КоАП для КИИ. Итог нашей деятельности. Часть 2.

  Начало здесь
  Разбор аргументации позиции ФСТЭК по законопроекту.
  Особенно будет интересно тем, кто ратовал за ужесточение штрафов для мотивации руководителей организаций по выполнению законодательства. Штрафовать то планируют тех, кто ниже в «пищевой цепочке».

1       1.  «Значимые объекты критической информационной инфраструктуры принадлежат менее чем 50 органам государственной власти субъектов Российской Федерации. Эти объекты являются государственными информационными системами, в отношении которых указанными органами в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» приняты и принимаются необходимые меры по защите обрабатываемой в них информации. Таким образом, положения законопроекта влияния на социально-экономическое развитие субъектов Российской Федерации в части государственных органов не окажут».

         Вот интересно, а как это с отчетами ФСТЭК о количестве прокатегорированных ОКИИ бьется? Вы законопроект написали в момент, когда госучреждения вам только перечни объектов сдать обязаны были. Вы узнаете сколько органов госвласти в стране стали субъектами с ЗОКИИ только после 1 сентября 2020 года! И зачем тогда Минкомсвязь проводит субсидирование органов госвласти для выполнения 187-ФЗ, если уже все выполнили 17 приказ?

2        2. «Отчеты федеральных органов государственной власти по вопросам обеспечения безопасности персональных данных и технической защиты информации являются информацией ограниченного доступа и не подлежат опубликованию в открытых источниках. Таким образом, данное замечание не обосновано..В настоящее время наблюдается тенденция к снижению количества нарушений минимально необходимых требований по безопасности информации». Смешно. Хорошо, что хоть признали « не обоснованным», а «не соответствующим действительности». И отчеты РКН по проверке операторов ПДн вполне себе публикуются. 

3       3. «Признаки субъекта критической информационной инфраструктуры определены Федеральным законом от 27 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и исключают возможность неоднозначного толкования.».

          Видимо мы в разных вселенных живем.

4           4. «Предлагаемые размеры штрафов обусловлены тем, что соответствующие статьи Кодекса Российской Федерации об административных правонарушениях  (далее – Кодекс) применимы в случае нарушения требований законодательства Российской Федерации в области безопасности критической информационной инфраструктуры различных категорий значимости, следовательно, могут привести к негативным последствиям различного масштаба».

           Вопрос был про коррупционную составляющую. В законопроекте тогда необходимо указать градацию штрафов в зависимости от категории значимости. А не на усмотрение проверяющего.

5           5.  «В случае принятия предлагаемого регулирования будут созданы условия для реализации требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры субъектами критической информационной инфраструктуры, которые будут способствовать обеспечению устойчивого функционирования критической информационной инфраструктуры Российской Федерации при проведении в отношении нее компьютерных атак».

           То есть, решили создать условия через два года после вступления в силу закона? Непонятно почему условиями для реализации являются штрафные санкции? Сами же указываете, что «Цель установления административной ответственности за нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры – предупреждение компьютерных инцидентов.»

6             6.  «Отсутствие возможности привлечь к административной ответственности субъекта критической информационной инфраструктуры, имеющего значимые объекты критической информационной инфраструктуры, за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации приведет к тому, что указанные требования будут реализовываться лишь после выдачи предписания об устранении выявленного в ходе проверки нарушения.». 

          Логической цепочки не понял. Если субъект КИИ не хочет, то он и так будет только после предписания делать. По предлагаемой процедуре просто добавится штраф и все. Или штраф сам собой выпишется?

    7. «Законопроект направлен на обеспечение безопасности критической информационной инфраструктуры».
    На обеспечение безопасности направлен 187-ФЗ, а не КоАП.
    8. «Результаты проведенного анализа показывают низкий уровень реализации норм указанного законодательства, а также то, что степень внедрения мер, предусмотренных этим законом, недостаточна. Кроме того, в ФСТЭК России поступают сведения о результатах присвоения объектам критической информационной инфраструктуры категорий значимости либо об отсутствии необходимости присвоения им таких категорий, содержащие сведения о принимаемых на объектах критической информационной инфраструктуры мерах по обеспечению их безопасности, которые позволяют сделать заключение, что принятые на этих объектах меры по обеспечению их безопасности недостаточны».
     То есть, 187-ФЗ все таки «не взлетел»? Какая связь между штрафами и слабой защищенностью объектов? Если бы вы увидели на стадии сбора информации о результатах категорирования, что уже реализованы достаточные меры безопасности, то зачем тогда 187-ФЗ вообще был бы нужен? Где анализ причин «низкого уровня реализации закона»? Может не штрафовать надо, а провести корректировку формулировок закона и выпустить методические материалы по его выполнению.
    9. «Первая плановая проверка, в ходе которой может быть применена проектируемая статья Кодекса, может быть осуществлена не ранее, чем через 3 года после включения информации о значимом объекте критической информационной инфраструктуры. По мнению специалистов ФСТЭК России, 3 лет вполне достаточно для реализации требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры».
      А по мнению прокуратуры никаких трех лет не предусмотрено законодательства и никаких инцидентов ИБ им для посещения не требуется. Вы же федеральный закон пишите, а не ведомственный приказ, которым исключительно ФСТЭК будет пользоваться.
    10.  «Указанные изменения направлены на оптимизацию расходов… и сокращению расходов бюджетных средств на проведение проверочных мероприятий». 
   Наделение полномочиями по административному наказанию начальников отдела ФСТЭК вызваны бюджетной экономией. Причем здесь стоимость проверочных мероприятий непонятно. В законопроекте говориться о праве выписывать штрафы, а не о возможности провести проверку. Проводить может кто угодно, просто потом материалы проверки передаются начальнику управления и уже он принимает решение о необходимости наказания. Как это влияет на бюджетные расходы?

    11.      «Дифференциация наказания проводится по результатам изучения каждого конкретного правонарушения и его обстоятельств».
      Прямая коррупционная составляющая в законопроекте. Все на усмотрение проверяющего и его настроения. Ни методик оценки, ни критериев. А в другом ответе ФСТЭК «Учитывая, что для назначения административного наказания, предусмотренного проектируемыми статьями Кодекса, не требуется проведения предварительных расследований». Так как проверяющий решения принимает по правонарушению?
   12. «Таким образом, в целях сохранения возможности установления административной ответственности за несоблюдение на ранних этапах жизненного цикла значимых объектов критической информационной инфраструктуры Российской Федерации требований по обеспечению их безопасности необходимо установить срок вынесения постановления по делу об административном правонарушении не позднее 1 года со дня совершения административного правонарушения, предусмотренного предлагаемыми  статьями 13.12.1 и 19.7.15».
    Очень опасный пункт для субъектов КИИ. На момент проверки вы все реализовали, а вот 10 месяцев назад у вас было обновление не установлено – ловите штраф. 
   13. «Законодательство Российской Федерации о безопасности критической информационной инфраструктуры вступило в силу с 1 января 2018 г. Субъекты критической информационной инфраструктуры, имеющие значимые объекты критической информационной, создают системы обеспечения их безопасности. Таким образом, правоприменительная практика по реализации данных требований сформировалась».
      У нас на всю страну пару тысяч ЗОКИИ, систем безопасности десятки создано. По вашим же отчетам. Почему вы отсчет ведете  с 1 января? Напомнить когда 235 и 239 приказы появились? Про какую правоприменительную практику по обеспечению безопасностии ЗОКИИ вы рассказываете? Выполнить 239 приказ не может ни один субъект КИИ, потому что ФСТЭК не выпустил необходимые документы - "Для определения угроз безопасности информации и разработки модели угроз безопасности информации должны применяться методические документы, разработанные и утвержденные ФСТЭК России".
   14.  «Целью реализации законодательства об обеспечении безопасности критической информационной инфраструктуры является создание эффективной системы обеспечения безопасности критического объекта. При оценке эффективности системы обеспечения безопасности учитываются, в том числе, условия и особенности функционирования объекта. Таким образом, для каждого отдельного объекта требования, устанавливаемые законодательством, являются исчерпывающими.»
     Ладно, простим критический объект, будем считать что речь про значимый объект КИИ. Но разве у нас 187-ФЗ называется законом о создании системы безопасности ОКИИ? Цель законодательства в области обеспечения безопасности КИИ – устойчивое функционирование КИИ при проведении в отношении нее компьютерных атак! Система безопасности –это всего лишь инструмент для достижения цели. С тем же успехом можно написать, что целью законодательства об обеспечении безопасности КИИ является проведение категорирования ОКИИ.
   

    15. «В 2017 году была осуществлена масштабная компьютерная атака с использованием вируса-шифровальщика WannaCry, в том числе на отдельные субъекты критической информационной инфраструктуры. Анализ последствий указанной атаки на примере 3 государственных компаний, в состав информационной инфраструктуры каждой из которых на момент атаки входило около 50 000 средств вычислительной техники, показал, что заражению в этих организациях подверглись около 33 % автоматизированных рабочих мест и 50 % серверов, восстановление работоспособности которых заняло от 1 до 3 суток.Около 25 % работников указанных организаций в течение этого времени не могли в полной мере исполнять свои должностные обязанности. Причиной заражения этих средств вычислительной техники являлась нереализация мер по обеспечению информационной безопасности, в том числе, приведенных в законодательстве Российской Федерации о безопасности критической информационной инфраструктуры, в частности, невыполнение требований по своевременному обновлению программного обеспечения, отсутствие регламентов и правил работы с электронной почтой, невыполнение минимальных требований по защите периметра информационных и автоматизированных систем. Для разработки и реализации мер, направленных на ликвидацию последствий указанной компьютерной атаки, каждой из указанных организаций была привлечена внешняя организация, имеющая соответствующие компетенции. Стоимость затрат на указанные услуги этой организации для каждой из указанных государственных компаний составила от 3 до 5 миллионов рублей в зависимости от масштаба последствий компьютерной атаки и применяемого ими программного обеспечения. Эта сумма не включает стоимость услуг по восстановлению инфраструктурного и прикладного программного обеспечения, а также информации, содержавшихся на этих средствах вычислительной техники. Кроме того, согласно информации, представленной в обзоре несанкционированных переводов денежных средств за 2018 год, подготовленном Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, в результате воздействия вредоносного кода на объекты информационной инфраструктуры одного субъекта критической информационной инфраструктуры - оператора по переводу денежных средств, злоумышленникам удалось осуществить несанкционированные операции по переводу денежных средствс корреспондентских счетов на общую сумму79,9 миллионов рублей. Размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в Российской Федерации, который составляет 80 – 100 тыс. рублей (по результатам анализа вакансий, представленных на сайте www.hh.ru). Нижняя граница размеров предлагаемых административных штрафов позволяет надлежащим образом учесть характер и последствия совершенного административного правонарушения, а также реализовать дифференциацию административной ответственности и индивидуализацию административного наказания, с учетом значимости объектов критической информационной инфраструктуры.»

           Видим попытку обосновать необходимость и размера штрафа к стоимости работ по защите информации для ГИС крупной госкоркорпорации (но не ущерба)? Или к ущербу в банке от вирусной атаки? Нет! Размер штрафа выбирался из уровня заплаты руководителя подразделения ИБ. Смотрим историю вопроса:

Информационное сообщение Федеральной службы по техническому и экспортному контролю от 2 июля 2017 г. № 240/22/3171 “О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций”

            «В ходе контроля состояния технической защиты информации в информационных (автоматизированных) системах органов государственной власти и организаций, проводимого ФСТЭК России в пределах своих полномочий, выявляются нарушения указанных выше требований по защите информации, что создает условия для реализации угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.»  То есть, в 2017 году стоимость работ по выполнению требований 17 приказа для ГИС составила «от 3 до 5 миллионов рублей», но штрафы повышают для субъектов КИИ, а не для операторов ГИС. Почему размера штрафа по ст.13.12 КоАП для принуждения к исполнению 17 приказа достаточно? А вот для 239 требуется в десятки раз больше?

  Размер штрафа выбирался из уровня заплаты руководителя подразделения ИБ. Наличие отдельного подразделения по ИБ не является обязательным по законодательству, даже по 239 для КИИ. Руководитель субъекта КИИ сам определяет структуру СБ и может назначить одного специалиста безопасности и все. Уровни оплаты руководителей ИБ сильно зависят от отрасли и географии, толку что ФСТЭК сделал большую вилку штрафов, если критерий выбора размера штрафа  -"реализовать дифференциацию административной ответственности и индивидуализацию административного наказания, с учетом значимости объектов критической информационной инфраструктуры.", а не уровень дохода. Будем наказывать безопасника районной больницы в размере его месячной зарплаты, а нальник аотдела безопасности банка на треть. Отличный способ обеспечить рост ненависти в регионах в москвичам. Судя по приведенным цифрам, штраф рассчитан как половина от месячного заработка.  Ну и прописали бы, что налагается штраф в 50 % месячного дохода правонарушителя. И кто то еще надеется, что ФСТЭК будет наказывать руководителя организации? 

    16.  «Значимые объекты критической информационной инфраструктуры, обрабатывающие информацию, содержащую сведения, составляющие государственную тайну, должны выполнять Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239, а именно пункт 4 этих Требований. Предполагается, что часть 3 проектируемой статьи 13.12.1 Кодекса должна применяться в том числе и для значимых объектов критической информационной инфраструктуры, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну».

    Красавцы. Ну ладно, что приказы выполняет субъект, а не объект. Но ссылаться при обосновании необходимости  выполнения приказа на пункт этого же приказа, указывающий что этим приказом не руководствоваться!  И принимаем закон на предположениях о применении….. А с чего такие предположения то? Может правоприменительной практикой подтвержденные?

    17.      «Любое нарушение сроков, установленных законодательством Российской Федерации о безопасности критической информационной инфраструктуры, является нарушением требований этого законодательства. Указанные сроки в явном виде определены статьей 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, а также постановлением Правительства Российской Федерации от 13 апреля 2019 г. № 452.» 

   Обоснованность административного наказания за любое нарушение сроков очень под большим сомнением.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite