Согласно проекту закона «О безопасности критической информационной инфраструктуры Российской Федерации» за неправомерное получение доступа к информации, хранящейся в критической важной инфраструктуре, может грозить наказание вплоть до 10 лет лишения свободы, сообщает ТАСС. Документ был разработан Федеральной службой безопасности и внесен на рассмотрение в Госдуму РФ.
Кроме этого ФСБ подготовила еще несколько законопроектов, которые уже были одобрены правительством. Все они в той или иной степени касаются обеспечения безопасности критически важной инфраструктуры и информации, а также ответственности за получение к ней доступа.
«Предусматривается ответственность за создание и (или) распространение компьютерных программ либо другой компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру России; неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре; нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации в этой инфраструктуре», — говорится в документах.
Рассматриваемый законопроект подразумевает внесение правок в уголовный кодекс РФ. В правительстве отмечают, что информационные технологии проникли во все сферы деятельности как общества, так и государства. При этом в стране до сих пор нет четкой законодательной базы, регулирующей ответственность за атаки, взлом и кражу информации.
В первую очередь поправки будут касаться критически важной информации государства, то есть информации экономического и оборонного характера. При этом в зависимости от совершенных действий (имел ли место взлом защиты или копирование информации, а так же была ли проведена атака одиночкой или группой лиц по предварительному сговору), предусматриваются различные меры пресечения.
Создание ПО, предназначенного для взлома и получения доступа к критической инфраструктуре и информации (или воздействия на нее), повлечет ответственность от штрафа в 500 тыс. рублей до лишения свободы на 5 лет.
За взлом защиты критической инфраструктуры с получением неправомерного доступа к информации (с копированием или без) наказание уже строже — штраф от одного до двух миллионов рублей и лишение свободы сроком до шести лет.
Взлом произведенный группой лиц по предварительному сговору (или с использованием служебного положения) повлечет за собой наказание от трех до восьми лет лишения свободы.
При наличии отягчающих обстоятельств в виде тяжких последствий или создания угрозы их наступления срок лишения свободы увеличивается до 10 лет.
Регулирование в области информационной безопасности и введение ответственности за проводимые атаки необходимо, однако, в нынешнем тексте есть достаточно большое количество размытых формулировок. Так, срок можно получить просто за создание (но не применение) зловредного ПО. Также не до конца ясен механизм оценки «тяжких последствий» или «угрозы их наступления», за которые предусмотрен максимальный срок в 10 лет лишения свободы.
Почти по всем нарушениям в качестве промежуточной меры пресечения предусматриваются принудительные работы на сроки, сопоставимые со сроками возможного заключения. Также пока никак не обозначается «критическая инфраструктура» и что именно ФСБ подразумевает под ней, как и под «критической информацией».
В пояснительной записке к законопроекту указывается важность информационных технологий во всех сферах деятельности государства. При этом анализ инфраструктуры развитых государств (США, Германии, Японии и других) показал, что защита сети лишь силами властей невозможна, так как значительная часть инфраструктуры, представляющей критическое значение, находится в частной собственности.
Комментарии (36)
sidristij
08.12.2016 13:43+1Забавно, что России. Получается, что взламывать сайты других стран — это окей :)
saboteur_kiev
08.12.2016 14:32+1Но писать софт для взлома — наказуемо. Пользоваться только готовыми (импортными) тулзами, за написание своими силами — под суд.
Free_ze
08.12.2016 14:42Это про критическую инфраструктуру. Кто же у нас должен будет оценивать критичность чужих ресурсов?
Forest_Gump
08.12.2016 13:47+6Мне кажется, что в статье не отражен главный посыл нового законопроекта. Теперь государство будет осуществлять контроль в областии обеспечения безопасности инфрастркутуры большого количества отраслей промышленности. После принятия закона организации из этого списка должны будут внести информацию критическом объекте в создаваемый реестр. После этого будут проходить плановые и внепланоыве проверки соблюдения установленных требований. Найденные недочеты должны будут быть устранены. Т.е. появится что-то типа пожарной инспекций, но для IT сферы.
tandzan
08.12.2016 16:24+2Т.е. закон чисто коррупционный?
Pakos
08.12.2016 17:23Ну не обязательно, он может ещё использоваться в деле искоренения обхода блокировок. «Понаделали ентих ваших випиенов. которыми только хакеры, крякеры и куки пользуются, подрывают, панимаишь, безопасность с обороноспособностью критически важных. Все по камерам! Лично проверю!»
Lorien_Elf
08.12.2016 13:48+1Ну то есть закон правильный и нужный, но как всегда с нюансами. Что ж, будем посмотреть…
imanushin
09.12.2016 14:30+2Нет. Правильным был бы закон, регулирующий ответственность за утечку данных, т.е. за намеренные дыры (например, появившиеся от того, что ПО не обновлено). Причем «ответственность» — это не штраф, а компенсация.
Дальше следовало бы создать систему страхования от таких штук, т.е. по сути богатая компания выступала бы гарантом надежности софта (а страховщики уже придумывали бы правила и аудит).
Как результат мы обезопасили пользователей от халатности ИБ. И вот уже после этого можно говорить об уголовной ответственности атакующего.
А сейчас получается, что клиентам ПО это не поможет (т.е. у тебя не будет компенсации за то, что твои медицинские данные утекли), однако создает кормушку для силовиков и еще один повод для шантажа.hokum13
09.12.2016 16:37регулирующий ответственность за утечку данных,
Согласен.
это не штраф, а компенсация.
Возможно в отдельных случаях даже реальный срок (медицина).
создать систему страхования от таких штук
А вот с этим категорически не согласен!: Допустим мы ведем БД ВИЧ-инфицированных. По вики это 8*10^5 ч… Примем за размер компенсации 5*10^6 р., и вероятность утечки — 1 раз в 100 лет. Тогда размер ежегодной страховой премии не может быть ниже 4*10^10, 40 миллиардов в год Карл! Никакой бизнес это не вытянет! Да и простите, за 40 лярдов«да я, зайца, в поле, лопатой»можно обработку этих данных производить вручную, с доставкой заинтересованным лицам информации фельдегерем в течении часа. Или на построение отличной ИБ системы отдать!
Humbucker
08.12.2016 14:06Боюсь, что не за горами закон, предусматривающий наказание за использование анонимайзеров и других подобных средств с целью обхода блокировок Роскомнадзора.
ivan386
08.12.2016 14:20Почти по всем нарушениям в качестве промежуточной меры пресечения предусматриваются принудительные работы на сроки, сопоставимые со сроками возможного заключения.
Шарашка для хацкеров? Мне кажется они будут искать кучу поводов заполучить себе новых рабов лет на 10. Для охраны цифровых границ. Ну может для нападения.
Forest_Gump
08.12.2016 15:34+1Я кстати давно уже считаю, что рост промышленности СССР был заложен еще в царскской России. СССР лишь бездарно растратила весь этот человеческий и технологический ресурс в 20-м веке.
NoVASpirit
08.12.2016 16:52Я что то не понимаю, фсб значит может использовать и писать хакерский софт, а простой юзер уже и не может? Это что за дискриминация такая?
KonstantinSpb
08.12.2016 17:14Пишите на здоровье и продавайте на черном рынке, кто больше предложит, тот и покупатель.
Silvatis
08.12.2016 17:16+1а еще нарезное оружие таскать, со взрывчаткой возится… да много чего. Уже давно такая фигня. И не только на родине слонов.
KOLANICH
08.12.2016 17:41+2Поиск нашёл
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47571-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47579-7
http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47591-7
и ещё одну из Консультанта
tldr (я не юрист, подробности ниже):
1 Про создание и эксплуатацию программ ни слова не нашёл.
2 Обход блокировок, использование Тора, защиту от систем слежки и цензуры, использование криптовалют можно подогнать под «Неправомерное воздействие на критическую информационную инфраструктуру „
3 Можно предписывать подключать бекдоры.
4 Экстерриториальность юрисдикции по примеру США: “кто не нравится — везде достанем, где сможем».
Пушки:
безопасность критической информационной инфраструктуры
Российской Федерации — состояние защищенности критической
информационной инфраструктуры Российской Федерации, при котором
проведение в отношении нее компьютерных атак не приведет к
нарушению (прекращению) функционирования критической
информационной инфраструктуры Российской Федерации и (или)
значимых ее объектов
объекты критической информационной инфраструктуры —
информационные системы, информационно-телекоммуникационные сети
государственных органов, а также информационные системы,
информационно-телекоммуникационные сети и автоматизированные
системы <...>, транспорта,
связи, кредитно-финансовой сфере, <...>;
средства обнаружения, предупреждения и ликвидации последствий
компьютерных атак — российские технологии,
1. Категорирование осуществляется исходя из следующих
критериев:
<...>
2) политическая значимость, выражающаяся в оценке ущерба
интересам Российской Федерации во внутриполитической и
внешнеполитической сферах;
3) экономическая значимость, выражающаяся в оценке снижения
экономических показателей, прямых и косвенных финансовых потерь
Российской Федерации;
5) значимость для обеспечения обороноспособности, безопасности
государства и правопорядка.
4) обеспечивать беспрепятственный доступ должностных лиц
федерального органа исполнительной власти, уполномоченного в области
обеспечения безопасности критической информационной
инфраструктуры Российской Федерации, к значимому объекту
критической информационной инфраструктуры при реализации
должностными лицами полномочий, предусмотренных статьей 13
настоящего Федерального закона.
5) непрерывное взаимодействие с государственной
системой обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы Российской
Федерации;
Статья 14. Ответственность за нарушение законодательства
Российской Федерации в области безопасности
критической информационной инфраструктуры
Российской Федерации
<...>
иностранные граждане <...> несут <...> ответственность
«Статья 274*. Неправомерное воздействие на критическую
информационную инфраструктуру
Российской Федерации
1. Создание и (или) распространение компьютерных программ либо
иной компьютерной информации, заведомо предназначенных для
неправомерного воздействия на критическую информационную
инфраструктуру Российской Федерации, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации,
Нарушение правил эксплуатации средств хранения, обработки
или передачи охраняемой компьютерной информации, содержащейся в
критической информационной инфраструктуре Российской Федерации,
или информационных систем, информационно-телекоммуникационных
сетей и их оконечного оборудования, относящихся к критической
информационной инфраструктуре Российской Федерации, либо правил
доступа к указанной информации, информационным системам,
информационно-телекоммуникационным сетям и их оконечному
оборудованию, если оно повлекло причинение вреда критической
информационной инфраструктуре Российской Федерации или создало
угрозу его наступления,
dim_s
08.12.2016 18:51Что все так взволновались? Статья и сейчас например светит тому, кто даже выложит видео-ролик о том, как написать вирус и выложит исходники, до 4х лет лишения. Но на практике статья не используется, статья 273.
Silvatis
т.е. создавать софт для тестирования безопасности (читать как автотесты критических уязвимостей) незаконно. Великолепно. Очередной раз доярки рассказывают, как строить ракеты.
Artemiy117
Здесь нет угрозы для критической инфраструктуры. Тестируйте на здоровье. Это как с сейфом. Проверяют взлом на пустом сейфе перед продажей.
Не спорю, закон конечно сыроват. Нюансы есть. Но чтобы совсем они не знают о чем пишут — здесь не так.
qw1
Как доказать, для чего создавался софт — для тестирования, или для реального взлома?
Особенно, если впоследствии он был применён для взлома.
hokum13
Тестировать нужно не только перед приемкой, но и во время эксплуатации! А это уже та самая угроза критической инфраструктуре (а в некоторых случаях и государственного значения).
Если закон сырой, то может, пока не поздно, отправить его на доработку/в топку? А в такой формулировке «все мужики — насильники, а чё, инструмент то есть!»
И почему ответственности не несет оператор ИС, которую взломали? Ведь сейчас практически все интересные для взлома ИС это ИСПДн. А пострадавшим от взлома становится не оператор ИСПДн, а люди, данные которых в этой ИСПДн содержатся!
tundrawolf_kiba
>Тестировать нужно не только перед приемкой, но и во время эксплуатации
При тестировании во время эксплуатации — все методы тестирования и инструменты, а также объекты на которые будет направлена атака — полностью согласовываются с тем, кто будет принимать тестирование со стороны заказчика.