В октябре в Государственную Думу повторно внесен законопроект о штрафах за несоблюдение законодательства о защите КИИ. Весной текущего года законопроект уже был в Государственной Думе под номером 01/05/03-19/00089944 и даже прошел процедуру общественных слушаний, однако не был утвержден даже в первом чтении. Это и понятно − параллельно шла работа над изменением положения о категорировании, т. е. над постановлением Правительства №452, утвержденное 13 апреля и внесшее изменение в постановление №127-ПП «О правилах категорирования объектов КИИ». Данное изменение установило срок для владельцев государственных информационных систем и принадлежащих государству субъектов КИИ к 1 сентября зарегистрировать перечни объектов, которые подлежат категорированию. Предполагалось, что и остальные владельцы КИИ подтянутся и тоже зарегистрируют свои перечни, хотя для них срок был рекомендательный.
И вот 1 сентября прошло, а владельцы объектов КИИ не торопятся заниматься категорированием. В результате давление на них должно быть усилено. Это можно было понять по цифрам, которые ФСТЭК опубликовала в сентябре по результатам сбора перечней, в том числе и на нашей конференции «Информационные технологии в металлургии металлообработке». По данным Елены Торбенко, заместителя начальника Управления ФСТЭК России, в реестре зарегистрировано более 36 тыс. объектов, но, по оценкам ФСТЭК, эта цифра должна быть раза в три больше. Стало быть, для остальных субъектов, которые владеют потенциальными объектами КИИ, нужно придумать «кнут», который можно будет использовать в 2021 г., когда Служба рассчитывает начать плановые проверки субъектов КИИ.
В качестве такого «кнута» вполне может выступить законопроект №02/04/10-19/00096058, который был внесен в Государственную Думу 18 октября. Существенным отличием от предыдущего аналогичного законопроекта можно считать, что он вступает в силу через десять дней после подписания − апрельский законопроект должен был вступить в силу сразу после подписания Президентом. По сути же оба законопроекта предполагают добавить в КоАП две статьи: №13.12.1 «Нарушение требований в области обеспечения безопасности КИИ РФ» и №19.7.15 «Непредоставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ».
Сразу отметим, что теоретически статья №13.12.1 относится к тем компаниям, которые уже прошли процедуру категорирования, поскольку они наказывают лишь владельцев значимых объектов КИИ (только последний пункт выбивается). Поэтому и штрафы от 10 до 50 тыс. руб. на должностных лиц и от 50 до 200 тыс. руб. для юридических лиц, скорее всего, не будут способствовать присвоению объектам правильной категории значимости. Однако последний пункт данной статьи «Нарушение порядка обмена информацией о компьютерных инцидентах» уже относится ко всем, кто имеет систему оповещения об инцидентах. Правила, закрепленные в приказе №368 ФСБ России, запрещают, например, обмен с иностранными организациями в обход НКЦКИ. Так что, возможно, получая фид по признакам компрометации от иностранной организации, можно неожиданно оказаться оштрафованным по ст. №13.12.1 КоАП за нарушение порядка обмена. И под этот пункт подпадают все компании, в том числе даже те, кто не заявил о наличии у них объектов КИИ.
Будущая статья №19.7.15 КоАП не менее интересна. Она состоит из двух частей: первая – «Непредставление или нарушение сроков предоставления … сведений о результатах присвоения объекту КИИ РФ одной из категорий значимости…» и вторая – «Непредоставление или нарушение порядка либо сроков представления в ГосСОПКА информации» по инцидентам. Срок предоставления сведений во ФСТЭК указан один − год со дня регистрации перечня объектов КИИ. Поскольку обязательного срока по регистрации перечня так и нет, компаниям вроде бы можно не беспокоиться. Однако словосочетание «нарушение сроков предоставления» можно трактовать очень расширительно − если срока нет, то уже имеется нарушение.
Сроки взаимодействия с ГосСОПКА установлены приказом №282 ФСБ, который уже обсуждались [1]. В нем установлены достаточно жесткие сроки информирования НКЦКИ об инцидентах − до 24 часов с момента инцидента. Причем, опять же, в КоАП нет ограничения по значимости объектов, они указаны только в приказе. Следовательно, по данному пункту также можно получить штраф, если инцидент произошел, об этом стало известно, а в ГосСОПКА информация передана не была. И тут тоже нет привязки к процедуре категорирования. Таким образом, часть положений законопроекта может ударить по компаниям, которые владеют объектами КИИ, практически сразу после его принятия. К счастью, пока еще можно попытаться сгладить требования готовящегося закона − общественные слушания продлятся до 15 ноября.
