Государственная дума приняла в первом чтении законопроект, который устанавливает административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ), передает ComNews

Изменения в Кодекс об административных правонарушениях предполагают штраф за нарушение требований безопасности таких объектов: для должностных лиц — от 10 тыс. до 50 тыс. рублей, а для юридических лиц — от 50 тыс. до 100 тыс. рублей. Также документ предусматривает штрафы за непредставление или представление с нарушениями данных в госсистему обнаружения: сумма взысканий для чиновников составит от 10 тыс. до 50 тыс. рублей, для юридических лиц — от 100 тыс. до полумиллиона рублей.

В пояснительной записке к законопроекту указано, что пока ответственность за несоблюдение требований по безопасности важнейших информационных систем не установлена. Авторы инициативы предлагают установить срок давности привлечения к административной ответственности по проектируемым статьям в один год.

"Сейчас, безусловно, проблема с защитой КИИ стоит не так остро, как было еще два года назад", — цитирует ComNews слова генерального директора компании "Доктор Веб" Бориса Шарова. — "В основном хозяйствующие субъекты пришли к пониманию необходимости мер защиты, многие столкнулись с серьезными атаками на информационную инфраструктуру". По словам эксперта, ужесточение наказания — неизбежный процесс, поскольку это фактически единственный инструмент государства, которое пытается достичь определенного уровня защищенности стратегически важных информационных систем. Шаров считает, что главная проблема, которую надо решать по части КИИ — это отсутствие на российском рынке большого выбора средств защиты, которые бы дали предприятиям свободу для маневра.

Редакция "Кабельщика" обратилась за комментариями к президенту ассоциации "Ростелесеть" и главе Omega Group Олегу Грищенко. По его мнению, подобные шаги со стороны властей вполне ожидаемы. "Ожидаемые шаги со стороны законотворцев, если для госучреждений была установлена конкретная дата, до которой они были обязаны пройти категорирование объектов КИИ. ФСТЭК был первые годы сконцентрирован именно на решении данной задачи. Для коммерческих компаний дата носила рекомендательный характер, а отсутствие реальных наказаний привело по сути к низкой активности и вниманию к данному вопросу. Был период массовых запросов прокуратуры к операторам связи, тогда мы более пристально сами обратили внимание на вопрос. Тема достаточно сложная и неоднозначная, можно по разному трактовать подходы и видимо только практика применения создаст общение понимание отношения к КИИ со стороны операторов и регулятора. Для разъяснения базовых моментов полгода назад вышла первая статья разъясняющая основы для понимания, скоро будет вторая. Уже год мы прорабатываем пакета документов по КИИ для участников ассоциации и сможем закрыть базовую часть, но это лишь видима часть айсберга и дальше необходимо глубоко прорабатывать вопрос уже реализации защиты объектов КИИ".

Кстати, ранее Олег Грищенко представил материал о работе с критической информационной инфраструктурой для операторов связи. В его статье, опубликованной на "Кабельщике", подробно освещаются следующие аспекты: что такое КИИ, что представляют собой субъект и объект КИИ, все ли операторы связи являются субъектами КИИ, что субъекты КИИ должны делать, в случае, если у них есть объекты КИИ, а также в случае, если у них таких объектов нет, в каком порядке предпринимать все эти действия, кому, как и когда отчитываться.

Напомним, в России действует закон "О безопасности критической информационной инфраструктуры". Согласно этому документу, критическая информационная инфраструктура — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, а также сети электросвязи, которые используются для организации взаимодействия таких объектов.

В 2019 году президент РФ поручил перевести КИИ на отечественные IT-решения. В мае 2020 года министерство цифрового развития, связи и массовых коммуникаций опубликовало проект указа президента и постановления правительства, по которым переход на российский софт должен был начаться в 2021 году, а на российское оборудование — в 2022-м. Однако позже, после общественного обсуждения, ведомство решило сдвинуть сроки на 2024 и 2025 год соответственно.

В ноябре 2020 года участники Российского союза промышленников и предпринимателей заявили, что условия перевода объектов критической информационной инфраструктуры на отечественный софт и оборудование необходимо смягчить. Участники рынка считают, что прежде всего объекты КИИ необходимо перевести на отечественное оборудование, а затем заменить программное обеспечение — в противном случае переход приведет к неэффективным затратам. Оборудование необходимо менять поэтапно, с учетом сроков износа уже имеющегося.

В январе 2021 года Минцифры предложило ускорить переход на отечественные IT-решения для КИИ. Переход на преимущественное использование российского программного обеспечения предлагается провести до 1 января 2023 года, а переход на отечественное оборудование — до 1 января 2024 года.  

Также в январе 2021 года российская Ассоциация разработчиков и производителей электроники (АРПЭ) направила в министерство цифрового развития, связи и массовых коммуникаций письмо, в котором описывает возможности отечественной электронной промышленности по локализации оборудования критической информационной инфраструктуры. Из письма АРПЭ следует, что по ряду направлений электронной промышленности импортозамещение возможно уже сейчас, но по другим наблюдаются многолетнее технологическое отставание и необходимость финансирования.