Введение ответственности за нарушения 187-ФЗ

---

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

---

Уголовная практика по делам, связанным с неправомерным воздействием на критическую информационную структуру Российской Федерации, уже начинает складываться:

• Петропавловск-Камчатский городской суд Камчатского края (Дело № 1-345/2019)
• Первомайский районный суд г. Владивостока (Дело № 1-376/2019 )
• Ленинский районный суд г. Владивостока

По трём случаям рано делать далеко идущие выводы, но важно отметить, что для целей ст.274.1 УК РФ совершенно не важно, было ли проведено Категорирование объектов КИИ и какие категории значимости были присвоены. Данная статья касается критической информационной инфраструктуры Российской Федерации в целом, в самом широком её понимании. В принципе — логично: формальности формальностями, но если вред был причинён, то какая разница, оформлены ли у Субъекта КИИ правильно все документы и создана ли система безопасности?

Тем не менее, законодатели не оставляют попыток ввести ответственность и за иные нарушения требований по обеспечению безопасности объектов критической информационной инфраструктуры.

Первая версия соответствующего проекта была опубликована ещё в марте этого года:

• Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)», ID проекта 01/05/03-19/00089944

Проект принят не был и вот 18 октября была предпринята новая попытка:

• Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации», ID проекта 02/04/10-19/00096058

Предложенный текст ничем не отличается от того, что был подготовлен ранее по итогам общественного обсуждения. Единственное различие — в сроке действия. В новой версии добавлена отсрочка 10 дней: Настоящий Федеральный закон вступает в силу по истечении десяти дней после дня его официального опубликования.

Обозревать проекты законов — дело неблагодарное, так как финальный текст может измениться, но раз предпринимается вторая попытка и текст остался тот же, то есть смысл изменить этому правилу.

Итак, вот за что и какие наказания предполагается ввести (оКИИ и сКИИ — объекты и субъекты КИИ, СБ ЗО КИИ — системы безопасности значимых объектов КИИ, НПА — нормативно-правовые акты).

---

Статья 13.12.1. Нарушение требований в области обеспечения безопасности КИИ РФ

1. Нарушение порядка категорирования оКИИ, за исключением случаев, предусмотренных частью 1 статьи 19.7.15 настоящего Кодекса:
   • должностные лица: штраф от 10 до 50 тыс руб
   • юрлица: штраф от 50 до 100 тыс руб
2. Нарушение требований к созданию СБ ЗО КИИ РФ и обеспечению их функционирования, установленных федеральными законами ‎и принятыми в соответствии с ними иными НПА РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния:
   • должностные лица: штраф от 10 до 40 тыс руб
   • юрлица: штраф от 50 до 100 тыс руб
3. Нарушение требований по обеспечению безопасности ЗО КИИ РФ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния:
   • должностные лица: штраф от 10 до 50 тыс руб
   • юрлица: штраф от 50 до 100 тыс руб
4. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ РФ, установленного федеральными законами и принятыми в соответствии с ними иными НПА РФ:
   • должностные лица: штраф от 10 до 50 тыс руб
   • юрлица: штраф от 150 до 200 тыс руб
5. Нарушение порядка обмена информацией о компьютерных инцидентах между сКИИ РФ, между сКИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты:
   • должностные лица: штраф от 20 до 50 тыс руб
   • юрлица: штраф от 100 до 200 тыс руб

---

Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ

1. Непредставление или нарушение сроков представления в ФОИВ, уполномоченный в области обеспечения безопасности КИИ РФ, сведений о результатах присвоения объекту КИИ РФ одной из категорий значимостилибо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности КИИ РФ
   • должностные лица: штраф от 10 до 50 тыс руб
   • юрлица: штраф от 50 до 100 тыс руб
2. ‎Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ РФ:
   • должностные лица: штраф от 10 до 50 тыс руб
   • юрлица: штраф от 150 до 500 тыс руб

---

Первые четыре части ст. 13.12.1 касаются только значимых объектов, а пока Категорирование не проведено и его результаты не приняты ФСТЭК России, объекты значимыми не считаются, да ещё и нарушить сроки из части 1 ст. 19.7.15 можно только госорганам и госучреждениям, но формулировка «Непредставление или нарушение сроков представления» позволяет наложить штраф и тогда, когда срок предоставления не установлен: обязанность по представлению есть, но сведения не представлены — вот и нарушение.

Получается, что тянуть с Категорированием нет смысла — штраф до 100 тыс на юрлицо ведь может быть применён и неоднократно. После Категорирования в случае появления ЗО КИИ ещё, правда, придётся создавать СБ ЗО КИИ, но вряд ли кто-то из субъектов КИИ, владеющих значимыми объектами, всерьёз рассматривает вариант жёсткой конфронтации и принципиального неКатегорирования.

Другое дело, что не совсем понятно, как быть ФСТЭК России, когда субъект Категорирование выполнил, но ЗО КИИ у себя специально «не нашёл», хотя по идее они у него должны быть. Впрочем, это тема отдельного разговора.

Возвращаясь к планируемой ответственности — штрафы за нарушения во взаимодействии с ГосСОПКА (да, не совсем корректно так говорить, но зато проще) из частей 4 и 5 ст. 13.12.1 и части 2 ст. 19.7.15 повыше, чем за другие нарушения, да и получить их можно по любым объектам, не важно даже — они признаны незначимыми или просто ещё не прокатегорированы.

Так что затягивать с внедрением у себя в организации процесса информирования о компьютерных инцидентах явно не стоит. Покупать дорогостоящие решения или платить кому-то за сервис «по взаимодействию с ГосСОПКА» вовсе не обязательно, но определить ответственного и утвердить соответствующий регламент вполне по силам практически любой организации.

--- === @zlonov === ---

---

--- === @zlonov === ---