Изменения в КоАП для КИИ. А зачем?

     Сегодня закончился этап общественного обсуждения законопроекта по изменению в КоАП РФ для субъектов КИИ. Результаты рассмотрения наших предложений и замечаний и увидим позже, а результат ощутим на себе после вступления закона в силу.
    И так, что же предложила нам ФСТЭК и чем нам это грозит?

КИИ, год первый и "учебный".

   Сегодня вступают в силу изменения в ПП127. По традиции, утвержденная версия документа от ФСТЭК существенно отличается от публично обсужденной. Итак, что принесло нам постановление Правительства РФ от 13.04.2019 № 452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127»

Вот тебе и КоАП для КИИ

   Попытка повлиять на этапе инициативы ФСТЭК не увенчалась успехом. Зато теперь есть полная ясность по карательным пожеланиям ФСТЭК и ФСБ, то есть - конкретные формулировки законопроекта. Детальный разбор и свои предложения я размещу в блоге позднее. Отмечу только, что эти изменения в КоАП коснуться сотен тысяч предприятий страны, предусмотрен состав правонарушений для субъектов с незначимыми ОКИИ. По этому, призываю воспользоваться законной возможностью повлиять на законопроект при общественном обсуждении. Времени у нас немного, этап закончится 29 апреля 2019 года.

Особенности квалификации правонарушения от ФСТЭК

   Столкнулся с интересным примером квалификации сотрудниками ФСТЭК по ЮФО правонарушения по ст.13.12 КоАП . Вопросы вызвало 2 момента:
1. Квалификация по п.6 ст.13.12 за использование несертифицированных СЗИ (антивирус), то есть наказали за нарушение требований о защите информации, при наличии отдельной квалификации в КоАП по п.2 ст.13.12 (использование несертифицированых СЗИ).Наличие антивирусных средств отражено в протоколе. Почему квалификация по п.6?
2. Никакого упоминания про аттестат соответствия? Правонарушение вменили на основании 17 приказа ФСТЭК, то есть предъявили требования как к ГИС. Про обязательную сертификацию вспомнили, а про аттестацию нет.
Вопросов у суда по квалификации правонарушения не возникло.

"Перегибы" на местах с КоАП. Реальность.

    Банальный пример того, как выносятся решения об административных  правонарушениях по ст.13.12 КоАП РФ в реальной жизни. Оказывается достаточным просто устной информации о произошедшем "заражении вирусом" рабочего компьютера. Не важно когда произошло, не важно почему, не важно где и по чьей вине. Работник "наболтал себе статью, а суд на стороне регулятора. Для субъектов КИИ все еще хуже, они обязаны незамедлительно сообщать о всех инцидентах, особенно с таким результатом для инфраструктуры.

Отрицательный эффект от применения СЗИ

   Тяжела жизнь специалиста по ЗИ, постоянно над ним висит "дамоклов меч" проверок ФСБ и ФСТЭК в виде административного наказания за использования не сертифицированных СЗИ, даже когда сертификат формально не требуется. Казалось бы, закупи и используй для защиты информации сертифицированные средства защиты информации и живи спокойно, но жизнь поинтереснее сказок выдает сюжеты. Рассмотрим реальные случаи, когда наличие сертификатов и аттестатов не освободило от ответственности.

Изменения в КоАП от ФСТЭК

          В продолжение обсуждения новостей от ФСТЭК.

     Заявленная цель законопроекта "Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена. В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами".

Как мы повлияли на 235 приказ ФСТЭК

       Продолжение темы изменений в проекты приказов ФСТЭК по КИИ под воздействием общественности, вариант приказа № 235 от ФСТЭК разбирал ранее.
       Опубликован доработанный по итогам общественного обсуждения текст проекта приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235»