Предполагается ввести штрафы за следующие нарушения:

 Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 50 тысяч до 100 тысяч рублей.

 Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры РФ, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.

 Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры РФ, между субъектами критической информационной инфраструктуры РФ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, влечет наложение административного штрафа на должностных лиц в размере от 20 тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.

 Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры РФ, сведений о результатах присвоения объекту критической информационной инфраструктуры РФ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры РФ, либо об отсутствии необходимости присвоения ему одной из таких категорий влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 50 тысяч до 100 тысяч рублей.

 Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ информации (ГосСОПКА – ред.), предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 2 статьи 13.121 настоящего Кодекса, – влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до 50 тысяч рублей; на юридических лиц – от 100 тысяч до 500 тысяч рублей.

«Невыполнение требований законодательства о безопасности критической информационной инфраструктуры может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства», – сказано в пояснительной записке.

 

 

 

Размеры предлагаемых штрафов, как сказано в пояснении, учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в РФ, который составляет 80 – 100 тысяч рублей (по результатам анализа вакансий, представленных на сайте www.hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак.

 

В настоящее время в соответствии с Федеральным законом № 187-ФЗ более чем 5 тысяч субъектов критической информационной инфраструктуры определили свыше 50 тысяч принадлежащих им объектов критической информационной инфраструктуры, подлежащих категорированию. Вместе с тем на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, сообщают авторы документа.

 

По результатам анализа поступивших сведений о более чем 8 500 объектах, для которых определена категория значимости, сделан вывод о том, что более чем у 60% из 860 субъектов, владеющих значимыми объектами критической информационной инфраструктуры, системы обеспечения безопасности значимых объектов не соответствуют требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры и обеспечению их функционирования (приказ ФСТЭК России от 21 декабря 2017 г. № 235) и требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (приказ ФСТЭК России от 25 декабря 2017 г. № 239).

 

В 2019 году Национальный координационный центро по компьютерным инцидентам выявил 120 компьютерных инцидентов. При этом в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) о компьютерных инцидентах не поступило ни одного сообщения

 

Законопроект предусматривает специальный срок давности привлечения к административной ответственности по проектируемым статьям – один год. Необходимость установления такого срока связана с тем, что возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

 

Статья о непредоставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ, в случае принятия закона, вступит в силу с 1 сентября 2021 года. Остальные статьи – через 10 дней после опубликования документа.

 

Полномочиями по рассмотрению дел об административных правонарушениях, предусмотренных проектируемыми статьями, предлагается наделить ФСТЭК и ФСБ.

 

 

---

 

 

Для справки

 

Критическая информационная инфраструктура – объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

 

Объекты КИИ – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.

 

Субъекты КИИ – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

 

Источник

 

По всем вопросам о защите информации и критической информационной инфраструктуры обращайтесь к специалистам БелИнфоНалог

 

8-800-511-82-81 (Звонок по России бесплатный)