29 Апреля, 2019

Изменения в КоАП для КИИ. А зачем?

Валерий Комаров

     Сегодня закончился этап общественного обсуждения законопроекта по изменению в КоАП РФ для субъектов КИИ. Результаты рассмотрения наших предложений и замечаний и увидим позже, а результат ощутим на себе после вступления закона в силу.
    И так, что же предложила нам ФСТЭК и чем нам это грозит?
name='more'>
     Начнем с результатов общественного обсуждения при старте законопроекта, на одобрении самой инициативы по внесению изменений в КоАП.

Предложения участника общественного обсуждения
Результат рассмотрения разработчиком позиций участников общественного обсуждения
Комментарии разработчика
Штрафы такого размера, как сейчас назначаются в отношении неправомерной обработки ПДн (от 1000 до 75000) не способны повлиять на решение субъектов КИИ, так как построение системы защиты для значимых объектов и превентивные меры ее проектирования (составление перечня, категорирование) более дорогие. Таким образом, имеет смысл установить штрафы в процентах от прибыли (относительное значение) и минимальное абсолютное значение штрафа в рублях, как это распространено в международной практике.
Руководствуясь практикой проведения работ, предлагаю:
1. Для коммерческих юридических лиц минимальное абсолютное значение принять равным 100 000 рублям, а относительное - 4% от годового дохода организации.
2. Для некоммерческих юридических лиц минимальное абсолютное значение принять равным 30000 рублям, а относительное - 3% от годового дохода организации.
Также считаю необходимыми такие меры, как лишение руководителя права заниматься определенной деятельностью или занимать определенные должности (уволить и лишить возможности устроиться на аналогичную должность на определенный срок).
Данная рекомендация написана с точки зрения специалиста по информационной безопасности, но не юриста.
Учтено
В Кодексе Российской Федерации об административных правонарушениях суммы штрафов устанавливаются в абсолютных значениях. Предложение о дисквалификации должностных лиц будет рассмотрено при подготовке проекта Федерального закона
Заявленная цель законопроекта "Однако ответственность за несоблюдение указанных требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, не установлена. В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с Федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами" уже реализована в ПП № 162 ОТ 17.02.2018. - "В случае выявления при проведении проверки нарушения субъектом критической информационной инфраструктуры требований по обеспечению безопасности должностные лица органа государственного контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны:
а) выдать предписание субъекту критической информационной инфраструктуры об устранении выявленного нарушения требований по обеспечению безопасности с указанием срока его устранения, который устанавливается в том числе с учетом утвержденных и представленных субъектом критической информационной инфраструктуры программ (планов) по модернизации (дооснащению) значимого объекта критической информационной инфраструктуры;".
Административная ответственность за неисполнение предписания органа госконтроля уже установлена ст.19.5 КоАП РФ. Предлагаемый законопроект приведет к дублированию и ужесточению наказания, а не к заявленной дифференциации наказания. Будет штраф (по КоАП)+предписание (по ПП162).
Дифференцировать требуется наказание за нарушения, повлекшие нанесение вреда КИИ РФ. В части ст.274.1 УК РФ
Не учтено
Предлагаемый подход не может быть реализован.
Выдать предписание субъекту критической информационной инфраструктуры должностные лица органа государственного контроля, проводящие проверку, без соответствующих статей Кодекса Российской Федерации об административных правонарушениях, предусматривающих административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, не могут. Требуется внесение в Кодекс Российской Федерации об административных правонарушениях статей, содержащих описание административных правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
В качестве обоснования необходимости подготовки проекта нормативного правового акта выступает единственный и весьма спорный довод — не установлена ответственность субъектов критической информационной инфраструктуры Российской Федерации, которым принадлежат значимые объекты критической информационной инфраструктуры, за несоблюдение требований, не повлекшее неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
Во-первых, Постановлением Правительства Российской Федерации от 17 февраля 2018 г. № 162 предусмотрено, что в случае выявления нарушения субъектом критической информационной инфраструктуры требований по обеспечению безопасности должностные лица органа государственного контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны выдать предписание субъекту критической информационной инфраструктуры об устранении выявленного нарушения требований по обеспечению безопасности. Невыполнение требований данного предписания влечет привлечение к административной ответственности (ст.19.5 КоАП РФ). Исключение составляют случаи невыполнение требований субъектами которые сознательно не отнесли принадлежащие им объекты к значимым объектам критической информационной инфраструктуры. Однако для воздействиях на таких субъектов достаточно изменить положения 162 Постановления, в части обеспечения возможности проведения внеплановых проверок таких субъектов, и использовать уже имеющийся механизм (ст.19.5 КоАП РФ)
Не учтено
Предлагаемый подход не может быть реализован.
Выдать предписание субъекту критической информационной инфраструктуры должностные лица органа государственного контроля, проводящие проверку, без соответствующих статей Кодекса Российской Федерации об административных правонарушениях, предусматривающих административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, не могут. Требуется внесение в Кодекс Российской Федерации об административных правонарушениях статей, содержащих описание административных правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Во-вторых, отсутствие ответственности может являться доводом для ее установления только в совокупности со сведениями о «значительном» количестве выявленных нарушений. Учитывая новизну правоотношений полагаю, что такая статистика вообще отсутствуют или имеет значение которое не позволяет использовать ее в качестве довода о необходимости установления ответственности
Не учтено
Значительное количество субъектов критической информационной инфраструктуры на текущий момент игнорирует необходимость реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». По оценкам ФСТЭК России, лишь 15 % от их общего числа приступили к его реализации

    Очень показательная картина, прям срез общества показан. ФСТЭК вполне обоснованно утверждает, что об ужесточении наказания просит само сообщество ибешников.

     1. На мой взгляд, это тупиковый путь. Его можно назвать "продажей страха",  но проблема в другом. В самом 187-ФЗ и подзаконных актах заложена вполне здравая идея об обеспечении непрерывности бизнес-процессов организации в условиях компьютерных атак. Но специалисты по ИБ в данных организациях не умеют на "языке бизнеса" донести до владельцев свою собственную нужность для бизнеса и выбирают путь запугивания. Только забывают о том, что бизнесмены умеют жить в условиях регуляторных рисков. И кончится это тем, что взять юриста будет не только дешевле, чем ибешника, но и надежнее для бизнеса с точки зрения нейтрализации угрозы уголовного и административного наказания. Либо бизнес осознает необходимость обеспечить непрерывность бизнеса, либо он найдет более эффективные методы противодействия карательному механизму государства. А для ибешника субъекта все закончится после приказа руководителя организации об делегировании ответственности за обеспечение безопасности КИИ.

      2. Полное нежелание ФСТЭК использовать существующий правовой механизм госконтроля за значимыми объектами КИИ.Вместо корректировки и отладки, построение дублирующего механизма принуждения. Для чего тогда ФСТЭК написали ПП162 вообще не понятно.
      3. ФСТЭК уже и не пытается как то обосновать размер штрафа или оценить негативный эффект от проектируемого состава правонарушения. Почему то "отсутствие правоприменительной практики" мешает вполне здравой корректировке ст.274.1 УК РФ в части дифференцирования наказания, но совершенно не мешает дополнять и ужесточать карательный инструмент регулятора. Давайте сделаем штраф в 100 000, а давайте. А почему не 200 000 или 1 000 000 рублей? Почему то для выполнения законодательства о гостайне достаточно наказания максимально в  20 000 рублей. Может причина то не в наличии штрафа или его размере, а в обоснованности предъявляемых требований со стороны государства?
       4. Вот интересно, я уже неоднократно пытался донести до ФСТЭК позицию субъектов КИИ о том, что их не устраивает риск уголовной ответственности в очень широкой трактовке ст.274.1 УК РФ. А ФСТЭК видя "Значительное количество субъектов критической информационной инфраструктуры на текущий момент игнорирует необходимость реализации норм 187-ФЗ", еще усугубляет ситуацию. Мало было уголовной ответственности за вред, так теперь еще и дикие штрафы при отсутствии вреда. Но ведь самый банальный выход для организации - правовой, с обоснованием "я не субъект". Сразу снимается риск и уголовной и административной ответственности и денег не надо тратить. А несовершенство законодательства о безопасности КИИ вполне позволяет добиться этого при грамотном юридическом подходе. Собственно, о таких опасениях заявлено в официальном отзыве Верховного суда  РФ  от 15 мая 2015 г. N 3-ВС-2996/15 на проект  "О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СВЯЗИ С ПРИНЯТИЕМ ФЕДЕРАЛЬНОГО ЗАКОНА "О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ":
 Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причиненного вреда.". 

Продолжение следует.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога