Россия: защита от хакерских атак

07 июня 2021 22:45

В связи с расширением использования в России информационных технологий в ключевых отраслях экономики и сфере государственного управления был принят Закон «О безопасности критической информационной инфраструктуры Российской Федерации». Им была создана правовая и организационная основа для эффективного функционирования системы безопасности такой инфраструктуры.

Закон определил основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов, а также права и обязанности ответственных лиц, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

Так, были введены реестр и категории объектов критической информационной инфраструктуры, установлены требования по обеспечению их безопасности, обеспечено взаимодействие этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Кроме того, ведется оценка состояния защищенности инфраструктуры и государственный контроль в области ее безопасности.

Задачи по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации были возложены на ФСБ России.

Был создан Национальный координационный центр по компьютерным инцидентам. Он обеспечивает координацию деятельности субъектов критической информационной инфраструктуры РФ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

С принятием закона о функционировании такой системы безопасности в Уголовный кодекс РФ была введена новая статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ».

Создание и распространение компьютерных программ, предназначенных для неправомерного воздействия на инфраструктуру, будет наказываться принудительными работами на срок до пяти лет либо лишением свободы на срок от двух до пяти лет. Это будет сопровождаться штрафом в размере от 500 тыс. до одного миллиона рублей. Если информацию не уберегли от хакеров или появилась угроза таких последствий, то сотрудник может быть лишен свободы на срок до шести лет.

При действии группы по сговору срок может составить от восьми лет лишения свободы. Если деяния повлекли тяжкие последствия или создали угрозу их наступления, предусмотрено наказание в виде срока от пяти до 10 лет.

В текущем году была установлена административная ответственность должностных и юридических лиц за нарушения требований по обеспечению безопасности критической информационной инфраструктуры РФ и несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак.

Документ устанавливает штрафы за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юрлиц – от 50 тыс. до 100 тыс. рублей.

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам — от 100 тыс. до 500 тыс. рублей.

Предусмотрена ответственность за нарушение порядка обмена информацией о компьютерных инцидентах между субъектами инфраструктуры и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. Штрафы для должностных лиц составят от 20 тыс. до 50 тыс. рублей, для юрлиц – от 100 тыс. до 500 тыс. рублей.

Кроме того, штрафы в размере от 10 тыс. до 50 тыс. рублей должностным лицам и от 50 тыс. до 100 тыс. рублей юрлицам будут грозить за нарушение сроков или непредоставление соответствующих сведений в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также в уполномоченный орган исполнительной власти.

Предусматривается проведение административного расследования, если после выявления административного правонарушения осуществляются экспертиза или иные процессуальные действия, требующие значительных временных затрат.