Требование распространяется на ИТ-компании являющиеся субъектами критической информационной инфраструктуры. Например, такими субъектами являются банки, брокеры, АЭС, платежные системы, провайдеры хостинга, операторы связи, точки обмена трафиком, владельцы IP адресов и сетей, компании имеющие статус LIR.
В случае несоблюдения новых требований, руководитель ИТ-компании обязан понести персональную ответственность за обеспечение информационной безопасности в компании. В Уголовный кодекс Российской Федерации была добавлена статья 274.1, которая устанавливает уголовную ответственность должностных лиц субъекта критической информационной инфраструктуры за несоблюдение установленных правил эксплуатации технических средств объекта КИИ или нарушение порядка доступа к ним вплоть до лишения свободы сроком до 10-ти лет.
Субъекты критической информационной инфраструктуры – это российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
У компаний являющихся субъектами критической инфраструктуры стало больше обязанностей
Действующий Президент России подписал указ о дополнительных мерах по обеспечению информационной безопасности в компаниях. Расширение обязанностей для компаний связано с ростом рисков хакерских атак на российские компании. Например, сервис Rutybe, в результате атаки был недоступен более трех дней в мае 2022 года.
С 1 мая 2022 года руководители компаний обязаны:
- возложить на заместителя полномочия по обеспечению информационной безопасности;
- создать подразделение, которое бы занималось такой защитой;
- обеспечивать должностным лицам органов ФСБ доступ через интернет к информационным ресурсам организации (или к тем, которые она использует) для мониторинга защиты этих ресурсов.
Правительство в течение месяца установит типовое положение о заместителе руководителя и о подразделении. Также определят перечень ключевых организаций, которым нужно оценить уровень защиты своих систем и до 1 июля представить доклад в правительство.
Также, с 1 января 2025 года запрещено использовать средства защиты информации из “недружественных” стран.
Административная ответственность для компаний субъектов критической информационной инфраструктуры
КоАП РФ Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, -влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
2. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей;
на юридических лиц – от ста тысяч до пятисот тысяч рублей.
3. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты,
– влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до пятидесяти тысяч рублей;
на юридических лиц – от ста тысяч до пятисот тысяч рублей.
Источники
- Ст.2. Федеральный закон от 26.07.2017 N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
- Указ Президента РФ от 01.05.2022 N 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”
- КоАП РФ
УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ
О ДОПОЛНИТЕЛЬНЫХ МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
В целях повышения устойчивости и безопасности функционирования информационных ресурсов Российской Федерации постановляю:
- Руководителям федеральных органов исполнительной власти, высших исполнительных органов государственной власти субъектов Российской Федерации, государственных фондов, государственных корпораций (компаний) и иных организаций, созданных на основании федеральных законов, стратегических предприятий, стратегических акционерных обществ и системообразующих организаций российской экономики, юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации (далее – органы (организации): а) возложить на заместителя руководителя органа (организации) полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты; б) создать в органе (организации) структурное подразделение, осуществляющее функции по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение; в) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обеспечению информационной безопасности органа (организации). При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации; г) принимать в случае необходимости решения о привлечении организаций к осуществлению мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. При этом могут привлекаться исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за исключением случая, предусмотренного подпунктом "б" пункта 5 настоящего Указа; д) обеспечивать должностным лицам органов федеральной службы безопасности беспрепятственный доступ (в том числе удаленный) к принадлежащим органам (организациям) либо используемым ими информационным ресурсам, доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети "Интернет", в целях осуществления мониторинга, предусмотренного подпунктом "в" пункта 5 настоящего Указа, а также обеспечивать исполнение указаний, данных органами федеральной службы безопасности по результатам такого мониторинга; е) обеспечивать незамедлительную реализацию организационных и технических мер, решения о необходимости осуществления которых принимаются Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю в пределах их компетенции и направляются на регулярной основе в органы (организации) с учетом меняющихся угроз в информационной сфере.
- Возложить на руководителей органов (организаций) персональную ответственность за обеспечение информационной безопасности соответствующих органов (организаций).
- Правительству Российской Федерации в месячный срок: а) утвердить: типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации); типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации); б) определить перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.
- Органам (организациям), включенным в перечень, определенный в соответствии с подпунктом "б" пункта 3 настоящего Указа, осуществить мероприятия по оценке уровня защищенности своих информационных систем и до 1 июля 2022 г. представить доклад в Правительство Российской Федерации.
- Федеральной службе безопасности Российской Федерации: а) организовать аккредитацию центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации; б) определить переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций) на основании заключенных с Федеральной службой безопасности Российской Федерации (Национальным координационным центром по компьютерным инцидентам) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты; в) определить порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, и осуществлять такой мониторинг.
- Установить, что с 1 января 2025 г. органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.
- Настоящий Указ вступает в силу со дня его официального опубликования.