Штрафы по ФЗ-187: за что наказывают компании КИИ и как избежать санкций

от

«В России штрафы за кибербезопасность, это не просто цифры в кодексе, а прямое выражение того, что государство считает важным защитить. ФЗ-187, на первый взгляд, о гостайне, но его штрафы работают как щит для всей критической информационной инфраструктуры. Большинство считает, что это касается только военных заводов, но это не так — финансовые, транспортные и энергетические компании платят миллионы за ошибки, которые не приводят ни к каким взломам. Парадокс в том, что самый большой риск, это не хакеры, а невыполнение формальных предписаний».

Что такое ФЗ-187 и кого он касается?

Федеральный закон от 21.07.2011 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», это не закон о гостане в чистом виде, хотя и вырос из неё. Его сфера — защита объектов, отказ или нарушение работы которых может повлечь тяжёлые последствия для жизни, здоровья людей, безопасности государства, экономики и экологии. Этот закон создаёт отдельный правовой режим для IT-систем жизненно важных отраслей.

Под действие закона попадают не все компании, а только те, которые отнесены к субъектам критической информационной инфструктуры. Это определяется государством по отраслевому принципу. Основные сферы:

  • Здравоохранение (например, крупные диагностические центры, обеспечивающие обработку данных в масштабах региона).
  • Транспорт (управление движением на магистралях, авиадиспетчерские службы, метрополитен).
  • Связь (операторы связи, обеспечивающие устойчивость сетей передачи данных).
  • Финансовый рынок (крупные банки, клиринговые и платежные системы).
  • Энергетика (генерирующие компании, сетевые организации, диспетчерское управление).
  • Топливно-энергетический комплекс.
  • Ядерная энергетика.
  • Оборонная промышленность.
  • Космическая отрасль.

Ключевой критерий — значимость объекта для устойчивости страны, а не его форма собственности. Это значит, что под регулирование могут попасть как государственные предприятия, так и частные компании, если их инфраструктура признана критической.

Какие нарушения влекут штрафы?

Штрафные санкции по ФЗ-187 наступают не за факт кибератаки — за это могут быть другие статьи. Они применяются за неисполнение прямых обязанностей, установленных этим законом и подзаконными актами ФСТЭК России. Фактически, наказывается бездействие или формальное отношение к требованиям регулятора.

Основные категории нарушений

  • Несоблюдение требований к безопасности значимых объектов. Это комплексный пункт. Сюда входит: отсутствие классификации объектов; неприменение необходимых средств защиты информации; неустановление границ безопасности; несоздание Системы безопасности значимого объекта.
  • Непредставление, несвоевременное представление или представление недостоверной информации в ФСТЭК. Речь идёт об отчетности, уведомлениях об инцидентах, сведениях для ведения реестра.
  • Воспрепятствование проведению проверок уполномоченными органами (ФСТЭК, ФСБ).
  • Невыполнение законных предписаний по устранению выявленных нарушений в установленные сроки.

Важно понимать: штраф может быть выписан, даже если никакого взлома не произошло. Основанием является сам факт невыполнения нормы. Например, компания не провела аттестацию объекта или не внедрила требуемые средства защиты, это уже состав правонарушения.

Размеры штрафов: от предупреждения до миллионов

Административная ответственность за нарушения ФЗ-187 установлена статьёй 13.13.1 КоАП РФ. Штрафы дифференцированы в зависимости от субъекта — должностное лицо, юридическое лицо — и от тяжести нарушения.

Субъект ответственности Характер нарушения Размер штрафа
Должностные лица Нарушение установленных требований от 30 000 до 50 000 руб.
Повторное нарушение от 50 000 до 100 000 руб. или дисквалификация на срок 1-3 года
Юридические лица Нарушение установленных требований от 500 000 до 1 000 000 руб.
Непредставление информации или препятствование проверке от 300 000 до 500 000 руб.
Повторное нарушение установленных требований от 1 000 000 до 3 000 000 руб.

Для юридических лиц, особенно крупных компаний в финансовом или энергетическом секторе, штраф в миллион рублей, это заметная, но не катастрофическая сумма. Гораздо серьёзнее риски, связанные с возможностью приостановления деятельности. Согласно части 3.1 статьи 23.1 КоАП РФ, за грубое нарушение требований к безопасности значимого объекта КИИ суд может приостановить деятельность организации на срок до 90 суток. Для энергоснабжающей компании или банка такие санкции означают колоссальные репутационные и финансовые потери, многократно превышающие сам штраф.

Кто выявляет нарушения и выписывает штрафы?

Контроль и надзор в сфере безопасности КИИ осуществляют два основных органа:

  1. Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Это основной регулятор. ФСТЭК проводит плановые и внеплановые проверки, рассматривает отчётность, выдаёт предписания и составляет протоколы об административных правонарушениях по большинству статей.
  2. Федеральная служба безопасности Российской Федерации (ФСБ России). ФСБ отвечает за выявление, предупреждение и пресечение компьютерных атак, связанных с КИИ. В рамках этих полномочий служба также может выявлять нарушения требований безопасности и составлять протоколы.

Протокол, составленный инспектором ФСТЭК или ФСБ, направляется в суд. Именно суд (арбитражный или общей юрисдикции) рассматривает дело и выносит постановление о назначении административного наказания. Таким образом, регулятор является инициатором процесса, а окончательное решение остаётся за судебной инстанцией.

Практика применения: о чём говорят реальные дела?

Анализ открытых судебных решений показывает несколько характерных тенденций.

Чаще всего штрафуют за формальные несоответствия. Лидером по количеству дел являются штрафы за непредставление информации или представление её с нарушением сроков. Например, компания не направила в ФСТЭК уведомление об изменении сведений о значимом объекте КИИ. Несмотря на то, что реальной угрозы безопасности не возникло, суд встаёт на сторону регулятора, так как нарушение процедуры налицо.

Штрафы для юрлиц часто находятся в нижней части вилки. Если нарушение выявлено впервые и не носит злостного характера, суды, как правило, назначают минимальный штраф из предложенного диапазона (например, 500 000 рублей вместо возможного миллиона). Это создаёт иллюзию «невысокой» стоимости несоблюдения, но при повторном нарушении санкции ужесточаются.

Крупные штрафы и приостановка деятельности применяются редко, но метко. Такие меры следуют за системными и грубыми нарушениями, которые прямо создают угрозу. Например, когда на объекте энергетики в течение длительного времени отсутствовала утверждённая модель угроз и не были применены никакие средства защиты, суд может рассмотреть вопрос о приостановке. Подобные прецеденты имеют огромный превентивный эффект для всей отрасли.

Что важнее штрафа: репутационные и операционные риски

Финансовый штраф, это лишь видимая часть айсберга. Для бизнеса, особенно работающего с государством или в стратегических отраслях, гораздо опаснее сопутствующие последствия.

  • Репутационный ущерб. Факт нарушения требований к безопасности КИИ, особенно если он становится публичным (через судебные акты), подрывает доверие клиентов, партнёров и, что критично, государства. Для банка или энергетической компании это может обернуться потерей крупных контрактов.
  • Усиление надзора. Компания, однажды попавшая в поле зрения ФСТЭК как нарушитель, с высокой вероятностью будет проверяться чаще и пристальнее. Это влечёт дополнительные операционные издержки на сопровождение проверок.
  • Риск отключения от государственных информационных систем. В некоторых случаях регулятор может инициировать ограничение взаимодействия нарушителя с критически важными государственными ресурсами, что парализует часть бизнес-процессов.
  • Уголовная ответственность для руководителей. Если нарушения повлекли тяжкие последствия (например, сбой в работе жизненно важного объекта), действия должностных лиц могут быть переквалифицированы по статьям Уголовного кодекса (например, халатность).

Как минимизировать риски: не формальность, а система

Избежать штрафов по ФЗ-187 можно только одним способом — построить работающую систему безопасности КИИ, а не имитировать её на бумаге.

  1. Определите свой статус. Уточните в отраслевом регуляторе или ФСТЭК, отнесена ли ваша инфраструктура к объектам КИИ. Не ждите официального уведомления — проявите инициативу.
  2. Проведите обязательные мероприятия. Это не рекомендация, а требование закона:
    • Классифицируйте все информационные системы, выделите значимые объекты.
    • Утвердите модель угроз и модель нарушителя.
    • Разработайте и внедрите Систему безопасности значимого объекта.
    • Проведите аттестацию объектов и средств защиты.
  3. Настройте процессы взаимодействия с ФСТЭК. Назначьте ответственных за своевременную отчётность. Все изменения в объектах КИИ (модернизация, ввод нового оборудования) должны оперативно отражаться в предоставляемых сведениях.
  4. Готовьтесь к проверкам заранее. Внутренний аудит на соответствие требованиям ФСТЭК должен быть регулярным. Лучше выявить и устранить несоответствие самостоятельно, чем в ходе плановой проверки регулятора.
  5. Рассматривайте безопасность КИИ как инвестицию, а не как издержки. Корректно построенная система не только защитит от штрафов, но и повысит общую устойчивость IT-инфраструктуры к реальным кибератакам.

Штрафы по ФЗ-187, это не абстрактная угроза. Это конкретный финансовый и репутационный инструмент, который государство использует для принуждения стратегически важных компаний к созданию реальной, а не бутафорской, защиты своей цифровой инфраструктуры. Понимание логики этих санкций позволяет перейти от реакции на проблемы к их системному предупреждению.

Оставьте комментарий