Новости / январь 2021
Штрафы по КИИ прошли первое чтение

Госдума приняла в первом чтении законопроект, который устанавливает административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ). Изменения в КоАП предполагают за нарушение требований безопасности таких объектов штраф: для должностных лиц - от 10 тыс. до 50 тыс. руб., а для юрлиц - от 50 тыс. до 100 тыс. руб. 
© ComNews
28.01.2021

Согласно законопроекту (№1048574-7), за непредставление или представление с нарушениями данных в госсистему обнаружения владельцам КИИ также придется уплатить штраф. Сумма взысканий для чиновников составит от 10 тыс. до 50 тыс. руб., для юрлиц - от 100 тыс. до полумиллиона рублей.

"Размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в Российской Федерации, который составляет 80-100 тыс. руб. (по результатам анализа вакансий, представленных на сайте hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак", - говорится в пояснительной записке к законопроекту.

Пока, согласно закону, ответственность за несоблюдение требований по безопасности важнейших информационных систем не установлена. Законопроектом предусматривается установить срок давности привлечения к административной ответственности по проектируемым статьям - один год.

"Необходимость установления такого срока связана с тем, что в соответствии с п.2 ч.3 ст.13 Федерального закона №187-ФЗ возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры. Факт невыполнения требований, установленных законодательством в области обеспечения безопасности критической информационной инфраструктуры, на момент возникновения соответствующего компьютерного инцидента в соответствии с Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 17 февраля 2018 г. №162, может быть установлен только в ходе выездной проверки. При этом срок проведения проверки в отношении субъекта критической информационной инфраструктуры, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, устанавливается отдельно по каждому филиалу, представительству и обособленному структурному подразделению субъекта критической информационной инфраструктуры и может составлять 60 рабочих дней", - говорится в пояснительной записке к законопроекту.

"Сейчас, безусловно, проблема с защитой КИИ стоит не так остро, как было еще два года назад, - говорит генеральный директор "Доктор Веб" Борис Шаров. - В основном хозяйствующие субъекты пришли к пониманию необходимости мер защиты, многие столкнулись с серьезными атаками на информационную инфраструктуру". По словам эксперта, ужесточение наказания - неизбежный процесс, поскольку это фактически единственный инструмент государства, которое пытается достичь определенного уровня защищенности стратегически важных информационных систем. Шаров считает, что главная проблема, которую надо решать по части КИИ, - это отсутствие на российском рынке большого выбора средств защиты, которые бы дали предприятиям свободу для маневра.

По меркам КоАП РФ, размер штрафа довольно велик, оценивает старший партнер юридической фирмы "Катков и партнеры" Павел Катков. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, за исключением гостайны, влечет наложение административного штрафа на граждан в размере от 1000 до 1500 руб.; на должностных лиц - от 1500 до 2500 руб.; на юрлиц - от 15 тыс. до 20 тыс. руб. (ч.1 ст.13.12 КоАП РФ). "В целом размер административных штрафов редко достигает отметки в 500 тыс. руб., как в проектируемой статье, - говорит Катков. - На этом фоне штрафы, конечно же, кажутся существенными. Однако существенность эту необходимо сопоставлять с масштабом компании. Twitter, Facebook или другой интернет-гигант без труда выплатят штраф и в 3 млн руб., а небольшую российскую компанию такая сумма может и разорить".

По мнению руководителя департамента системных решений Group-IB Станислава Фесенко, технологически организации - владельцы КИИ нередко отстают от банков, ретейла в части используемых средств защиты от киберугроз. Бюджетные учреждения и компании с госучастием не всегда могут выделить на это необходимый объем инвестиций. "Нельзя также сбрасывать со счетов долгие процедуры бюджетирования, проведение сложных отборов конкретных решений и длинных конкурсов. В результате при крайне динамичном развитии киберпреступности объекты КИИ зачастую не могут использовать актуальные технологии защиты от нее, - объясняет Станислав Фесенко. - К процессу реагирования на инциденты и их расследованиям КИИ тоже бывают не готовы. Это связано с отсутствием опыта работы с кибератаками, которая в других сферах и коммерции давно понятна и отработана. Другая проблема - разрыв между службами ИБ и ИТ, каждая из которых отвечает за свои секторы компьютерной сети: их действия далеко не всегда согласованы, часто не хватает регламентов и выстроенных процессов".

Кроме того, качественные кадры для ИБ-подразделения стоят дорого, эксплуатанты КИИ не всегда могут себе это позволить. Опрошенные специалисты по информационной безопасности наблюдают отток высококлассных специалистов в другие сферы и зарубежные компании.

"Объекты КИИ должны сменить устаревшую парадигму кибербезопасности, взяв вектор на построение умных технологических экосистем, способных полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент", - сказал представитель Group-IB. При этом, добавил специалист, важно выявлять угрозы и зараженные узлы, анализируя сетевой трафик, и обеспечивать защиту не только традиционным ИТ-сетям, но и промышленным.

Новости из связанных рубрик