Заседание № 280
01.04.2025
Вопрос:
О проекте федерального закона № 835235-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (в части усиления ответственности за нарушение правил защиты информации).
Стадия рассмотрения:
Рассмотрение законопроекта в первом чтении
Фрагмент стенограммы:
Строки с 2939 по 3201 из 5635
Пункт 21, проект федерального закона "О внесении изменений в Кодекс
Российской Федерации об административных правонарушениях". Доклад
официального представителя правительства первого заместителя директора
Федеральной службы по техническому и экспортному контролю Виталия Сергеевича
Лютикова.
Пожалуйста.
ЛЮТИКОВ В. С., официальный представитель Правительства Российской Федерации,
первый заместитель директора Федеральной службы по техническому и экспортному
контролю.
Уважаемый Александр Дмитриевич, уважаемые депутаты Государственной Думы!
Представленный проект федерального закона направлен на усиление
ответственности за нарушение требований о защите информации в государственных
информационных системах, иных информационных системах органов и организаций,
содержащих информацию ограниченного доступа.
Проектом федерального закона предлагается внести изменения в статью 13.12
кодекса: в частях 2 и 4 предлагается усилить ответственность за использование
несертифицированных систем и средств для защиты информации ограниченного
доступа, в частях 6 и 7 предлагается повысить ответственность за нарушение
установленных законодательством требований о защите информации, составляющей
государственную тайну, иной информации ограниченного доступа. В качестве меры
административной ответственности предлагается сохранить административные
штрафы, увеличив их до 20 тысяч в отношении граждан, для должностных лиц - до
50 тысяч, в отношении юридических лиц - до 100 тысяч рублей.
Необходимость данных изменений обусловлена тем, что в ходе оценки состояния
защиты информации, проведённой в 2022-2025 годах, установлено, что более 70
процентов выявленных нарушений требований связано с непринятием технических
мер и наличием недостатков в системах защиты государственных органов и
организаций, что создаёт предпосылки для несанкционированного доступа к
информации ограниченного доступа. Более 40 процентов проверенных систем имеет
критические уязвимости, которые могут быть использованы злоумышленниками для
нарушения их функционирования. Наличие данных нарушений, рост их количества и
регулярность выявления в ходе контрольных мероприятий указывают на
недостаточную эффективность существующих мер, в том числе административного
характера.
Ввиду распределённости объектов защиты и сложности компьютерных инцидентов
предлагается увеличить срок давности привлечения к административной
ответственности за соответствующие административные правонарушения.
Принятие закона позволит повысить эффективность соблюдения правил защиты
информации ограниченного доступа и минимизирует риски её утечки, что является
актуальной задачей в условиях отмечаемого роста информационных угроз. Прошу
поддержать законопроект.
Спасибо за внимание.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Спасибо.
Содоклад Никиты Геннадьевича Румянцева.
РУМЯНЦЕВ Н. Г. Уважаемый Александр Дмитриевич, уважаемые коллеги! Докладчик
подробно изложил суть данного законопроекта. Комитет по государственному
строительству и законодательству на своём заседании его тоже подробно
рассмотрел и предлагает Государственной Думе данный законопроект принять.
Отмечаем, что у Правового управления концептуальных замечаний не имеется,
Счётная палата замечаний и предложений также не представила.
Фракция "ЕДИНАЯ РОССИЯ" поддерживает законопроект в первом чтении.
Спасибо за внимание.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Коллеги, есть ли вопросы? Да.
Включите режим записи на вопросы.
Покажите список.
Шеремет Михаил Сергеевич, пожалуйста.
ШЕРЕМЕТ М. С. Уважаемый Виталий Сергеевич, скажите, в чём основные причины
невыполнения требований о защите информации? Если это попустительство, то,
да, ужесточение сроков будет способствовать снижению количества таких
нарушений, а если это системные уязвимости, то вопрос надо решать по-другому.
Скажите, вы анализировали, почему работники уклоняются от выполнения
требований?
ЛЮТИКОВ В. С. Спасибо за вопрос, Михаил Сергеевич. Причинами невыполнения
требований являются как недостаточный уровень квалификации, так и
недостаточное внимание к необходимости выполнения норм и требований о защите
информации. Уязвимости технические тоже имеют место, но они подлежат
устранению работниками и специалистами, в том числе с применением
организационных и технических мер.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Альшевских Андрей Геннадьевич.
АЛЬШЕВСКИХ А. Г. Виталий Сергеевич, в пояснительной записке подробно
рассказывается о нарушении правил защиты информации в госорганах, и вы сейчас
косвенно практически ответили на вопрос, тем не менее, скажите, были ли
случаи утечки информации именно из-за ненадлежащей работы сотрудников и как
часто это происходит, в процентном соотношении сколько их именно из-за
ненадлежащей работы сотрудников, а не системы?
ЛЮТИКОВ В. С. Ну, расследованием инцидентов и правонарушений, связанных с
утечкой, занимаются несколько другие государственные органы, наша задача -
это предупреждение и выявление требований. Но, отвечая на вопрос в своей
части, могу сказать, что с такими причинами, как невыполнение требований
работниками, связано порядка 60 процентов, 60-70 процентов всего объёма
нарушений и недостатков.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Куринный Алексей Владимирович.
КУРИННЫЙ А. В. Уважаемый Виталий Сергеевич, вы сказали, что 40 процентов
систем, проверенных вами, сегодня не соответствует требованиям, - в
организациях это сколько? Сколько организаций не соответствует? Это первое.
И второе. Сколько будут в рублях стоить устранение несоответствий, закупка
необходимого оборудования, замена программного обеспечения, я так понимаю, не
для только государственных организаций, но и для частного бизнеса? Есть ли
эти расчёты, в том числе наложенные, скажем так, на возможность осуществления
этой замены (я имею в виду оборудование, кадровые ресурсы)? Спрашиваю потому,
что сейчас резко вырос спрос на аудит технологической защищённости - говорят,
что специалистов не хватает, просто физически невозможно выполнить те
требования, которые закон устанавливает, да ещё и штрафы повышаются в 3-10
раз.
ЛЮТИКОВ В. С. Алексей Владимирович, что касается первой части вопроса - по
организациям, выявляются недостатки почти у 90 процентов всех проверенных
организаций. Я про 40 процентов информационных систем, именно про уязвимости,
говорил в докладе, и в пояснительной записке это есть, а что касается
организаций, как я уже сказал, почти 90 процентов имеют соответствующие
недостатки.
Что касается второй части вопроса, здесь необходимо разделить вопросы
технологической независимости и замены оборудования и вопросы защиты
информации, это два несколько разных законодательства и подхода. Мы отвечаем
за вопросы защиты информации - применяются технические средства защиты и
организационные меры, должны соблюдаться правила эксплуатации объектов. А
вопросы, связанные с заменой оборудования... Это не требуется или требуется в
исключительных случаях.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Выборный Анатолий Борисович.
ВЫБОРНЫЙ А. Б. У меня также вопрос к докладчику.
Уважаемый Виталий Сергеевич, вы предлагаете усилить ответственность только за
некоторые правонарушения, предусмотренные частями статьи 13.12 Кодекса об
административных правонарушениях, хотя ряд норм в этой сфере остаются
неизменными, и ответственность явно незначительная. В связи с этим, учитывая
особую значимость вопроса о защите информации, может быть, при доработке
проекта федерального закона ко второму чтению ужесточить ответственность за
все формы нарушений, которые предусмотрены Кодексом об административных
правонарушениях, как вы считаете?
ЛЮТИКОВ В. С. Спасибо, Анатолий Борисович, за вопрос. Так как законопроект
подготовлен во исполнение решения оперативного совещания Совета Безопасности
от 24 апреля 2024 года, при подготовке мы находились в параметрах данного нам
поручения и вносили законопроект только в объёме, который нам поручили. Что
касается в целом вопроса, этот вопрос, конечно, имеет место, потому что
некоторые нормы об ответственности действительно не менялись очень давно, там
штраф около 500 тысяч рублей, что сегодня не побуждает к выполнению
требований.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Мархаев Вячеслав Михайлович.
МАРХАЕВ В. М. Уважаемый Виталий Сергеевич, ответ частично прозвучал, но тем
не менее скажите, какой способ компенсации или реабилитации потерпевшей
стороны вы видите при совершении административных нарушений и нарушении
правил защиты информации, особенно если был нанесён значительный
репутационный и компрометирующий ущерб?
ЛЮТИКОВ В. С. Спасибо за вопрос, Вячеслав Михайлович. Что касается
значительного ущерба, необходимо отметить, что в случае, если в результате
утечки нанесён значительный ущерб, действуют нормы не административного, а
уже уголовного законодательства, ответственность в этой части предусмотрена.
Что касается реабилитации, с учётом требований правительства и в целом
подходов мы стараемся работать на профилактику и всё-таки делаем всё для
того, чтобы минимизировать вероятность таких нарушений. Ну, административное
законодательство у нас реабилитации не требует, как мне кажется, и никакого
преследования по этой части не осуществляется.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Метшин Айдар Раисович.
МЕТШИН А. Р., фракция "ЕДИНАЯ РОССИЯ".
Виталий Сергеевич, я услышал ответ на свой первоначальный вопрос - о том,
что является причиной несанкционированного доступа в системы. Вы сказали: в
большом проценте случаев - человеческий фактор. В связи с этим не только
ответственность, очевидно, должна быть. Как вы считаете, что необходимо
сделать, чтобы если не исключить, то минимизировать вот это отрицательное
воздействие?
ЛЮТИКОВ В. С. Спасибо за вопрос, Айдар Раисович. У нас работа по повышению
эффективности защиты информации в госорганах и организациях ведётся. Совсем
недавно, в конце прошлого года, был принят закон, устанавливающий требования
о защите информации в отношении не только госсистем, но и иных систем,
которые с ними взаимодействуют. Нами, как уполномоченным органом, и коллегами
из других уполномоченных органов исполнительной власти подготовлены новые
требования, в том числе с учётом рисков и угроз, которые мы отмечаем
последние два года, в период проведения специальной военной операции. Так что
адаптируем нормативные требования исходя из угроз, это первое, и, второе,
работаем над повышением эффективности средств защиты информации, применяемых
в системах.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Останина Нина Александровна.
ОСТАНИНА Н. А., председатель Комитета Государственной Думы по защите семьи,
вопросам отцовства, материнства и детства, фракция КПРФ.
Уважаемый Виталий Сергеевич, и в докладе, и в пояснительной записке сказано,
что более 40 процентов проверенных информационных систем имеет критические
уязвимости, и мало-мальский хакер, конечно, может легко этим воспользоваться.
С трибуны вы сказали, что более 73 процентов выявленных нарушений требований
о защите информации в государственных органах и организациях связано с
непринятием технических мер и наличием недостатков или слабостей в системах
защиты самих информационных систем госорганов и организаций. В связи с этим
трудно не заметить, что почему-то сегодня мы говорим только об увеличении
штрафов, - а как быть с тем, что уже сами по себе разработанные
информационные системы имеют уязвимости? Исходя из вашей информации, чтобы
получить несанкционированный доступ к определённым данным, действительно не
надо быть особо изощрённым специалистом. Какие следующие шаги будут
предприняты правительством по устранению выявленных... (Микрофон отключён.)
ЛЮТИКОВ В. С. Спасибо, Нина Александровна, за вопрос. Что касается дальнейших
шагов, как я уже отметил, первый - это издание новых требований исходя из
изменившихся норм 149-го федерального закона, второй - проведение оценки
защищённости систем федеральных и иных органов государственной власти и
устранение уязвимостей (проект акта правительства сейчас уже подготовлен
Минцифры и находится на согласовании), третий - совершенствование требований
к средствам защиты информации, которые разрабатываются российскими компаниями
и внедряются в информационную систему.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Хамитов Амир Махсудович.
ХАМИТОВ А. М., фракция "НОВЫЕ ЛЮДИ".
Виталий Сергеевич, как будет организован контроль за эффективностью внедрения
средств защиты информации?
ЛЮТИКОВ В. С. Извините, плохо слышно. Как организован контроль за внедрением
средств защиты информации? У нас есть плановые проверки, есть проверки по
факту инцидента. В ходе плановых проверок проверяются соответствие
требованиям о применении сертифицированных средств и соответствие условий
эксплуатации и настройки установленным инструкциям. Что касается внеплановой
проверки, выявляются причины и недостатки, которые способствовали
возникновению того или иного инцидента.
ПРЕДСЕДАТЕЛЬСТВУЮЩИЙ. Спасибо.
Коллеги, будут ли желающие выступить по данному вопросу? Нет. Полномочные
представители президента, правительства? Докладчик - заключительное слово?
Нет. Содокладчик? Тоже нет.
Ставится на голосование проект федерального закона "О внесении изменений в
Кодекс Российской Федерации об административных правонарушениях", пункт 21.
Включите режим голосования.
Покажите результаты.
РЕЗУЛЬТАТЫ ГОЛОСОВАНИЯ (14 час. 07 мин. 02 сек.)
Проголосовало за 331 чел.73,6 %
Проголосовало против 13 чел.2,9 %
Воздержалось 0 чел.0,0 %
Голосовало 344 чел.
Не голосовало 106 чел.23,6 %
Результат: принято
Принимается в первом чтении.