中心全译本 | 俄罗斯联邦关键信息基础设施安全法
47571-7号法案
第三次审议
俄罗斯联邦关键信息基础设施安全法
本法调整俄罗斯联邦关键信息基础设施(以下称“关键设施”)安全保障领域的法律关系,目的是为了关键设施面临计算机攻击时的稳定运行。
本法采用以下基本概念:
1)自动化管理系统-用于控制技术或生产设备(执行装置)及设备流程,以及管理这些设备和流程的软件和硬件体系;
2)关键信息基础设施的安全-关键信息基础设施遇到计算机攻击时稳定运行的受保护状态;
3)关键信息基础设施重要客体-具有一定重要性等级并登记在册的关键信息基础设施客体;
4)计算机攻击-为了破坏或中断关键信息基础设施客体、联系关键信息基础设施客体的电信网的运行,或给这些客体处理的信息造成安全威胁,对关键信息基础设施客体、电信网施加蓄意的软件或硬件影响;
5)计算机事故-关键信息基础设施客体、联系这些客体的电信网运行遭到破坏或中断,或关键信息基础设施客体处理的信息安全遭到破坏的事实,包括计算机攻击引起的;
6)关键信息基础设施-关键信息基础设施客体,以及联系这些客体的电信网;
7)关键信息基础设施客体-信息系统、信息电信网、关键信息基础设施主体的自动化管理系统;
8)关键信息基础设施主体-所有、租赁或以其他合法方式拥有卫生保健、科学、交通、通讯、能源、银行金融、燃料动力综合体,以及核能、国防、宇宙火箭、采矿、冶金及化工领域的信息系统、信息电信网、自动化管理系统的国家机关、国家机构、俄罗斯法人或个体企业,联系这些系统或网络的俄罗斯法人或个体企业。
1.关键信息基础设施安全保障领域的法律关系由俄罗斯联邦宪法、公认的原则和国际法准则、本法、其他联邦法律以及根据这些法律制定的其他法律法规调节。
2.本法在通用通信网络方面的适用特点,由2003年7月7日出台的联邦法律126-FZ《通信法》以及根据此法制定的其他俄罗斯联邦法律法规确定。
关键信息基础设施安全保障的原则包括:
1)合法性;
2)关键信息基础设施安全保障的连续性和系统性,包括联邦行政机关和关键信息基础设施主体在相互联系中可能接触到的关键信息基础设施;
3)预防计算机攻击优先。
俄罗斯联邦总统及关键设施安全保障领域的俄罗斯联邦国家权力机关的权力
1.俄罗斯联邦总统:
1)关键信息基础设施安全保障领域国家政策的基本方向;
2)俄罗斯联邦关键信息基础设施安全保障联邦行政机关;
3)维护国家监测、预防和处置系统运行的联邦行政机关;
4)国家监测、预防和处置系统的组建制度和任务。
2.俄罗斯联邦政府:
1)关键信息基础设施客体的重要性级别指标和指标值,客体分级的程序和期限;
2)关键信息基础设施重要客体安全保障国家监管制度;
3)保障关键信息基础设施重要客体运行的俄罗斯联邦统一电信网资源的准备和使用制度。
3.俄罗斯联邦关键信息基础设施安全保障联邦行政机关:
1)向俄罗斯联邦总统或俄罗斯联邦政府提议完善关键信息基础设施安全保障法律法规;
2)确立关键信息基础设施重要客体登记的制度并实施登记;
3)确定授予或者没有必要授予关键信息基础设施客体重要性等级评定结果的报送形式;
4)确立关键信息基础设施重要客体安全保障的要求(被授予重要性等级、登记为关键信息基础设施重要客体的信息电信网的安全保障要求,与通讯领域制定和实施国家政策及法律调节的联邦行政机关协商确立),以及这些客体安全系统创建和运行的要求(银行和金融领域上述要求与俄罗斯联邦中央银行协商确立);
5)实施关键信息基础设施重要客体安全保障国家监管,确立根据监管总结编制的检查文书的形式。
5. 通讯领域制定和实施国家政策及法律调节的联邦行政机关,与维护国家监测、预防和处置系统运行的联邦行政机关协商,确立在联系关键信息基础设施客体的电信网中查找计算机攻击迹象的设备的安装和运行制度、技术条件。
1.关键信息基础设施分级是将关键信息基础设施客体与重要性标准和指标值匹配,赋予其一定的重要性等级,并核查定级的结果。
2.分级根据:
1)社会重要性,反应在损害生命和健康、中断和损坏生活保障客体、交通基础设施、通讯网络的运行、以及长时间阻断国家服务的可能性评估中;
2)政治重要性,反应在内外政策中损害俄罗斯联邦利益的可能性评估中;
3)经济重要性,反应在对关键信息基础设施主体或俄罗斯联邦财政造成直接和间接损失的可能性评估中;
4)生态重要性,反映在对环境的影响水平评估中;
5)关键信息基础设施客体对国防和国家安全以及法律秩序的重要性。
3.分三个关键信息基础设施客体重要性等级:一级、二级和三级。
4.关键信息基础设施主体根据重要性等级及其指标值,依据分级的制度,对其所有、租赁或以其他合法方式拥有的关键信息基础设施客体进行定级。如果关键信息基础设施客体不符合重要性等级及其指标值,则不予定级。
5.关键信息基础设施客体定级或者不予定级的结果,由关键信息基础设施主体在做出决定后十日内,按规定的形式书面报送关键信息基础设施安全保障联邦行政机关。
6.关键信息基础设施安全保障联邦行政机关在收到本节第五条规定的结果之后三十日内检查定级制度的遵守、定级或不定级的正确性。
7.如果关键信息基础设施主体遵守了定级程序,对其所有、租赁或以其他合法方式拥有的关键信息基础设施客体实施了正确的定级,则关键信息基础设施安全保障联邦行政机关将该客体作为关键信息基础设施重要客体予以登记,并于十日内通知关键信息基础设施主体。
8.如果关键信息基础设施安全保障联邦行政机关发现违反定级制度,或关键信息基础设施主体所有、租赁或以其他合法方式拥有的关键信息基础设施客体定级错误或没有依据的不予定级,或关键信息基础设施主体提供地有关定级或者不予定级的结果信息不完整或不真实,则在收到呈递的信息后十日内以书面形式退回主体并注明理由。
9.关键信息基础设施主体在收到本节第五条所指的信息的驳回理由后十日内消除所指出的不足,并再次向关键信息基础设施安全保障联邦行政机关报送规定信息。
10.无需为关键信息基础设施客体定级的信息经确认后,由关键信息基础设施安全保障联邦行政机关报送国家监测、预防和处置系统,并于十日内将报送结果通知关键信息基础设施主体。
11.如果关键信息基础设施主体没有提供本节第五条所指的信息,则关键信息基础设施安全保障联邦行政机关向该主体发出必须遵守本节规定的要求。
1.为了统计关键信息基础设施客体,关键信息基础设施安全保障联邦行政机关按照其规定的程序对关键信息基础设施重要客体予以登记。
2.关键信息基础设施重要客体的登记信息报送国家监测、预防和处置系统。
3.关键信息基础设施重要客体失去重要性等级,则关键信息基础设施安全保障联邦行政机关将其从登记中消除。
1.关键信息基础设施主体的权利:
1)从关键信息基础设施安全保障联邦行政机关获得保障其所有、租赁或以其他合法形式拥有的重要客体安全的必要信息,包括客体处理的信息安全威胁、以及客体采用的软件、设备和技术漏洞的信息;
2)按照维护国家监测、预防和处置系统运行的联邦行政机关规定的程序,从该机关获得计算机攻击的设备和方法、以及预防和监测计算机攻击的办法的信息;
3)在维护国家监测、预防和处置系统运行的联邦行政机关同意的情况下,自费采购、租赁、安装和维护用于监测、预防和处置计算机攻击,以及应对计算机事故的设备;
4)制定和实施关键信息基础设施重要客体安全保障措施。
2.关键信息基础设施主体的义务:
1)按照规定的程序,立刻向维护国家监测、预防和处置系统运行的联邦行政机关,及俄罗斯联邦中央银行(如果关键信息基础设施主体属于银行和金融领域)报告有关计算机事故的情况(银行和金融领域上述程序与俄罗斯联邦中央银行协商确立);
2)协助维护国家监测、预防和处置系统运行的联邦行政机关的职责人员监测、预防和处置计算机攻击,确定计算机事故原因和条件;
3)为关键信息基础设施客体安装监测、预防和处置计算机攻击、以及应对计算机事故的设备时,符合设备的安装运行规程、技术条件并确保完整性。
1.为了保障关键信息基础设施重要客体的安全,关键信息基础设施主体根据关键信息基础设施安全保障联邦行政机关有关重要客体安全系统建立和运行的要求,建立重要客体安全系统并确保其运行。
2.关键信息基础设施重要客体安全系统的主要任务:
1)防止非法侵入、破坏、篡改、阻断、复制、提供和传播关键信息基础设施重要客体处理的信息,以及针对这些信息的其他违法行为;
2)禁止影响信息处理技术设备,导致关键信息基础设施重要客体运行破坏或中断;
3)恢复关键信息基础设施重要客体的运行,包括通过建立和储存必要信息的副本;
4)与国家监测、预防和处置系统持续协作。
1.关键信息基础设施安全保障联邦行政机关,根据关键信息基础设施客体重要性等级,制定有差别的重要客体安全保障要求,要求规定:
1)规划、编制、完善和实施关键信息基础设施重要客体的安全保障措施;
2)采取组织和技术措施确保关键信息基础设施重要客体的安全;
3)确立关键信息基础设施重要客体安全保障的软件、硬件设备的参数和性能。
2.在相应领域制定、实行或实施国家政策及法律调节的国家机关和俄罗斯法人,与俄罗斯联邦关键信息基础设施安全保障联邦行政机关协商,可制定包含相应领域重要客体运行特点的安全保障补充要求。
1.关键信息基础设施安全评估由维护国家监测、预防和处置系统运行的联邦行政机关实施,目的是预测关键信息基础设施可能遇到的安全威胁,制定措施提高其面对计算机攻击的稳定性。
2.实施关键信息基础设施安全评估。
3.为了履行本节第一、二条的规定,维护国家监测、预防和处置系统运行的联邦行政机关,在联系关键信息基础设施客体的电信网中安装查找计算机攻击迹象的设备。
4.为了完善关键信息基础设施安全措施,维护国家监测、预防和处置系统运行的联邦行政机关向关键信息基础设施安全保障联邦行政机关发送关键信息基础设施安全评估结果。
关键设施安全保障的国家监管
1.关键信息基础设施重要客体安全保障的国家监管,目的是检查所有、租赁或者以其他合法方式拥有关键信息基础设施重要客体的主体是否遵守本法、以及依据本法制定的其他法律法规的要求。关键信息基础设施安全保障联邦行政机关采用计划内或计划外检查的方式实施国家监管。
2.计划内检查依据是,自以下情况三年期满:
1)关键信息基础设施登记为重要客体;
2)最近一次关键信息基础设施重要客体的计划内检查结束。
3.计划外检查的依据是:
1)关键信息基础设施主体执行关键信息基础设施安全保障联邦行政机关发出的消除违反关键信息基础设施重要客体安全保障要求行为的命令期满;
2)关键信息基础设施重要客体发生计算机事故,引起负面后果;
3)关键信息基础设施安全保障联邦行政机关的领导,根据俄罗斯联邦总统或政府的委托、或检察官根据检查机关收到的资料和请求发出的执法监管计划外检查的要求,而做出指示。
4.根据计划内或者计划外检查结果,关键信息基础设施安全保障联邦行政机关根据其规定的形式,编制检查文书。
5.根据检查文书,如果发现违反本法和根据本法制定的其他关键信息基础设施重要客体安全保障的法律法规的行为,则关键信息基础设施安全保障联邦行政机关向关键信息基础设施主体发出限期消除违法行为的指令。
违反本法以及依据本法制定的其他法律法规的规定,依据俄罗斯联邦法律承担责任。
本法自2018年1月1日生效。
俄罗斯联邦总统
普京
以上内容由吴小莉翻译、校对。本文略有删节。