1. Смотрим на заявленную ФСТЭК проблему: "Не выполнение в срок требований законодательства о безопасности критической информационной инфраструктуры.".
Какие же сроки установлены в законодательстве для субъекта КИИ?
а. Для госучреждений до 01.09.2019 утвердить перечни объектов КИИ, подлежащих категорированию. Для коммерческих организаций срок не установлен.
б. 365 дней на присвоение категории с момента утверждения перечня объектов.
в. 10 дней на отправку перечня и формы уведомления в ФСТЭК после утверждения субъектом.
г. 10 дней на устранение замечаний ФСТЭК по форму уведомления о результатах категорирования.
д. 1825 дней срок действия акта категорирования.
е. 24/3 часа на информирование НКЦКИ (незначимый/значимый ОКИИ) о КИ.
ж. 90 дней на составление плана реагирования на КИ (только для ЗОКИИ).
з. 2 дня на информирование НКЦКИ о результатах мероприятий (только для ЗОКИИ).
и. 5 дней на информирование ФСБ/НКЦКИ при изменениях в техсредствах ГосСОПКА.
Отдельно отмечу, что срок создания системы безопасности ЗОКИИ в законодательстве не установлен.
Вопрос: какие сроки из приведенных выше криминальны?
Что изменится с безопасностью страны, если субъект направит свой перечень объектов КИИ, подлежащих категорированию не через 10 дней,а через 11?
Почему ФСТЭК считает безопасным на основе правоприменительной практики 187-ФЗ увеличить этот срок в 2 раза (с 5 до 10 дней), а субъект КИИ за ОДИН день опоздания значит подорвет безопасность России и его надо штрафовать на значительную сумму?
Почему надо штрафовать за один день просрочки присвоения категории? Это всего-лишь 0,3 % от установленного срока категорирования. С учетом последующих временных затрат на переписку с ФСТЭК (только на рассмотрение дается 30 дней), это вообще на уровне погрешности регистрации.
А ведь это будет основной состав правонарушений. ФСТЭК оперирует количеством субъектов КИИ в 500 000 организаций. Сейчас же с ФСТЭК взаимодействуют менее 1 % от этого количества.
По срокам ФСБ/НКЦКИ таких вопросов не возникает, возможно сроки обоснованы. А возможно и нет.
Если посмотреть на состав правонарушений в законопроекте, то увидим удивительное - на соблюдение сроков направлена только часть изменений КоАП. А остальные не соответствуют решению заявленной ФСТЭК проблемы.
Что нам предложила ФСТЭК с упоминанием сроков:
Статья 19.7.15 Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
Вопрос: а что входит в состав правонарушения "нарушение порядка представления в ФСТЭК сведений"? Оформили не 236 приказу? не утвердили? не приложили в электронном виде? Или отправили на адрес местного ФСТЭК вместо ЦА? Более того, в 187-ФЗ нет никаких упоминаний о полномочиях ФСТЭК надзирать за порядком представления сведений и тем более наказывать за его нарушение.
С какого момента "нарушение срока представления" переквалифицируется в "непредставление уведомления"?
Замечу, что еще упоминается нарушение порядка категорирования. То есть, ФСТЭК хочет выписывать штраф за каждый возврат уведомлений на доработку. А это сейчас от 20 до 30% от общего количества уже полученных уведомлений (по публичным отчетам ФСТЭК).
13.12.1.1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
Еще ФСТЭК упоминал цель законопроекта -"Дифференциация наказания".
Но в тексте КоАП этого не видно. Вполне логично по разному наказывать правонарушителя, ан нет.
Итог (в части ФСТЭК):
1. Законопроект не соответствует заявленным целям: соблюдение сроков и дифференциация наказания.
2. Отсутствует какое-либо обоснование необходимости криминализировать нарушения сроков категорирования или предоставление результатов категорирования.
3. Состав правонарушений не конкретизирован и допускает субъективное толкование.
4. Законопроект содержит дублирующие составы правонарушений, так ст.7 187-ФЗ относит предоставление сведений в ФСТЭК к процедуре категорирования.
5. Редакция ст.19.7.15 незаконна. ФСТЭК наделен полномочия госконтроля исключительно в ЗОКИИ. Полномочия ФСТЭК прописаны в ст.6 187-ФЗ и соответствующих указах Президента РФ - в них нет никакого упоминания о функциях государственного контроля/надзора за порядком категорирования. Согласно ст.7 187-ФЗ, у ФСТЭК есть право при проверке мотивированно вернуть результаты категорирования и "выслать требование о необходимости соблюдения положений настоящей статьи".
Вывод: текущая редакция (в части ФСТЭК) несет высокий коррупционный риск, а так же дискредитирует основные принципы публично-правого принуждения к исполнению законодательства.
Либо ФСТЭК в момент вступления в силу изменений КоАП штрафует 99 % потенциальных субъектов КИИ и обеспечивает равенство всех перед законом с неотвратимостью наказания, либо получает вопросы о "ручном" применении закона и роли коррупционной составляющей по каждому случаю применения.
Предложения:
1. Ввести дифференциацию нарушения сроков и соответствующих штрафов (по аналогии с нарушениями скоростного режима на автодороге). Пример: превысил сроки на 30 календарных дней - предупреждение, от 30 до 90 календарных дней - штраф в 5 000 рублей, более 90 календарных дней - 20 000 рублей.
2. Исключить статью 19.7.15.1, так как она дублируется 13.12.1.1.
3. В соответствии с ст.7 187-ФЗ, предусмотреть, что применение ст. 13.12.1.1. наступает исключительно после "невыполнения требования о необходимости соблюдения положений настоящей статьи", высланного ФСТЭК в адрес субъекта КИИ в 30-ти дневный срок или в случаях повторного нарушения порядка категорирования (не устранение мотивированного замечания).
Продолжение следует...
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
С предложениями категорически ... согласен!
ОтветитьУдалитьДля реализации предложений необходимо каждому до 15 ноября внести их на госпортал.
ОтветитьУдалить