среда, 9 июня 2021 г.

КоАП для КИИ. И снова вопросы.

 


Продолжим обсуждение состава правонарушений субъектов КИИ в новом 141-ФЗ.

Ранее - https://valerykomarov.blogspot.com/2021/06/blog-post_7.html


  Вот есть у нас интересный пункт № 21 в ПП127 "В случае изменения категории значимости сведения о результатах пересмотра категории значимости направляются в федеральный орган, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры.". Как бы все понятно для ЗОКИИ: прошло 5 лет, составляем новый акт категорирования и в течении 10 суток направляем в ФСТЭК форму приказа 236 с результатами категорирования (если категория изменилась). Если категория ЗОКИИ не изменилась, то акт храним еще 5 лет и никуда ничего не пишем. Аналогично при внесение изменений в ПП127.

  Вопрос: а что делать с "пересмотр решений об отсутствии необходимости присвоения категории"? То есть, в случаях с НОКИИ. Субъект КИИ пересмотреть обязан по ПП127 и что он должен сделать и в какие сроки в случае, если перенесет НОКИИ в ЗОКИИ? По логике то понятно, в таком случае ему надо направлять сведения в ФСТЭК, просто для включения ЗОКИИ в Реестр ФСТЭК. В какой срок он должен это сделать? Те же 10 дней? Это напрямую не указано в ПП127, но явно подразумевается. Подводные камни такой ситуации разбирал - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pust-budet-zokii-5fd8ad43e8f9a5481b3ae9e4

  Теперь обсудим составы правонарушений от ФСБ.

ч.2 ст.13.12.1 КоАП

   "Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации"

  Однозначно трактуется как нарушение Приказа ФСБ России от 19.06.2019 N 282.

1. Приказ содержит прямое указание, что "Настоящий Порядок определяет процедуру информирования ФСБ России субъектами КИИ о компьютерных инцидентах, а также реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.

Однако содержит в себе требования и к порядку реагирования и на иных ОКИИ:

4. Информация о компьютерном инциденте, связанном с функционированием ЗОКИИ, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов КИИ - в срок не позднее 24 часов с момента его обнаружения.

    Вопрос: "иные" - это ОКИИ, по которым принято решение об отсутствии необходимости присвоения категории значимости? Или это совсем "иные", которые не ЗОКИИ и не НОКИИ? 

   Предположим, что речь про НОКИИ. По требованию ничего нового, в приказе ФСБ № 367 указаны 24 часа, ничего для субъекта КИИ не меняется. Даже штрафы одинаковые по размеру.

   Вопрос больше академический, но интересно. Могут ли за нарушение 24 часов вменить субъекту КИИ штраф по этой статье за НОКИИ? С одной стороны есть отдельный состав для НОКИИ в ч.2 ст.19.7.15 КоАП, с другой стороны сам приказ распространяется только на субъектов ЗОКИИ.

   И подобные казусы уже с ст.13.12 КоАП происходили в жизни, когда ФСТЭК выписала штраф за использование несертифицированных средств защиты информации по ч.6 ст.13.12 при наличии выделенного состава для таких случаев по ч.2 ст.13.12 КоАП - https://valerykomarov.blogspot.com/2019/04/blog-post_15.html.

  Но есть ситуации и посложнее. Приказ №239 ФСТЭК требует от субъекта КИИ:

п.13.5 Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".  Это как раз приказ №282 ФСБ. 

   Вопрос: может ФСТЭК вменить субъекту КИИ невыполнение 239 Приказа ФСТЭК при выявлении в ходе проверки нарушения выполнения требований 282 приказа ФСБ и выписать штраф по ч.1 ст.13.12.1 КоАП? Или по простому - приводит ли для субъекта КИИ нарушение приказа ФСБ № 282 к автоматическому нарушению приказа ФСТЭК № 239? И может ли ФСТЭК проверять исполнение субъектом КИИ приказа ФСБ № 282 ссылаясь на проверку выполнения пункта 13.5 приказа ФСТЭК № 239?


  Теперь о забавном моменте в КоАП.

  Есть ч.2 ст.19.7.15 КоАП:

   Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 2 статьи 13.12.1 настоящего Кодекса

  Речь явно про приказ ФСБ № 367, за исключением случаев за нарушение приказа ФСБ №282. То есть, речь идет о нарушении по предоставлению информации, не касающейся компьютерных инцидентов (про это отдельный 282 приказ есть)

Имеем 6 пунктов информации, которые предоставляются в НКЦКИ:

- 4 пункта направляет ФСТЭК

- 1 пункт направляет субъект КИИ (как раз "Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры")

- 1 пункт направляет кто угодно.

    Вопрос: этот состав правонарушения ввели специально для наказания ФСТЭК за нарушение месячного срока предоставления сведений по 4 пунктам приказа №367 ФСБ? Ведь субъект КИИ подпадает под исключение применения данной статьи КоАП.

   А теперь серьезно:

   Приказ ФСБ №367 указывает отдельным пунктом:

Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами критической информационной инфраструктуры и иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.Напомню состав правонарушения - "Непредставление ... информации, предусмотренной законодательством".
Вопрос: можно ли привлечь гражданина за то, что он заведомо владея информацией о компьютерных атаках на объекты КИИ, не проинформировал НКЦКИ?Вот ситуация для примера: автор телеграмм-канала, посвященного утечкам и компьютерным атакам, размещает публикацию с подробностями проведения компьютерной атаки на какой -либо объект КИИ. (Как теоретический вариант - канал SecAtor или аналогичный). В НКЦКИ он ничего не направлял, так как не является ответственным работником субъекта КИИ. Формально, факт такой публикации показывает что у него есть информация из утвержденного в соответствии с законодательством Перечнем информации, предоставляемом в ГосСОПКА. Порядок предоставления информации по этому пункту Перечня установлен законодательно:
Информация, указанная в пункте 6 Перечня, представляется в ГосСОПКА путем ее направления в НКЦКИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: "http://cert.gov.ru".Наказание в КоАП "за непредоставление" предусмотрена. Знал, но не направил!Шах и мат вам, товарищ блогер. Добро пожаловать на оплату штрафа?

P.S.  В связи с вступлением в силу нового КоАП для субъектов КИИ, создал отдельный раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite


*** YouTube - канал блога


**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1


***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий