КИИ. Планирующиеся штрафы за нарушение требований в области КИИ


В РФ планируется установить административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры.

По всей видимости регуляторы уже наблюдают низкую активность субъектов КИИ по выполнению своих обязанностей либо ожидают что без этих штрафов, стимулов выполнять законодательство в области безопасности КИИ будет недостаточно. Поэтому был подготовлен и выложен на публичное обсуждение законопроект, вносящий 2 новые статьи в КОАП РФ.

В пояснительной записке указывается что авторы считают, что имеющаяся статья 274.1 УК РФ слишком суровая для обычного нарушения требований, поэтому предлагают дифференцированный подход: часть новых пунктов распространяется на всех субъектов КИИ, а другая – только на владельцев значимых объектов КИИ.
Ниже все штрафы на одной картинке

Крайний срок вынесения постановлении о нарушении планируют установить не позднее 1 года со дня совершения правонарушения (по сравнению с ПДн – больший срок, чтобы успеть собрать комиссию и разобраться в сложных случаях). Также определили довольно широкий перечень должностных лиц, наделенных полномочиями составлять протоколы и рассматривать дела о нарушениях.

PS: Законопроект выглядит логичным. Из личного общения с субъектами КИИ могу сделать вывод что наличие таких статей может существенно ускорить (с бесконечности до каких-то 3 лет) работы по ОБ КИИ.  

Пункты нарушений привязаны к конкретным НПА – ты отлично понимаешь, что за невыполнение данного конкретного документа будет именно такой-то пункт КОАП РФ.  В отличие от этого, по ПДн пункты нарушений какие-то выборочные – можно нарушить 90% требований, но под это не будет подходящей статьи и тебя просто не смогут наказать – только пожурить.

PPS: Диапазон сумм штрафов могли бы сделать и побольше, так как некоторые субъекты КИИ – это крупные корпорации и для них такие суммы всё ещё копеечные. На этом фоне более серьезными выглядят штрафы для должностных лиц – заплатить такие из собственного кармана уже не хотелось бы (340 тыс. руб. если нарушил всё что можно).

Комментарии

Unknown написал(а)…
Жесть, они по московским зарплатам считают штрафы. у меня з/п 15, если мне в перспективе светит штраф 50, то проще сейчас уволиться.
16 апреля 2019 г. в 23:50
Сергей Борисов написал(а)…
По-умолчанию ответственность лежит на руководителе организации.
Не соглашайтесь брать на себя ответственность по КИИ если не увидите что вам выделено достаточно ресурсов и полномочий. Если обнаружили нарушения, которые вы не в силах исправить самостоятельно - пишите служебные записки на руководителя, потом пригодятся при распределении штрафов.
17 апреля 2019 г. в 00:11
Комаров Валерий написал(а)…
"имеющаяся статья 274.1 УК РФ слишком суровая для обычного нарушения требований" -статья в УК РФ вообще про другое и не имеет отношения к предлагаемым составам правонарушений. ФСТЭК специально выделяет, что ей не хватает карательных возможностей за нарушения, КОТОРЫЕ НЕ ПОВЛЕКЛИ ПРИЧИНЕНИЯ ВРЕДА КИИ. Предлагают существенное ужесточение наказания для субъектов КИИ, никакой речи про дифференцированный подход. Просто прописали штрафы за каждое действие субъекта КИИ, прописанного в 187-ФЗ.
17 апреля 2019 г. в 12:59
Сергей Борисов написал(а)…
Валерий, ПП162 совершенно не решает проблему. Он всего лишь описывает как будет проходить проверка. Никакой возможности наказать нарушителя не появляется. Только дать предписание на устранение нарушений. Все мы понимаем в каких реалиях живем - если нет наказания, то никто ничего делать не будет (руководство не даст ресурсов). Будут сидеть и ждать проверки и предписания - только тогда возьмутся за дело, и сделают ровно то, что написали в предписании (один шажок в сторону ОБ КИИ)

18 апреля 2019 г. в 00:55
Сергей Борисов написал(а)…
Валерий, Штрафы прописали не за действия, а за нарушения требований. И это логично. Иначе получается фигня: есть какие то требования в НПА, ты ничего не делаешь - просто игнорируешь всю эту фигню. А по сути подрываешь безопасность КИИ. И тебя никак не могут наказать за
18 апреля 2019 г. в 00:55
Unknown написал(а)…
Принят закон о штрафах за нарушение требований защиты критической информационной инфраструктуры

Нарушение требований к созданию системы безопасности значимых объектов КИИ будет наказываться штрафом до 100 тысяч рублей, а нарушение порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер — до полумиллиона рублей.

https://roskomsvoboda.org/post/shtrafy-za-kii-dissidentsnvo/

21 мая 2021 г. в 04:07
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...