Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует с 2020 года ввести административную ответственность за несоблюдение требований к безопасности объектов критической информационной инфраструктуры (КИИ), к которым относятся информационные системы госорганов, оборонные и энергетические предприятия, кредитно-финансовые организации. Сейчас закон о КИИ, вступивший в силу в прошлом году, все еще работает неполноценно, признают участники рынка. В то же время в регионах уже начинают требовать его соблюдения.
ФСТЭК уведомила о начале разработки законопроекта, вводящего административную ответственность за нарушение требований к обеспечению безопасности объектов КИИ, следует из информации на regulation.gov.ru. Проект должен вступить в силу в январе 2020 года.
Объектами КИИ являются, например, информационные системы госорганов, оборонные и энергетические предприятия, кредитно-финансовые организации. По закону «О безопасности КИИ» (вступил в силу 1 января 2018 года), их владельцы должны отнести свои объекты к одной из трех категорий значимости, исходя из потенциального ущерба от атак, а также подключить их к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА, созданной ФСБ.
По закону «О безопасности КИИ», владельцы значимых объектов уже обязаны соблюдать требования к их безопасности, но при этом ответственности за несоблюдение этой нормы нет, если оно не повлекло неправомерного воздействия на КИИ, указывает ФСТЭК в обосновании законопроекта. За само неправомерное воздействие на КИИ закон предусматривает уголовную ответственность.
В Кодексе об административных правонарушениях уже есть ст. 13.12 «Нарушение правил защиты информации» (предусматривает штрафы до 15 тыс. руб. для юридических лиц за нарушение требований о защите информации), но в ФСТЭК всегда говорили, что она не работает для КИИ, отмечает независимый эксперт по кибербезопасности Алексей Лукацкий. «Они, по сути, хотят аналогичную статью, но под критическую инфраструктуру»,— говорит он. В то же время, по словам двух собеседников “Ъ”, в 2018 году региональные прокуратуры уже начали обращаться с запросами к владельцам объектов КИИ на предмет исполнения закона. «Непонятно, была это частная точечная инициатива региональных прокуратур или централизованный запрос»,— отмечает один из собеседников.
В целом закон о КИИ полноценно пока так и не заработал, констатируют участники рынка. «Это связано с тем, что нет четких сроков по завершению процессов категорирования. Многие организации оттягивают этот процесс и, следовательно, не занимаются обеспечением безопасности»,— поясняет Алексей Лукацкий. По его словам, ФСТЭК уже инициировала внесение изменений, согласно которым завершить категорирование объектов КИИ нужно будет к 1 июня 2019 года. Кроме того, речь может идти и о введении административной ответственности за неправильное категорирование, указывает господин Лукацкий. «Сейчас организации сами должны определять, к какой категории относятся. Разумеется, они часто либо занижают категорию, либо вообще говорят, что значимых объектов нет»,— говорит он. «Практика категорирования довольно размыта, и многие организации делают вид, что их объекты не являются КИИ, чтобы сэкономить»,— подтверждает собеседник в компании—производителе средств защиты информации.