Юридическая ответственность за правонарушения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

В 2017 году был принят Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее -ФЗ-187). Этим законом были установлены требования по обеспечению безопасности критической информационной инфраструктуры Российский Федерации (далее КИИ) и обеспечении ее устойчивого функционирования при проведении в отношении нее компьютерных атак. Обязанность по обеспечению безопасности КИИ возлагается на субъекты КИИ: юридические лица и индивидуальных предпринимателей, которым на праве собственности, аренды или ином законном основании принадлежат объекты КИИ [1].

Одновременно с принятием ФЗ-187 был принят Федеральный закон от 26.07.2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», который установил уголовную ответственность за преступления в указанной области. Следует отметить, что уголовная ответственность установлена за нарушения на всех объектах КИИ в то время, как обязанность принимать меры по защите информации установлена только для значимых объектов КИИ объектов КИИ, прошедших соответствующую процедуру категорирования, признанных значимыми и включенных в реестр значимых объектов КИИ, ведущийся ФСТЭК России.

Постановка проблемы

В настоящее время публичное обсуждение проходит проект изменений в КоАП РФ, подготовленный ФСТЭК, который дополнит КоАП РФ положениями о штрафах для субъектов КИИ. На данный момент за нарушения по обеспечению безопасности КИИ не установлена административная ответственность. Таким образом, за многие нарушения отсутствует установленная законом санкция.

В отсутствии специальных норм в области защиты КИИ применяются общие нормы, устанавливающие ответственность в сфере защиты информации с ограниченным доступом, - статьи 13.12 и 13.14 КоАП РФ. Помимо этого, возможно применение административной санкции за невыполнение предписания, выданного надзорным органом по результатам проведенной проверки выполнения требований по защите КИИ субъектом КИИ. Решение о введении комплекса административных санкций за правонарушения в данной сфере обеспечит возможность органам, осуществляющим регулирование системы защиты информации на общегосударственном уровне, более действенно влиять на субъекты КИИ, нарушающих установленные требования [2].

Важным аспектом юридической ответственности является возможность доказательства противоправных действий, что осложняется тем, что объекты КИИ зачастую являются гетерогенными сложными системами. В [3] отмечается, что возможность доказательства противоправного действия в компьютерных системах во многом зависит от следующих направлений:

• -    разработки специальных средств наблюдения и регистрации действий пользователя в системе;

• -    признания журналов регистрации действий пользователя и других документов, отражающих действия персонала, работающего с конфиденциальной информацией, как доказательства для судов и следственных действий.

Для этих целей на значимых объектах КИИ применяются меры по обеспечению невозможности отказа лиц от выполненных действий в соответствии с мерами по защите информации, установленными приказами ФСТЭК России. Эти меры включают в себя технические и организационные мероприятия: применение соответствующих средств защиты информации, ведение журналов, контроль со стороны работников субъекта КИИ и иные.

Заключение

Появление новых технологий и сфер регулирования ведет к появлению новых и изменению уже существующих норм и санкций, предусмотренных российским законодательством. В сфере обеспечения безопасности КИИ можно видеть, что государство в последние годы ведет активную работу, направленную на совершенствование механизмов защиты объектов КИИ и госу- дарственного контроля в данной облас-ти[4]. Вместе с этим нельзя не отметить, что существует проблема юридической ответственности, связанной с отсутствием установленных законом санкций за проступки в сфере КИИ.Формирование законодательства в области обеспечения безопасности КИИ следует осуществлять в совокупности с административно-правовыми мерами.