четверг, 18 июня 2020 г.

Новый КоАП. Страшный и неотвратимый.


   Осталась неделя на подачу замечаний и предложений к проекту нового КоАП, принимаются до 24 июня 2020 https://regulation.gov.ru/projects#npa=102447.
   Каждое надзорное ведомство прописало свои составы правонарушений. По котором только оно будет выносить решение о наказании. Привело это к появлению дублирующих статей не  совпадающих по размеру наказания. Пришел РКН и за невыполнение обязанности по соблюдению конфиденциальности ИОД наказал штрафом до 500 000 рублей (33.1.6.), пришла ФСТЭК и за нарушение норм и требований в области защиты информации штрафует до 20 000 рублей (33.2.6). А, если конфиденциальность нарушил с использованием служебных полномочий, то получи штраф до 5 000 рублей (33.4).

     Мной поданы такие замечания к законопроекту:
   1. Неверное название Статья 33.4. Несоблюдение конфиденциальности в отношении информации с ограниченным доступом. В законодательстве используется термин "информация ограниченного доступа". 
   2. Не гармонизирован размер наказания по однотипным составам правонарушения. Персональные данные относятся к информации ограниченного доступа, а размер наказания за нарушение конфиденциальности различается на порядок.
   3. По новым составам правонарушений в отношении субъектов КИИ  несоразмерность наказания. Например с  штрафами, предусмотренным за нарушения требований в области защиты информации, содержащей сведения, составляющие государственную тайну,  статья 33.2 законопроекта содержит следующие меры ответственности:
  7.  Нарушение норм и требований в области защиты информации, содержащей сведения, составляющие государственную тайну, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц – от пятнадцати тысяч до двадцати тысяч рублей.
    Учитывая, что правоприменительная практика по соблюдению  требований к субъектам КИИ на текущий момент не сформирована, представляется обоснованным сокращение размера вводимых штрафов.
   4. Включение в КоАП состава правонарушения
 Статья 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации 
1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации 
‎и обеспечению их функционирования, установленных федеральными законами 
‎и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, 
2. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.
преждевременно, так как отсутствует правоприменительная практика, доказывающая недостаточность существующих мер государственного контроля и принуждения субъектов КИИ в отношении ЗОКИИ. Постановление Правительства РФ от 17.02.2018 № 162
"Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" вполне достаточно для эффективного соблюдения законодательства в части предлагаемых составов правонарушения.
   5. Включение в КоАП состава правонарушения
Статья 39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
   Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц 
‎в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от тридцати тысяч до семидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
избыточно, так как п.11 ст.11 187-ФЗ уже введен механизм реагирования на данный состав правонарушения.
  Целесообразность введения дополнительного наказания и обоснованность размера штрафов сомнительна.
    6. Статья 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
 3. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации
и
 Статья 39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
в отношении одного и то же состава правонарушения - "Нарушение порядка информирования о компьютерных инцидентах" вводят разные штрафные санкции, причем для ЗОКИИ штрафы существенно МЕНЬШЕ, чем для незначимых ОКИИ.


   Отмечу, что предлагается ввести и новый тип кодекса - процессуальный кодекс об административных нарушениях. https://regulation.gov.ru/projects#npa=99061

   В нем предусмотрена отдельная статья
Статья 6.10. Представление об устранении причин и условий, способствовавших совершению административного правонарушения
1. Орган, должностное лицо, рассматривающие дело об административном правонарушении, при установлении причин административного правонарушения и условий, способствовавших его совершению, вносят в соответствующие организации и соответствующим должностным лицам представление о принятии мер по устранению указанных причин и условий.
2. Организации и должностные лица обязаны рассмотреть представление об устранении причин и условий, способствовавших совершению административного правонарушения, в течение месяца со дня его получения принять меры, направленные на устранение причин и условий совершения административного правонарушения и сообщить о принятых мерах в орган, должностному лицу, внесшим представление.

  Невыполнение представления - это отдельный состав правонарушения!
https://valerykomarov.blogspot.com/2020/06/blog-post_9.html


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий