Пару лет назад мало кто реагировал на Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ, который вступил в силу 1 января 2018 года. А ведь в нем введены понятия объектов и субъектов критической информационной инфраструктуры (далее КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ. С увеличением кибератак на информационные ресурсы важность защиты объектов КИИ только растёт. Законодательные органы видят это и усиливают регулирование.

Основные понятия

Кто такие объект КИИ и субъект КИИ? Ответ на этот вопрос законодатель подробно отразил в 187-ФЗ:

«…- объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;

– субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно – телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»

Считать, что эти понятия относятся только к государственным органам и государственным учреждениям не верно, ведь современные информационные системы — это и системы управления производственными данными, информационные системы управления предприятием (выполняющие плановые, финансовые, налоговые функции), а также сети связи, которые обеспечивают работу других объектов КИИ — имеются практически на всех крупных предприятиях и служат для интеллектуализации производства, помогают прослеживать все бизнес-процессы предприятий, чем экономят деньги организаций.

Ответственность за нарушения

Организации обязаны обеспечить безопасность объектов критической информационной инфраструктуры. За нарушения норм закона установлены соответствующие уровни ответственности – от дисциплинарной до уголовной.

Дисциплинарная ответственность наступает при совершении дисциплинарных проступков. Привлечь к ней может работодатель. Предусматриваемое наказание – предупреждение, выговор и увольнение. Увольнение возможно за однократный проступок.

Административная ответственность возникает в случае совершения проступков, которые в соответствие с Административным кодексом РФ, классифицируются как административные правонарушения.
Наказание – штраф, а также административный арест правонарушителя.

В КоАП в 2021 году добавлены новые статьи:
– Статья 13.12.1: нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
– Статья 19.7.15: непредоставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

К уголовной ответственности привлекают по ст. 274.1. УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Максимальное наказание –до 10 лет лишения свободы. Конечно же всё зависит от тяжести нарушения. Например, возможна ситуация, когда контролирующие органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это и может повлечь за собой уголовную ответственность в соответствии с УК РФ.

Пример из судебной практики

В Омской области возбудили и рассмотрели уголовное дело по ст. 274.1 ч.1: администратор игрового клуба, с целью улучшения IT-навыков, сканировал сеть на наличие уязвимостей и просканировал веб-сайт субъекта КИИ.

Что произошло согласно материалам дела:

«…Р.С.Р. использовал специальное программное обеспечение (далее – СПО), позволяющее проводить аудит безопасности информационного ресурса посредством загрузки и запуска данного СПО на сторонних (удаленных) ПЭВМ. … Р., действуя умышленно, с целью проверки своих навыков по использованию СПО, достоверно зная, что веб-сайт «» относится к объектам критической информационной инфраструктуры, открыл цифровое окно СПО, внёс в него данные электронного адреса: «», после чего запустил указанное СПО. Таким образом, Р.С.Р. осуществил использование компьютерной программы с целью проверки наличия на указанном сайте уязвимостей RCE, которая представляет собой возможность удаленного внедрения кода в серверный скрипт, главным администратором информационно-телекоммуникационной сети которой является «Казенное учреждение г. Омска «». «В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», «Казенное учреждение г. Омска » является субъектом критической информационной инфраструктуры».

Далее в материале суда приводится полное название — Казенное учреждение г. Омска «Управление информационно-телекоммуникационных технологий». Организация «учреждена для создания и развития информационно-коммуникационных сетей органов местного самоуправления г. Омска, Омской избирательной комиссии, муниципальных предприятий и учреждений г. Омска; муниципальных информационных систем г. Омска».

Далее приводится информация из заключения специалиста и экспертизы:

«Согласно заключению специалиста от 15.03.2021, заключению эксперта от 01.07.2021, на изъятом твердотельном накопителе обнаружены сведения об использовании СПО на СВТ для воздействия на информационную систему, выразившегося в сканировании сервера «» в поисках уязвимости веб-систем XSS (межсайтовый скриптинг), которая представляет собой одну из разновидностей атак на веб-системы с внедрением вредоносного кода на определенную страницу сайта и взаимодействием этого кода с удаленным сервером злоумышленника при открытии страницы пользователем. В ходе использования СПО пользователем с IP-адресом были получены сведения, о том, что сканируемый сайт создан с помощью системы с открытым кодом. Кроме того, СПО было использовано для проверки наличия на сайте уязвимостей и представляет собой возможность удаленного внедрения кода в серверный скрипт, что может привести к взлому ресурса с последующей возможностью размещения вредоносного кода на взломанном сервере».

Конечно, в этом случае суд применил более мягкий вид наказания: 1 год исправительных работ (условно) с удержанием 10% из заработной платы в доход государства потому, что не установлен вред. Но есть и более суровые нарушения 187-ФЗ.
Что примечательно – пока чаще встречается судебная практика по уголовным делам. А уголовное наказание – суровее.

Что делать с 187-ФЗ?

Правильный вариант – обратиться в специализированную организацию, которая поможет проверить ваше предприятие на соответствие законодательству. И, конечно, такая услуга есть у нас. Наши специалисты с радостью помогут разобраться и не попасть под штрафные и уголовные санкции. Для связи можно использовать любой удобный вам способ на станице «Контакты».