Итоги обсуждения инициативы по расширению административной ответственности субъекта КИИ

 

    Инициатива ФСТЭК (https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-administrativnoe-prinujdenie-usilivaetsia-esce-ne-proshlo-i-61f8e1b5018f8a26d89aaa06) по внесению изменений в КоАП прошла важный этап общественного обсуждения.

  Был в группе "Дом советов" спор бурный на предмет того, а надо ли изменения в составе ОКИИ через заседания комиссии проводить или не надо. Получили позицию ФСТЭК  "20 дней достаточно для подготовки и представления в ФСТЭК России измененных сведений об объектах критической информационной инфраструктуры, комиссия по категорированию в данных процессах не задействована".

   А кто это должен заниматься отслеживанием изменений в составе ОКИИ и готовить сообщения в ФСТЭК? Такое ощущение, что ФСТЭК пишет законопроекты исключительно для ЗОКИИ в которых есть силы безопасности штатные, а потом при утверждении "значимые" пропадают из текста НПА. Как думаете, кто у субъекта с НОКИИ должен заниматься вот этой работой (https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9) на постоянной основе? Кого штрафовать собираются?

   Напомню в чем цель инициативы (из пояснительной записки)

   Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее - законопроект) подготовлен в соответствии с подпунктом «а» пункта 1 Перечня поручений Президента Российской Федерации от 5 июня 2021 г. № Прс-368, пунктом ‎1 поручения Заместителя Председателя Правительства Российской Федерации Д.Н.Чернышенко от 16 июня 2021 г. № ДЧ-П10-393сс и пунктом 10 поручения Председателя Правительства Российской Федерации от 14 января 2022 г. № ММ-П13-14сс, данного во исполнение перечня поручений Президента Российской Федерации от 30 декабря 2021 г. № Прс-964.

    Законопроектом предусматривается внесение изменений в статью ‎19.7.15 Кодекса Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ с целью установления дополнительных мер ответственности субъектов критической информационной инфраструктуры за предоставление неактуальных или недостоверных сведений (в том числе о категорировании объектов критической информационной инфраструктуры) для внесения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации, а также за повторное непредставление, либо представление неактуальных или недостоверных сведений, или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий.

   При определении размеров административных штрафов, предусмотренных проектируемой частью 3 статьи 19.7.15, учитывались сведения об ущербах, возникших в результате компьютерных атак на критическую информационную инфраструктуру.

   При определении максимальных размеров административных штрафов учитывалось также то, что штрафы должны быть направлены на предупреждение совершения правонарушений, не подавляя экономическую самостоятельность субъектов критической информационной инфраструктуры, не ограничивая их право собственности, учитывать реальное финансовое ‎и имущественное положение привлекаемого к административной ответственности.

   Нижняя граница размеров предлагаемых административных штрафов позволяет надлежащим образом учесть характер и последствия совершенного административного правонарушения, а также реализовать дифференциацию административной ответственности и индивидуализацию административного наказания с учетом значимости объектов критической информационной инфраструктуры.

   Принятие законопроекта не потребует внесения изменений в нормативные правовые акты и дополнительных расходов средств федерального бюджета, а также иных бюджетов бюджетной системы Российской Федерации.

СВОДКА предложений по итогам размещения текста проекта о подготовке нормативного правового акта «Федеральный закон "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"»

ID проекта: 02/04/01-22/00124438

Ссылка на проект: http://regulation.gov.ru/p/124438

Дата проведения публичного обсуждения: 31.01.2022 – 28.02.2022

Количество экспертов, участвовавших в обсуждении: 4

Отчет сгенерирован: 11.03.2022 в 9:29

Общее количество поступивших предложений	8
Общее количество учтенных предложений	0
Общее количество частично учтенных предложений	0
Общее количество неучтенных предложений	8

Позиция участника обсуждения	Комментарии разработчика
Заключение РСПП в приложенном файле	Переработка критериев категорирования объектов критической информационной инфраструктуры не решит проблему неактуальности и недостоверности сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры Российской Федерации. 20 дней достаточно для подготовки и представления в ФСТЭК России измененных сведений об объектах критической информационной инфраструктуры, комиссия по категорированию в данных процессах не задействована
В случае принятия законопроекта могут возникнуть риски формирования неоднозначной правоприменительной практики и привлечения к административной ответственности в нарушение принципа виновности. Подробно аргументы изложены в прилагаемом файле.	Обоснование данной позиции отсутствует. Риски формирования неоднозначной правоприменительной практики и привлечения к административной ответственности в нарушение принципа виновности отсутствуют
Аргументы об отсутствии необходимости принятия законопроекта изложены в прилагаемом файле	Переработка критериев категорирования объектов критической информационной инфраструктуры не решит проблему неактуальности и недостоверности сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры Российской Федерации. 20 дней достаточно для подготовки и представления в ФСТЭК России измененных сведений об объектах критической информационной инфраструктуры, комиссия по категорированию в данных процессах не задействована
Сначала нужно создать инфраструктуру, расположить организации и кадры, работников этих организаций, к исполнению этого законодательства. То есть расширить штат по информационной безопасности (далее - ИБ), закрепив обязанность нахождения в штате подобных работников на законодательном уровне, провести агитацию на переобучение, выделить деньги на расширение штата и на переобучение, увеличить зарплату специалистам по ИБ. Тогда даже конкуренция между ними будет развиваться и закон будет не просто выполнятся, а ещё появится куча предложений к нему. А сейчас что мы имеем? В большинстве организаций даже специалиста по ИБ нет, лишь в редких есть грамотные специалисты по ИБ и в единицах организаций (Газпром, Росатом, сбер и т.п. не берём) есть специалисты по КИИ. А значит кто будет выполнять требования по КИИ? Очень маленькое количество организаций. Поэтому сначала нужно сделать так, чтобы это все развивалось, а потом штрафовать тех, кто это не выполняет. Я против введения любых штрафов до появления возможности всем выполнять требования КИИ.	Федеральный закон от 26 июля 2017 г. № 187-ФЗ и подзаконные нормативные правовые акты действуют с 1 января 2018 г. Все необходимые условия для реализации требований указанных нормативных правовых актов ФСТЭК России созданы, но установленные требования продолжают нарушаться. В связи с этим требуется введение административной ответственности за нарушение указанных требований
Отрицательный. Размытые формулировки позволяют свободные трактовки со стороны представителей регулятора и создают возможность необоснованных штрафов, что усилит финансовую нагрузку на предприятия и организации и усилит социальное напряжение	В законопроекте отсутствуют «размытые» формулировки
Нет. В настоящее время сотрудники, занятые в реализации Федерального Закона от 26.07.2017 №187-ФЗ, достаточно нагружены, так как численность подразделений, занимающихся КИИ, не регламентируется и они уже несут ответственность за нарушения сроков предоставления данных. Расплывчатость формулировки "представление неактуальных или недостоверных сведений" не конкретизирующей к каким именно пунктам это относится, позволяет предъявлять претензии к разделам сведений об объектах, в которых описывается техническая часть и определяются значения показателей критериев. В тоже время методических рекомендаций по определению состава объектов КИИ, их периметра и т.п. нет. Что отдает это на откуп "экспертному" решению специалиста описывающего объект. Большинство значений показателей критериев также имеют экспертную оценку. Исходя из этого "недостоверные" данные могут быть всего лишь экспертной оценкой не совпадающей с оценкой представителей регулятора.	Состав объекта критической информационной инфраструктуры и его границы определяются субъектом критической информационной инфраструктуры, ФСТЭК России не определяет состав объекта критической информационной инфраструктуры. Значения показателей критериев значимости объектов критической информационной инфраструктуры должны определяться точно
1.Отказ специалистов предприятий и организаций от участия в комиссиях по категорированию 2.Отток специалистов ИБ из области КИИ, тем самым снижая защищенность объектов. 3.Увеличение сроков создания ТЗ для создаваемых ИС, ИТС и АСУ ТП.	Обоснование данной позиции отсутствует. Принятие законопроекта не повлияет на участие специалистов в комиссиях по категорированию объектов критической информационной инфраструктуры, не вызовет оттока специалистов по информационной безопасности из направления обеспечения безопасности критической информационной инфраструктуры, а также не вызовет увеличения сроков подготовки технических заданий на создание объектов критической информационной инфраструктуры
1. Создание методик сбора сведений об объекте, которые определяют и конкретизируют необходимый уровень точности и полноты. 2. Создание и бесплатное распространение для субъектов КИИ автоматизированной системы федерального уровня по передаче информации об объектах КИИ (на связанных с ГТ) 3. Переход на безбумажную подачу сведений и использование ЭЦП по аналогии с налоговой. В некоторых организациях объем данных об объектах, направляемых регулятору , достигает нескольких тысяч листов. 4. Регламентация количества сотрудников занятых в КИИ в зависимости от количества объектов КИИ на предприятии/организации, с целью обязательного проведения периодического аудита объектов, в т.ч для актуализации сведений.	Предлагаемые способы не обеспечат актуальность и достоверность сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры Российской Федерации. Непредставление в ФСТЭК России актуальных и достоверных сведений связано с утаиванием соответствующей информации или с низким уровнем дисциплины работников субъектов критической информационной инфраструктуры

P.S. В «Клубе любителей КИИ» развивается цикл заметок про планирование действий персонала субъекта КИИ в нештатной ситуации (мера ДНС.1). Присоединяйтесь к обсуждению, комментируйте и делитесь опытом, распространяйте полезные наработки.

Нештатные ситуации. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-ot-nas-trebuiut-npa-62058490047813262a1fcf8d

Нештатные ситуации. Что надо сделать? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531

https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-6202bffa1688a06355f95388

Нештатные ситуации. Что от нас требуют НПА? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470

Нештатные ситуации. Принципы формирования плана действий. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470

Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite