Защита критической информационной инфраструктуры: зачем и что про это надо знать

Практически никто еще пару лет назад не обратил внимание на Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ, который вступил в силу 1 января 2018 года и ввел понятия объектов и субъектов критической информационной инфраструктуры (далее КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ. Поговорим о важных моментах — тем более, что сейчас вышел новый закон с изменениями.

Немного основ

Цитирую закон:

«…субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»

Вас не должны вводить в заблуждение слова государственные органы и государственные учреждения, ведь современные информационные системы — это и системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, обеспечивающие работу других объектов КИИ — имеются практически на всех более-менее крупных предприятиях и служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций.

Организации обязаны обеспечить безопасность объектов критической информационной инфраструктуры.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи если оно повлекло причинение вреда КИИ установлена уголовная ответственность с лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Многие скажут, что это не для них и никакого вреда их предприятие КИИ не нанесет, но для таких скептиков, уже опубликовали закон с поправками к КоАП РФ.

  Убыточность сделки не препятствует вычетам

Документ: Федеральный закон от 26.05.2021 N 141-ФЗ

Что изменится

С 6 июня 2021 года будут наказывать, если:

  • не передать в ФСТЭК сведения о присвоении объекту КИИ категории значимости или о том, что присваивать ее не нужно;
  • не соблюсти порядок уведомления ФСБ о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ;
  • нарушить правила обмена информацией об инцидентах (в частности, между субъектами КИИ).

В первом случае штраф для организаций составит от 50 тыс. до 100 тыс. руб., в остальных — от 100 тыс. до 500 тыс. руб. Максимальный штраф для должностных лиц по таким нарушениям — 50 тыс. руб.

С 1 сентября будут штрафовать за нарушение требований:

  • к созданию и обеспечению работы систем безопасности значимых объектов КИИ;
  • обеспечению безопасности этих объектов.

Если нет признаков уголовного деяния, должностные лица заплатят от 10 тыс. до 50 тыс. руб., организации — от 50 тыс. до 100 тыс. руб.

Срок давности привлечения к ответственности за все эти нарушения составит 1 год.

То есть если вы не установили антивирус и вашу сеть взломали или если персональные данные которые вы храните или обрабатываете попали в сеть, то в лучшем случае штраф до 100 тыс. руб., а если вы не сообщили об этом инциденте, то получите штраф до 500 тыс. Конечно же если ваше предприятие относится к объекту КИИ.

С чего начать

Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Для этого регулятор (ФСТЭК России) рекомендует осуществить поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях организации. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.

В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок — январь 2019 года. Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути.

Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области информационной безопасности.

В случае расследований инцидентов ИБ возможна ситуация, когда контролирующие органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой уголовную ответственность в соответствии с УК РФ (ст. 274.1).

  В разделе "Консультации онлайн" на Клерк.Ру появился новый консультант

Рекомендация. С целью недопущения негативных последствий, проверьте свое предприятие на предмет соответствия объекту критической информационной инфраструктуры (КИИ).