ФСТЭК позаботится о КИИ штрафами
Правительство РФ внесло в Госдуму законопроект №176874-8 "О внесении изменений в Кодекс РФ об административных правонарушениях", который предлагает внести изменения в ст.19.7.15 КоАП о том, что за повторное непредставление или нарушение сроков представления сведений о результатах присвоения объекту критической информационной инфраструктуры РФ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий вводится административный штраф от 50 тыс. до 100 тыс. руб. для должностных лиц, от 100 тыс. до 200 тыс. руб. - для юрлиц. Также наказание предусмотрено за предоставление недостоверной информации об объектах критической информационной инфраструктуры. За это будет грозить административный штраф от 10 тыс. до 50 тыс. руб. для должностных лиц, от 50 тыс. до 100 тыс. руб. - для юрлиц.
Субъекты КИИ представляют в федеральный орган исполнительной власти сведения о результатах присвоения объектам критической информационной инфраструктуры категорий значимости либо об отсутствии необходимости присвоения им таких категорий. Данные сведения содержат в том числе информацию о программных, программно-аппаратных средствах, используемых на объектах КИИ, а также сведения об угрозах безопасности информации и о нарушителях безопасности объекта критической информационной инфраструктуры. ФСТЭК России выявила случаи представления субъектами КИИ недостоверных сведений о результатах присвоения объектам КИИ категорий значимости, а также случаи непредставления актуализированных сведений субъектом КИИ при изменении в процессе эксплуатации принадлежащих ему объектов критической информационной инфраструктуры.
"Указанные факты не позволяют проводить полноценную оценку уровня защищенности объектов КИИ, а также своевременно реагировать на угрозы безопасности объектов КИИ в случае выявления таких угроз, - говорится в пояснительной записке. - Кроме того, отдельные субъекты КИИ допускают повторное непредставление, а также представление недостоверных сведений или нарушение сроков представления во ФСТЭК России сведений о результатах присвоения объектам КИИ РФ категорий значимости. Эти факты свидетельствуют об уклонении субъектов КИИ от реализации требований законодательства РФ о безопасности КИИ, что может привести к нарушению штатного функционирования значимых объектов КИИ, созданию реальной угрозу жизни и здоровью граждан, финансовой системе страны, безопасности государства".
В пояснительной записке к документу сказано, что ФСТЭК России проработала возможность установления размеров административных штрафов в зависимости от уровня экономической активности организаций, и решила, что установление размеров административного штрафа в зависимости от уровня экономической активности организаций не представляется возможным - то есть вне зависимости от того, получает ли юридическое лицо прибыль, оно обязано будет заплатить штраф.
Руководитель направления обеспечения безопасности критической информационной инфраструктуры Softline Захар Пожидаев отметил, что стоимость проведения мероприятий, необходимых для присвоения объектам КИИ категорий значимости, сильно зависит от объемов проекта: одно АРМ (автоматизированное рабочее место) на площадке или 100+ объектов в 10 городах. "Есть вероятность, что могут быть введены ужесточающие штрафы в размере процентов от оборота компании, а также расширена уголовная ответственность. Главная статья расходов - это внедрение доступных ИБ-решений на значимых объектах КИИ, на что уже сформирован фокус со стороны государства (Указы 166 и 250)", - рассказал он.
Владелец бизнес-школы Katkov.School, основатель KIP LegalTech, член Ассоциации юристов России Павел Катков прокомментировал: "Если статистика не приводится, то или ее нет, или это закрытая информация, или оба варианта. Однако, особенность этой нормы в том, что она упредительная. Полагаю, тут идея в том, чтобы не дожидаться, когда же эти нарушения станут массовыми и приведут к практическим проблемам в секторе работы с критической информационной инфраструктурой, а заранее обозначить правила игры и точки, до которых лучше эту ситуацию не доводить. Законом такой подход не запрещен. Если проблема есть - штрафы посыплются как из рога изобилия, и это будет означать, что законодатель был прав. Если проблемы нет - это станет "мертвой нормой" и от нее не будет ни жарко, ни холодно. Примут - увидим, кто был прав". Компании - субъекты КИИ воздержались от комментариев к данному законопроекту.