Совет Федерации ввел уголовное наказание за атаки на критическую ИТ-инфраструктуру
Совет Федерации одобрил закон, по которому все объекты критической информационной инфраструктуры будут занесены в специальный реестр и получат свой уровень защиты. Операторы объектов должны будут подключить их единой системе мониторинга и сообщать о киберинцидентах. Какой орган назначат отвечать за безопасность инфраструктуры — неизвестно, но есть вероятность, что ФСБ.
Закон о кибербезопасности
Советом Федерации был одобрен закон «О безопасности критической информационной инфраструктуры РФ». Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов. В документе указаны права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают.
Законопроект был разработан Федеральной службой безопасности (ФСБ) и внесен в Госдуму правительством в декабре 2016 г. В январе 2017 г. законопроект был одобрен в первом чтении, в начале июля — во втором. Закон вступит в силу с начала 2018 г.
Новый закон предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацоинные ресурсы России (ГосСОПКА), Система должна обеспечивать сбор и обмен информацией о компьютерных атаках. ГосСОПКА уже есть и работает, но подключение к ней не является обязательным.
По закону за безопасностью критической информационной инфраструктуры будет следить уполномоченный орган, пока точно неизвестно, какой именно. Подготовкой президентского указа, в котором этот орган будет определен, займутся ФСБ и Федеральная служба технического и экспортного контроля (ФСТЭК). Есть вероятность, что таковым уполномоченным органом станет ФСБ.
Субъекты инфраструктуры и их обязанности
Субъектами критической информационной инфраструктуры станут госорганизации, юридические лица и индивидуальные предприниматели, которые владеют или арендуют информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления из определенного перечня отраслей. Такие субъекты должны будут создать системы безопасности на основе разработанных государством требований.
Также субъекты должны будут незамедлительно сообщать в ГосСОПКА о компьютерных атаках на них, принимать указанные уполномоченными органами меры по отражению атак и допускать до своих объектов сотрудников спецслужб. В случае атаки на объекты финансового сектора необходимо будет ставить в известность еще и Центробанк. Для координации деятельности субъектов по отражению компьютерных атак ФСБ создаст Национальный координационный центр по компьютерным инцидентам.
Орган, уполномоченный на обеспечение безопасности критической информационной инфраструктуры, будет вести реестр ее субъектов. Этот реестр буде собирать информацию для ГосСОПКА. При внесении субъекта в реестр будет определяться категория его значимости — от первой до третьей. Категория будет присваиваться, исходя из экономической, социальной, политической, экологической значимости данного объекта, а также с учетом его важности для обороны.
Наказание за невыполнение
Одновременно с одобрением закона «О безопасности критической информационной инфраструктуры РФ», были утверждены проистекающие из него поправки в законы «О связи», «О государственной тайне», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также — поправки в Уголовный кодекс РФ.
В главе 28 Уголовного кодекса «Преступления в сфере компьютерной информации» появится статья 274.1, которая предусматривает наказание за вред, причиненный критической информационной инфраструктуре. За создание или распространение ПО, предназначенного для нанесения вреда инфраструктуре, хакеры будут на 5 лет отправляться на принудительные работы с ограничением свободы на срок до 2 лет. Как вариант, возможна выплата штрафа в размере от p600 тыс. до p1 млн и лишение свободы на срок от 2 до 5 лет.
Неправомерный доступ к охраняемой законом компьютерной информации, хранящейся в объектах инфраструктуры, будет наказывать принудительными работами на срок до 5 лет со штрафом на сумму от p500 тыс. до p1 млн и ограничением свободы на срок до 2 лет либо лишением свободы на срок от двух до шести лет со штрафом в размере от p500 тыс. до p1 млн.
Нарушения правил эксплуатации средств хранения, обработки и передачи информации из объектов инфраструктуры или автоматизированных сетей управления и сетей связи, отнесенных к ней, будут наказываться принудительными работами на срок до 5 лет с лишением права занимать определенные должности на срок до 3 лет, либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности на срок до 3 лет.