Президент Владимир Путин подписал закон о введении штрафов
за нарушения требований к безопасности критической информационной
инфраструктуре. Размер штрафов составит до 500 тыс. руб. за каждый случай
нарушения. Однако эксперты полагают, что более логичным было бы введение
прогрессивной шкалы штрафов.
Штрафы за нарушение
требований к безопасности КИИ
Президент России Владимир
Путин подписал закон о введении административной ответственности за
нарушение требований по обеспечению безопасности критической информационной
инфраструктуры (КИИ), а также за несвоевременное предоставление сведений
органам, отвечающим за ликвидацию компьютерных атак. Документ вносит
соответствующие поправки в Кодекс об административных правонарушениях (КоАП).
Речь идет о нарушениях безопасности ИТ-инфраструктуры в
сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере
и т. д. Максимальная сумма штрафа для должностных лиц не превышает 50 тыс.
руб., для юридических достигает 500 тыс. руб.
Размер штрафов
Нарушение требований к созданию систем безопасности значимых
объектов КИИ, обеспечению их работы и безопасности повлечет наложение штрафа на
должностных лиц в размере от 10 тыс. до 50 тыс. руб., на юридических лиц — от 50
тыс. до 100 тыс. руб.
Такие же суммы грозят должностным лицам за «нарушение
порядка информирования о компьютерных инцидентах, реагирования на них, принятия
мер по ликвидации последствий компьютерных атак». Однако для юрлиц сумма штрафа
выше: от 100 тыс. до 500 тыс. руб.
За нарушение порядка обмена данными об инцидентах между
субъектами КИИ, иностранными уполномоченными органами, международными
организациями и научно-производственные объединения, работающими в сфере
реагирования на киберугрозы, для должностных лиц предусмотрены штрафы от 20
тыс. до 50 тыс. руб., для юридических лиц — от 100 тыс. до 500 тыс. руб.
Если в государственную систему обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены
или же несвоевременно поступили данные, предусмотренные законодательством в
области обеспечения безопасности КИИ, штраф для должностных лиц составит от 10
тыс. до 50 тыс. руб., а для юридических лиц — от 100 тыс. до 500 тыс. руб.
В том случае, если уполномоченный орган исполнительной
власти не будет уведомлен или будет уведомлен с опозданием о результатах
присвоения объекту КИИ одной из категорий значимости, то штраф составит от 10
тыс. до 50 тыс. руб. для должностных лиц и от 50 тыс. до 100 тыс. руб. для
юридических лиц.
Что такое критическая информационная инфраструктура
Закон о безопасности критической информационной
инфраструктуры был принят в 2017 г. Документ ввел понятия субъектов КИИ, к
которым относятся государственные организации, юридические лица и
индивидуальные предприниматели, владеющие информационными системами из ряда
стратегически важных отраслей: транспорт, телекоммуникации, банковская сфера,
атомная энергетика, ТЭК, здравоохранение, наука, металлургия, оборонная,
ракетно-космическая и химическая промышленность.
Субъекты критической информационной инфраструктуры должны
будут сообщать о компьютерных атаках в Государственную систему обнаружения,
предотвращения и ликвидации последствий компьютерных атак на информационные
ресурсы (ГосСОПКА). Президент России Владимир
Путин поручил Федеральной службе безопасности (ФСБ) создать эту систему в
2013 г.
Ритейл
Реестр субъектов критической информационной инфраструктуры
поручили вести другому ведомству — Федеральной службе технического и экспортного
контроля (ФСТЭК). Каждому субъекту КИИ, при соответствии определенным
требованиям, будет присваиваться категория в зависимости от его значимости.
При необходимости ФСБ может установить субъекту КИИ
собственные средства отражения компьютерных атак. Для координации обмена
информацией через ГосСОПКА ФСБ организовала Национальный координационный центр
компьютерных инцидентов (НКЦКИ).
Влияние штрафов на
обеспечение безопасности КИИ
Выступая в Госдуме в конце февраля 2021 г. в защиту
законопроекта о штрафах за нарушение требований по безопасности КИИ,
замдиректора ФСТЭК Виталий Лютиков
сообщил, что с момента вступления в силу закона о безопасности КИИ было
определено более 50 тыс. объектов критической информационной инфраструктуры. Из
них 10 тыс. были отнесены к наиболее значимым системам и сетям, подлежащим
защите в соответствии с установленными требованиями. Анализ состояния их
безопасности показал, что в 55% систем и сетей не применяются требуемые
средства защиты от компьютерных атак, заявил Лютиков.
По данным ГосСОПКА, в 2020 г. было выявлено более 120 тыс.
воздействий на информационную инфраструктуру России. Во ФСТЭК рассчитывают, что
принятие законопроекта побудит субъекты КИИ к своевременному принятию на
принадлежащих им объектах КИИ мер защиты.
Размер штрафов может
оказаться несущественным
Как поясняли ранее авторы документа, размеры штрафов
учитывают размер средней заработной платы глав структурных подразделений по
обеспечению информационной безопасности в России. Доход руководителей
варьируется от 80 тыс. до 100 тыс. руб. Эта сумма была получена «по результатам
анализа вакансий, представленных на сайте HeadHunter». Также при расчете
учитывалась и «стоимость возможных затрат субъектов КИИ на устранение
последствий компьютерных атак».
С одной стороны, на фоне других положений КоАП эти штрафы
могут показаться довольно существенными, сообщила Екатерина Сюртукова CNews,
руководитель по развитию бизнеса дирекции по интеграции «Ростелеком-Солар». С
другой стороны, субъекты КИИ — это, как правило, крупные корпорации, и для них
такие суммы не слишком серьезны, поясняют в компании. «Штрафы для должностных
лиц и вовсе не выглядят пугающими — максимальная сумма не превышает 50 тыс. руб.,
что для большинства неприятно, но достаточно терпимо», — говорит Сюртукова.
Еще один важный аспект, как считают в
«Ростелеком-Солар», — штрафы фиксированы и не зависят от масштаба последствий,
тогда как логичным представляется подход, при котором штрафы коррелировались бы
с размером возможного ущерба. «Это могла бы быть прогрессивная шкала, например,
с привязкой к категориям значимости объектов КИИ, ведь при категорировании
компании уже оценили масштаб последствий инцидентов по всем показателям, —
говорит Сюртукова. — Либо, как вариант, можно было бы по аналогии с подходом
GDPR (европейский закон о защите персональных данных) исчислять штрафы в
процентах от годового оборота компании-нарушителя».