Как в России обеспечивают защиту государственных информационных систем от хакеров

Нарушение функционирования объектов критической информационной инфраструктуры может привести к выходу из строя объектов обеспечения жизнедеятельности населения, транспорта, связи. О том, как ведется работа по их защите от хакерских атак, читайте подробнее в нашем материале
Хакер

В 2013 году Президент РФ издал Указ «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Документ возложил на ФСБ России полномочия по созданию такой системы.

Но глобализация современных информационно-коммуникационных сетей привела к рискам новых угроз безопасности России. Переход на «цифру» упростил и частично автоматизировал управление процессами в стране, но в то же время сделал их более уязвимыми перед компьютерными атаками. Вредоносная программа способна вывести из строя любое оборудование, а при развитии событий по наихудшему сценарию — полностью парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую или экологическую катастрофу.

Поэтому в 2017 году в связи с расширением использования в России информационных технологий в ключевых отраслях экономики и сфере государственного управления был принят Закон «О безопасности критической информационной инфраструктуры Российской Федерации». Им была создана правовая и организационная основа для эффективного функционирования системы безопасности такой инфраструктуры.

Основы защиты инфраструктуры

Закон определил основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов, а также права и обязанности ответственных лиц, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

Так, были введены реестр и категории объектов критической информационной инфраструктуры, установлены требования по обеспечению их безопасности, обеспечено взаимодействие этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Кроме того, ведется оценка состояния защищенности инфраструктуры и государственный контроль в области ее безопасности.

Задачи по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации были возложены на ФСБ России.

В 2018 году Указом Службы был создан Национальный координационный центр по компьютерным инцидентам. Он обеспечивает координацию деятельности субъектов критической информационной инфраструктуры РФ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Уголовная ответственность

Также с принятием закона о функционировании такой системы безопасности в Уголовный кодекс РФ была введена новая статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ». 

Создание и распространение компьютерных программ, предназначенных для неправомерного воздействия на инфраструктуру, будет наказываться принудительными работами на срок до пяти лет либо лишением свободы на срок от двух до пяти лет. Это будет сопровождаться штрафом в размере от 500 тыс. до одного миллиона рублей. Если информацию не уберегли от хакеров или появилась угроза таких последствий, то сотрудник может быть лишен свободы на срок до шести лет.

При действии группы по сговору срок может составить от восьми лет лишения свободы. Если деяния повлекли тяжкие последствия или создали угрозу их наступления, предусмотрено наказание в виде срока от пяти до 10 лет.

Административная ответственность

В 2021 году была установлена административная ответственность должностных и юридических лиц за нарушения требований по обеспечению безопасности критической информационной инфраструктуры РФ и несвоевременное предоставление сведений органам, отвечающим за ликвидацию компьютерных атак.

Документ устанавливает штрафы за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов для должностных лиц в размере от 10 тыс. до 50 тыс. рублей, для юрлиц – от 50 тыс. до 100 тыс. рублей.

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам — от 100 тыс. до 500 тыс. рублей. 

Предусмотрена ответственность за нарушение порядка обмена информацией о компьютерных инцидентах между субъектами инфраструктуры и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. Штрафы для должностных лиц составят от 20 тыс. до 50 тыс. рублей, для юрлиц – от 100 тыс. до 500 тыс. рублей.

Кроме того, штрафы в размере от 10 тыс. до 50 тыс. рублей должностным лицам и от 50 тыс. до 100 тыс. рублей юрлицам будут грозить за нарушение сроков или непредоставление соответствующих сведений в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также в уполномоченный орган исполнительной власти.

Предусматривается проведение административного расследования, если после выявления административного правонарушения осуществляются экспертиза или иные процессуальные действия, требующие значительных временных затрат.