В третьем чтении принят закон о штрафах за нарушение требований по безопасности КИИ

19.05.2021 16:05

Госдума в третьем чтении приняла закон о введении административных штрафов за нарушение требований по обеспечению безопасности критической информационной инфраструктуры (КИИ) РФ и за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. Об этом пишет "Роскомсвобода".

Отмечается, что документ устанавливает штрафы за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов для должностных лиц – в размере от 10 до 50 тысяч рублей, для юридических лиц – от 50 до 100 тысяч рублей.

Также нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак будет грозить должностным лицам штрафом в размере от 10 до 50 тысяч рублей, а юридическим лицам — от 100 до 500 тысяч рублей.

Помимо этого предусмотрена ответственность за нарушение порядка обмена информацией о компьютерных инцидентах между субъектами инфраструктуры и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. Штрафы для должностных лиц составят от 20 до 50 тысяч рублей, для юридических лиц – от 100 до 500 тысяч рублей.

Кроме того, штрафы в размере от 10 до 50 тысяч рублей должностным лицам и от 50 до 100 тысяч рублей юрлицам будут грозить за нарушение сроков или непредоставление соответствующих сведений в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также в уполномоченный орган исполнительной власти.

Олег Грищенко, президент ассоциации "Ростелесеть": 

Прошлым летом появилась первая статья на Кабельщике с нашей трактовкой шагов, которые необходимо сделать операторам для реализации требований по критической информационной инфраструктуре (КИИ). Периодически мы наблюдали, как к операторам из разных регионов были обращения со стороны прокуратуры и ФСБ, но отсутствие наказаний в КОАП сводил эти обращения лишь к попытке обратить внимание на вопрос. Мы ожидали третьего рассмотрения думой ответственности лишь осенью, но в силу важности вопроса депутаты перенесли вопрос на весну и оперативно приняли. Теперь после одобрения Совета Федерации и президента РФ операторы будут нести ответственность и уверен, что отношение к требованиями по КИИ изменится. Есть много банальных вопросов, что это такое, почему операторы должны за это отвечать, их мы рассматривали ранее, почитайте статьи, законодательство, посмотрите выступления представителей ФСТЭК. 

Я бы сейчас остановился на подготовке операторов к реализации требований, которую можно разбить на два этапа: 

1. Формальный, он относительно простой и для участников ассоциации Ростелесеть мы подготовили понятные схемы, алгоритмы действий и шаблоны документов. Нужно подать обращение во ФСТЭК, по сути признавая себя субъектом КИИ. Создать на предприятии комиссию по КИИ и положение её работы. Сформировать перечень объектов КИИ, определить какие из них значимые, а какие нет, а далее категорировать значимые объекты в соответствии с постановлением Правительства РФ от 8 февраля 2018 г. № 127. Создать перечень актуальных угроз, информируя ФСТЭК, как основной надзорный орган на определенных этапах. Это на наш взгляд рабочий и более простой этап. 

2. Дальше начинается этап, который будет складывать по мере понимания средств и механизмов необходимой защиты для субъектов КИИ различной категории. Этот этап будет сильно зависеть от складывающейся практики реализации подходов к защите, а также позиции насколько предлагаемые решения защиты будут устраивать регулятора. Необходимо обеспечить защиту критической информационной инфраструктуры, т.е. на предприятии должны быть соответствующие специалисты, информационные системы должны быть защищены, а должностные лица и юридические компании будут нести материальную ответственность за реализацию защиты объектов КИИ на своём предприятии. 

Важно, что оператору необходимо не только структурировать на своём предприятии работу по КИИ и реализовать защиту объектов, но и информировать ФСТЭК о компьютерных инцидентах и принятых мерах по ликвидации последствий компьютерных атак, за бездействие предусмотрена серьезная ответственность. Для большинства операторов, вопросов больше чем ответов, но надеюсь, что со временем обобщая опыт и претензии со стороны регулятора, мы сможем выйти на понятный рабочий режим по реализации защиты объектов КИИ.

Отметим также, что на CSTB.Telecom&Media 16 июня пройдёт большая операторская секция, в рамках которой, в том числе, обсудят тему объектов критической инфраструктуры.