар NCCC-д мэдээлдэггүй. Ийм учраас тус төв нь дэд бүтцийн чухал объектуудад гарсан ослын талаар бүрэн мэдээлэлгүй, түүнд зохих хариу арга хэмжээ авч, урьдчилсан мэдээ гаргах боломжгүй байна.

Ямартай ч компаниуд гадаадын байгууллагуудтай кибер халдлагын талаар мэдээлэл солилцдог. Ингэснээр тэд FSB-ийн 367, 368 тоот тушаалуудыг зөрчиж байгаа бөгөөд үүний дагуу гадаадын байгууллагуудтай мэдээлэл солилцох ажлыг FSTEC-тэй зохицуулах ёстой. Гэвч тус үйлчилгээнд энэ асуудлаар нэг ч удаа өргөдөл ирээгүй байна.

ОХУ-ын чухал дэд бүтцэд гарсан кибер халдлагын талаар гадаадын компаниудад өгсөн мэдээлэл нь эцсийн дүндээ гадаадын тагнуулын албадын гарт орж, Оросын чухал дэд бүтцийн аюулгүй байдлын байдлыг үнэлэхэд ашиглаж болно гэж FSTEC үзэж байна.

RBC-ийн мэдээлснээр, магадгүй ийм байдлаар компаниуд имидж, санхүүгийн алдагдлаас зайлсхийхийг хичээж байгаа байх. Гэвч гадаад руу мэдээлэл илгээдэг практик нь компаниудыг өөрсдөө эрсдэлд оруулдаг. FSB-ийн хяналтанд байдаг ХӨСҮТ-ийн Компьютерийн ослын үндэсний зохицуулалтын төв нь ослын талаар бүрэн мэдээлэлгүй тул тэдгээрт зохих хариу арга хэмжээ авч, нөхцөл байдлын хөгжлийн үнэн зөв урьдчилсан мэдээг гаргаж чадахгүй гэж FSTEC тэмдэглэв.

ОХУ-д 2018 оноос хойш "Мэдээллийн чухал дэд бүтцийн аюулгүй байдлын тухай" хууль хүчин төгөлдөр үйлчилж байна. Үүний гол зорилго нь тус улсын хамгийн чухал аж ахуйн нэгжүүдийг кибер халдлагаас хамгаалах явдал юм.

FSTEC-ийн мэдээлснээр хууль хэд хэдэн шалтгааны улмаас бүрэн хүчин төгөлдөр үйлчилдэггүй. Нэгдүгээрт, өнгөрсөн жил тус хэлтэс банкууд болон харилцаа холбооны операторуудаас өөрийн байгууламжийн "чухал" байдлын талаар мэдээлэл дутмаг байгааг тэмдэглэжээ. Хоёрдугаарт, энэ хуулийн хүрээнд байгууллагуудын харилцан үйлчлэлийн нарийн ширийн зүйлийг батлах ёстой зарим дүрэм журам батлагдаагүй байна.

FSB нь ОХУ-ын CII-ийг хамгаалахын тулд ГосСОПКА-ийн хэрэгсэлд тавигдах шаардлагыг боловсруулсан

FSTEC болон FSB нь Оросын мэдээллийн технологийн чухал дэд бүтцэд тавигдах шаардлагыг зөрчсөн тохиолдолд хариуцлага тооцох болно.

2019 оны 3-р сарын 26-ны өдөр Холбооны зохицуулалтын эрх зүйн төслүүдийн портал дээр "ОХУ-ын хуульд нэмэлт, өөрчлөлт оруулах тухай" холбооны хуулийн төслийг боловсруулж эхлэх тухай мэдэгдэл нийтлэгдсэн. захиргааны зөрчил(CII байгууламжийн аюулгүй байдлыг хангах шаардлагыг зөрчсөн тохиолдолд хариуцлага тооцох тухайд)”.

Одоогийн байдлаар энэ нь зөвхөн холбогдох баримт бичгийн ажил эхлэх тухай мэдэгдэл юм. № 187-ФЗ "ОХУ-ын мэдээллийн чухал дэд бүтцийн аюулгүй байдлын тухай" хууль нь ОХУ-ын мэдээллийн чухал дэд бүтцийн чухал объектуудыг удирдаж буй бүтцэд тодорхой хууль тогтоомжийг дагаж мөрдөхийг зааж өгдөг. дүрэм журамийм байгууламжийн аюулгүй байдлыг хангах шаардлага.

Тодруулбал, Эрүүгийн хуулийн 274.1 гэсэн заалт бий эрүүгийн хариуцлагаОХУ-ын мэдээллийн чухал дэд бүтцэд хууль бусаар нөлөөлсөний төлөө.

Гэсэн хэдий ч эдгээр шаардлагыг дагаж мөрдөөгүй тохиолдлыг тодорхойлсон хууль байхгүй боловч энэ нь CII-д зүй бус нөлөөлөл үзүүлээгүй.

FSTEC нь төслийн гол хөгжүүлэгчээр ажиллах ёстой боловч ОХУ-ын Холбооны аюулгүй байдлын алба хамтран гүйцэтгэгчээр тодорчээ.

Хуулийн төслийг батлахаар төлөвлөсөн хугацаа нь 2020 оны нэгдүгээр сар. Та баримт бичигтэй танилцаж болно.

FSTEC нь ОХУ-ын CII-тэй холбоотой мэдээллийг гадаадад боловсруулахыг хориглохыг санал болгож байна

Төсөлд бүхэл бүтэн шугамянз бүрийн тодруулга, үүнд тоног төхөөрөмжтэй холбоотой шаардлага, програм хангамжчухал дэд бүтцийн байгууламжийн мэдээллийг боловсруулах журам.

Тодруулбал, уг тушаалын 31 дэх заалтыг дараах заалтаар нэмэх саналтай байна.

Уг тушаалын өмнөх хувилбарт ийм хязгаарлалт тавиагүй.

Нэмж дурдахад энэхүү баримт бичиг нь чухал дэд бүтцийн хамгийн чухал аж ахуйн нэгжүүдэд зөвхөн мэдээллийн аюулгүй байдлын шаардлагад нийцсэн чиглүүлэгчийг ашиглахыг үүрэг болгох зорилготой юм. Үнэн бол бид зөвхөн шинээр бий болсон эсвэл шинэчлэгдсэн CII байгууламжийн тухай, зөвхөн ач холбогдлын эхний (хамгийн их) ангиллын тухай ярьж байна.

Зөвхөн баталгаажуулсан төхөөрөмжийг хилийн чиглүүлэгч болгон ашиглах техникийн боломжгүй бол (өөрөөр хэлбэл дотоод сүлжээнээс интернетэд нэвтрэх боломжийг олгодог) бодит ашигласан төхөөрөмжүүдийн аюулгүй байдлыг нэг хэсэг болгон үнэлэх шаардлагатай гэж заасан байдаг. чухал объектуудыг хүлээн авах эсвэл турших тухай.

Захирамжийн төслийг бүрэн эхээр нь энэ холбоосоор орж үзнэ үү.

2018

2018 онд ОХУ-д 4.3 тэрбум орчим кибер халдлага үйлджээ.

"ОХУ-ын ФСБ-д компьютерийн ослын талаар мэдээлэх, тэдгээрт хариу арга хэмжээ авах, ОХУ-ын мэдээллийн чухал дэд бүтцийн чухал объектуудад компьютерийн халдлагын үр дагаврыг арилгах арга хэмжээ авах хавсаргасан журмыг батлахыг тушаав" гэж мэдэгдэв. захиалга.

Тайлбар бичигт дурдсанчлан төсөл нь сайжруулах зорилготой эрх зүйн зохицуулалткомпьютерийн халдлагын үр дагаврыг илрүүлэх, урьдчилан сэргийлэх, арилгах, компьютерийн ослын эсрэг хариу арга хэмжээ авах талаар ОХУ-ын мэдээллийн чухал дэд бүтцийн субъектуудын үйл ажиллагааг зохицуулах чиглэлээр.

Захирамжийн дагуу, компьютерийн осол гарсан тохиолдолд ОХУ-ын мэдээллийн чухал дэд бүтцийн субъектууд энэ тухай Компьютерийн ослын үндэсний зохицуулалтын төвд (NCCC) нэн даруй мэдэгдэх үүрэгтэй. Хэрэв энэ техникийн дэд бүтцэд холбогдоогүй бол мэдээллийг факс, цахим болон утсаар хаягаар илгээх ёстой. утасны дугаарууд NKTsKI, хэлтсийн вэбсайтад заасан.

Түүнчлэн, хэрэв банк болон санхүүгийн зах зээлийн бусад салбарт үйл ажиллагаа явуулдаг CII байгууламжид осол гарсан бол ОХУ-ын Төв банкинд мөн мэдэгдэх ёстой.

CII-ийн субъектууд компьютерийн ослын эсрэг хариу арга хэмжээ авах, компьютерийн халдлагын үр дагаврыг арилгах арга хэмжээ авах төлөвлөгөө боловсруулж, жилд нэгээс доошгүй удаа төлөвлөгөөний үйл ажиллагааг хэрэгжүүлэх сургалтанд хамрагдах ёстой.

Кибер халдлагаас CII-ийн аюулгүй байдлын талаарх мэдээллийг улсын нууцад хамааруулжээ

Тогтоол нь ОХУ-ын Ерөнхийлөгчийн 1995 оны 11-р сарын 30-ны өдрийн 1203 тоот "Төрийн нууцад хамаарах мэдээллийн жагсаалтыг батлах тухай" зарлигаар батлагдсан төрийн нууцад хамаарах мэдээллийн жагсаалтыг нэмж оруулсан болно. улсын нууц”, шинэ зүйл. Баримт бичигт дурдсанаар, ийм өгөгдөлд одоо ОХУ-ын мэдээллийн чухал дэд бүтцийн аюулгүй байдлыг хангах арга хэмжээг харуулсан мэдээлэл, компьютерийн халдлагаас CII-ийн аюулгүй байдлын байдлыг харуулсан мэдээлэл багтсан болно.

FSB болон Техникийн болон экспортын хяналтын холбооны алба ийм мэдээллийг устгах эрхтэй.

2017 он: Оросын мэдээллийн технологийн чухал дэд бүтцэд хууль бусаар нөлөөлөх аюул заналхийлж байна

187-ФЗ зохицуулалтын эрх зүйн актуудын дагуу санхүү, тээвэр, эрчим хүч, харилцаа холбооны компаниуд, түүнчлэн энэ чиглэлээр ажилладаг байгууллагууд шинэ шаардлагад нийцдэг. Үүний дараа объектуудын жагсаалтыг ОХУ-ын FSTEC-д мэдэгдлийн хэлбэрээр ирүүлдэг бөгөөд жагсаалтаас объект бүрийн хувьд CII субъект нь ач холбогдлын ангиллыг тодорхойлж, дараа нь ангиллын үр дүнг батлуулахаар илгээдэг. FSTEC. Тодорхой ангилалд үндэслэн ирээдүйд CII объектын эзэмшигч нь хамгаалалтыг бий болгох шаардлагатай.

Хууль бус нөлөөлөл гэдэг нь чухал дэд бүтцийн мэдээллийг хаах, өөрчлөх, хуулбарлах, эсвэл энэ мэдээллийг хамгаалах хэрэгслийг саармагжуулахад санаатайгаар ашигладаг компьютерийн програм эсвэл бусад компьютерийн мэдээллийг бий болгох, түгээх ба/эсвэл ашиглах явдал юм.

Нэмж дурдахад хориг арга хэмжээ нь ОХУ-ын мэдээллийн чухал дэд бүтцэд агуулагдах хамгаалагдсан компьютерийн мэдээлэлд хууль бусаар нэвтрэх, хэрэв энэ дэд бүтцэд хохирол учруулсан бол хууль бусаар нэвтрэх болно.

Мөн тухайн улсын мэдээллийн чухал дэд бүтэцтэй холбоотой мэдээллийн чухал бүтэц, мэдээллийн систем, мэдээлэл, харилцаа холбооны сүлжээ, удирдлагын автоматжуулсан систем, харилцаа холбооны сүлжээнд агуулагдах хамгаалагдсан компьютерийн мэдээллийг хадгалах, боловсруулах, дамжуулах хэрэгслийг ажиллуулах журмыг зөрчсөн тохиолдолд торгууль ногдуулдаг.

Дэд бүтцэд нөлөөлөх хорлонтой хөтөлбөр зохиосон бол зөрчил гаргагчид таван жил хүртэл хугацаагаар албадан ажил хийлгэх, хоёр жил хүртэл хугацаагаар эрх чөлөөг нь хязгаарлах, эсхүл таван зуун мянгаас нэг хүртэл төгрөгөөр торгох, хоёроос таван жил хүртэл хугацаагаар хорих ял шийтгэнэ. сая рубль буюу хэмжээгээр цалинэсхүл нэг жилээс гурван жил хүртэл хугацаагаар ялтны бусад орлого. Хамгаалагдсан компьютерийн мэдээлэлд хууль бусаар нэвтэрсэн бол таван жил хүртэл хугацаагаар албадан ажил хийлгэх, 500 мянгаас нэг сая рубль хүртэл төгрөгөөр торгох, хоёр жил хүртэл хугацаагаар эрх чөлөөг нь хязгаарлах, эсхүл хоёр жилээс зургаан жил хүртэл хугацаагаар хорих ял шийтгэнэ. таван зуун мянгаас нэг сая рубль хүртэл торгууль.

Хамгаалагдсан компьютерийн мэдээллийг хадгалах, боловсруулах, дамжуулах хэрэгслийг ажиллуулах журмыг зөрчсөн бол таван жил хүртэл хугацаагаар албадан ажил хийлгэх, тодорхой албан тушаал эрхлэх, эрхлэх эрхийг хасна. тодорхой үйл ажиллагаагурван жил хүртэл хугацаагаар. Мөн зургаан жил хүртэл хугацаагаар хорих ялаар шийтгэх боломжтой гэж заасан.

Эдгээр үйлдлийг хэсэг бүлэг хүмүүс урьдчилан тохиролцож, зохион байгуулалттай бүлэг, албан тушаалын байдлаа ашиглан үйлдсэн бол ялын хүнд байдал эрс нэмэгддэг: хуульд заасны дагуу гурваас найман жил хүртэл хугацаагаар хорих ялаар шийтгэх боломжтой. тодорхой албан тушаал эрхлэх буюу тодорхой үйл ажиллагаа эрхлэх эрхийг гурван жил хүртэл хугацаагаар хасах.

Энэ үйлдлийг бүлэг этгээд урьдчилан тохиролцож, албан тушаалын байдлаа ашиглан үйлдсэн нь хүнд үр дагаварт хүргэсэн бол гэмт этгээдийг тодорхой албан тушаал эрхлэх, үйл ажиллагаа явуулах эрхийг таваас арван жил хүртэл хугацаагаар хасч шийтгэнэ. таван жил хүртэл буюу түүнгүйгээр.

"Мэдээллийн чухал дэд бүтцийн аюулгүй байдлын тухай". 2013 оноос хойш төслийн шатанд энэ хуулийг мэдээллийн аюулгүй байдлын салбарынхан эрчимтэй хэлэлцэж, шаардлагуудыг бодитоор хэрэгжүүлэхтэй холбоотой олон асуултыг тавьж ирсэн. Одоо эдгээр шаардлагууд хүчин төгөлдөр болж, олон компаниуд эдгээрийг дагаж мөрдөх шаардлагатай тулгараад байгаа тул хамгийн их шаналж буй асуултуудад хариулах шаардлагатай байна.

Энэ хууль юунд зориулагдсан бэ?

Шинэ хууль нь ОХУ-ын мэдээллийн дэд бүтцийн байгууламжийн аюулгүй байдлыг хангах үйл ажиллагааг зохицуулах зорилготой бөгөөд тэдгээрийн үйл ажиллагаа нь улсын эдийн засагт чухал ач холбогдолтой юм. Ийм объектуудыг нэрлэдэг чухал мэдээллийн дэд бүтцийн объектууд(KII). Баримт бичгийн дагуу мэдээллийн систем, сүлжээ, түүнчлэн автоматжуулсан хяналтын систем нь дараахь чиглэлээр ажилладаг.

• эрүүл мэндийн тусламж үйлчилгээ;
• Шинжлэх ухаан;
• тээвэрлэлт;
• харилцаа холбоо;
• эрчим хүч;
• банк болон санхүүгийн зах зээлийн бусад салбар;
• түлш, эрчим хүчний цогцолбор;
• атомын энерги;
• батлан ​​хамгаалах, пуужин, сансрын үйлдвэрлэл;
• уул уурхай, металлурги, химийн үйлдвэрүүд.

CII объектууд, тэдгээрийн хоорондын харилцан үйлчлэлийг зохион байгуулахад ашигладаг харилцаа холбооны сүлжээнүүд нь үзэл баримтлалыг бүрдүүлдэг. чухал мэдээллийн дэд бүтэц.

187-FZ хуулийн зорилго юу вэ, энэ нь хэрхэн ажиллах ёстой вэ?

CII-ийн аюулгүй байдлыг хангах гол зорилго нь CII-ийн тогтвортой үйл ажиллагаа, түүний дотор компьютерийн халдлагад өртөх үед юм. Аюулгүй байдлын гол зарчим бол компьютерийн халдлагаас урьдчилан сэргийлэх явдал юм.

KII эсвэл KSII?

Мэдээллийн аюулгүй байдлын салбарт CII-ийн тухай шинэ хууль гарахаас өмнө "мэдээллийн үндсэн дэд бүтцийн систем" (KIIS) гэсэн ижил төстэй ойлголт байсан. Гэсэн хэдий ч 2018 оны 1-р сарын 1-ээс эхлэн FIAC-ийн тухай ойлголтыг албан ёсоор "CI-ийн чухал объектууд" гэсэн ойлголтоор сольсон.

Энэ хуулийн үйлчлэлд ямар байгууллагууд хамаарах вэ?

CII аюулгүй байдлын тухай хуулийн шаардлага нь өмчлөлд (өмчлөх, түрээслэх болон бусад хэлбэрээр) эдгээр байгууллагуудад (төрийн байгууллага, байгууллага, хуулийн этгээд, хувиараа бизнес эрхлэгчид) хамаарна. хууль эрх зүйн үндэслэл) CII объектууд эсвэл тэдгээрийн харилцан үйлчлэлийг хангадаг. Хуулинд ийм байгууллагуудыг CII-ийн субъект гэж нэрлэдэг.

CII субъектууд хуулийг дагаж мөрдөхийн тулд ямар арга хэмжээ авах ёстой вэ?

Баримт бичгийн дагуу CII субъектууд дараахь зүйлийг хийх ёстой.

• CII объектуудыг ангилах;
• оХУ-ын мэдээллийн нөөцөд компьютерийн халдлагыг илрүүлэх, урьдчилан сэргийлэх, үр дагаврыг арилгах төрийн системд (ГосСОПКА) нэгтгэх ажлыг хангах;
• CII байгууламжийн аюулгүй байдлыг хангах зохион байгуулалт, техникийн арга хэмжээ авах.

CII объектуудын ангилалд юу багтдаг вэ?

CII объектын ангилалтүүний ач холбогдлын зэрэглэлийг хэд хэдэн шалгуур үзүүлэлт, үзүүлэлтүүдэд үндэслэн тодорхойлохыг хамарна. Эхний, хоёр, гуравдугаар зэрэг нийт гурван ангилалтай. Хэрэв CII объект нь тогтоосон шалгуурыг хангаагүй бол ангиллын аль нь ч түүнд хамаарахгүй. Ангилалуудын аль нэгээр нь олгосон CII объектуудыг хуульд чухал CII объект гэж нэрлэдэг.

• KII-ийн чухал объектын нэр;
• CII сэдвийн нэр;
• чухал CII объект ба харилцаа холбооны сүлжээний харилцан үйлчлэлийн талаархи мэдээлэл;
• CII-ийн чухал байгууламжийг ажиллуулж буй хүний ​​тухай мэдээлэл;
• ач холбогдлын ангилал;
• CII-ийн чухал байгууламжид ашигласан програм хангамж, програм хангамжийн талаархи мэдээлэл;
• CII-ийн чухал объектын аюулгүй байдлыг хангах арга хэмжээ.

Ангилах явцад CII объект нь ач холбогдлын ангилалгүй байсан нь тогтоогдсон бол ангиллын үр дүнг FSTEC-д ирүүлэх ёстой гэдгийг анхаарах нь чухал юм. Зохицуулагч нь ирүүлсэн материалыг шалгаж, шаардлагатай бол CII субъектийн анхааралдаа авах санал хүсэлтийг илгээдэг. Хэрэв CII субьект нь ангиллын өгөгдлийг өгөөгүй бол FSTEC энэ мэдээллийг шаардах эрхтэй.

CII-ийн чухал объектын бүртгэл хөтлөх журмыг төслийг аль хэдийн нийтэлсэн холбогдох тушаалаар тогтооно.

CII объектуудыг хэрхэн ангилах вэ?

Ач холбогдлын шалгуур үзүүлэлт, ангилах журам, хугацааг Засгийн газрын холбогдох тогтоолоор тогтоох бөгөөд уг тогтоолын төслийг ч мөн бэлтгэсэн байна. Баримт бичгийн одоогийн хувилбарын дагуу ангилах журамд дараахь зүйлс орно.

• үйл ажиллагааныхаа хүрээнд CII субъектийн гүйцэтгэсэн бүх үйл явцыг тодорхойлох;
• зөрчил, дуусгавар болох нь үндэсний хэмжээнд сөрөг үр дагаварт хүргэж болзошгүй чухал үйл явцыг тодорхойлох;
• ангилалд хамаарах CII объектуудын жагсаалтыг тодорхойлох - энэ үе шатыг засгийн газрын тогтоол хүчин төгөлдөр болсон өдрөөс хойш 6 сарын дотор дуусгах ёстой;
• ач холбогдлын шалгуур үзүүлэлтийг тогтоосон үнэлэмжийн дагуу үнэлэх - Засгийн газрын тогтоолын төсөлд ОНӨҮГ-ын объектын нийгэм, улс төр, эдийн засгийн ач холбогдол, улс орны батлан ​​хамгаалах, төрийн аюулгүй байдал, хууль тогтоомжийг хангахад ач холбогдлыг тодорхойлсон 14 үзүүлэлтийг тусгасан болно. ба захиалга;
• CII объектуудын шалгуур үзүүлэлтүүдийн утгатай тохирч байгааг тогтоож, тэдгээрт ач холбогдлын ангиллын аль нэгийг нь оноох, эсвэл тэдгээрт ач холбогдлын ангиллын аль нэгийг олгох шаардлагагүй гэсэн шийдвэр гаргах.

Ангилалыг одоо байгаа болон бий болгосон эсвэл шинэчилсэн CII байгууламжийн аль алинд нь CII субъектийн ажилчдын тусгай комисс хийх ёстой. Комиссын шийдвэрийг холбогдох актаар албажуулж, түүнийг баталснаас хойш 10 хоногийн дотор ангиллын үр дүнгийн талаарх мэдээллийг FSTEC-д илгээх ёстой. Хамгийн их хугацаа CII объектын ангилал - CII объектын жагсаалтыг CII субъект баталсан өдрөөс хойш 1 жил.

Энэ захиалга байна урьдчилсан болон тодорхой болгохЗасгийн газрын холбогдох тогтоолыг баталсны дараа.

GosSOPKA гэж юу вэ, яагаад хэрэгтэй вэ?

Мөн энэ хуулийн шаардлагыг хангахгүй бол?

Холбооны хуулийг батлахтай хамт 2017 оны 7-р сарын 26-ны өдрийн 187-FZ "CII-ийн аюулгүй байдлын тухай", Art. 274.1, эрүүгийн хариуцлага хүлээлгэх албан тушаалтнууд CII-ийн сэдэв CII байгууламжийн техникийн хэрэгслийг ашиглахад хүлээн зөвшөөрөгдсөн дүрмийг дагаж мөрдөөгүй, эсвэл тэдгээрт нэвтрэх журмыг зөрчсөний улмаас 6 жил хүртэл хугацаагаар хорих ял.

Одоогийн байдлаар энэ зүйлд CII байгууламжийн аюулгүй байдлыг хангахад шаардлагатай арга хэмжээг аваагүй тохиолдолд хариуцлагыг тусгаагүй болно, гэхдээ үр дагавар гарсан тохиолдолд (осол, осол) онцгой байдалих хэмжээний хохирол учруулсан) ийм арга хэмжээ авахгүй байх нь Урлагт хамаарна. ОХУ-ын Эрүүгийн хуулийн 293 "хайхрамжгүй байдал". Нэмж дурдахад бид CII-ийн аюулгүй байдлын тухай хуулийг дагаж мөрдөөгүй тохиолдолд хуулийн этгээдэд хүлээлгэх хариуцлагыг тодорхойлох чиглэлээр захиргааны хууль тогтоомжид өөрчлөлт оруулахыг хүлээх ёстой. Их хэмжээний мөнгөн торгууль ногдуулах нь CII-ийн субъектуудыг хэлэлцэж буй хуулийн шаардлагыг биелүүлэхэд түлхэц болно гэж бид өндөр итгэлтэйгээр хэлж чадна. [ics-cert.kaspersky.com]

Редакторууд нийтлэлийг дахин хэвлэх зөвшөөрөл олгосон Касперскийн лабораторид талархал илэрхийлье.

2018 онд хүчин төгөлдөр болсон нэлээн олон тооны хууль тогтоомжийн мэдээллийн технологийн / мэдээллийн аюулгүй байдлын шинэчлэлийн дотроос 2017 оны 7-р сарын 26-ны өдрийн 187-ФЗ "ОХУ-ын мэдээллийн чухал дэд бүтцийн аюулгүй байдлын тухай" Холбооны хуулийг онцлон дурдаж болно. . Өмнө нь хүчин төгөлдөр мөрдөгдөж байсан баримт бичигт нэмэлт, өөрчлөлт оруулах бус бие даасан хууль хэлбэрээр батлагдсан тул түүний хамаарал аль хэдийн харагдаж байна. Гэхдээ энэ нь бид мэдээллийн технологийн шинэ (хууль тогтоомжийн хувьд) салбарын зохицуулалтын тухай ярьж байгааг харуулж байгаа тул үйл явц нь ийм болно гэж найдаж болно. практик хэрэглээхууль бүрэн байгалийн "нутаглах" болно.

187-FZ нь корпорацийн IT / IB зах зээл дэх нөхцөл байдлын хөгжилд хэрхэн нөлөөлж болох, түүнийг хэрэглэх хэтийн төлөвийн талаар асуултууд, болзошгүй асуудлуудболон тэдгээрийн шийдлийн сонголтуудын талаар бид хэд хэдэн мэргэжилтнүүдэд хандсан.

Шинэ хууль юуг зохицуулах вэ?

Хуулийн гол шинэчлэлийн нэг бол хэрэгжүүлэх механизм юм " Төрийн тогтолцооОХУ-ын мэдээллийн нөөцөд компьютерийн халдлагын үр дагаврыг илрүүлэх, урьдчилан сэргийлэх, арилгах "(ГосСОПКА) нь одоо байгаа мэдээллийн аюулгүй байдлын бүх системийг төрийн хяналтад авч, энэ бүх эдийн засгийг удирдах нэг төв болох ёстой.

Хууль нь мэдээллийн системийн жагсаалтыг өргөжүүлсэн ("мэдээллийн чухал дэд бүтэц", CII гэсэн ойлголт) тэдэнд зориулагдсан болно. заавал биелүүлэх шаардлагааюулгүй байдлыг төрөөс хамгаалах, эзэмшигч нь одоо хариуцлага хүлээх, тэр дундаа гэмт хэрэг. Positive Technologies-ийн Арга зүй, стандартчиллын захирал Дмитрий Кузнецовын тайлбарласнаар CII гэдэг нь төрийн болон арилжааны байгууллагуудын мэдээллийн технологийн системд хамаарах бөгөөд алдаа нь (хакерын халдлагын үр дүнд) нийгэм, улс төр, хүрээлэн буй орчин болон бусад ноцтой үр дагаварт хүргэж болзошгүй юм. .

RT-INFORM (Ростек улсын корпорацийн мэдээллийн технологи, мэдээллийн аюулгүй байдлын чадамжийн төв) Александр Евтеевийн мэдээллийн аюулгүй байдлын захирал Александр Евтеевийн үзэж байгаагаар CII-ийн чухал объектуудыг ангилах журам, төрийн хяналтын журмыг хууль тогтоох нь чухал юм. тэдгээрийн аюулгүй байдлыг хангах чиглэлээр ИНХ-ийн субъектуудад хамаарах байгууллагуудын эрх, үүрэг.

Хакерын довтолгооны нөхцөлд CII-ийн аюулгүй байдлыг хангах харилцааг зохицуулах үүднээс хууль нь аюулгүй байдлыг хангах, халдлагыг эсэргүүцэх гэсэн хоёр чиглэлийг тодорхойлсон. Үүнтэй холбогдуулан ОХУ-ын Ерөнхийлөгчийн 2017 оны 11-р сарын 25-ны өдрийн 569 тоот зарлигийн дагуу Сервионика (AiTeco групп) дахь IS газрын захирал Василий Степаненко дурсав. холбооны байгууллага гүйцэтгэх эрх мэдэл KII-ийн аюулгүй байдлыг хангах чиглэлээр эрх бүхий байгууллага нь ОХУ-ын FSTEC бөгөөд ОХУ-ын Ерөнхийлөгчийн 2013 оны 1-р сарын 15-ны өдрийн 31c тоот зарлигийн дагуу Улсын SOPKI-ийг бий болгох бүрэн эрхийг FSB-д олгосон. Орос.

"ГосСОПКА нь ОХУ-ын мэдээллийн чухал дэд бүтцийг компьютерийн халдлагаас хамгаалах түвшинг хянах ёстой" гэж Angara Technologies группын хөгжлийн захирал Дмитрий Огородников хэлэв. - Үүний зэрэгцээ энэ системд хэн тусгайлан холбогдох ёстой талаар тодорхой ойлголт хараахан гараагүй байна. Одоо 187-FZ-ийг гаргаснаар энэ асуудал тодорхой болж байна. Тодруулбал, CII-ийн бүх субьектүүд нь CII-ийн чухал байгууламжтай эсэхээс үл хамааран Улсын SOPCA-тай холбогдох ёстой гэж хуульд заасан."

Москва хотын Думын мэдээлэл, аналитик хэлтсийн дарга Антон Таран хуулийн гол санаануудын нэг нь мэдээллийн технологийн системийн мэдээллийн аюулгүй байдлыг хянах, удирдах нэгдсэн төв байгуулах шаардлагатай байгааг онцолж байна. улсын. “Өнөөдөр төв засгийн газар Ханты-Мансийск хотын дулааны цахилгаан станцын удирдлагын зарим төв хакеруудын халдлагад өртөж, гал унтраах системийг хоёр цагийн турш идэвхгүй болгосныг мэдэхгүй байж магадгүй. Одоо тэд мэдэж, ямар нэгэн байдлаар хариу үйлдэл үзүүлэх болно "гэж тэр тайлбарлав.

Үнэн хэрэгтээ одоо хууль нь ийм байгууламжийн мэдээллийн аюулгүй байдлын үйлчилгээнд бүртгэгдсэн халдлагын талаарх мэдээллийг ФСБ-д шилжүүлэхийг шууд үүрэг болгосон. Гүйцэтгэх захиралЭнэ нь мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн хооронд мэдээлэл солилцох боломжийг олгож, ерөнхийдөө CII объектуудын аюулгүй байдлын түвшинг нэмэгдүүлнэ гэж R-Vision Александр Бондаренко үзэж байна.

Хуулийг хэрэгжүүлэхийн тулд CII субъект, зохицуулагчид юу хийх ёстой вэ

“FSTEC-ийн хувьд CII-ийн бүх субъектууд CII объектуудыг сонгох, ангилах, аюулгүй байдлын шаардлагуудыг хэрэгжүүлэх зэрэг хэд хэдэн үйл ажиллагааг гүйцэтгэх шаардлагатай болно. Гэхдээ ихэнх байгууллагууд өнөөдөр аюулгүй байдлын тодорхой арга хэмжээг аль хэдийн хэрэгжүүлсэн (жишээлбэл, GIS ба / эсвэл PD-ийн журмын дагуу) тул одоо байгаа мэдээлэл хамгаалах системийг FSTEC-ийн шаардлагад CII болон, шаардлагатай бол үүнийг боловсронгуй болго ”гэж Дмитрий Огородников хэлэв. МХБХ-ны хувьд Улсын СОПКЭ-тэй холбогдох ажлыг хийх шаардлагатай гэж тэр нэмж хэлэв, энэ нь магадгүй хамгийн их ачаалалтай ажил юм.

"Одоо бид засгийн газраас CII объектуудыг ангилах дүрмийг батлах, түүнчлэн CII объектуудад мэдээлэл хамгаалах арга хэмжээг хэрэгжүүлэхэд зориулсан FSTEC шаардлагуудыг батлахыг хүлээж байна." Гэж Яков Гродзенский хэлэв. Системийн програм хангамжийн мэдээллийн аюулгүй байдлын хэлтсийн . - Эдгээр баримт бичгүүдийг баталсны дараа FSTEC CII объектуудыг ангилах тал дээр ажиллахад нэлээд хугацаа шаардагдах бололтой. Үүний дараа холбогдох шийдлүүдийг бөөнөөр нь хэрэгжүүлж эхэлнэ” гэлээ.

“ХҮТ-ийн 2017 оны 12 дугаар сарын 06-ны өдрийн 227 тоот CII бүртгэл хөтлөх журам батлах тухай тушаалын дагуу энэхүү бүртгэлийг хаах болно. Үүнээс мэдээллийг GosSOPKU руу илгээдэг бөгөөд зөвхөн өгөх боломжтой төрийн байгууллагуудэсвэл боловсруулах, явуулах, хэрэгжүүлэх чиг үүргийг гүйцэтгэдэг Оросын хуулийн этгээдүүд төрийн бодлогоба (эсвэл) тогтоосон бүс дэх эрх зүйн зохицуулалт" гэж Дмитрий Огородников тэмдэглэв. Монгол Улсын Ерөнхийлөгчийн 2018 оны 03 дугаар сарын 02-ны өдрийн 98 дугаар зарлигийн дагуу ОНӨААТҮГ-ын аюулгүй байдлыг хангах арга хэмжээний тухай мэдээлэл, түүнчлэн түүний аюулгүй байдлын байдлыг задруулсан мэдээллийг төрийн нууцад хамааруулна.

187-FZ-ийг хэрэгжүүлэхэд зах зээлд оролцогчдоос нэмэлт хүчин чармайлт, түүний дотор санхүүгийн зардал шаардагдана гэж баттай хэлж болно.

“Энэ хуулийн үйлчлэлд хамаарах объект, байгууллагуудын тоо гайхалтай, мэдээллийн аюулгүй байдлын түвшин тийм ч өндөр биш байгаа тул аюулгүй байдалд ноцтой хөрөнгө оруулалт хийх шаардлагатай болно. Тиймээс CII объектын хамгаалалтыг хангах нь хувийн мэдээллийн тухай алдартай хууль болсон зах зээлийн өөр нэг хөдөлгөгч хүч болж чадна "гэж Александр Бондаренко итгэлтэй байна.

“Мэдээллийн аюулгүй байдлын зах зээл дээр гарч ирнэ шинэ төрөл CII-ийн хувьд FSTEC-ийн шаардлагад нийцүүлэхэд чиглэсэн үйлчилгээ, мөн GosSOPKE-тэй холбогдох үйлчилгээ. Энд янз бүрийн сонголт хийх боломжтой: хэлтсийн төвүүдийг бий болгох, корпорацийн төвүүдтэй холбогдох гэх мэт. Бүх сонголтууд нь мэдээллийн аюулгүй байдлын зохих хэрэгслийг худалдан авах шаардлагатай болно "гэж Дмитрий Огородников үзэж байна.

Яков Гродзенскийн хэлснээр, CII субъектуудын тодорхойлолтод хамаарах байгууллагууд дэд бүтцэд нь улсын SOPKI төвүүдийг бий болгох шаардлагатай болно. Үүнтэй холбогдуулан Ерөнхий төвтэй мэдээлэл солилцох интерфейсийг хэрэгжүүлэх шаардлагатай болно. "Дотоодын хөгжүүлэгчдийн аль хэдийн байгаа шийдлүүдийн үндсэн дээр байгууллагын SOC-ийн нэг хэсэг болох SIEM шийдэлд суурилсан ослын бүртгэл, хариу арга хэмжээ авах системийг (IRP) хэрэгжүүлэх шаардлагатай байна. Түүнчлэн дэд бүтцийн аюулгүй байдалд дүн шинжилгээ хийж, ажилтнуудын мэдээллийн аюулгүй байдлын талаарх мэдлэгийг дээшлүүлэх шийдлүүдийг хэрэгжүүлэх шаардлагатай байна” гэж тэрээр тайлбарлав.

"Аюулгүй байдлын ханган нийлүүлэгчдийн хувьд энэ хууль эерэг мэдээ авчирдаг ч мэдээллийн технологийн зах зээлд хэрхэн нөлөөлөхийг хэлэхэд хэцүү, учир нь бусад мэдээллийн технологийн төслүүдийн үйл ажиллагааг бууруулах замаар аюулгүй байдлын чиглэлээр нэмэлт хүчин чармайлт гаргах боломжтой" гэж Антон хэлэв. түүний санаа зоволт.. Рам.

Харин Александр Евтеев уг хуулийг хэрэгжүүлэх нь аюулгүй байдлын асуудалд хайхрамжгүй хандсаны улмаас өнөөдөр ихэвчлэн шууд алдагдал хүлээдэг байгууллагуудын үйл ажиллагаанд эерэгээр нөлөөлнө гэж үзэж байна: “Сүүлийн жилүүдэд компьютерийн халдлагатай холбоотой зөрчлийн тоо нэмэгдсээр байна. Халдагчид халдлагын шинэ аргыг байнга хайж байдаг. Тренд Сүүлийн жилүүдэдМэдээллийн аюулгүй байдлын шаардлагыг чангатгах, ялангуяа төрийн салбар болон CII-д тавигдах шаардлагууд нь зайлшгүй шаардлагатай хариу арга хэмжээ юм."

187-FZ-ийн хэрэглээний талбарт хамаарах чухал чиглэлүүдийн нэг бол процессын хяналтын системүүд юм. Дмитрий Кузнецов үүнд анхаарлаа хандуулж байна: "Аж үйлдвэрийн аж ахуйн нэгжийн эзэд болон үйлдвэрлэлийн автоматжуулалтын хэрэгслийг хөгжүүлэгчид энэ салбар халдлагад хэчнээн өртөмтгий байдгийг ойлгосон бөгөөд одоо автоматжуулсан процессын хяналтын систем үйлдвэрлэгчид болон үйл явцын дүн шинжилгээ хийх чиглэлээр мэргэшсэн компаниудын хооронд хамтран ажиллаж байна. Ийм системийн аюулгүй байдал."

Хариуд нь Василий Степаненко хууль нь мэдээллийн технологийн системийн аюулгүй байдлыг бэхжүүлэх нэг удаагийн арга хэмжээ биш, харин энэ чиглэлд байнгын ажил хийх гэсэн үг биш гэдгийг тэмдэглээд: "Хэрэглэгчид одоо аюулгүй байдлын арга хэмжээг байнга боловсруулж, хэрэгжүүлэх, үүнд зориулж төсөв төлөвлөх, мэдээлэх шаардлагатай байна. ослын талаар FSB, зөрчлийг шалгаж, FSB болон FSTEC-ийн төлөөлөгчдөд туслалцаа үзүүлэх. Түүний хэлснээр, CII баталгаажуулалт нь тохирлын гэрчилгээ олгох ердийн хэлбэрээр биш, харин FSTEC-ээс тогтоосон хамгийн бага шаардлагыг дагаж мөрдөх, FSB-ийн хамгаалалтын арга хэмжээний үр нөлөөг байнга үнэлэх хэлбэрээр явагдах болно.

187-FZ-д бүх зүйл хэвийн явагдаж байна уу?

Хэрэгжилт нь өмнөх жилүүдийн туршлагаас харагдаж байна баталсан хуулиудМэдээллийн технологийн салбарт заримдаа нэлээд хэцүү байдаг. Батлагдсан актуудын зарим заалтыг амьдралд хэрэгжүүлэхэд хүндрэлтэй, заримыг нь хэрэгжүүлэхэд хүндрэлтэй байгаа нь харагдаж байна чухал талуудХууль тогтоогчид тэдэнд бага анхаарал хандуулсан эсвэл огт анхаардаггүй. Хуулийн шаардлагын биелэлтийг санхүүжүүлэх асуудал ч байнга гардаг.

"187-FZ-ийн чанар нь мэдээллийн технологитой холбоотой ижил төстэй хуулиас илүү сайн биш юм" гэж Антон Таран тэмдэглэв. - Хоёрдмол утгатай тайлбарыг зөвшөөрдөг бүрэн боловсруулаагүй тодорхойлолтууд. Үг хэллэгт бага зэрэг бүдэг бадаг байна. Ердийнх шиг, удирдлагын алгоритмууд болон функцуудыг нарийвчлан тайлбарласан болно. эрх бүхий байгууллагууд, учир нь цаашид дүрэм боловсруулах, хариуцах чиглэл, үүний дагуу төсөв хүлээн авагчид үүнээс хамаарна. Уг системийг бий болгох, ажиллуулахад төсөвт ямар зардал гарах нь одоогоор тодорхойгүй байна. Хуулиндаа компьютерийн ослын асуудлыг зохицуулах үндэсний төв байгуулахаар заасан байгаа тул цаашид зардал хүлээж байна. Виртуал төв биш л бол."

Үүнийг хэрэгжүүлэхэд мэдээллийн системийн эзэд болон төрийн зүгээс ихээхэн зардал шаардагдана гэдэгтэй бүх мэргэжилтнүүд санал нэгдэж байна. Гэхдээ Дмитрий Кузнецов ийм зардал зайлшгүй шаардлагатай гэдэгт итгэлтэй байна: "Мэдээллийн аюулгүй байдлын асуудлыг олон байгууллага үл тоомсорлодог. Хамгаалалтын албагүй шинж чанар нь олон чухал мэдээллийн системд хамгаалалтын үндсэн механизм байдаггүй болоход хүргэсэн. Өвчин нь үл тоомсорлож, одоо эмчилгээ нь ноцтой хүчин чармайлт шаарддаг.

Александр Бондаренко хууль хэрэгжиж байгаатай холбоотой байж болзошгүй бэрхшээлийг харж байна жинхэнэ амьдралэгзэгтэй объектууд нь шинж чанараасаа шалтгаалан одоо байгаа хамгаалалтын механизмд нухацтай дасан зохицох шаардлагатай тул хэдэн жил шаардагдах болно.

Төрөөс KII-ийн аюулгүй байдлын талаар санаа зовж буйгаа илэрхий харуулсан нь сайн хэрэг. Гэвч Василий Степаненко 187-ФЗ-ийн асуудлыг CII-ийн боломжит субъект гэж тодорхойлсон хэд хэдэн салбарт удаан хугацаанд хүчин төгөлдөр мөрдөгдөж байсан бусад хууль тогтоомжтой тааруухан уялдуулсан гэж үзэж байна. Хуулийн шаардлагыг биелүүлэх хариуцлага, тухайлбал, тухайн субьектийн дарга, бусад албан тушаалтны хариуцах хүрээ хаана байгаа нь одоогоор тодорхойгүй байна. Санхүүжилтийн хувьд бүх зүйл тодорхой байдаггүй. "Төсвөө хуваарилахыг хүн бүрд үүрэг болгож, хяналт шалгалтаас айж болох ч зохих санхүүжилт, тэр дундаа улсаас авахгүй бол бодит үр дүнд хүрэхэд хэцүү" гэж шинжээч үзэж байна.

Хуулийн хэтийн төлөвийн тухайд Антон Таран хэлэхдээ, энэ талаар ярихад хэцүү хэвээр байна. Нэг талаас цэвэр онолын хувьд системчлэл, зохицуулалт, стандартчилал нь хэнд ч хор хөнөөл учруулаагүй бөгөөд хэрэв ирээдүйн систем үнэхээр ажиллаж, CII субъектуудын эдийн засагт үзүүлэх зардал нь болзошгүй эрсдэлээс хэтрэхгүй бол бид өсөлтийг хүлээж болно. аюулгүй байдлын түвшин. Нөгөөтэйгүүр, аюулгүй байдлыг хангах тоон үзүүлэлтийг тогтоох хүртэл хуулийн үр нөлөөг үнэлэх талаар ярихад тун хэцүү.

Тэрээр хуулийн гол бэрхшээлийг бизнесийн зардал гэж харж байна. Эцсийн эцэст, нэг субъект нь өөрийгөө компьютерийн халдлагаас хамгаалах чадвартай бөгөөд ерөнхийдөө мэдээллийн аюулгүй байдлын технологийг төрөөс дутуугүй эзэмших ёстой. Аливаа бизнест нэмэлт зохион байгуулалтын болон магадгүй материаллаг зардлыг бий болгох нь нэмэлт орлогоор нөхөх ёстой бөгөөд аюулгүй байдлын түвшин нэмэгдсэнээр нэмэлт зардлыг нөхөхгүй байх эрсдэлтэй.

Ер нь, хуулийн практик хэрэгжилт нь дараагийн зохицуулалтын хууль тогтоомжийн тогтолцооноос ихээхэн шалтгаална гэдэгтэй бүх шинжээчид санал нэгдэж байгаа бөгөөд энэ нь бусад зүйлсээс гадна хуулийг хэрэгжүүлэх тодорхой хүмүүсийн хариуцлагыг тодорхойлох ёстой.