Журнал "Information Security/ Информационная безопасность" #1, 2020

12 • ПРАВО И НОРМАТИВЫ КоАП и КИИ В январе ФСТЭК России опублико- вала доработанный по итогам обсуж- дения проект федерального закона "О внесении изменений в Кодекс Рос- сийской Федерации об администра- тивных правонарушениях в части уста- новления административной ответ- ственности за нарушение законода- тельства в области обеспечения без- опасности критической информацион- ной инфраструктуры (КИИ) Россий- ской Федерации" 4 (далее – Проект). Суммы административных штрафов, предлагаемые Проектом, приведены в табл. 1. Однако по итогам экспертизы была получена отрицательная оценка регули- рующего воздействия Проекта. При этом Минэкономразвития России отмечает, что наличие проблемы и целесообраз- ность ее решения с помощью регулиро- вания, предусмотренного Проектом, обоснованы. Прекращение поддержки и выпуска обновлений для ОС Win- dows 7 и Windows Server 2008 21 января 2020 г. ФСТЭК России опубликовала информационное сообще- ние "О применении сертифицированных операционных систем (ОС) Microsoft Windows 7 и Microsoft Windows Server 2008 R2" в связи с прекращением их технической поддержки от 20 января 2020 г. № 240/24/250 5 . Компанией Microsoft с 14 января 2020 г. прекращена поддержка и выпуск обновлений для ОС Windows 7 и Windows Server 2008 R2, на основа- нии чего ФСТЭК России прекратила действие сертификатов соответствия № 2180/1 на ОС Microsoft Windows 7 (SP1) в редакциях: "Профессиональ- ная", "Корпоративная" и "Максималь- ная", и № 2181/1 на ОС Microsoft Win- dows Server 2008 R2 (SP1) в редакциях: Standard, Enterprise и Datacenter. Ввиду возможности обнаружения новых уязвимостей в указанных ОС отсут- ствие их обновлений производителем может привести к вероятной реализа- ции угроз безопасности информации. Органам государственной власти и организациям, использующим серти- фицированные версии, рекомендуется до 1 июня 2020 г. перейти на ОС, под- держиваемые производителем, а до момента перехода применять перечень компенсирующих мер по защите инфор- мации, указанный в информационном письме ФСТЭК России. Стоит отметить, что в действующей редакции приказа ФСТЭК России от 25.12.2017 № 239 "Об утверждении Тре- бований по обеспечению безопасности значимых объектов критической инфор- мационной инфраструктуры Российской Федерации" установлено требование об обязательном применении в значимом объекте КИИ только программных средств, обеспеченных гарантийной и (или) технической поддержкой. Лицо Администра- За что? тивный штраф Должностное От 10 000 Нарушение порядка категорирования объектов КИИ лицо до 50 000 руб. Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА От 10 000 Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению до 50 000 руб. их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния От 20 000 Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, до 50 000 руб. между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Юридическое От 50 000 Нарушение порядка категорирования объектов КИИ лицо до 100 000 руб. Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объекта КИИ От 150 000 Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер до 200 000 руб. по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ От 100 000 Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, до 500 000 руб. между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредставление или нарушение порядка либо сроков представления информации в ГосСОПКА Таблица 1. Суммы административных штрафов, предлагаемые Проектом 4 https://regulation.gov.ru/projects#npa=96058 5 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2016-informatsionnoe-soobshchenie-fstek-rossii-ot- 20-yanvarya-2020-g-n-240-24-250