Государство взяло сделки с недвижимостью под защиту от хакерских атак. Хранители профильных баз данных получат особый статус и дополнительные обязанности.
Депутаты Госдумы РФ в третьем чтении приняли поправки в закон "О безопасности критической информационной инфраструктуры РФ". Его действие распространили на сферу регистрации сделок с недвижимостью. В среду, 5 июля, законопроект поступит на рассмотрение Совета Федерации РФ.
Согласно документу, к субъектам критической информационной инфраструктуры (КИИ) теперь будут отнесены лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно–телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости.
Повышенная ответственность
По словам руководителя практики IP / IT Maxima Legal Максима Али, сам закон в целом призван создать некие рамочные условия для обеспечения информационной безопасности на самых критически значимых и жизненно важных объектах. Например, есть системы, связанные со здравоохранением, транспортом, обороной, безопасностью.
"Государство заинтересовано в том, чтобы предотвращать компьютерные атаки и сбои в этих системах, так как они угрожают безопасности как страны, так и жизни граждан. У субъекта КИИ, то есть у организаций, которые к этим системам имеют отношение, есть ряд обязанностей. Например, взаимодействовать с ФСБ через систему ГосСОПКА и по этой системе передавать информацию о компьютерных инцидентах. С недавних пор через ГосСОПКА передаются также и сведения об инцидентах, связанных с утечкой персональных данных", — объясняет он.
По большому счёту закон не устанавливает большое количество обязанностей, но довольно чётко регламентирует взаимодействие государственных органов и субъектов КИИ.
"Это важно, потому что потом в развитии данного закона принимаются дополнительные нормативные акты в области информационной безопасности. Например, 1 мая 2022 года был принят указ президента, по которому субъекты КИИ, относящиеся к государственным или связанным с государством, должны выполнять ряд дополнительных действий. Например, назначать ответственное лицо, которое должно следить за компьютерными инцидентами, предоставлять доступ к своим системам сотрудникам ФСБ. Эти требования устанавливались на фоне многочисленных компьютерных атак, с которыми столкнулись многие российские организации и государственные органы", — добавляет Максим Али.
Экономика, экология и оборона
Анна Сарбукова, ведущий юрисконсульт практики интеллектуальной собственности юридической компании ЭБР, обращает внимание, что сейчас субъектами КИИ являются организации очень во многих сферах: здравоохранения, транспорта, связи, энергетики, банковской деятельности и финансового рынка, топливно–энергетического комплекса, атомной энергии, оборонной и ракетно–космической. Кроме того, к ним относятся информационные системы, информационно–телекоммуникационные сети и автоматизированные системы управления, а также российские юридические лица и индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
"Проще говоря, если ваша компания занимается, например, разработкой и производством лекарств и у неё есть различные информационные системы (программное обеспечение, сети доступа к нему, серверное и связующее оборудование, система управления соответствующей IT–системой), то, соответственно, вы являетесь субъектом КИИ, у которого есть свои объекты КИИ", — поясняет юрист.
Юрист, экономист, член комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков добавляет, что объекты КИИ категорируются исходя из их социальной значимости и величины возможного ущерба интересам России в вопросах внутренней и внешней политики; экономической значимости и возможного причинения прямого и косвенного ущерба бюджетам страны; экологической значимости, выражающейся в оценке уровня воздействия на окружающую среду. А также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. В зависимости от этого объектам присваивается категория — первая, вторая или третья.
Для узкого круга лиц
Все опрошенные юристы отмечают, что новые поправки не имеют никакого отношения к закрытию Единого государственного реестра недвижимости, которое произошло в июле 2022 года.
"Тогда был принят пакет поправок, которые касались в основном закона “О персональных данных”. И, что называется, “под шумок” внесли изменения в закон о государственной регистрации недвижимости. В результате стало невозможным просто так получить выписку из ЕГРН. Тогда же внесли изменения и в закон о нотариате, поскольку нотариус теперь является одним из немногих лиц, которое может получить доступ к данным о недвижимости. Поэтому включение оператора реестра недвижимости в перечень субъектов российской КИИ не сильно влияет на текущее положение дел", — подчёркивает Максим Али.
При этом он отмечает, что в сфере регистрации недвижимости этот закон вряд ли как–то критически повлияет на текущее положение дел. "Скорее всего, просто формально в “рамку” взаимоотношений субъектов КИИ и государства, а также в “рамку” обязанностей по обеспечению инфобезопасности внедряются компании и государственные органы, которые будут выступать операторами реестра недвижимости или связанных с ним систем. Поэтому это важно для достаточно узкого круга лиц", — полагает он.
На объекте недвижимого имущества может быть инфраструктура, которая подвергается атакам, поэтому внесение в список КИИ тут видится логичным, убеждён Павел Катков. "Не очень понятно про регистрацию недвижимости, ведь сделки регистрируются через МФЦ или органы власти. Возможно, депутаты пытаются защитить эти системы от хакерских атак, которые могли бы осуществляться в целях срыва этих сделок. Может, это ещё окажет воздействие на риелторов, но косвенное, ведь они не регистрируют сделки непосредственно", — рассуждает эксперт.
Ценный опыт
Если говорить общими словами, то раньше компания сама разбиралась со своими проблемами, связанными с безопасностью, а сейчас обязана уведомлять и информировать о них вышестоящие инстанции, комментирует законодательную новеллу Ольга Звагольская, руководитель инсорсинговых направлений ГК Itglobal.com и управляющий партнёр Legal House.
"Один из самых важных элементов в этом законе — ГосСОПКА будет контролировать степень защищённости критической информационной инфраструктуры в России. Если раньше компания могла где–то безответственно подходить к безопасности, то теперь она обязана выполнять требования к безопасности. А значит и безопасность данных, в том числе в области недвижимости, станет выше", — считает она.
С этим согласен Данияр Исхаков, заместитель директора департамента консалтинга IT–компании Innostage: "Активная позиция государственных регуляторов в области защиты информации, а также отраслевых регуляторов (например, Минэнерго) заставляет организации уделять вопросам обеспечения информационной безопасности всё большее внимание. Вместе с тем сами организации, осознавая необходимость устойчивого функционирования в условиях постоянных кибератак, зачастую транслируют полученный опыт в защите значимых объектов КИИ, а также реализованные организационные и технические меры по защите информации на всю инфраструктуру организации".