Журнал "Information Security/ Информационная безопасность" #6, 2020

В особенно сложном положении оказываются организации, владеющие ЦОД, так как, к сожалению, в настоящее время данный термин не имеет четкого законодательного закрепле- ния. Совершенно ожидаемо и вполне закономерно на рассмотрение в Государст- венную Думу был внесен законопроект, призванный усилить административную ответственность за разгла- шение информации с ограниченным доступом путем увеличения сумм штрафов в десять раз. Законодательное определение ЦОД В контексте безопас- ности КИИ следует рассматривать проект федерального закона "О внесении изменений в Федеральный закон "О связи" 1 , разработанный Минцифрой. Помимо прочего предполагается законодательно закрепить понятие центра обра- ботки данных (далее – ЦОД). Это важно, ведь, несмотря на заверения ФСТЭК России, опре- деления термина "субъект кри- тической информационной инфраструктуры" и вытекающе- го из него "объект критической информационной инфраструк- туры" несовершенны. Как след- ствие, на практике нередки слу- чаи, когда организации затруд- няются с идентификацией себя в качестве субъекта КИИ или, например, организации – субъ- екты критической информацион- ной инфраструктуры колеблют- ся в выявлении у себя объектов критической информационной инфраструктуры. В особенно сложном положе- нии оказываются организации, владеющие ЦОД, так как, к сожалению, в настоящее время данный термин не имеет четко- го законодательного закрепле- ния. Его разношерстные опре- деления можно почерпнуть из следующих источников: l распоряжение Правительства России от 24.04.2007 г. № 516-р; l приказ Минкомсвязи России от 30.04.2019 г. № 178; l ГОСТ Р ИСО/МЭК 30134-1– 2018; l ГОСТ Р 58811–2020; l ГОСТ Р 58812–2020. Из-за этого допускается раз- ная трактовка того, можно ли считать ЦОД объектом крити- ческой информационной инфраструктуры или нет. Пола- гаю, что законодательное закрепление термина "ЦОД" снимет эту неопределенность. Однако на момент подготовки настоящей статьи упомянутый проект получил отрицательное заключение по результатам оценки регулирующего воздей- ствия от Минэкономразвития и был отправлен на доработку, в том числе и в части доработки термина "ЦОД". Штрафы за утечки Совершенно ожидаемо и вполне закономерно на рас- смотрение в Государственную Думу был внесен законопроект "О внесении изменений в Кодекс Российской Федерации об административных право- нарушениях" 2 , призванный уси- лить административную ответ- ственность за разглашение информации с ограниченным доступом путем увеличения сумм штрафов в десять раз. Таким образом, для граждан размер штрафа был увеличен с нынешних 0,5–1 тыс. руб. до 5–10 тыс. руб., а для долж- ностных лиц – с 4–5 тыс. руб. до 40–50 тыс. руб. К слову, будь такие штрафные санкции введены раньше, то, возможно, не случилось бы недавнего скандала, связанного с утечкой персональных данных москви- чей, переболевших коронави- русом. Штрафы за нарушения в сфере безопасности КИИ Продолжаем смотреть на законодательные инициативы, призванные совершенство- вать Кодекс Российской Феде- рации об административных правонарушениях. Рассмот- рим законопроект "О внесении изменений в Кодекс Россий- ской Федерации об админи- стративных правонарушениях в части установления адми- нистративной ответственности за нарушение законодатель- ства в области обеспечения безопасности критической информационной инфраструк- туры Российской Федерации" 3 . ФСТЭК России полагает, что существующих составов адми- нистративных правонаруше- ний недостаточно для стиму- лирования субъектов крити- ческой информационной инфраструктуры относиться надлежащим образом к порядку исполнения Феде- рального закона 187-ФЗ "О безопасности критической информационной инфраструк- туры Российской Федерации" и изданных в его исполнение нормативных правовых актов. Именно с этим связаны мно- гочисленные попытки испра- вить ситуацию. Так, первая попытка (через процедуру общественных 8 • ПРАВО И НОРМАТИВЫ Что день грядущий нам готовит?.. то владеет информацией, тот владеет всем миром. Наверное, всем знакомо это высказывание Натана Ротшильда. Обладание актуальной и достоверной информацией о готовящихся событиях (после ее анализа) позволяет принимать правильные управленческие решения с заделом на будущее. И конец 2020 года дал пищу для размышлений. К Алексей Раскутин, эксперт департамента информационной безопасности АО “КОНСИСТ-ОС" 1 ID-проекта: 02/04/08-20/00107649 2 https://sozd.duma.gov.ru/bill/1023005-7 3 https://sozd.duma.gov.ru/bill/1048574-7