С 2024 года нарушение требований 187-ФЗ обходится дороже. Уголовная ответственность — реальная, административные санкции растут. Разбираем, что грозит субъектам КИИ и как не встретить регулятора неготовым.
Административная ответственность за нарушения в сфере КИИ предусмотрена статьями 13.12.1 и 19.7.15 КоАП РФ (непредставление или недостоверность сведений о категорировании — ст. 19.7.15; нарушение требований к безопасности ЗОКИИ и порядка информирования об инцидентах — ст. 13.12.1). Санкции применяются к должностным и юридическим лицам за четыре группы нарушений:
Штраф — только часть картины. ФСТЭК одновременно выдаёт предписание об устранении нарушений. Не исполнишь в срок — новый протокол и новые санкции.
Аудит объектов КИИ до прихода ФСТЭК
Выявим нарушения и устраним заблаговременно. Снизим риск предписаний и штрафов при плановой проверке.
Аудит объектов КИИ до прихода ФСТЭК
Выявим нарушения и устраним их до плановой проверки — снизим риск предписаний и штрафов
Статья 274.1 УК РФ работает жёстче, чем многие ожидают. Уголовная ответственность наступает за:
Ключевой момент по ч. 3: нарушение правил эксплуатации не требует доказательства умысла на причинение вреда. Достаточно самого факта нарушения, повлёкшего последствия.
После инцидента на значимом объекте следователи проверяют, выполнены ли требования приказов №235 и №239. Не создана система безопасности, не реализованы меры — это уже нарушение правил эксплуатации.
Непроведение категорирования ФСТЭК выявляет без инцидентов. По факту поступивших (или не поступивших) сведений. Типичные нарушения:
Всё это легко документируется. Именно поэтому категорирование — первый состав, который появляется в актах проверки.
О том, как провести категорирование правильно: пошаговая инструкция по категорированию объектов КИИ.
Субъект КИИ передаёт информацию об инцидентах в НКЦКИ через ГосСОПКА: первичные сведения — в течение 3 часов с момента обнаружения, подробная информация — в течение 24 часов. После ликвидации — результаты расследования.
Пропустил 3-часовое окно — самостоятельный состав по ст. 13.12.1 КоАП РФ. Плюс ФСТЭК и ФСБ вправе назначить внеплановую проверку. По её итогам к нарушению уведомительного порядка добавятся все ранее не выявленные нарушения требований безопасности.
Надзор делится между двумя регуляторами:
| Регулятор | Что проверяет | Периодичность плановых проверок |
|---|---|---|
| ФСТЭК России | Категорирование, требования приказов №235 и №239, ведение реестра значимых объектов | раз в 3 года (187-ФЗ ст. 13 ч. 2) — срок единый для всех категорий |
| ФСБ России | Взаимодействие с ГосСОПКА, порядок информирования об инцидентах, средства обнаружения атак | По плану или по факту инцидента |
Внеплановые проверки — без привязки к периодичности. Инцидент, жалоба, поручение прокуратуры — любой повод достаточен.
Если субъект КИИ обрабатывает персональные данные, у него есть и ответственность по 152-ФЗ. Закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за нарушения именно в сфере персональных данных — до 15 млн руб. или процент от выручки. К 187-ФЗ эти санкции прямого отношения не имеют, но для субъектов КИИ в медицине, банках или госорганах оба риска накапливаются одновременно.
Пять конкретных шагов:
«Кредо-С» проводит аудит информационной безопасности объектов КИИ и помогает привести защиту в соответствие требованиям 187-ФЗ до прихода регулятора. Обзор обязательств субъектов КИИ — в материале «Критическая информационная инфраструктура». Полный цикл: категорирование → аудит → создание системы безопасности.
Остались вопросы? Оставьте заявку
Я соглашаюсь на обработку персональных данных
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года