Законодательство о критической информационной инфраструктуре (КИИ) — одно из самых строгих в российском правовом поле. Государство рассматривает безопасность КИИ как элемент суверенитета, поэтому за несоблюдение норм 187-ФЗ предусмотрена не только административная, но и жесткая уголовная ответственность. Ответственность за нарушение требований КИИ касается не только самой организации («субъекта»), но и её руководителей, а также сотрудников, отвечающих за IT и безопасность. Незнание закона или попытка сэкономить на защите может привести к реальному лишению свободы.
Специфика ответственности в сфере КИИ заключается в наличии специальной статьи в Уголовном кодексе РФ — 274.1. Она криминализирует не только хакерские атаки, но и нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, если это повлекло вред КИИ. То есть, системный администратор, не обновивший антивирус, или директор, не выделивший бюджет на защиту, могут стать фигурантами уголовного дела в случае успешной кибератаки.
Административная ответственность (КоАП РФ)
Кодекс об административных правонарушениях предусматривает штрафы за формальные нарушения процедур.
Основные составы (ст. 13.12.1 и 19.7.15 КоАП РФ):
- Нарушение сроков категорирования. Если субъект не провел категорирование или не направил сведения во ФСТЭК. Штраф для юрлиц — до 500 000 рублей.
- Непредоставление сведений. Игнорирование запросов регулятора или утаивание информации об объектах.
- Нарушение порядка информирования об инцидентах. Неуведомление ГосСОПКА о компьютерной атаке. Штраф для юрлиц — до 500 000 рублей.
Для должностных лиц (директора) штрафы составляют до 50 000 рублей. Административка — это «первый звонок», сигнал о том, что компания находится в зоне риска.
Уголовная ответственность (ст. 274.1 УК РФ)
Это самый серьезный риск для менеджмента и IT-персонала.
Часть 3 статьи 274.1 УК РФ наказывает за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, либо правил доступа к ней, если это повлекло причинение вреда КИИ.
Наказание: Принудительные работы до 5 лет или лишение свободы на срок до 6 лет.
Если последствия тяжкие (ч. 4) — срок до 8 лет.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
Что считается нарушением правил эксплуатации?
Следствие может трактовать как нарушение:
- Отсутствие обновлений безопасности ПО.
- Использование слабых паролей или отсутствие 2FA.
- Отключение средств защиты (антивируса, firewall) для «ускорения работы».
- Допуск посторонних лиц к управлению системой.
- Отсутствие утвержденных инструкций и регламентов.
Важно понимать: для состава преступления нужен факт наступления вреда (сбой в работе, утечка данных, авария). Если вреда нет, уголовная ответственность не наступает, но риски остаются.
Как минимизировать риски ответственности
Защита строится на документальном подтверждении добросовестности.
Мы помогаем сформировать «папку защиты» для руководителя и CISO:
- Четкое распределение обязанностей в должностных инструкциях (кто конкретно отвечает за обновления).
- Приказы о вводе в действие политик ИБ и листы ознакомления сотрудников.
- Доказательства запроса ресурсов (служебные записки о необходимости покупки СЗИ). Если CISO просил денег, а директор не дал — CISO защищен.
- Аудит соответствия требованиям ФСТЭК (внутренний или внешний).
Ответственность за нарушение требований КИИ персонифицирована. Мы помогаем выстроить процессы так, чтобы в случае инцидента действия персонала были квалифицированы как надлежащее исполнение обязанностей в условиях форс-мажора, а не как преступная халатность.