Пояснительная записка к проекту федерального закона N 1048574-7 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации" (не действует)

Пояснительная записка
к проекту федерального закона N 1048574-7 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"

Досье на проект федерального закона

Проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации" (далее - законопроект) предусматривается дополнение Кодекса Российской Федерации об административных правонарушениях (далее - Кодекс) статьями 13.12.1 и 19.7.15, устанавливающими административную ответственность за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) и за неисполнение обязанности по представлению сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры.

Законопроект направлен на правовое регулирование обеспечения безопасности объектов критической информационной инфраструктуры, нарушение функционирования которых может привести к выходу из строя объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, прекращению или нарушению оказания государственных услуг, нанесению ущерба жизни и здоровью людей, возникновению ущерба субъектам критической информационной инфраструктуры и бюджетам Российской Федерации.

В настоящее время статьей 274.1 Уголовного кодекса Российской Федерации предусмотрена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре.

В соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ) субъекты критической информационной инфраструктуры, являющиеся правообладателями значимых объектов критической информационной инфраструктуры, обязаны соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

Требования в области обеспечения безопасности значимых объектов критической информационной инфраструктуры установлены Федеральным законом N 187-ФЗ и принятыми в соответствии с ним нормативными правовыми актами (Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127, Требованиями к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденными приказом ФСТЭК России от 21 декабря 2017 г. N 235, Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 239, Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденным приказом ФСБ России от 19 июня 2019 г. N 282, Порядком представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденными приказом ФСБ России от 24 июля 2018 г. N 367 и Порядком обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, утвержденным приказом ФСБ России от 24 июля 2018 г. N 368).

Ответственность за несоблюдение указанных требований, создающее предпосылки к нанесению ущерба критической информационной инфраструктуре в случае совершения компьютерной атаки, но не повлекшее причинение вреда критической информационной инфраструктуре, не установлена.

Вместе с тем невыполнение требований законодательства о безопасности критической информационной инфраструктуры может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства.

Так, в 2017 году была осуществлена масштабная компьютерная атака с использованием вируса-шифровальщика WannaCry, в том числе на отдельные субъекты критической информационной инфраструктуры. Анализ последствий указанной атаки на примере 3 государственных компаний, в состав информационной инфраструктуры каждой из которых на момент атаки входило около 50 000 средств вычислительной техники, показал, что заражению в этих организациях подверглись около 33% автоматизированных рабочих мест и 50% серверов, восстановление работоспособности которых заняло от 1 до 3 суток. Около 25% работников указанных организаций в течение этого времени не могли в полной мере исполнять свои должностные обязанности.

Причиной заражения средств вычислительной техники являлась нереализация мер по обеспечению информационной безопасности, предусмотренных законодательством Российской Федерации о безопасности критической информационной инфраструктуры, в частности, невыполнение требований по своевременному обновлению программного обеспечения, отсутствие регламентов и правил работы с электронной почтой, невыполнение минимальных требований по защите периметра информационных и автоматизированных систем.

Для разработки и реализации мер, направленных на ликвидацию последствий компьютерной атаки, каждой из указанных государственных компаний была привлечена внешняя организация, имеющая соответствующие компетенции. Стоимость затрат на услуги этой организации для каждой государственной компании составила от 3 до 5 миллионов рублей в зависимости от масштаба последствий компьютерной атаки и применяемого компаниями программного обеспечения. В эту сумму не включена стоимость услуг по восстановлению инфраструктурного, прикладного программного обеспечения и информации, содержавшихся на средствах вычислительной техники.

Кроме того, согласно информации, представленной в обзоре несанкционированных переводов денежных средств за 2018 год, подготовленном Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, в результате воздействия вредоносного кода на объекты информационной инфраструктуры одного субъекта критической информационной инфраструктуры - оператора по переводу денежных средств злоумышленникам удалось осуществить несанкционированные операции по переводу денежных средств с корреспондентских счетов на общую сумму 79,9 млн. рублей.

Размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в Российской Федерации, который составляет 80 - 100 тыс. рублей (по результатам анализа вакансий, представленных на сайте www.hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак.

В настоящее время в соответствии с Федеральным законом N 187-ФЗ более чем 5 000 субъектов критической информационной инфраструктуры определили свыше 50 тыс. принадлежащих им объектов критической информационной инфраструктуры, подлежащих категорированию. Вместе с тем на сегодняшний день более чем по 1 700 объектам не соблюдены сроки представления сведений о результатах их категорирования, установленные в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. N 127.

По результатам анализа поступивших сведений о более чем 8 500 объектах, для которых определена категория значимости, сделан вывод о том, что более чем у 60% из 860 субъектов, владеющих значимыми объектами критической информационной инфраструктуры, системы обеспечения безопасности значимых объектов не соответствуют требованиям к созданию систем безопасности значимых объектов критической информационной инфраструктуры и обеспечению их функционирования (приказ ФСТЭК России от 21 декабря 2017 г. N 235) и требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (приказ ФСТЭК России от 25 декабря 2017 г. N 239).

В 2019 году Национальным координационным центром по компьютерным инцидентам выявлено 120 компьютерных инцидентов. При этом в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации о компьютерных инцидентах не поступило ни одного сообщения.

Таким образом, в настоящее время законодательство Российской Федерации о безопасности критической информационной инфраструктуры выполняется не в полной мере, что создает угрозу безопасности критической информационной инфраструктуры.

Кроме этого, законопроектом предусматривается установить специальный срок давности привлечения к административной ответственности по проектируемым статьям 13.12.1 и 19.7.15 - один год.

Необходимость установления такого срока связана с тем, что в соответствии с пунктом 2 части 3 статьи 13 Федерального закона N 187-ФЗ возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Факт невыполнения требований, установленных законодательством в области обеспечения безопасности критической информационной инфраструктуры, на момент возникновения соответствующего компьютерного инцидента в соответствии с Правилами осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 17 февраля 2018 г. N 162, может быть установлен только в ходе выездной проверки. При этом срок проведения проверки в отношении субъекта критической информационной инфраструктуры, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, устанавливается отдельно по каждому филиалу, представительству и обособленному структурному подразделению субъекта критической информационной инфраструктуры и может составлять 60 рабочих дней.

Истечение сроков давности привлечения к административной ответственности является обстоятельством, исключающим производство по делу об административном правонарушении (пункт 6 части 1 статьи 24.5 Кодекса).

Полномочиями по рассмотрению дел об административных правонарушениях, предусмотренных проектируемыми частью 1 статьи 13.12.1 и частью 1 статьи 19.7.15 Кодекса, предлагается наделить федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры (ФСТЭК России).

Полномочиями по рассмотрению дел об административных правонарушениях, предусмотренных проектируемыми частями 2 и 3 статьи 13.12.1 и частью 2 статьи 19.7.15 Кодекса, предлагается наделить федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ФСБ России).

Одновременно вносятся изменения в пункт 5 части 2 статьи 23.45 и в пункт 2 части 2 статьи 23.46 Кодекса, предусматривающие возможность рассмотрения дел об административных правонарушениях, предусмотренных статьями 13.12 (нарушение правил защиты информации) и 13.13 (незаконная деятельность в области защиты информации) Кодекса, начальниками структурных подразделений ФСТЭК России и начальниками структурных подразделений территориальных органов ФСТЭК России.

Указанные изменения направлены на оптимизацию расходов, необходимых для осуществления комплексных выездных проверок, проводимых ФСТЭК России в соответствии с поручениями Президента Российской Федерации или Правительства Российской Федерации, в рамках которых наряду с вопросами обеспечения безопасности критической информационной инфраструктуры осуществляется проверка состояния технической защиты информации ограниченного доступа.

Учитывая, что территориальные органы ФСТЭК России являются территориальными органами межрегионального уровня и расположены в столицах федеральных округов, а также значительную удаленность и распределенность проверяемых субъектов по территории федерального округа, наделение начальников структурных подразделений соответствующими полномочиями будет способствовать оперативному рассмотрению дел об административных правонарушениях и сокращению расходов бюджетных средств на проведение проверочных мероприятий.

Кроме того, в целях нивелирования возможных негативных последствий предлагаемого регулирования для бюджетов бюджетной системы Российской Федерации, а также планомерного и поступательного исполнения установленных требований субъектами предпринимательской деятельности без избыточной финансовой нагрузки законопроектом предусмотрен переходный период в отношении трудозатратных мероприятий, ответственность за которые устанавливается проектируемой частью 1 статьи 13.12.1 Кодекса.

Учитывая, что производство по делам об административных правонарушениях, предусмотренных Законопроектом, будет осуществляться должностными лицами ФСТЭК России и ФСБ России в рамках реализации их полномочий в области обеспечения безопасности критической информационной инфраструктуры и в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также наличие у этих лиц механизмов и опыта производства по делам об административных правонарушениях, предусмотренных статьями 13.12 (нарушение правил защиты информации) и 13.13 (незаконная деятельность в области защиты информации) Кодекса, дополнительная нагрузка на них будет отсутствовать.

Реализация Законопроекта не повлечет за собой дополнительных затрат, необходимых для осуществления производства по делам о предусмотренных им административных правонарушениях.

Финансово-экономическое обоснование
к проекту федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"

Принятие и реализация проекта федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации" не потребует расходов, покрываемых за счет федерального бюджета.

Перечень
федеральных законов, подлежащих принятию, изменению, приостановлению или признанию утратившими силу в связи с проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"

В связи с проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации" не потребует признания утратившими силу, приостановления, изменения или принятия федеральных законов.

Перечень
нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"

В связи с проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации" не потребуется признания утратившими силу, приостановления, изменения или принятия актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти.