[svoboda] Власти хотят наказывать за нарушения требований закона о безопасности критической информационной инфраструктуры
Здравствуйте, свобода.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) начала
разработку законопроекта, вводящего административную ответственность за
нарушение требований к обеспечению безопасности объектов критической
информационной инфраструктуры (КИИ). Предполагается, что новый законопроект
вступит в силу в начале 2020 года, пишет "Коммерсант".
Напомним, закон о безопасности КИИ вступил в силу 1 января 2018 года. Он
устанавливает организационные и правовые основы обеспечения безопасности КИИ
РФ в целях ее устойчивого функционирования при проведении в отношении нее
компьютерных атак, основные принципы государственного регулирования в
указанной сфере, определяет полномочия органов государственной власти РФ, а
также устанавливает основные определения и принципы, касающиеся работы
информационной инфраструктуры. Помимо этого, законопроект определяет
полномочия органов государственной власти в области обеспечения безопасности
критической информационной инфраструктуры.
Согласно закону, к объектам критической инфраструктуры относятся
информационные системы и информационно-телекоммуникационные сети госорганов,
а также автоматизированные системы управления технологическими процессами в
оборонной индустрии, в здравоохранении, связи, на транспорте, в
кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности
(топливной, атомной, ракетно-космической, металлургической, химической,
горнодобывающей). Кроме того, в перечень объектов КИИ включены организации в
сфере науки. Наконец, документ распределяет объекты КИИ на категории по
социальной, политической, экономической значимости, а также "значимости для
обеспечения обороноспособности, безопасности государства и правопорядка".
Владельцы объектов КИИ обязаны отнести их к одной из этих категорий и
подключить к государственной системе обнаружения, предупреждения и
ликвидации последствий компьютерных атак ГосСОПКА, созданной ФСБ.
Формально владельцы объектов КИИ обязаны соблюдать прописанные в законе
требования к их безопасности, но ответственности за несоблюдение этой нормы
сейчас нет, если оно не повлекло неправомерного воздействия на КИИ (за такое
воздействие предусмотрена уголовная ответственность), говорится в
обосновании законопроекта ФСТЭК.
По словам эксперта по кибербезопасности Алексея Лукацкого, в Кодексе об
административных правонарушениях есть ст. 13.12 ("Нарушение правил защиты
информации"), которая предусматривает штрафы до 15 тыс. рублей для
юридических лиц за нарушение требований о защите информации, но, по мнению
ФСТЭК, эта статья не работает для КИИ.
"Они, по сути, хотят аналогичную статью, но под критическую инфраструктуру",
- считает Лукацкий. При этом два собеседника издания рассказали, что в
прошлом году региональные прокуратуры уже начали обращаться с запросами к
владельцам объектов КИИ на предмет исполнения закона, но пока непонятно,
было ли это сделано в рамках точечной инициативы или централизованного
запроса.
Участники рынка считают, что закон о безопасности КИИ полноценно пока не
заработал. "Это связано с тем, что нет четких сроков по завершению процессов
категорирования. Многие организации оттягивают этот процесс и,
следовательно, не занимаются обеспечением безопасности", - отметил Лукацкий,
уточнив, что ФСТЭК уже инициировала внесение изменений, согласно которым
завершить категорирование объектов КИИ нужно будет к 1 июня 2019 года. Кроме
того, речь может идти и о введении административной ответственности за
неправильное категорирование таких объектов
