понедельник, 7 июня 2021 г.

КоАП для КИИ. Есть и другие вопросы.

 


   Ну что же. Мы вступили в новую эпоху обеспечения безопасности КИИ РФ, часть нарушений субъектом КИИ требований 187-ФЗ теперь официально относится к правонарушениям и влечет "наказание рублем" (141-ФЗ вступил в силу 06.06.2021). Ранее мы задали вопросы к составу правонарушений при обеспечении безопасности значимых объектов КИИ (вступают в силу с 01.09.2021) - https://valerykomarov.blogspot.com/2021/05/1-2021.html
   И обсудим мы сегодня правонарушение по категорированию:
   Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
 
1. Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

  Что мы видим? Штраф выписывается за каждый объект по которому не предоставили или нарушили сроки предоставления сведений о результатах категорирования. Более подробно разбирал - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/shtraf-za-kategorirovanie-okii-60b336a5a471d16dac4c947e
   И вот в выигрыше получаются те субъекты КИИ, кто все свои объекты КИИ смешал в общую кучу и включил в Перечень ОКИИ как один объект. Зато больницы с МРТ/КТ и заводы с станками ЧПУ в сильном проигрыше. И не надо нравоучения читать, что нечего нарушать и наказания не будет. Если субъект КИИ купит сейчас станок ЧПУ, то через сколько он обязан подать сведения о категорировании станка? Или больница получит аппарат МРТ по национальной программе. Отсчет с какого момента идет 10 дней? С момента утверждения ТЗ на закупку станка? С момента получения станка на склад? Или с момента ввода в эксплуатацию?
   Или вот ключевой вопрос трактовки законодательства. В 187-ФЗ к объектам КИИ относятся все без исключения ИС/АСУ/ИТКС, а по ПП127 только в 13 сферах и обеспечивающих так называемые "критические процессы". Штраф будет за каждую ИС или только из Перечня?
   Еще вопрос. Получается, что субъект КИИ может подать любую "ахинею" в ФСТЭК и штрафа не будет. Он может не создавать комиссию по категорированию, не создавать перечень, не заполнять вся ячейки формы 236 приказа и т.д. Да хоть пустой конверт направит. Есть подтверждение отправки заказным письмом сведений о результатах категорирования - нет состава правонарушения. А пока не внесут в Реестр ЗОКИИ сведения, так не будет и наказания за невыполнение 235/239 приказа ФСТЭК, да и госконтроля не будет. И с компьютерными инцидентами полегче, не надо планов реагирования писать и учения проводить. Собственно НКЦКИ даже и не узнает о существовании таких объектов КИИ, пока переписка о результатах категорирования будет идти с субъектом КИИ. Вряд ли задумка у ФСТЭК была мотивировать субъектов КИИ на подобные ухищрения.
  Надо сказать, что ФСТЭК предвидела и пыталась пресечь подобную схему в законопроекте. В первоначальной версии был отдельный состав правонарушения:
1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 1 статьи 19.7.15 настоящего Кодекса, -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

   В случае ее появления, никаких лазеек у субъекта КИИ не оставалось. За любое нарушение в части исполнения действий или сроков из ст.7 187-ФЗ и ПП127 был бы штраф. Но совместными усилиями общественности и Института законодательства и сравнительного правоведения при Правительстве Российской Федерации эту проектную статью КоАП убрали из 141-ФЗ. Наказания за нарушения порядка категорирования не предусмотрено. 
  Замечу, что за нарушение порядка информирования ГосСОПКА штраф предусмотрен в КоАП:
  Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 2 статьи 13.12.1 настоящего Кодекса, -
   Формально получается, что ФСТЭК не может оштрафовать организацию, которая не признает себя субъектом КИИ. Штраф не за нарушение порядка категорирования, когда можно было бы привлекать за несозданную комиссию или не оформленный акт категорирования, а за непредоставление результатов категорирования. А если результатов нет вообще? ФСТЭК тогда должна сама выполнить ПП127 по отношению к наказуемому субъекту КИИ и определить объекты КИИ по которым не предоставили сведения? С анализом процессов субъекта КИИ, выявлением критических и т.д.?
   Да и с широко рекламируемым тезисом ФСТЭК, что "все субъекты КИИ уже были обязаны все выполнить" не так просто.
   С одной стороны есть 187-ФЗ и ПП127, который никаких сроков не указывает по категорированию. То есть, субъект КИИ обязан был утвердить Перечень ОКИИ уже в феврале 2018 года и в начале 2019 направить результаты категорирования. А с другой  - есть ПП452, которое однозначно обозначает срок утверждения Перечня для госструктур - 01.09.2019 и указывает что этот срок -рекомендованный для всех остальных. Важно, что ПП452 не внесло эти сроки в ПП127, а указало в отдельном пункте. И как теперь трактовать такую ситуацию? Фактически Правительство выпустила НПА, в котором указало что для коммерческих субъектов КИИ нет установленного законодательно срока категорирования. По идее, надо выпускать новое Постановление Правительства по отмене п.2 ПП452.
  Думаю что нас ждет мало увлекательная и скучная административная практика по наказанию субъектов КИИ. Субъектам КИИ надо быть готовым к оспариванию административного наказания в судах нескольких инстанций и основной причиной для выигрыша дела в суде станет нарушение оформления наказания, а не смысловая часть претензий ФСТЭК - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/oshibki-pri-oformlenii-pravonarushenii-subektov-kii-60b7e83cce205b665f6363fb.

И это не все вопросы к КоАП, продолжение следует..
  
  Итог.
Вопросы к ФСТЭК и сообществу:
1. сроки категорирования закупаемых готовых объектов КИИ типа станки ЧПУ, аппараты МРТ и т.д.?
2. штрафы за каждый объект будут налагаться (суммироваться) или один по факту общего нарушения сроков категорирования?
3. штрафы будут за объекты КИИ, внесенные в Перечень, или за каждую ИС/АСУ/ИТКС субъекта КИИ?
4. Есть ли полномочия у ФСТЭК определять какая организация субъект КИИ и что у нее является объектом КИИ?
5. Что  с сроками категорирования для коммерческих субъектов КИИ?

P.S.  В связи с вступлением в силу нового КоАП для субъектов КИИ, создал отдельный раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite


*** YouTube - канал блога


**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий