Какая ответственность предусмотрена за невыполнение требований категорирования объектов КИИ?
В рамках подготовки к двухдневной конференции-семинару «Безопасность критически важных объектов ТЭК и промышленных предприятий» экспертами RTM Group было проведено исследование на тему предусмотренной законодательством РФ ответственности за несоблюдение требований по безопасности критической информационной инфраструктуры.
1 января 2018 года вступил в силу 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Для начала необходимо определить, является ли ваша организация субъектом КИИ. Субъектами в данном случае будут являться государственные органы, государственные учреждения, российские юридические лица или индивидуальные предприниматели, которым принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в таких сферах, как:
- здравоохранение;
- наука;
- транспорт;
- связь;
- энергетика;
- банковская сфера и иные сферы финансового рынка;
- топливно-энергетический комплекс;
- атомная энергетика;
- оборонная промышленность;
- ракетно-космическая промышленность;
- горнодобывающая промышленность;
- металлургическая промышленность;
- химическая промышленность.
Определить принадлежность можно с помощью ОКВЭД, лицензий и иных разрешительных документов, а также с помощью учредительных документов организации, в которых может быть прописан вид деятельности, указывающий на принадлежность к критичным отраслям.
8 февраля 2018 года Правительством РФ утверждается постановление № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». Данное ПП 127 о категорировании объектов КИИ устанавливает правила категорирования КИИ, а также утверждает перечень показателей критериев значимости объектов КИИ.
Максимальные сроки категорирования КИИ не должны превышать одного года со дня утверждения субъектом критической информационной инфраструктуры перечня объектов.
Порядок категорирования объектов КИИ подробно расписан на официальном сайте RTM Group: https://rtmtech.ru/services/kategorirovanie-obektov-kii-ekspertiza-provedennyh-rabot/
Какая ответственность за невыполнение требований КИИ?
Административная ответственность:
Статья 13.2 Самовольное подключение к сети электрической связи оконечного оборудования
Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
Статья 13.12 Нарушение правил защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом
Статья 13.25. Нарушение требований законодательства о хранении документов
Статья 20.30 Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса
Уголовная ответственность:
Статья 217.1. Нарушение требований обеспечения безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса
Статья 272. Неправомерный доступ к компьютерной информации
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
Статья 283. Разглашение государственной тайны
Статья 284. Утрата документов, содержащих государственную тайну
Статья 293. Халатность
Подробности и материалы исследования могут быть предоставлены по запросу участников мероприятия «Безопасность критически важных объектов ТЭК и промышленных предприятий».