В продолжение обсуждения новостей от ФСТЭК.
Заявленная цель законопроекта "Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена. В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами".
Очень удивительное утверждение от ФСТЭК. Ведь в ПП № 162 от 17.02.2018 все предусмотрено - "В случае выявления при проведении проверки нарушения субъектом критической информационной инфраструктуры требований по обеспечению безопасности должностные лица органа государственного контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны:
а) выдать предписание субъекту критической информационной инфраструктуры об устранении выявленного нарушения требований по обеспечению безопасности с указанием срока его устранения, который устанавливается в том числе с учетом утвержденных и представленных субъектом критической информационной инфраструктуры программ (планов) по модернизации (дооснащению) значимого объекта критической информационной инфраструктуры;".
Административная ответственность за невыполнение предписания органа госконтроля так же уже установлена ст.19.5 КоАП РФ.
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
Итог: Ответственность за за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации в законодательстве РФ уже установлена в форме административного штрафа за невыполнение предписания органа, осуществляющего государственный контроль!
Инициатива ФСТЭК приведет к дублированию и ужесточению наказания, а не к заявленной дифференциации наказания. Будет штраф (по КоАП) + предписание (по ПП162).
Причем придется менять и ПП162, поскольку в нем приведен исчерпывающий перечень действий ФСТЭК и процедур при выявлении нарушений исполнения cубъектом ЗОКИИ требований подзаконных актов в 187-ФЗ.
И после таких инициатив по ужесточению наказания, регуляторы еще удивляются желанию субъектов КИИ уйти от ЗОКИИ (занизить показатели категорий значимости). Ведь наказание будет только за объекты КИИ, внесенные в реестр ФСТЭК.
Дифференцировать требуется наказание за нарушения, повлекшие нанесение вреда КИИ РФ. В части ст.274.1 УК РФ.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
«Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
ОтветитьУдалить1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц -
от пятидесяти тысяч до ста тысяч рублей.
2. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами
ОтветитьУдалитьи принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц -
от пятидесяти тысяч до ста тысяч рублей.
3. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации,
ОтветитьУдалитьза исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц -
от пятидесяти тысяч до ста тысяч рублей.
4. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
ОтветитьУдалитьвлечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.
5. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, –
ОтветитьУдалитьвлечет наложение административного штрафа на должностных лиц
в размере от двадцати тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до двухсот тысяч рублей.»;
«Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
ОтветитьУдалить1. Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.»;