среда, 6 ноября 2019 г.

КоАП для КИИ. Вторая попытка ФСТЭК. Окончание.


     Окончание заметки с разбором недостатков законопроекта по изменению КоАП в части КИИ. До 15 ноября отправляем свои замечания и предложения по законопроекту https://regulation.gov.ru/projects#npa=96058


    Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами
‎и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния, –
влечет наложение административного штрафа на должностных лиц
‎в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц -
‎от пятидесяти тысяч до ста тысяч рублей.

   Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации,
‎за исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния, –
влечет наложение административного штрафа на должностных лиц
‎в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц -
‎от пятидесяти тысяч до ста тысяч рублей.

   Вопрос: у ФСТЭК уже есть полномочия госконтроля, предоставлена возможность плановых и внеплановых проверок субъектов ЗОКИИ. (Постановление Правительства РФ от 17.02.2018 № 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"). Предусмотрены меры принуждения к исполнению требований регулятора. Какие у ФСТЭК обоснования для ужесточения наказания и усиления мер принуждения? Ведь ФСТЭК не провел ни одной проверки. Откуда правоприменительная практика, что бы утверждать о недостаточности мер госконтроля в существующем виде?

   пункт 5 части 2 статьи 23.45 дополнить словами «, начальники структурных подразделений указанного федерального органа исполнительной власти, начальники структурных подразделений территориальных органов указанного федерального органа исполнительной власти». А какое отношение невыполнение требований 187-ФЗ имеет к закону о гостайне? (Статья 23.45. Федеральные органы исполнительной власти, осуществляющие контроль за обеспечением защиты государственной тайны.). Так хочется начальникам отделов карательных полномочий добавить?
   Итог: эти три пункта законопроекта необходимо исключить. Они не обоснованны.



    Переходим к НКЦКИ/ФСБ.

    Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
‎в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.

  Этот состав правонарушения соответствует Приказу ФСБ России от 19.06.2019 № 282"Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"
«Информация о КИ, связанном с функционированием ЗОКИИ, направляется субъектом КИИ в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных ОКИИ - в срок не позднее 24 часов с момента его обнаружения.»

Запомним эти цифры.

   Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц
‎в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.»;

   Описываемый состав правонарушения соответствует Приказу ФСБ России от 24.07.2018 N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

   И  срок там указан только один «5. Информация, указанная в пункте 5 Перечня, направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 24 часов с момента обнаружения компьютерного инцидента.».

   Выходит, что наказание за превышение срока для ЗОКИИ в 3 часа не предусмотрено в этом пункте статьи КоАП.

   Получается парадоксальная ситуация – за одно и то же правонарушение (срок информирования более 24 часов) можно выписать штраф по двум статьям КоАП. Минимальный штраф по одной для организации – 150 000 рублей, а по другой – 100 000 рублей. Разброс в 1,5 раза. Максимальное наказание – 200 000 или 500 000. Разброс более чем в 2 раза. Как так то?

Итог (в части ФСБ):
   Непонятна логика при выборе размеров штрафа. Почему то процесс  информирования НКЦКИ о КИ для незначимого ОКИИ оценивается в 2,5 раза дороже, чем этот же процесс+реагирование+ликвидация последствий ЗОКИИ? Почему опоздание с информированием НКЦКИ на 15 минут (1%) для незначимого ОКИИ стоит 500 000 рублей?
    Вообще, выпуск приказов ФСБ с дублирующим содержанием создал нехорошую юридическую коллизию. Это прямой путь к коррупции и административному произволу, и в суде оспорить правильность квалификации правонарушения доказать не удастся. Все на субъективное усмотрение сотрудника ФСБ.

  Предложение: привести размеры штрафов к одному виду. Ввести дифференциацию нарушений  и соответствующих штрафов.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

1 комментарий: