Главная / Новости / Компании смогут штрафовать до 500 тыс руб за нарушения требований в области обеспечения безопасности КИИ

Компании смогут штрафовать до 500 тыс руб за нарушения требований в области обеспечения безопасности КИИ

05 ноября 2020
Компании смогут штрафовать до 500 тыс руб за нарушения требований в области обеспечения безопасности КИИ

Правительство РФ внесло в Госдуму соответствующий законопроект. Документ предусматривает специальный срок давности привлечения к административной ответственности по проектируемым статьям – один год.

Правительство РФ в понедельник внесло в Госдуму законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

Законопроект дополняет Кодекс РФ об административных правонарушениях статьями, устанавливающими административную ответственность за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры РФ и за неисполнение обязанности по представлению сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры.

Предполагается ввести штрафы за следующие нарушения:

  • Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 50 тысяч до 100 тысяч рублей.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры РФ, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры РФ, между субъектами критической информационной инфраструктуры РФ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, влечет наложение административного штрафа на должностных лиц в размере от 20 тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.
  • Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры РФ, сведений о результатах присвоения объекту критической информационной инфраструктуры РФ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры РФ, либо об отсутствии необходимости присвоения ему одной из таких категорий влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 50 тысяч до 100 тысяч рублей.
  • Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ информации (ГосСОПКА – ред.), предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 2 статьи 13.121 настоящего Кодекса, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.

«Невыполнение требований законодательства о безопасности критической информационной инфраструктуры может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства», – сказано в пояснительной записке.

Размеры предлагаемых штрафов, как сказано в пояснении, учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в РФ, который составляет 80 – 100 тысяч рублей (по результатам анализа вакансий, представленных на сайте www.hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак.

В настоящее время в соответствии с Федеральным законом № 187-ФЗ более чем 5 тысяч субъектов критической информационной инфраструктуры определили свыше 50 тысяч принадлежащих им объектов критической информационной инфраструктуры, подлежащих категорированию. Вместе с тем на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, сообщают авторы документа.

По результатам анализа поступивших сведений о более чем 8 500 объектах, для которых определена категория значимости, сделан вывод о том, что более чем у 60% из 860 субъектов, владеющих значимыми объектами критической информационной инфраструктуры, системы обеспечения безопасности значимых объектов не соответствуют требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры и обеспечению их функционирования (приказ ФСТЭК России от 21 декабря 2017 г. № 235) и требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (приказ ФСТЭК России от 25 декабря 2017 г. № 239).

В 2019 году Национальный координационный центр по компьютерным инцидентам выявил 120 компьютерных инцидентов. При этом в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) о компьютерных инцидентах не поступило ни одного сообщения

Законопроект предусматривает специальный срок давности привлечения к административной ответственности по проектируемым статьям – один год. Необходимость установления такого срока связана с тем, что возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Статья о непредоставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ, в случае принятия закона, вступит в силу с 1 сентября 2021 года. Остальные статьи – через 10 дней после опубликования документа.

Полномочиями по рассмотрению дел об административных правонарушениях, предусмотренных проектируемыми статьями, предлагается наделить ФСТЭК и ФСБ.

Критическая информационная инфраструктура – объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.

Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Источник: Экспертный центр Электронного государства

Читайте также:

05 ноября 2020

Сбор биометрии могут ввести для всех подозреваемых и обвиняемых

Правительство РФ внесло в ГД законопроект, расширяющий круг людей, у которых в обязательном порядке будут собирать биометрические данные. Он направлен на более эффективное раскрытие и расследование преступлений.