МОСКВА, 2 ноября. /ТАСС/. Правительство России в понедельник внесло в Госдуму законопроект о введении административных штрафов до 500 тыс. рублей за нарушение требований по обеспечению безопасности критической информационной инфраструктуры РФ, а также за несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак. Текст размещен в думской электронной базе.
Согласно изменениям, предложенным в Кодекс об административных правонарушениях, нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, а на юридических лиц - от 50 тыс. до 100 тыс. рублей.
Нарушение "порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак", согласно тексту законопроекта, будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам - от 100 тыс. до 500 тыс. рублей. Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы - для должностных лиц от 20 тыс. до 50 тыс. рублей, для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно, с нарушением сроков, поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц - от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен (уведомлен с опозданием) о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и от 50 тыс. до 100 тыс. рублей - для юридических лиц. Согласно пояснительной записке, "размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности".
Актуальность изменений
Как отмечают разработчики в пояснительных материалах, на данный момент Уголовным кодексом РФ предусмотрена ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой информации. При этом закон обязывает субъектов такой инфраструктуры соблюдать установленные требования по защите данных, утвержденные, в том числе, ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК). Однако сейчас ответственность за нарушение данных правил не установлена.
В качестве обоснования необходимости предложенных мер авторы приводят масштабную атаку 2017 года с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло от 1 до 3 суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.
Полномочиями по рассмотрению административных дел о правонарушениях по предложенным статьям предлагается наделить ФСТЭК и ФСБ. Положение о штрафах за нарушение порядка информирования о компьютерных инцидентах и принятия мер по их ликвидации должно вступить в силу с 1 сентября 2021 года.