1. Главная
  2. Публикации
  3. Обзор изменений законодательства КИИ за май 2020

Обзор изменений законодательства КИИ за май 2020

22 июня 2020
434

Импортозамещение в критической информационной инфраструктуре

21 мая 2020 года был опубликован Проект Указа Президента Российской Федерации «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (далее – Проект Указа).

Проектом Указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры (далее – КИИ), и порядка перехода на преимущественное использование российского ПО и оборудования. При этом по Проекту Указа требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., а осуществить переход на российское ПО будет необходимо до 1 января 2021 г., на российское оборудование – до 1 января 2022 г.

К Проекту Указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по использованию российского оборудования – Минпромторг России. При этом в случае, если переход на российское обеспечение все-таки невозможен, то необходимо будет согласовать перечень используемого и (или) планируемого к использованию иностранного ПО с Минкомсвязи России, оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязи России, и Минпромторг России, и ФСБ России, и ФСТЭК России. В какие сроки будет подготовлено описание порядка согласования пока неизвестно: никаких временных рамок Проект Указа не устанавливает, а проектов нормативных актов от регуляторов еще не было представлено.

В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и (или) оборудования и направить копию этого плана в течение 30 рабочих дней с момента утверждения в Минкомсвязь России и Минпромторг России.

При этом экспертным сообществом отмечается:

  1. Невозможность исполнения предлагаемых сроков выполнения требований, которые будут утверждены к 1 сентября 2020 г., а часть из них уже надо будет выполнить за оставшиеся 4 месяца 2020 года. Также достаточная часть субъектов КИИ являются государственными органами и организациями со строго нормированным бюджетированием и процедурами закупок.
  2. Проекты нормативных актов скорей всего направлены на первоначальное планирование перехода на отечественное ПО и оборудование к 1 января 2021, с дальнейшим непосредственным переходом в более поздние регламентированные сроки.
  3. Проекты нормативных актов предусматривают распространение требований по импортозамещению на все объекты КИИ. Т.е. необходимо будет использовать российское ПО и оборудование не только в значимых объектах КИИ, но и на всех объектах КИИ, принадлежащих субъектам КИИ.


Новый КоАП РФ

29 мая 2020 г. к общественному обсуждению был представлен проект нового «Кодекса Российской Федерации об административных правонарушения» (далее – проект КоАП РФ). Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности.

Рассмотрим некоторые из основных изменений, предлагаемых Проектом КоАП РФ:

  1. Ч. 3 Ст. 12.1 отказ в заключении, изменении, расторжении и (или) исполнении договора с потребителем в связи с отказом потребителя предоставить персональные данные (далее – ПДн), за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством, и связана с непосредственным исполнением договора с потребителем, влечет наложение штрафов в размере до 500 тыс. рублей.
  2. Ст. 30.34. нарушение требований законодательства в сфере деятельности некредитных финансовых организаций в части защиты информации влечет предупреждение или наложение штрафов до 500 тыс. рублей.
  3. Ст. 30.35 нарушение оператором платежной системы и оператором услуг платежной инфраструктуры требований законодательства о национальной платежной системе в части защиты информации влечет предупреждение или наложение штрафа на должностных лиц до 100 тыс. рублей. При этом административный штраф за повторные нарушения может доходить до 1 млн. рублей.
  4. Ч. 6 ст. 33.1 невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа в размере до 500 тыс. рублей. Экспертным сообществом отмечается, что введение именно такого административного правонарушения позволит, наконец, привлекать операторов ПДн к ответственности за утечки ПДн.

В таблице ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ статьям 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.

ЛицоАдминистративный штрафЗа что?
Должностное лицоот 10 тыс. руб.
до 50 тыс. руб.
  • Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
  • Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ.
  • Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА.
от 10 тыс. руб.
до 50 тыс. руб.
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
от 20 тыс. руб.
до 50 тыс. руб.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Юридическое лицоот 50 тыс. руб.
до 100 тыс. руб.
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
  • Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
  • Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ.
от 150 тыс. руб.
до 200 тыс. руб.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
от 100 тыс. руб.
до 500 тыс. руб.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
  • Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА.
Индивидуальный предпринимательот 30 тыс. руб.
до 70 тыс. руб.
  • Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
  • Нарушение требований по обеспечению безопасности значимых объектов КИИ, ‎за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния.
  • Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ.
от 50 тыс. руб.
до 100 тыс. руб.
  • Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
  • Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
  • Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА.

Безопасность критической информационной инфраструктуры и УК РФ

Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ (далее – УК РФ), связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало Проект федерального закона «О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации» (далее – Проект ФЗ).

Согласно пояснительной записке к Проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду чего авторами Проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой статьи 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами «а равно для иных неправомерных действий в отношении указанной информации». Данная поправка должна привести перечень способов неправомерного воздействия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ.

‎Проектом ФЗ предлагается отказаться от термина «причинение вреда», который также неоднозначен и субъективен. «Причинение вреда» предлагается заменить на «причинение крупного ущерба». Понятие «причинение крупного ущерба» точно ‎и однозначно трактуется и широко используется в УК РФ, как связанное ‎с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно пункту 2 примечания к статье 272 УК РФ («Неправомерный доступ к компьютерной информации») крупным ущербом в статьях главы 28 «Преступления в сфере компьютерной информации» УК РФ признается ущерб, сумма которого превышает один миллион рублей.

Таким образом, предлагаемые изменения, по мнению авторов Проекта ФЗ, позволят четко определить размер имущественного вреда, причинение которого станет основанием для наступления уголовной ответственности по частям 2 и 3 статьи 274.1 УК РФ.