Власти хотят наказывать за нарушения требований закона о безопасности критической информационной инфраструктуры

28 марта 2019 года

Федеральная служба по техническому и экспортному контролю (ФСТЭК) начала разработку законопроекта, вводящего административную ответственность за нарушение требований к обеспечению безопасности объектов критической информационной инфраструктуры (КИИ). Предполагается, что новый законопроект вступит в силу в начале 2020 года, пишет «Коммерсант».

Напомним, закон о безопасности КИИ вступил в силу 1 января 2018 года. Он устанавливает организационные и правовые основы обеспечения безопасности КИИ РФ в целях ее устойчивого функционирования при проведении в отношении нее компьютерных атак, основные принципы государственного регулирования в указанной сфере, определяет полномочия органов государственной власти РФ, а также устанавливает основные определения и принципы, касающиеся работы информационной инфраструктуры. Помимо этого, законопроект определяет полномочия органов государственной власти в области обеспечения безопасности критической информационной инфраструктуры.

Согласно закону, к объектам критической инфраструктуры относятся информационные системы и информационно-телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, в здравоохранении, связи, на транспорте, в кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей). Кроме того, в перечень объектов КИИ включены организации в сфере науки. Наконец, документ распределяет объекты КИИ на категории по социальной, политической, экономической значимости, а также «значимости для обеспечения обороноспособности, безопасности государства и правопорядка». Владельцы объектов КИИ обязаны отнести их к одной из этих категорий и подключить к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА, созданной ФСБ.

Формально владельцы объектов КИИ обязаны соблюдать прописанные в законе требования к их безопасности, но ответственности за несоблюдение этой нормы сейчас нет, если оно не повлекло неправомерного воздействия на КИИ (за такое воздействие предусмотрена уголовная ответственность), говорится в обосновании законопроекта ФСТЭК.

По словам эксперта по кибербезопасности Алексея Лукацкого, в Кодексе об административных правонарушениях есть ст. 13.12 («Нарушение правил защиты информации»), которая предусматривает штрафы до 15 тыс. рублей для юридических лиц за нарушение требований о защите информации, но, по мнению ФСТЭК, эта статья не работает для КИИ.

«Они, по сути, хотят аналогичную статью, но под критическую инфраструктуру», – считает Лукацкий. При этом два собеседника издания рассказали, что в прошлом году региональные прокуратуры уже начали обращаться с запросами к владельцам объектов КИИ на предмет исполнения закона, но пока непонятно, было ли это сделано в рамках точечной инициативы или централизованного запроса.

Участники рынка считают, что закон о безопасности КИИ полноценно пока не заработал. «Это связано с тем, что нет четких сроков по завершению процессов категорирования. Многие организации оттягивают этот процесс и, следовательно, не занимаются обеспечением безопасности», – отметил Лукацкий, уточнив, что ФСТЭК уже инициировала внесение изменений, согласно которым завершить категорирование объектов КИИ нужно будет к 1 июня 2019 года. Кроме того, речь может идти и о введении административной ответственности за неправильное категорирование таких объектов.