В Государственную Думу Правительством РФ внесен законопроект № 1048574-7 «О внесении изменений в КоАП РФ в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ РФ» [1]. В нем предполагается дополнить КоАП статьями за невыполнение требований к построению системы обеспечения информационной безопасности (СОИБ) и нарушению порядка информирования об инцидентах (статья 13.12.1), а также нарушение сроков информирования о присвоении категории значимости (статья 19.7.15). Также в КоАП вносятся разрешение о рассмотрении соответствующих дел о нарушениях, связанных с обеспечением безопасности КИИ, со стороны ФСТЭК (статья 23.90) и ФСБ (статья 23.91).
Вступление законопроекта в силу предполагается через 10 дней после принятия, кроме пункта о нарушении порядка информирования об инцидентах, который должен вступить в силу 1 сентября 2021 года. Такой отложенный срок как бы намекает, что авторы законопроекта рассчитывают принять его в текущую законодательную сессию, которая заканчивается прямо перед Новым годом. То есть будет как всегда — законопроект примут в пакете из большого количества законодательных актов 31 декабря, а после новогодних праздников ФСТЭК и ФСБ уже получат административные полномочия по наложению штрафов.
В частности, штрафы могут быть за несоблюдение требований приказов ФСТЭК по построению СОИБ. Так в сопроводительной записке к законопроекту поясняется, что из 860 субъектов, владеющих ЗОКИИ, по оценкам авторов законопроекта 60% не выполнили требования приказов ФСТЭК №235 и №239. Какое хорошее поле для внеочередных проверок и наложению штрафов! При этом, как отметил Валерий Комаров, начальник отдела обеспечения осведомленности управления ИБ ДИТ Москвы в своем блоге [2]: » ФСБ подняла размеры штрафов по своим составам правонарушений до 500 000 рублей, в первых версиях законопроекта по части правонарушений было до 200 000 рублей». При этом планируется установить срок давности по новым административным статьям в один год.
Также в пояснительной записке к законопроекту сказано, что сейчас более 5 тыс субъектов КИИ провели категорирование 50 тыс. объектов КИИ. При этом по 1700 объектам (3,4%) был нарушен срок предоставления сведений — наказание за такое нарушение также предусмотрено в предложенном законопроекте. Всего же объектов, для которых определена категория значимости, оказалось 8500, то есть 17% из прошедших процедуру категорирования.
При этом в записке сделан разбор инцидента 2017 года с червем WannaCry, который поразил как минимум 3 государственные компании. В частности, сказано, что из 50 тыс. средств вычислительной техники в этих компаниях было заражено 33% рабочих мест и 50% серверов. На восстановление работоспособности систем потребовалось от 1 до 3 рабочих дней, во время которых 25% работников не могли выполнять свои служебные полномочия. Основной причиной распространения вредоносного кода указывается несоблюдение субъектами КИИ требований закона №187-ФЗ «О безопасности КИИ», который на тот момент уже вполне выступил в силу.
Если новый законопроект будет принят в эту законодательную сессию, то у субъектов КИИ опять возникнут проблемы по реализации требований закона — их будут подстегивать штрафами для выполнения указанных требований по ИБ, поэтому лучше это сделать заранее — в течении ближайших месяцев. Хотя закон еще не принят, но слишком короткий срок вступления его в силу не позволит полностью и в короткий срок выполнить все существующие требования по созданию СОИБ и подключения к ГосСОПКА. Поэтому беспокоиться о соблюдение требований ФСТЭК и ФСБ стоит заранее.
[1] https://sozd.duma.gov.ru/bill/1048574-7
[2] https://valerykomarov.blogspot.com/2020/11/blog-post.html
