30 июня в Москве прошло заседание рабочей группы по вопросам информационной безопасности строительства промышленных объектов подкомитета «Деловой России» по промстроительству.
Участники рассмотрели проект нормотворческой инициативы о закреплении обязательного учета требований информационной безопасности при подготовке заданий на проектирование, разработке проектной документации, строительстве, строительном контроле, приемке и вводе в эксплуатацию объектов капитального строительства.
Руководитель подкомитета, член генерального совета «Деловой России» Сергей Гебель отметил, что предлагаемая модель должна быть встроена в действующее градостроительное регулирование и не должна создавать отдельный правовой режим информационной безопасности.
«Задача инициативы – не усложнить строительный процесс, а обеспечить учет требований информационной безопасности на той стадии, когда еще можно правильно заложить проектные решения, состав оборудования, порядок монтажа, приемки и передачи систем в эксплуатацию. При этом необходимо четко разграничить строительное регулирование и специальные режимы защиты информации», – сказал Сергей Гебель.
Руководитель рабочей группы по вопросам информационной безопасности строительства промышленных объектов Максим Овсянников подчеркнул, что реальность диктует необходимость устранения несогласованности между проектированием, строительством и последующей эксплуатацией цифровых и автоматизированных систем.
«Сегодня часть требований информационной безопасности фактически возникает уже после проектирования, на стадии монтажа, настройки или приемки. Это ведет к дополнительным работам, сметным спорам и задержкам. Поэтому задача инициативы – заранее определить, какие решения должны быть заложены в проектную документацию, какие сведения должны оставаться в защищенном контуре и как подтверждать соответствие систем без раскрытия закрытых технических схем», – отметил Максим Овсянников.
Предлагаемый рабочей группой подход распространяется на объекты капитального строительства, в составе которых предусматриваются информационно-телекоммуникационные, автоматизированные, программно-аппаратные, инженерные или технологические системы, нарушение функционирования которых, либо неправомерный доступ к которым может повлиять на безопасность людей, безопасную эксплуатацию объекта, устойчивость инженерных систем, технологический процесс или промышленную безопасность.
Отдельно подчеркнуто, что инициатива не направлена на изменение законодательства о безопасности критической информационной инфраструктуры, не регулирует порядок категорирования соответствующих объектов и не подменяет полномочия федеральных органов исполнительной власти в сфере защиты информации.
Участники заседания обратили внимание на необходимость точного определения области применения инициативы, порядка отражения проектных решений по информационной безопасности в составе проектной документации, пределов их рассмотрения при экспертизе, требований к строительному контролю и приемке соответствующих систем.
Также в ходе заседания обсуждались вопросы работы со сведениями ограниченного доступа, состава исполнительной и эксплуатационной документации, экономических последствий для участников строительства и недопущения избыточной нагрузки на проекты, не имеющие соответствующих рисков.
По итогам заседания принято решение подготовить материалы инициативы с учетом высказанных замечаний для последующего направления в профильные органы государственной власти и организации.
Дальнейшая работа будет направлена на уточнение нормативного маршрута, оценку финансово-экономических последствий и подготовку согласованной редакции изменений в нормативные правовые акты.