Введение ответственности за нарушения 187-ФЗ

Введение ответственности за нарушения 187-ФЗ
Уголовная практика по делам, связанным с неправомерным воздействием на критическую информационную структуру Российской Федерации, уже начинает складываться:
По трём случаям рано делать далеко идущие выводы, но важно отметить, что для целей ст.274.1 УК РФ совершенно не важно, было ли проведено Категорирование объектов КИИ и какие категории значимости были присвоены. Данная статья касается критической информационной инфраструктуры Российской Федерации в целом, в самом широком её понимании. В принципе — логично: формальности формальностями, но если вред был причинён, то какая разница, оформлены ли у Субъекта КИИ правильно все документы и создана ли система безопасности?
Тем не менее, законодатели не оставляют попыток ввести ответственность и за иные нарушения требований по обеспечению безопасности объектов критической информационной инфраструктуры.
Первая версия соответствующего проекта была опубликована ещё в марте этого года:
Проект принят не был и вот 18 октября была предпринята новая попытка:
Предложенный текст ничем не отличается от того, что был подготовлен ранее по итогам общественного обсуждения. Единственное различие — в сроке действия. В новой версии добавлена отсрочка 10 дней:
Настоящий Федеральный закон вступает в силу по истечении десяти дней после дня его официального опубликования.
Обозревать проекты законов — дело неблагодарное, так как финальный текст может измениться, но раз предпринимается вторая попытка и текст остался тот же, то есть смысл изменить этому правилу.

Итак, вот за что и какие наказания предполагается ввести (оКИИ и сКИИ— объекты и субъекты КИИ, СБ ЗО КИИ — системы безопасности значимых объектов КИИ, НПА — нормативно-правовые акты).

Статья 13.12.1. Нарушение требований в области обеспечения безопасности КИИ РФ
  • 1. Нарушение порядка категорирования оКИИ, за исключением случаев, предусмотренных частью 1 статьи 19.7.15 настоящего Кодекса:
  • должностные лица: штраф от 10 до 50 тыс руб
  • юрлица: штраф от 50 до 100 тыс руб
  • 2. Нарушение требований к созданию СБ ЗО КИИ РФ и обеспечению их функционирования, установленных федеральными законами ‎и принятыми в соответствии с ними иными НПА РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния:
  • должностные лица: штраф от 10 до 40 тыс руб
  • юрлица: штраф от 50 до 100 тыс руб
  • 3. Нарушение требований по обеспечению безопасности ЗО КИИ РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния:
  • должностные лица: штраф от 10 до 50 тыс руб
  • юрлица: штраф от 50 до 100 тыс руб
  • 4. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ,установленного федеральными законами и принятыми в соответствии с ними иными НПА РФ:
  • должностные лица: штраф от 10 до 50 тыс руб
  • юрлица: штраф от 150 до 200 тыс руб
  • 5. Нарушение порядка обмена информацией о компьютерных инцидентах между сКИИ РФ, между сКИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты:
  • должностные лица: штраф от 20 до 50 тыс руб
  • юрлица: штраф от 100 до 200 тыс руб
Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ
  • 1. Непредставление или нарушение сроков представления в ФОИВ, уполномоченный в области обеспечения безопасности КИИ РФ, сведений о результатах присвоения объекту КИИ РФ одной из категорий значимостилибо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности КИИ РФ
  • должностные лица: штраф от 10 до 50 тыс руб
  • юрлица: штраф от 50 до 100 тыс руб
  • 2. ‎Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ РФ:
  • должностные лица: штраф от 10 до 50 тыс руб
  • юрлица: штраф от 150 до 500 тыс руб
Первые четыре части ст. 13.12.1 касаются только значимых объектов, а пока Категорирование не проведено и его результаты не приняты ФСТЭК России, объекты значимыми не считаются, да ещё и нарушить сроки из части 1 ст. 19.7.15 можно только госорганам и госучреждениям , но формулировка «Непредставление или нарушение сроков представления» позволяет наложить штраф и тогда, когда срок предоставления не установлен: обязанность по представлению есть, но сведения не представлены — вот и нарушение.

Получается, что тянуть с Категорированием нет смысла — штраф до 100 тыс на юрлицо ведь может быть применён и неоднократно. После Категорирования в случае появления ЗО КИИ ещё, правда, придётся создавать СБ ЗО КИИ, но вряд ли кто-то из субъектов КИИ, владеющих значимыми объектами, всерьёз рассматривает вариант жёсткой конфронтации и принципиального неКатегорирования.

Другое дело, что не совсем понятно, как быть ФСТЭК России, когда субъект Категорирование выполнил, но ЗО КИИ у себя специально «не нашёл», хотя по идее они у него должны быть. Впрочем, это тема отдельного разговора.

Возвращаясь к планируемой ответственности — штрафы за нарушения во взаимодействии с ГосСОПКА (да, не совсем корректно так говорить, но зато проще) из частей 4 и 5 ст. 13.12.1 и части 2 ст. 19.7.15 повыше, чем за другие нарушения, да и получить их можно по любым объектам, не важно даже — они признаны незначимыми или просто ещё не прокатегорированы.

Так что затягивать с внедрением у себя в организации процесса информирования о компьютерных инцидентах явно не стоит. Покупать дорогостоящие решения или платить кому-то за сервис «по взаимодействию с ГосСОПКА» вовсе не обязательно, но определить ответственного и утвердить соответствующий регламент вполне по силам практически любой организации.

Какие из планируемых штрафов наиболее "мотивирующие" на ваш взгляд?
Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.