Штрафы по КИИ прошли первое чтение

Гос­ду­ма при­няла в пер­вом чте­нии за­коноп­ро­ект, ко­торый ус­та­нав­ли­вает ад­ми­нис­тра­тив­ную от­ветс­твен­ность за на­руше­ние за­коно­датель­ства в об­ласти обес­пе­чения бе­зопас­ности кри­тичес­кой ин­форма­ци­он­ной ин­фраст­рук­ту­ры (КИИ). Из­ме­нения в КоАП пред­по­лагают за на­руше­ние тре­бова­ний бе­зопас­ности та­ких объ­ек­тов штраф: для дол­жност­ных лиц - от 10 тыс. до 50 тыс. руб., а для юр­лиц - от 50 тыс. до 100 тыс. руб.

Согласно законопроекту (№ 1048574-7), за непредставление или представление с нарушениями данных в госсистему обнаружения владельцам КИИ также придется уплатить штраф. Сумма взысканий для чиновников составит от 10 тыс. до 50 тыс. руб., для юрлиц - от 100 тыс. до полумиллиона рублей.

"Размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в Российской Федерации, который составляет 80-100 тыс. руб. (по результатам анализа вакансий, представленных на сайте hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак", - говорится в пояснительной записке к законопроекту.

Пока, согласно закону, ответственность за несоблюдение требований по безопасности важнейших информационных систем не установлена. Законопроектом предусматривается установить срок давности привлечения к административной ответственности по проектируемым статьям - один год.

"Необходимость установления такого срока связана с тем, что в соответствии с п.2 ч.3 ст.13 Федерального закона №187-ФЗ возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры. Факт невыполнения требований, установленных законодательством в области обеспечения безопасности критической информационной инфраструктуры, на момент возникновения соответствующего компьютерного инцидента в соответствии с Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 17 февраля 2018 г. №162, может быть установлен только в ходе выездной проверки. При этом срок проведения проверки в отношении субъекта критической информационной инфраструктуры, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, устанавливается отдельно по каждому филиалу, представительству и обособленному структурному подразделению субъекта критической информационной инфраструктуры и может составлять 60 рабочих дней", - говорится в пояснительной записке к законопроекту.

"Сейчас, безусловно, проблема с защитой КИИ стоит не так остро, как было еще два года назад, - говорит генеральный директор "Доктор Веб" Борис Шаров. - В основном хозяйствующие субъекты пришли к пониманию необходимости мер защиты, многие столкнулись с серьезными атаками на информационную инфраструктуру". По словам эксперта, ужесточение наказания - неизбежный процесс, поскольку это фактически единственный инструмент государства, которое пытается достичь определенного уровня защищенности стратегически важных информационных систем. Шаров считает, что главная проблема, которую надо решать по части КИИ - это отсутствие на российском рынке большого выбора средств защиты, которые бы дали предприятиям свободу для маневра.

По меркам КоАП РФ, размер штрафа довольно велик, оценивает старший партнер юридической фирмы "Катков и партнеры" Павел Катков. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, за исключением гостайны, влечет наложение административного штрафа на граждан в размере от 1 тыс. до 1,5 тыс. руб.; на должностных лиц - от 1,5 тыс. руб. до 2,5 тыс. руб.; на юрлиц - от 15 до 20 тыс. руб. (ч.1 ст.13.12 КоАП РФ). "В целом размер административных штрафов редко достигает отметки в 500 тыс. руб., как в проектируемой статье, - говорит Катков. - На этом фоне штрафы, конечно же, кажутся существенными. Однако существенность эту необходимо сопоставлять с масштабом компании. Twitter, Facebook или другой интернет-гигант без труда выплатят штраф и в 3 млн.руб., а небольшую российскую компанию такая сумма может и разорить".

По мнению руководителя департамента системных решений Group-IB Станислава Фесенко, технологически организации-владельцы КИИ нередко отстают от банков, ритейла в части используемых средств защиты от киберугроз. Бюджетные учреждения и компании с госучастием не всегда могут выделить на это необходимый объем инвестиций. "Нельзя также сбрасывать со счетов долгие процедуры бюджетирования, проведение сложных отборов конкретных решений и длинных конкурсов. В результате при крайне динамичном развитии киберпреступности объекты КИИ зачастую не могут использовать актуальные технологии защиты от нее, - объясняет Станислав Фесенко. - К процессу реагирования на инциденты и их расследованиям КИИ тоже бывают не готовы. Это связано с отсутствием опыта работы с кибератаками, которая в других сферах и коммерции давно понятна и отработана. Другая проблема - разрыв между службами ИБ и ИТ, каждая из которых отвечает за свои секторы компьютерной сети: их действия далеко не всегда согласованы, часто не хватает регламентов и выстроенных процессов".

Кроме того, качественные кадры для ИБ подразделения стоят дорого, эксплуатанты КИИ не всегда могут себе это позволить. Опрошенные специалисты по информационной безопасности наблюдают отток высококлассных специалистов в другие сферы и зарубежные компании.

"Объекты КИИ должны сменить устаревшую парадигму кибербезопасности, взяв вектор на построение умных технологических экосистем, способных полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент", - сказал представитель Group-IB. При этом, добавил специалист, важно выявлять угрозы и зараженные узлы, анализируя сетевой трафик и обеспечивать защиту не только традиционным ИТ-сетям, но и промышленным.

Анас­та­сия Сам­со­нова

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование

Ключевые слова: регулирование, критическая инфраструктура