Практически никто еще пару лет назад не обратил внимание на Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ, который вступил в силу 1 января 2018 года и ввел понятия объектов и субъектов критической информационной инфраструктуры (далее КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ. Поговорим о важных моментах — тем более, что сейчас вышел новый закон с изменениями.
Немного основ
Цитирую закон:
«...субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»
Вас не должны вводить в заблуждение слова государственные органы и государственные учреждения, ведь современные информационные системы — это и системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ — имеются практически на всех более-менее крупных предприятиях и служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций.
Организации обязаны обеспечить безопасность объектов критической информационной инфраструктуры.
За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи если оно повлекло причинение вреда КИИ установлена уголовная ответственность с лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Многие скажут, что это не для них и никакого вреда их предприятие КИИ не нанесет, но для таких скептиков, уже опубликовали закон с поправками к КоАП РФ.
Документ: Федеральный закон от 26.05.2021 N 141-ФЗ
Что изменится
С 6 июня 2021 года будут наказывать, если:
- не передать в ФСТЭК сведения о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно;
- не соблюсти порядок уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ;
- нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ).
В первом случае штраф для организаций составит от 50 тыс. до 100 тыс. руб., в остальных — от 100 тыс. до 500 тыс. руб. Максимальный штраф для должностных лиц по таким нарушениям — 50 тыс. руб.
С 1 сентября будут штрафовать за нарушение требований:
- к созданию и обеспечению работы систем безопасности значимых объектов КИИ;
- обеспечению безопасности этих объектов.
Если нет признаков уголовного деяния, должностные лица заплатят от 10 тыс. до 50 тыс. руб., организации — от 50 тыс. до 100 тыс. руб.
Срок давности привлечения к ответственности за все эти нарушения составит 1 год.
То есть если вы не установили антивирус и вашу сеть взломали или если персональные данные которые вы храните или обрабатываете попали в сеть, то в лучшем случае штраф до 100 тыс. руб., а если вы не сообщили об этом инциденте, то получите штраф до 500 тыс. Конечно же если ваше предприятие относится к объекту КИИ.
С чего начать
Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Для этого регулятор (ФСТЭК России) рекомендует осуществить поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях организации. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.
В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок — январь 2019 года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути.
Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области информационной безопасности.
В случае расследований инцидентов ИБ возможна ситуация, когда контролирующие органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой уголовную ответственность в соответствии с УК РФ (ст. 274.1).
Рекомендация. С целью недопущения негативных последствий, проверьте свое предприятие на предмет соответствия объекту критической информационной инфраструктуры (КИИ).
Начать дискуссию