понедельник, 15 апреля 2019 г.

Особенности квалификации правонарушения от ФСТЭК


   Столкнулся с интересным примером квалификации сотрудниками ФСТЭК по ЮФО правонарушения по ст.13.12 КоАП . Вопросы вызвало 2 момента:
1. Квалификация по п.6 ст.13.12 за использование несертифицированных СЗИ (антивирус), то есть наказали за нарушение требований о защите информации, при наличии отдельной квалификации в КоАП по п.2 ст.13.12 (использование несертифицированых СЗИ).Наличие антивирусных средств отражено в протоколе. Почему квалификация по п.6?
2. Никакого упоминания про аттестат соответствия? Правонарушение вменили на основании 17 приказа ФСТЭК, то есть предъявили требования как к ГИС. Про обязательную сертификацию вспомнили, а про аттестацию нет.
Вопросов у суда по квалификации правонарушения не возникло.

КоАП. Статья 13.12. Нарушение правил защиты информации

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.


  Решение № 12-46/2015 12-46/2016 от 4 февраля 2016 г. по делу № 12-46/2015
Ворошиловский районный суд г. Волгограда (Волгоградская область) - Административное
Дело № 12-46/2015
установил:
    По постановлению заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО3 № от ДД.ММ.ГГГГ, Управление государственного автодорожного надзора по <адрес> Федеральной службы по надзору в сфере транспорта (далее УГАДН по <адрес>) признано виновным в совершении административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ и подвергнуто административному наказанию в виде штрафа в размере <данные изъяты>.
    Не согласившись с постановлением, УГАДН по <адрес> обратилось в суд с жалобой на предмет его отмены, в связи с отсутствием в его действиях состава административного правонарушения, ссылаясь на то, что доказательства, подтверждающих факт использования УГАДН по <адрес> антивирусных средств защиты информации (антивирусных программ), установленных, а средствах вычислительной техники УГАДН по <адрес>, не прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, отсутствуют.
    Частью 6 статьи 13.12. КоАП РФ предусмотрена ответственность за нарушение требований о защите информации (за исключением информации, составляющей государственную <данные изъяты>), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
     Из представленного материала следует, что в ходе проведения ДД.ММ.ГГГГ в период с <данные изъяты>. плановой выездной проверки в отношении УГАДН по <адрес> по адресу: <адрес>, при осмотре средств вычислительной техники в составе локальной вычислительной сети УГАДН по <адрес>, обнаружено, что Управлением государственного автодорожного надзора по <адрес> нарушены требования защиты информации, а именно на средствах вычислительной техники в составе локальной вычислительной сети, предназначенных для обработки информации в составе информационных систем, являющихся сегментами федеральных государственных информационных систем Федеральной службы по надзору в сфере транспорта (Ространснадзора) в УГАДН по <адрес> установлено антивирусные средства защиты информации (антивирусные программы) <данные изъяты> Неисключительное (пользовательское) право на антивирусное программное обеспечение <данные изъяты> предоставлено УГАДН по <адрес> на основании государственного контракта от ДД.ММ.ГГГГ №.
    Частью 5 статьи 16 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
    Пунктом 11 Требований о защите информации, не составляющей государственную <данные изъяты>, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17 предусмотрено, что для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"
     Антивирусные средства защиты информации (антивирусные программы), установленные на средствах вычислительной техники УГАДН по <адрес>, не прошли оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
      Таким образом, своими действиями УГАДН по <адрес> допустило нарушение требований о защите информации (за исключением информации, составляющей государственную <данные изъяты>), установленные ч.5 ст.16 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части невыполнения при защите информации ограниченного доступа, содержащейся в государственных информационных системах, п. 11 Требований о защите информации, не составляющей государственную <данные изъяты>, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от ДД.ММ.ГГГГ №.
    Кроме того, факт совершения данного административного правонарушения подтверждаются совокупностью исследованных доказательств, допустимость и достоверность которых сомнений не вызывает, а именно: протоколом об административном правонарушении от ДД.ММ.ГГГГ, протокол осмотра сервера и рабочих станций в составе локальновычислительной сети УГАДН по <адрес>; объяснением Врио начальника управления - главного государственного инспектора госавтодорнадзора.
    С учетом изложенного, судья приходит к выводу, что должностное лицо – заместитель руководитель Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО3 обоснованно пришел к выводу о наличии в действиях УГАДН по <адрес> состава административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ.
    Совокупность исследованных доказательств является достаточной для установления виновности УГАДН по <адрес> в совершении вменённого правонарушения.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

2 комментария:

  1. Вполне возможно что решение суда ошибочное.
    Так как требования 17 приказа предъявлены к владельцам и операторам ГИС.
    А наказали пользователя ГИС.

    ОтветитьУдалить
  2. а применить часть 6, в которой прямо указано, что она не распространяется на случаи использования несертефицированных сзи?

    ОтветитьУдалить