Мера, усиливающая ответственность
За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре (КИИ), или информсистем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ, введена административная ответственность.
Вступивший в силу закон перевёл нарушения эксплуатационной дисциплины в КИИ из «внутреннего инцидента ИТ/ИБ» в самостоятельный административный риск с ощутимыми штрафами и длинным сроком давности, а значит — резко повысил цену неформальных практик в эксплуатации, объяснила управляющий партнер О2 Consulting Анна Никитченко. Речь идет о соблюдении правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации, а также правил доступа к информационным системам, ИТ-сетям, АСУ и сетям электросвязи, относящимся к КИИ. Под удар попадают именно эксплуатационные нарушения: несоблюдение регламентов доступа, работы с данными, конфигурации и режима функционирования объектов КИИ, уточнила эксперт.
Ключевая законодательная идея проста — государство прекращает относиться к ошибкам эксплуатации как к частной проблеме ИТ‑службы. Если раньше за «некорректно настроенный доступ» или игнорирование регламента сохранения данных сотрудник мог получить максимум выговор, теперь речь идет о штрафе до 500 тысяч рублей для компании, до 50 тысяч рублей — для должностного лица и до 10 тысяч рублей — для рядового специалиста, пояснила адвокат ССП-Консалт Анастасия Третинникова.
Правила эксплуатации КИИ — это не один документ, а целый комплекс требований: от федеральных законов до внутренних регламентов субъектов КИИ, подчеркнула адвокат. Так, Федеральный закон 187‑ФЗ «О безопасности КИИ» задает общие обязанности субъектов: категорировать объекты, обеспечить их безопасность и поддерживать безопасность на всем жизненном цикле. На его основе утверждены подзаконные акты, в том числе требования по обеспечению безопасности значимых объектов КИИ, где более подробно регламентирован объем исполнения обязанности по обеспечению безопасной эксплуатации: от ввода в действие и модернизации до ежедневной работы и вывода из эксплуатации.
С выходом 187‑ФЗ в 2013 году были введены два вида ответственности: административная (КоАП РФ) и уголовная (УК РФ), уточнил директор департамента «Информационная безопасность» Рексофт Сергей Бабкин. Согласно документу, за нарушение требований к созданию или функционированию системы безопасности значимых объектов КИИ предусмотрен штраф: на должностных лиц — 10-50 тысяч рублей, на юридических лиц — 50-100 тысяч рублей. За нарушение порядка информирования об инцидентах и ликвидации последствий атак в отношении значимых объектов — штраф на должностных лиц 10-50 тысяч рублей на юрлиц 100-500 тысяч рублей. За нарушение порядка обмена информацией об инцидентах — штраф на должностных лиц 20-50 тысяч рублей, на юрлиц — 100-500 тысяч рублей.
Уголовная ответственность наступает за создание, распространение или использование «вредоносного» для КИИ инструментария, неправомерный доступ к охраняемой информации и нарушение правил эксплуатации объектов КИИ, если причинен вред. Правоприменительная практика таких мер достаточно распространена. В части уголовной ответственности в основном судебные решения ограничивались условными сроками, подчеркнул эксперт.
«Свод правил для объектов КИИ, по которым может возникнуть административная ответственность, сфокусирован на обеспечении безопасности значимых объектов. В качестве ключевых можно отметить несколько правил. Первое — выполнение организационных мероприятий в структуре субъекта КИИ: выделение кадровых ресурсов, внедрение системы организационно-распорядительной документации (ОРД), выполнение требований по созданию или модернизации объектов КИИ. Второе — необходимость категорирования объектов КИИ и выполнение подзаконных актов, устанавливающих требования по их защите. Особо стоит отметить требования к системам связи объектов КИИ, а также требования к программному обеспечению ОКИИ. Последние устанавливают необходимость реализации элементов РБПО — стандарта безопасной разработки — для прикладного программного обеспечения (ПО). Кроме того, важно использование на значимых объектах КИИ РФ только ПО, включенного в единый реестр российского или евразийского ПО», — пояснил Сергей Бабкин.
Не доводить до инцидентов
Проблема нарушений правил эксплуатации КИИ стала заметной на фоне стремительной цифровизации госуправления, отметила Анастасия Третинникова
«Все больше жизненно важных процессов уходит в «цифру» — от Госуслуг,и телемедицины до энергетики и транспорта. Любой сбой в такой системе уже не выглядит как «локальный баг сервера» — он напрямую затрагивает граждан и устойчивость целых отраслей, а значит является вопросом национальной безопасности. Именно сочетание тотальной цифровизации и накопившихся уязвимостей в повседневной эксплуатации КИИ вывело проблему в фокус законодателя и привело к появлению отдельного состава административной ответственности», — считает Анастасия Третинникова.
Раньше все понимали, что кибератака, утечка или серьезный сбой будут иметь негативные последствия для организации, но до наступления инцидента границы ответственности были размытыми, напомнил директор по развитию компании UDV Group Максим Хараск. Теперь организацию можно привлечь к административной ответственности за сам факт неправильной эксплуатации систем, сетей и средств, относящихся к КИИ. Проверяющему органу больше не нужно ждать, пока нарушение закончится инцидентом: если требования не выполняются, это основание для реакции, подчеркнул эксперт. Логика такая: нарушение нужно фиксировать и пресекать до того, как оно приведет к атаке, сбою или ущербу.
«Причина понятна: атак на критическую информационную инфраструктуру становится больше. Объектов КИИ тоже много. Компаний, которые попадают под эти требования, достаточно, а ресурсы контролирующих органов не бесконечны. ФСТЭК, ФСБ, прокуратура и отраслевые регуляторы физически не могут ежедневно держать под полным контролем каждую такую организацию. Поэтому государство делает ставку на более понятную и прикладную ответственность. Не просто “защищайте КИИ, потому что так надо”, а “не выполняете правила эксплуатации — отвечаете”», — пояснил Максим Хараск.
Для организаций с объектами КИИ это усложнит жизнь, полагает эксперт. Не получится ограничиться папкой документов, формальным соответствием и надеждой, что проверка не придет. Придется следить за тем, как реально эксплуатируются системы, кто отвечает за процессы, как фиксируются изменения, выполняются ли внутренние регламенты и насколько вся эта практика соответствует требованиям регуляторов. Организациям становится сложнее игнорировать требования, а контролирующим органам проще реагировать до того, как нарушение превратится в полноценный инцидент, заключил Максим Хараск.
Новая административная ответственность делает эксплуатацию КИИ намного более «доказуемой» и, следовательно, более бюрократически тяжелой. Теперь любая неформальная правка, ускоренный доступ «по звонку» или отклонение от регламента может стать предметом административного дела, подчеркнула Анна Никитченко. Для объектов КИИ это означает необходимость жестче формализовать доступы, изменения конфигурации, регламенты эксплуатации, журналирование и ответственность конкретных должностных лиц, иначе риск штрафа станет системным, а не эпизодическим. Закон повышает цену скорости и гибкости в пользу управляемости и систему мер: цифровая трансформация в КИИ теперь должна проектироваться не только через эффективность, но и через непрерывно контролируемую эксплуатационную дисциплину, считает эксперт.
«Проблема действительно очень серьезна: законодатель не вводит новую норму «в вакууме», а закрывает практический пробел между административной и уголовной ответственностью, который до этого позволял многим эксплуатационным нарушениям оставаться вне эффективного наказания. Это также связано с тем, что в КИИ много рисков возникает не из-за умышленных атак, а из-за повседневной операционной небрежности, обхода регламентов и ошибок доступа, то есть из-за управленческой и процессной слабости, а не только из-за внешнего злоумышленника. Именно поэтому новая норма привязана к факту нарушения правил эксплуатации, а не к наступлению тяжких последствий: государство хочет предотвращать инциденты раньше, чем они превращаются в ущерб», — пояснила Анна Никитченко.
По сути вышедшая мера усиливает ответственность по ст. 13.12.1 КоАП РФ (устанавливает административную ответственность за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры РФ — прим. ред.), которая уже применяется достаточно широко, и не думаю, что ее введение вызовет существенный резонанс, что она усложнит деятельность объектов КИИ, а вот повысить требовательность и грамотность — должна, предположил Сергей Бабкин.
Новый состав административной ответственности вынудит операторов КИИ пересмотреть внутренние правила эксплуатации, закрепить зоны ответственности (полномочий), договоры с подрядчиками и повышать персональную ответственность специалистов, предупредила Анастасия Третинникова. Хорошая новость в том, что у бизнеса появляется более понятная градация рисков: не всякая ошибка оператора КИИ автоматически переходит риск уголовно‑правовой плоскости, резюмировала она.
Ранее «Телеспутник» рассказывал, что в первом квартале 2026 года российские объекты критической информационной инфраструктуры столкнулись с резким ростом киберугроз. Доля атак на данный сектор достигла 77% от общего числа инцидентов, что на 10 п.п. выше показателей прошлого года.
Иллюстрация: «Телеспутник»
_69e1fc0c59cf4.jpg)
