Правительство внесло на рассмотрение в Госдуму закон «О безопасности критической информационной инфраструктуры Российской Федерации», определяющий меры защиты от компьютерных атак. Соответствующий документ опубликован на сайте Госдумы.

Согласно законопроекту, будет разработан реестр «значимых объектов критической информационной инфрастуктуры». Вести его должен федеральный орган исполнительной власти, который «уполномочен обеспечивать» безопасность объектов. Помимо этого, будет проведена оценка состояния их защищенности от компьютерных атак.

В реестр объекты критической информационной инфраструктуры будут попадать после оценки их социальной, политической, экономической, экологической значимости, а также «значимости для обеспечения обороноспособности, безопасности государства и правопорядка».

Закон вступает в силу с 1 января 2017 года; статьи о создании реестра и введении новой статьи в Уголовный кодекс вступают в силу 1 января 2018 года.

К документу прилагается перечень законов, в которые потребуется внести изменения с принятием закона «О безопасности критической информационной инфраструктуры Российской Федерации». Это Уголовный и Уголовно-процессуальный кодексы, поскольку упоминаемые нарушения несут «высокую общественную опасность», закон «О государственной тайне» (сведения о мерах по обеспечению безопасности объектов критической информационной инфраструктуры и оценках степени их защищенности будут считаться государственной тайной) и закон «О связи» (операторы связи будут обязаны обеспечивать работу устанавливаемых в их сетях «технических средств, предназначенных для поиска признаков компьютерных атак»).

В Уголовный кодекс будет добавлена статья 274 (неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации). За такое воздействие с уничтожением, блокированием, модификацией, копированием информации или нейтрализацией средств защиты пункт 1 статьи будет предусматривать наказания до лишения свободы на пять лет. Неправомерный доступ к охраняемым данным в критической информационной инфраструктуре, если он повлек за собой причинение вреда, может наказываться штрафом от 1 до 2 млн рублей или лишением свободы на срок до шести лет со штрафом. Наконец, нарушение правил эксплуатации критической информационной инфраструктуры будет наказываться принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет. Те же деяния, совершенные группой лиц, могут наказываться лишением свободы на срок от трех до восьми лет; в случае наступления «тяжких последствий» или создания угрозы их наступления — лишением свободы на срок от пяти до десяти лет.

«Принятие федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" не потребует дополнительных расходов из федерального бюджета и не повлечет финансовых обязательств государства», — говорится в финансово-экономическом обосновании к проекту закона.

«Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 года и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 года», — поясняют в правительстве, подчеркивая прямую зависимость «стабильности социально-экономического развития» страны от «надежности и безопасности функционирования информационно-телекоммуникационных сетей и информационных систем».