Парламент предложил законопроект о введении новых штрафов за нарушения при использовании объектов критической информационной инфраструктуры (КИИ). Если новшества заработают, то компании и их сотрудники понесут существенные финансовые риски при несоблюдении правил.
Кто попадет в зону риска?
КИИ — это основа, на которой держится работа ключевых отраслей экономики, включающая в себя ГИС, сети связи, автоматизированные системы управления, а также средства хранения и обработки данных. Если ваша компания использует КИИ, то вы находитесь под контролем госорганов. Это касается различных отраслей — энергетики, транспорта, связи, финансов, здравоохранения, промышленности и прочих. Причем к КИИ относятся не только основные, но и вспомогательные системы, которые обеспечивают их работу. Поэтому, даже если вы считаете свою компанию несущественной, стоит внимательно изучить используемые технологии и процессы.
Нарушение правил использования КИИ, неправильное управление доступом к системам или слабая защита данных влекут за собой ответственность. Новые штрафы применяют, если действия не считаются уголовным преступлением. В случае явного ущерба инфраструктуре применяются более строгие меры.
Должностных лиц будут штрафовать на сумму от 10 000 до 50 000 рублей, компании ─ от 100 000 до 500 000 рублей. Проверить, есть ли нарушения можно в течение года после их совершения.
Как подготовиться к новым требованиям?
Бизнесу важно не только избежать штрафов, но и выстроить надежную систему управления рисками:
- Убедитесь, что правильно используете КИИ и следите за современными стандартами. Для этого обновите инструкции для сотрудников, четко определив допустимые и недопустимые действия. Даже небольшая ошибка может привести к серьезным последствиям, поэтому регулярно обучайте персонал новым методам и подходам.
- Внимательно следите за работой систем, чтобы вовремя реагировать на потенциальные угрозы.
- Акты проверок, протоколы обучения и журналы учета инцидентов снижают риски во время проверок. Обычно наказывают не за отдельные ошибки, а за отсутствие системной работы по обеспечению безопасности.
Кроме того, в условиях быстро меняющихся правил и растущих требований к информационной безопасности сотрудничество с профессиональными ассоциациями и экспертами становится особенно полезным и важным. Поэтому не забывайте поддерживать контакты и с ними.