Критическую информационную инфраструктуру хотят защитить штрафами

Кабмин внёс в парламент законопроект о введении административной ответственности за нарушение требований по обеспечению безопасности КИИ РФ, а также за несвоевременное предоставление сведений отвечающим за ликвидацию кибератак органам.  

Правительство РФ внесло в Госдуму законопроект №1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации», которым вводятся крупные административные штрафы за неисполнение положений закона о КИИ.

Согласно изменениям, предложенным в КоАП, нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, а на юридических лиц — от 50 тыс. до 100 тыс. рублей.

Нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак», согласно тексту законопроекта, будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам — от 100 тыс. до 500 тыс. рублей. Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы — для должностных лиц от 20 тыс. до 50 тыс. рублей, для юридических лиц — от 100 тыс. до 500 тыс. рублей.

Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно, с нарушением сроков, поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц — от 100 тыс. до 500 тыс. рублей.

Если уполномоченный орган исполнительной власти не будет уведомлен (уведомлен с опозданием) о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и от 50 тыс. до 100 тыс. рублей — для юридических лиц. Согласно пояснительной записке, «размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности».

В качестве обоснования необходимости предложенных мер Правительство приводит масштабную атаку 2017 года с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло от 1 до 3 суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.

Полномочиями по рассмотрению административных дел о правонарушениях по предложенным статьям предлагается наделить ФСТЭК и ФСБ. Положение о штрафах за нарушение порядка информирования о компьютерных инцидентах и принятия мер по их ликвидации должно вступить в силу с 1 сентября 2021 года.

Кстати, на днях Минцифры предложило перенести переход на «преимущественное использование» российского программного обеспечения для владельцев КИИ на 1 января 2024 года, а переход на отечественное оборудование — на 1 января 2025 года. К владельцам КИИ относятся, в частности, госорганы, ТЭК, финансовые, транспортные, телекоммуникационные и ряд других компаний, повреждение сетей связи которых может привести к серьезным последствиям.

Предыдущий дедлайн, который предлагало министерство, — 2021 год для внедрения софта и 2022-й — для оборудования. Но предложение раскритиковали владельцы подобной инфраструктуры.