До 15 ноября есть возможность высказать свое мнение и повлиять на законопроект, который серьезно затронет сотни тысяч организаций в стране.
Свое мнение о законопроекте я уже высказывал ранее:
ФСТЭК не внесла изменений с того времени, значит стороны остались при своем мнении.
Зато появился документ, которого не было в апрельской попытке ФСТЭК. И в нем очень много интересного.
ФОРМА сводного отчета
о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия
1. Обоснование отнесения проекта акта к определенной степени регулирующего воздействия: Проект акта содержит положения, устанавливающие ранее не предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения.
2. Негативные эффекты, возникающие в связи с наличием проблемы: Не выполнение в срок требований законодательства о безопасности критической информационной инфраструктуры
3. Источники данных: Практика реализации Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
4. Цели предлагаемого регулирования: Дифференциация наказания
5. Описание предлагаемого способа решения проблемы и преодоления связанных с ней негативных эффектов: Дифференциация уголовной ответственности, предусмотренной статьей 274.1 Уголовного кодекса Российской Федерации
6. Описание иных способов решения проблемы (с указанием того, каким образом каждым из способов могла бы быть решена проблема): Статьей 274.1 Уголовного кодекса Российской Федерации предусмотрена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре
7. Обоснование выбора предлагаемого способа решения проблемы: Нарушение указанных требований создает предпосылки к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства, за что должна быть предусмотрена административная ответственность.
Возникает несколько вопросов "просто на логику":
1. Как п.1 стыкуется с п.4? Законопроект впервые криминализирует действия субъекта КИИ. Вводится дополнительный состав правонарушения, который ранее не наказывался вообще. Никаких изменений в уголовную статью не вносится. Что за "Дифференциация наказания"?Пишите прямо, что цель законопроекта - ужесточение наказания, путем введения дополнительного к уголовному административного состава.
2. Каким образом п.6 может повлиять на п.2? ФСТЭК просто продавливает единственный вариант - ужесточение КоАП.
3. Каким образом п.7 подтверждается п.3? Предпосылки к нанесению ущерба в несоблюдении сроков законодательства по КИИ? Неужели отправка перечня ОКИИ на день позже создает их? Или может задержка с отправкой формы уведомления после утверждения акта категорирования создает предпосылки к ущербу? А нарушение ФСТЭК сроков ответов на полученные формы уведомления не приводит к таким предпосылкам?
Что еще интересного в форме?
ФСТЭК считает, что 500 000 организаций являются субъектами КИИ. Обоснование количества - Источники данных: Реестр выданных лицензий на предпринимательскую деятельность Росреестра России, Единый реестр субъектов малого и среднего предпринимательства ФНС России.
7.1.1.
Оценка структуры регулируемых субъектов по категориям
|
Количественная (интервальная) оценка
|
Удельный вес
(%)
|
Микропредприятия
|
4 000
|
0,8
|
Малые предприятия
|
50 000
|
10
|
Средние предприятия
|
75 000
|
15
|
Крупные предприятия
|
371 000
|
74,2
|
7.1.2. Источники данных: Показатели Росстата России
|
||
ФСТЭК предлагает внедрить наказание без последующей оценки эффективности принятого решения. Да и рисков никаких не видят от введения штрафов.
13.1.
Риски решения проблемы предложенным
способом и риски негативных последствий
|
13.2.
Оценки вероятности наступления рисков
|
13.3.
Методы контроля эффективности
избранного способа достижения целей регулирования
|
13.4.
Степень контроля рисков
|
Риски решения проблемы предложенным способом регулирования и риски
негативных последствий не установлены
|
0
|
отсутствуют
|
отсутствует
|
При этом, ФСТЭК на этапе публичного обсуждения в апреле 2019 года заявляла «Суммы административных штрафов за указанные административные правонарушения определены в соответствии со статьёй 3.5 Кодекса Российской Федерации об административных правонарушениях.
В случае, если по результатам анализа практики правоприменения Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет установлено невыполнение норм законодательства Российской Федерации о безопасности критической информационной инфраструктуры по причине малых сумм штрафов за соответствующие административные правонарушения, ФСТЭК России будут подготовлены предложения по увеличению сумм штрафов»
То есть, оценка эффективности все таки возможна и проводится будет? И оказывается, что методы контроля эффективности существуют.
Возвращаясь к апрельской аргументации ФСТЭК.
Вот ее разъяснение по одному из замечаний:
«Предлагаемая формулировка значительно сужает состав правонарушений, по которым возможно применение административного наказания. Например, предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации».
Из нее следует, что специалист ФСТЭК будет иметь полномочия самостоятельно определять какая ИС/АСУ/ИТКС в организации является ОКИИ. Вот комиссия во главе с директором не считает это ОКИИ, а пришедший на проверку специалист ФСТЭК считает. А почему тогда ФСТЭК отказывается от всех приглашений поучаствовать в комиссиях по категорированию и ссылается на отсутствие полномочий? Судя по этому законопроекту, нам комиссии по категорированию вообще не нужны. Все способна сделать ФСТЭК.
И об этом писалось еще 24.01.2017 при экспертизе проекта 187-ФЗ.
"Комитет Государственной Думы по информационной политике, информационным технологиям и связи, рассмотрел внесенный Правительством Российской Федерации проект федерального закона № 47571-7 «О безопасности критической информационной инфраструктуры Российской Федерации» и отмечает следующее.
Законопроектом предлагается установить , что категорирование объектов критической информационной инфраструктуры Российской Федерации осуществляется самостоятельно субъектами критической информационной инфраструктуры. Такой подход с точки зрения интересов государственного регулирования в сфере информационной безопасности нуждается в содержательном пересмотре в пользу позиции о необходимости осуществления категорирования объектов критической информационной инфраструктуры не самостоятельно собственниками и пользователями имущества, относящегося к объектам критической информационной инфраструктуры, не по результатам плановых и внеплановых проверок в рамках государственного надзора (контроля), а непосредственно силами и средствами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры. "
Законопроектом предлагается установить , что категорирование объектов критической информационной инфраструктуры Российской Федерации осуществляется самостоятельно субъектами критической информационной инфраструктуры. Такой подход с точки зрения интересов государственного регулирования в сфере информационной безопасности нуждается в содержательном пересмотре в пользу позиции о необходимости осуществления категорирования объектов критической информационной инфраструктуры не самостоятельно собственниками и пользователями имущества, относящегося к объектам критической информационной инфраструктуры, не по результатам плановых и внеплановых проверок в рамках государственного надзора (контроля), а непосредственно силами и средствами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры. "
P.S. И еще "привет из прошлого", аргументация при принятии 187-ФЗ:
Дмитрий Владиславович, в финансово-экономическом обосновании сказано, что
принятие данного законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечёт финансовых обязательств государства. Однако согласно статье 7 законопроекта под пунктом 12 в обязанности субъектов критической информационной инфраструктуры входит оказание помощи в обнаружении и предупреждении компьютерных атак, там говорится о возможности установления технических средств для поиска признаков компьютерных атак - все эти обязанности и права потребуют установления специализированного компьютерного обеспечения. Кроме того, согласно проекту закона в реестр будет внесено большинство федеральных органов власти, что также повлечёт за собой дополнительное финансирование из бюджета на установку программного обеспечения и реализацию закона. Непонятно: сначала закон примем, а потом будем искать финансовые средства для его реализации?
ШАЛЬКОВ Д. В. Спасибо за вопрос. Средства из государственного бюджета на
решение этих вопросов уже выделены, действует государственная программа по
обнаружению и противодействию компьютерным атакам - ГосСОПКА, у нас уже
деньги есть, и мы работаем. Что касается владельцев объектов критической
инфраструктуры - на большинстве этих объектов необходимое оборудование уже и так установлено, поэтому каких-то существенных затрат, по нашим прогнозам, у них не будет."
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Действительно очень грустно, что не приняли подход согласно которому субъектов КИИ и объекты КИИ определял ФОИВ.
ОтветитьУдалитьПринятие решения - это ответственность. Оно нужно ФСТЭК?
ОтветитьУдалитьЗакон принимался в таком виде, чтобы при необходимости можно было привлечь к ответственности либо закрыть абсолютно любую организацию: от аптеки до АЭС, от ломбарда до шахты.
ОтветитьУдалитьЯсности и четких правил здесь не будет: у закона немножко иная цель.
С другой стороны - если не будет ответственности, никто ничего не будет делать.
Это прямой путь к коррупции и произволу.
ОтветитьУдалить