Лицензии для услуг по безопасности ЗОКИИ.Последствия.

   В ходе обсуждения заметки https://valerykomarov.blogspot.com/2020/08/blog-post.html на различных тематических площадках проявились интересные нюансы и с другой нормативно-правовой активностью регуляторов в области безопасности КИИ. Попробуем систематизировать.
  Дополнительно возникли два вопроса:
  а. Возможно ли отнесение 187-ФЗ к законодательству по защите информации, как частный (специальный) вариант нормы права, аналогичный законам по ПДн, КТ, ГТ?
  б. Оправдана ли позиция ФСТЭК по невозможности применения ч.6 ст.13.12 КоАП к субъектам КИИ -"Отсутствие возможности привлечь к административной ответственности субъекта КИИ, имеющего ЗОКИИ, за нарушение требований в области обеспечения безопасности КИИ приведет к тому, что указанные требования будут реализовываться лишь после выдачи предписания об устранении выявленного в ходе проверки нарушения."?


  1. Смотрим ст.274.1 УК РФ. Она размещена в "Глава 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ". Весь состав преступления построен на воздействии на защищаемую информацию.
  2. Представлен слайд с презентации Лютикова В.С. (ФСТЭК) на ТБ-форум 2020 на тему "Основные направления совершенствования деятельности по технической защите информации". Явно показано отнесение руководством ФСТЭК 235/239 приказов к сфере законодательства по защите информации. Вопрос: почему за нарушение 17 приказа можно вменить ч.6 ст.13.12 КоАП, а за нарушение 235/239 приказов нет?

  3. "Контроль выполнения Требований 235/239 Приказа, иных НПА в области обеспечения безопасности КИИ, а также ОРД по безопасности ЗОКИИ" = лицензируемая деятельность по контролю защищенности информации от НСД и ее модификации в средствах и системах информатизации (п. 36 235 приказ).

  4. Представлен слайд Торбенко Е.Б. (ФСТЭК). На ЗОКИИ, обрабатывающих ГТ, не распространяется 239 Приказ. При этом, ФСТЭК почему то считает - "Предполагается, что ..проектируемой статьи ..Кодекса должна применяться в том числе и для ЗОКИИ, обрабатывающих информацию, содержащую сведения, составляющие ГТ". Как совместить отсутствие необходимости выполнения с наказанием за невыполнение не понятно. А это означает, что для ЗОКИИ с ГТ будет применяться ч.7. ст.13.12 КоАП. Что мешает применить для остальных ЗОКИИ без ГТ ч.6 ст.13.12 КоАП?
  5.  Если у нас ЗОКИИ типа АСУ, то это 239 приказ. А если незначимый ОКИИ, то 31 приказ. Почему за один можно наказывать по ч.6 ст.13.12 КоАП, а за другой нет?
  6. Если у нас ЗОКИИ типа ГИС, то это 239 приказ+17 приказ. А если незначимый ОКИИ, то 17 приказ. Получается что в случае ЗОКИИ субъекта КИИ можно два раза оштрафовать за одно и то же нарушение? Просто они сформулированы в приказах по разному. Пишем в протокол, что не выполнен п..239 приказа и штраф за КИИ и тут же -не выполнен п..17 приказа с штрафом по ч.6 ст.13.12 КоАП. Почему, если ГИС это ЗОКИИ, то нельзя наказывать по ч.6 ст.13.12 КоАП, а если ГИС это незначимый ОКИИ то можно? Они ведь ничем не отличаются, только показателями категорий значимости..

  Итог: вполне можно отнести вопросы обеспечения безопасности КИИ к законодательству по защите информации и требования ФСТЭК по лицензиям ТЗКИ вполне обоснованы. Но в таком случае, никаких изменений КоАП не требуется. Существующая ст.13.12 КоАП позволяет накопить правоприменительную практику, на основании которой уже можно обосновать такую необходимость. Ну или настаивать о невозможности применения ст.13.12 КоАП, но тогда необходимо убирать из НПА по КИИ требования по наличию лицензий ТЗКИ.

 

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite