Изменения в КоАП для КИИ. Итоги публичного обсуждения.

Изменения в КоАП для КИИ. Итоги публичного обсуждения.
      В своей заметке я призывал активнее участвовать в общественном обсуждении законопроекта по изменению в КоАП. Сначала обсудили саму инициативу , теперь посмотрим на итоги общественного обсуждения основного текста законопроекта.
    15.04.2019 Для общественного обсуждения опубликован проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

   17.05.2019 опубликован доработанный по итогам общественного обсуждения проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».
    
        Из 25 предложений учтено 2 (п. 5 и п.14, выделил жирным во второй таблице)

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
name='more'>


Изменения, вносимые в Кодекс Российской Федерации об административных правонарушениях

Проект от 15.04.2019,
красным добавлено, синим удалено,
фиолетовым было добавлено и затем удалено доработанным проектом
Доработанный проект от 17.05.2019,
темным было добавлено ранее,
красным добавлено
Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, –



влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

2. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, –


влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

3. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, –


влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 1 статьи 19.7.15 настоящего Кодекса,

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

2. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния,

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

3. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния,

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.
Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Непредставление или нарушение
сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.

     Собственно сами предложения и комментарии по ним ФСТЭК. Каждый имеет возможность составить собственное мнение о компетенции и полноте ответов регулятора. 

Предложения участника общественного обсуждения
Комментарии разработчика
1         
С учётом статистики применения правоприменительной практики по привлечению к административной ответственности за защиту информации и персональных данных, а также соблюдение в последующем требований законодательства Российской Федерации в указанных областях может быть нечтожна. Так как организации и органы государственной власти в последующем после оплаты штрафа будут продолжать нарушать указанные требования, которые предусмотрены в настоящее время законодательством РФ. Штрафы указанные в проекте федерального закона не приведут к выполенинию требований 187-ФЗ и обеспечению должного уровня защиты объектов КИИ, так как легче оплатить штраф чем тратить миллионные бюджеты на выполнение 187-ФЗ. Также в настоящее время не во всех организациях и гос. органах власти имеются структурные подразделения по безопасности или работники ответственные за безопасность. Учитывая изложенное предлагаю увеличить штрафы юридическим лицам в 20 раз за несоблюдение требований 187-ФЗ. Так указанные штрафы позволят соблюдать указанный закон и будут меньше думать зачем им иметь подразделение по информационной безопасности и защищать объекты КИИ
Суммы административных штрафов за указанные административные правонарушения определены в соответствии со статьёй 3.5 Кодекса Российской Федерации об административных правонарушениях.
В случае, если по результатам анализа практики правоприменения Федерального закона от 26 июля
2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет установлено невыполнение норм законодательства Российской Федерации о безопасности критической информационной инфраструктуры по причине малых сумм штрафов за соответствующие административные правонарушения, ФСТЭК России будут подготовлены предложения по увеличению сумм штрафов
2         
На мой взгляд в такой редакции Закон работать не будет, т.к. выносить представления и рассматривать дела об административных правонарушениях по п.1-3 статьи 13.12.1 и п.1 статьи 19.7.15 имеет право лишь ФСТЭК. А т.к. в регионах РФ территориальных органов ФСТЭК нет, то и выносить представления и требовать выполнять законодательство будет некому. Думаю было бы правильно возложить данную функцию еще и на территориальные органы ФСБ, которые представлены во всех регионах РФ
В соответствии с частью 2 статьи 1.6 Кодекса Российской Федерации об административных правонарушениях применение административного наказания в связи с административным правонарушением осуществляется в пределах компетенции уполномоченных органов государственной власти или должностных лиц в соответствии с законом.
Рассмотрение дел об административных правонарушениях по предлагаемым к включению
в Кодекс Российской Федерации об административных правонарушениях частям 1-3 статьи 13.12.1 и части
1 статьи 19.7.15 находится в компетенции федерального органа исполнительной власти, уполномоченного
в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
Территориальными органами ФСТЭК России являются управления ФСТЭК России по федеральным округам, которым будут делегироваться соответствующие полномочия
3         
«Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации» заменить на «Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, выразившееся в необоснованном занижении категории значимых объектов критической информационной инфраструктуры Российской Федерации»
Предлагаемая формулировка значительно сужает состав правонарушений, по которым возможно применение административного наказания. Например, предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации

4         
«Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными актами Российской Федерации» заменить на «Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными актами Российской Федерации, выразившееся в снижении защищенности объектов критической информационной инфраструктуры Российской Федерации»
Защищенность объектов критической информационной инфраструктуры обеспечивается реализацией требований по обеспечению безопасности, установленных Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации». Нарушение указанных требований по безопасности приведет к снижению защищенности объектов критической информационной инфраструктуры.
Таким образом, дополнение части 2 проектируемой статьи 13.12.1 словами «выразившееся в снижении защищенности объектов критической информационной инфраструктуры Российской Федерации» представляется избыточным

5         
«Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации  сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» заменить на «Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»
Изложено в предлагаемой редакции
6         
«Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» Предлагается исключить в связи с вносимым изменением абзац 4) ст. 13.12.1
Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством Российской Федерации в области обеспечения безопасности критической информационной инфраструктуры, приведет к снижению защищенности объектов критической информационной инфраструктуры Российской Федерации.
Указанная часть статьи направлена на исполнение субъектами критической информационной инфраструктуры Российской Федерации Приказа ФСБ России от 24 июля 2018 г. № 367, утверждающего Порядок представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в то время как часть
4 статьи 13.12.1. реализовывает положения Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в части исполнения обязательств субъектов критической информационной инфраструктуры Российской Федерации, в том числе владеющих значимыми объектами критической информационной инфраструктуры Российской Федерации
7         
Согласно официального отзыва Верховного суда РФ от 15 мая 2015 г. N 3-ВС-2996/15 на проект "О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ЗАКОНОДАТЕЛЬНЫЕ АКТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СВЯЗИ С ПРИНЯТИЕМ ФЕДЕРАЛЬНОГО ЗАКОНА "О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ" - Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причиненного вреда.". Предложенный законопроект изменений в КоАП так же обосновывается только на субъективном уровне. Оценка последствий общественно-опасных деяний не проведена. Практика применения 187-ФЗ в течении 16 месяцев не подтверждает наступление последствий проектного состава правонарушений
Предлагаемые к внесению в Кодекс Российской Федерации об административных правонарушениях изменения направлены на установление административной ответственности за невыполнение конкретных требований по безопасности, установленных в соответствии с  Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».
Невыполнение требований по безопасности, установленных в соответствии с  Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации», приведет к снижению защищенности значимых объектов критической информационной инфраструктуры, в результате чего возможно возникновение ущерба в социальной, экономической, политической и иных сферах. Размеры ущерба определены постановлением Правительства Российской Федерации от 8 февраля
2018 г. № 127.
Таким образом, обоснование законопроекта проведено на основе значений  ущерба от нарушения функционирования значимых объектов критической информационной инфраструктуры, определенных Правительством Российской Федерации
8         
Введение административной ответственности для субъектов КИИ в части незначимых объектов КИИ является чрезмерной, так как в отношении них не введены меры государственного контроля и отсутствуют требования по обеспечению безопасности, установленные законодательством. Оценка последствий для безопасности КИИ РФ от нарушений в области информирования ГоСсОПКА не проведена
Законопроектом не предусматривается административная ответственность за невыполнение мер по обеспечению безопасности незначимых объектов критической информационной инфраструктуры. Частью
1 проектируемой статьи 13.12.1 предусматривается ответственность за нарушение порядка категорирования объектов критической информационной инфраструктуры, результатом которого может стать непринятие мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры
9         
Обоснование увеличения срока давности до 1 года не соответствует действительности, так как ПП РФ от 17.02.2018 N 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (- 6. Срок проведения плановой проверки не должен превышать 20 рабочих дней. 7. Срок проведения внеплановой проверки не должен превышать 10 рабочих дней. 20. Основаниями для осуществления внеплановой проверки являются:
б) возникновение компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия; 22.В случае если внеплановая проверка проводится по основанию, указанному в подпункте "б" пункта
20 настоящих Правил, орган государственного контроля вправе приступить к проведению внеплановой проверки незамедлительно. V. Ограничения при проведении проверки) превышать установленные сроки проведения проверки; X. Недействительность результатов проверки, проведенной с грубым нарушением положений настоящих Правил в) нарушение срока проведения проверки;)
Таким образом, двух месяцев вполне достаточно при установленной максимальной длительности проверки
в 20 рабочих дней
Законопроектом предлагается установить специальный срок давности привлечения к административной ответственности по проектируемым статьям 13.12.1 и 19.7.15 – один год.
Необходимость установления такого срока связана с тем, что в соответствии с пунктом 2 части 3 статьи
13 Федерального закона
«О безопасности критической информационной инфраструктуры Российской Федерации» возникновение компьютерного инцидента, повлекшего негативное последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения критической информационной инфраструктуры. Факт невыполнения требований, установленных законодательством в области обеспечения безопасности критической информационной инфраструктуры, на момент возникновения компьютерного инцидента в соответствии с пунктом
3 Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 17 февраля
2018 г. № 162, может быть установлен только в ходе выездной проверки. При этом в соответствии с пунктом
8 Правил срок проведения проверки в отношении субъекта критической информационной инфраструктуры, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, отдельно по каждому филиалу, представительству и обособленному структурному подразделению субъекта критической информационной инфраструктуры и может составлять 60 рабочих дней. Истечение сроков давности привлечения к административной ответственности является обстоятельством, исключающим производство по делу об административном правонарушении (пункт
6 части 1 статьи 24.5) Кодекса.
Кроме того, причиной компьютерного инцидента, как правило, является невыполнение субъектом критической информационной инфраструктуры Российской Федерации требований по обеспечению безопасности, установленных в соответствии с Федеральным законом.
Такие нарушения могут быть допущены на любом из этапов жизненного цикла значимого объекта критической информационной инфраструктуры, включая этап предъявления требований к нему и этап его создания
10     
Обсуждаемый законопроект противоречит решению КС РФ от 15.07.1999 № 11-П и предполагает соразмерности при привлечении к ответственности за совершение того или иного противоправного деяния. Отсутствуют объективные показатели, выражающий требования справедливости, которыми предполагают установление публично – правовой ответственности лишь за виновное деяние и ее дифференциацию в зависимости от тяжести содеянного, размера и характера причиненного ущерба, степени вины правонарушителя и иных существенных обстоятельств, обусловливающих индивидуализацию при применении взыскания.
Ст. 26.1 КоАП РФ, требует применения таких принудительных мер, которые были бы соразмерны совершенному правонарушению. «Подрыв безопасности КИИ» в результате непредставления сведений не доказан, а минимальный штраф (любой) является слишком высоким, потому что ущерба нет или он незначителен. В силу п. 5 ст. 26.1 КоАП РФ наличие или отсутствие ущерба устанавливается всегда независимо от конструкции состава.
Постановлением Пленума ВАС РФ от 02.06.2004
№ 10 указано, что «возможность или невозможность
квалификации деяния в качестве малозначительного не может быть установлена абстрактно, исходя из сформулированной в КоАП РФ конструкции состава административного правонарушения, за совершение которого установлена ответственность. Так, не может быть отказано в квалификации административного правонарушения в качестве малозначительного только на том основании, что в соответствующей статье Особенной части КоАП РФ ответственность определена за неисполнение какой-либо обязанности и не ставится в зависимость от наступления каких-либо последствий»
Предлагаемые к внесению в Кодекс Российской Федерации об административных правонарушениях изменения направлены на установление административной ответственности за невыполнение конкретных требований по безопасности, установленных в соответствии с  Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».
Невыполнение требований по безопасности, установленных в соответствии с  Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации», приведет к снижению защищенности значимых объектов критической информационной инфраструктуры, в результате чего возможно возникновение ущерба в социальной, экономической, политической и иных сферах. Размеры возможного  ущерба определены постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Таким образом, обоснование законопроекта проведено на основе значений  ущерба от нарушения функционирования значимых объектов критической информационной инфраструктуры, определенных Правительством Российской Федерации.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
11     
Реализация законопроекта в текущей редакции приведет к существенному росту издержек субъектов КИИ и значительным выплатам из федерального бюджета на компенсацию судебных издержек.
В соответствии с частями 1, 2 ст. 25.5 КоАП РФ для оказания юридической помощи лицу, в отношении которого ведется производство по делу об административном правонарушении, в производстве по делу об административном правонарушении может участвовать защитник, а для оказания юридической помощи потерпевшему - представитель. В качестве защитника или представителя к участию в производстве по делу об административном правонарушении допускается адвокат или иное лицо. Согласно ч. 1 ст.
24.7 КоАП РФ суммы, израсходованные на оплату труда защитников (представителей) по делам об административных правонарушениях, не входят в состав издержек по делу об административном правонарушении, исходя из этого, они не могут быть взысканы по правилам ч. ч. 2, 3 ст. 24.7 КоАП РФ. При отсутствии в законе иного порядка возмещения этих расходов, при прекращении производства по делу об административном правонарушении на основании п. 1 и п. 2 ст. 24.5 КоАП РФ подлежат применению правила, установленные ст. ст. 1069 - 1070 ГК РФ, в соответствии с которыми расходы на оплату услуг труда защитников (представителей) возмещаются за счет соответствующей казны. В соответствии с п. 26 Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса РФ об административных правонарушениях» в случае отказа в привлечении лица к административной ответственности либо удовлетворения его жалобы на постановление о привлечении к административной ответственности этому лицу причиняется вред в связи с расходами на оплату труда лица, оказывавшего юридическую помощь, эти расходы на основании статей 15, 1069, 1070 ГК РФ могут быть взысканы в пользу этого лица за счет средств соответствующей казны (казны Российской Федерации, казны субъекта Российской Федерации). Положения ст. 1069 ГК РФ устанавливают, что вред, причиненный гражданину или юридическому лицу в результате незаконных действий (бездействия) государственных органов, органов местного самоуправления либо должностных лиц этих органов, в том числе в результате издания не соответствующего закону или иному правовому акту акта государственного органа или органа местного самоуправления, подлежит возмещению. Вред возмещается за счет соответственно казны Российской Федерации, казны субъекта Российской Федерации или казны муниципального образования. Согласно положениям ч. 1, ч. 2 ст. 15 ГК РФ, лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). В силу ст. 1071 ГК РФ в случаях, когда в соответствии с настоящим Кодексом или другими законами причиненный вред подлежит возмещению за счет казны Российской Федерации, казны субъекта Российской Федерации или казны муниципального образования, от имени казны выступают соответствующие финансовые органы, если в соответствии с п. 3 ст. 125 настоящего Кодекса эта обязанность не возложена на другой орган, юридическое лицо или гражданина.
В соответствии с ч. 2 ст. 24.7 КоАП РФ расходы на оплату труда адвоката или иного лица, участвовавшего в производстве по делу в качестве защитника, хотя и не отнесены к издержкам по делу об административном правонарушении, но могут быть взысканы в случае удовлетворения жалобы на постановление о привлечении к административной ответственности за счет средств соответствующей казны (казны Российской Федерации, казны субъекта Российской Федерации) на основании статей 15, 1069, 1070 ГК РФ (абз. 4 п. 26 Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5
«О некоторых вопросах, возникающих у судов при применении КоАП РФ»). Согласно ПП162 внеплановая проверка производится незамедлительно с момента возникновение компьютерного инцидента, повлекшего негативные последствия
Выполнение требований по безопасности, установленных в соответствии с  Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации», исключит возникновение соответствующих административных правонарушений и, как следствие, судебных издержек на рассмотрение дел о них
12     
Убрать п.1 ст.13.12.1.
Согласно докладам начальника 2 Управления
ФСТЭК России Торбенко Е.Б. за текущий период действия 187-ФЗ зафиксировано 630 случаев нарушения порядка категорирования объектов КИИ (возвращены субъектам КИИ с замечаниями в официальном порядке в соответствии с п.8 ст.7 187-ФЗ) на 2 000 поданных формы уведомления о результатах категорирования объектов КИИ. При этом никакого негативного влияния на обеспечение безопасности КИИ РФ не зафиксировано. Введение административного наказания не обосновано и не соответствует правоприменительной практике и несет избыточное обременение для субъектов КИИ
Нарушение порядка категорирования объектов критической информационной инфраструктуры приведет к неприсвоению объекту критической информационной инфраструктуры категории значимости (или её занижению), что приводит к непринятию мер по обеспечению безопасности значимых объектов критической информационной инфраструктуры, к снижению защищенности значимых объектов критической информационной инфраструктуры, в результате чего возможно возникновение ущерба в социальной, экономической, политической и иных сферах. Размеры возможного  ущерба определены постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
13     
В части 2 статьи 13.12.1 привести размер штрафа в соизмеримый вид к ущербу от правонарушения.
Размер штрафа не обоснован и существенно завышен.
Ущерб от нарушения требований по защите информации, составляющей государственную тайну оценивается в КоАП на порядок ниже
Размеры возможного  ущерба определены постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, в соответствии с которым ущербом от правонарушения может являться:
причинение ущерба жизни и здоровью людей;
прекращение или нарушение функционирования объектов обеспечения жизнедеятельности 2 000 человек и более;
недоступность транспортных услуг для 2 000 человек и более;
недоступность услуг связи для 2 000 человек и более;
отсутствие доступа к государственной услуге;
прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия);
нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации;
возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации;
прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка;
вредные воздействия на 2 000 человек и более в результате вредных воздействий на окружающую среду;
прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра);
снижение показателей государственного оборонного заказа;
прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
Каждый из указанных показателей ущерба значительно превосходит предлагаемые размеры штрафа.
Таким образом, обоснование законопроекта проведено на основе значений  ущерба от нарушения функционирования значимых объектов критической информационной инфраструктуры, определенных Правительством Российской Федерации.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
14     
В части 2 статьи 13.12.1 дополнить уточнением
«в случаях, не повлекших причинение вреда критической информационной инфраструктуре Российской Федерации
В части 2 проектируемой статьи 13.12.1 включено уточнение «, если такие действия (бездействие) не содержат уголовно наказуемого деяния»
15     
В части 3 статьи 13.12.1 привести размер штрафа в соизмеримый вид к ущербу от правонарушения.
Размер штрафа не обоснован и существенно завышен.
Ущерб от нарушения требований по защите информации, составляющей государственную тайну оценивается в КоАП на порядок ниже
Размеры возможного  ущерба определены постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127. Ущербом от правонарушения может являться:
причинение ущерба жизни и здоровью людей;
прекращение или нарушение функционирования объектов обеспечения жизнедеятельности 2 000 человек и более;
недоступность транспортных услуг для 2 000 человек и более;
недоступность услуг связи для 2 000 человек и более;
отсутствие доступа к государственной услуге;
прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия);
нарушение условий международного договора Российской Федерации, срыв переговоров или подписания планируемого к заключению международного договора Российской Федерации;
возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации;
прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка;
вредные воздействия на 2 000 человек и более в результате вредных воздействий на окружающую среду;
прекращение или нарушение функционирования (невыполнение установленных показателей) пункта управления (ситуационного центра);
снижение показателей государственного оборонного заказа;
прекращение или нарушение функционирования (невыполнение установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
Каждый из указанных показателей ущерба значительно превосходит предлагаемые размеры штрафа.
Таким образом, обоснование законопроекта проведено на основе значений  ущерба от нарушения функционирования значимых объектов критической информационной инфраструктуры, определенных Правительством Российской Федерации.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
16     
Убрать п.4 ст.13.12.1.
Необходимость административного наказания
не обоснована. Оценка негативного эффекта от данного состава правонарушения за 16 месяцев действия 187-ФЗ не проведена
В нарушение Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» далеко не все субъекты критической информационной инфраструктуры Российской Федерации информируют Национальный координационный центр по компьютерным инцидентам о выявленных компьютерных инцидентах, причиной чему, вероятно, являются возможные имиджевые и финансовые потери.
Необходимо отметить, что отсутствие ответственности за непредставление в Национальный координационный центр по компьютерным инцидентам информации о компьютерных инцидентах приводит к тому, что Национальный координационный центр по компьютерным инцидентам не обладает всей полнотой информации об инцидентах на объектах критической информационной инфраструктуры Российской Федерации, что не позволяет адекватно реагировать на них, а также строить точные прогнозы по развитию ситуации о состоянии защищенности отдельных объектов критической информационной инфраструктуры Российской Федерации, отраслей и Российской Федерации в целом.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
17     
Убрать п.5 ст.13.12.1.
Необходимость административного наказания не обоснована.
Оценка негативного эффекта от данного состава правонарушения за 16 месяцев действия 187-ФЗ не проведена
С момента вступления в силу требований, содержащихся в приказах ФСБ России от 24 июля
2018 г. № 367 и № 368, прошло более полугода. За это время обращений в адрес Национального координационного центра по компьютерным инцидентам от субъектов КИИ по вопросам обмена информацией с иностранными (международными) организациями, предусмотренных указанными приказами ФСБ России, не поступило ни одного. В то же время, по имеющейся у ФСБ России информации, известно, что обмен такой информацией осуществляется субъектами критической информационной инфраструктуры Российской Федерации с нарушением требований приказов ФСБ России.
Передача информации без участия Национального координационного центра по компьютерным инцидентам за рубеж позволит зарубежным (международным) организациям собирать информацию о состоянии защищенности объектов критической информационной инфраструктуры Российской Федерации, что, в свою очередь, приведет к тому, что более полной и точной информацией о состоянии защищенности объектов критической информационной инфраструктуры Российской Федерации будут обладать не уполномоченные государственные органы Российской Федерации, а зарубежные (международные) организации и специальные службы.
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
18     
Убрать пп. 1. п.4 ст.19.7.15.
Необходимость административного наказания не обоснована.
Оценка негативного эффекта от данного состава правонарушения за 16 месяцев действия 187-ФЗ не проведена
Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, может привести к необоснованному занижению категории значимости данного объекта и к непринятию мер по обеспечению его безопасности, что может привести к негативным последствиям (причинению ущерба).
Кроме того, в соответствии с частью 3.1 Кодекса Российской Федерации об административных правонарушениях административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений как самим правонарушителем, так и другими лицами. Предлагаемые законопроектом размеры штрафов направлены на предупреждение совершения новых правонарушений как самим правонарушителем, так и другими лицами, в том числе правонарушений, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, за которые предусмотрена уголовная ответственность в соответствии со  статьей
274.1 Уголовного кодекса Российской Федерации
19     
Убрать пп. 2. п.4 ст.19.7.15.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак» не может упоминаться в
ст.19.7 КоАП. Это не государственный орган контроля/надзора
Пункт 2 части 4 статьи 19.7.15 не имеет связи со статьей 19.7 Кодекса Российской Федерации об административных правонарушениях
20     
Не вносить изменения в ст.23.45.
Отсутствует обоснование для внесения данных изменений. Статья 23.45 КоАП не относится к заявленной цели законопроекта
Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, предусмотренный  статьей 13 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», будет проводиться
ФСТЭК России в том числе через свои территориальные органы, которые имеют межрегиональный уровень и расположены в столицах федеральных округов.
В соответствии с возложенными обязанностями руководителями проверок, проводимых ФСТЭК России в рамках государственного контроля, могут быть назначены руководители, заместители руководителей и начальники отделов территориальных органов
ФСТЭК России, которые непосредственно на объектах осуществляют контрольные мероприятия.
Проектируемой статьей 23.89 предусматривается наделение указанных должностных лиц полномочиями по составлению протоколов об административных правонарушениях.
Проверки, проводимые ФСТЭК России в пределах ее полномочий, носят комплексный характер и предусматривают одновременное проведение контрольных мероприятий по всем вопросам, находящимся в пределах компетенции Службы. Таким образом, при проведении государственного контроля в органах государственной власти или организациях, являющихся субъектами критической информационной инфраструктуры, в случаях, предусмотренных законодательством Российской Федерации, также подлежит проверке выполнение требований законодательства Российской Федерации о государственной тайне и об информации, информационных технологиях и о защите информации. В этом случае порядок составления протоколов об административных правонарушениях в области обеспечения безопасности критической информационной инфраструктуры должен быть идентичен порядку составления протоколов об административных правонарушениях в области защиты информации.
Предлагаемые точечные изменения статей 23.45 и
23.46 направлены на приведение порядка составления протоколов об административных правонарушениях в области защиты информации в соответствие с проектируемой статьей 23.89.
Вносимые изменения позволят сократить расходы бюджетных средств за счет сокращения членов комиссии и направления на государственный контроль лишь одного начальника отдела территориального органа
ФСТЭК России, наделенного полномочиями по составлению протокола по всем направлениям контроля
21     
Не вносить изменения в ст.23.46
Отсутствует обоснование для внесения данных изменений. Статья 23.46 КоАП не относится к заявленной цели законопроекта
Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, предусмотренный  статьей 13 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», будет проводиться
ФСТЭК России в том числе через свои территориальные органы, которые имеют межрегиональный уровень и расположены в столицах федеральных округов.
В соответствии с возложенными обязанностями руководителями проверок, проводимых ФСТЭК России в рамках государственного контроля, могут быть назначены руководители, заместители руководителей и начальники отделов территориальных органов
ФСТЭК России, которые непосредственно на объектах осуществляют контрольные мероприятия.
Проектируемой статьей 23.89 предусматривается наделение указанных должностных лиц полномочиями по составлению протоколов об административных правонарушениях.
Проверки, проводимые ФСТЭК России в пределах ее полномочий, носят комплексный характер и предусматривают одновременное проведение контрольных мероприятий по всем вопросам, находящимся в пределах компетенции Службы. Таким образом, при проведении государственного контроля в органах государственной власти или организациях, являющихся субъектами критической информационной инфраструктуры, в случаях, предусмотренных законодательством Российской Федерации, также подлежит проверке выполнение требований законодательства Российской Федерации о государственной тайне и об информации, информационных технологиях и о защите информации. В этом случае порядок составления протоколов об административных правонарушениях в области обеспечения безопасности критической информационной инфраструктуры должен быть идентичен порядку составления протоколов об административных правонарушениях в области защиты информации.
Предлагаемые точечные изменения статей 23.45 и
23.46 направлены на приведение порядка составления протоколов об административных правонарушениях в области защиты информации в соответствие с проектируемой статьей 23.89.
Вносимые изменения позволят сократить расходы бюджетных средств за счет сокращения членов комиссии и направления на государственный контроль одного начальника отдела территориального органа
ФСТЭК России, наделенного полномочиями по составлению протокола по всем направлениям контроля
22     
Предлагаемая к внесению статья 23.89.
Не понижать уровень должностных лиц, уполномоченных на рассмотрение дел об административных правонарушений.
Отсутствует обоснование для внесения данных изменений
Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, предусмотренный  статьей 13 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», будет проводиться
ФСТЭК России в том числе через свои территориальные органы, которые имеют межрегиональный уровень и расположены в столицах федеральных округов.
В соответствии с возложенными обязанностями руководителями проверок, проводимых ФСТЭК России в рамках государственного контроля, могут быть назначены руководители, заместители руководителей и начальники отделов территориальных органов
ФСТЭК России, которые непосредственно на объектах осуществляют контрольные мероприятия.
Проектируемой статьей 23.89 предусматривается наделение указанных должностных лиц полномочиями по составлению протоколов об административных правонарушениях
23     
Не вносить дополнения статьей 23.90.
Отсутствует обоснование для внесения данных изменений.
Обеспечение функционирования ГосСОПКА не равно осуществлению госконтроля или надзора в области обеспечения безопасности КИИ
Дополнение статьей 23.90 обусловлено введением
статей 13.12.1, 19.7.15 в проект изменений в Кодекс Российской Федерации об административных правонарушениях
24     
«Рассматривать дела об административных правонарушениях от имени органа, указанного в части
1 настоящей статьи, вправе руководитель федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители, руководители структурных подразделений указанного федерального органа исполнительной власти, их заместители, начальники структурных подразделений территориальных органов указанного федерального органа исполнительной власти.».
Не понижать уровень должностных лиц, уполномоченных на рассмотрение дел об административных правонарушений.
Отсутствует обоснование для внесения данных изменений
Государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, предусмотренный  статьей 13 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», будет проводиться
ФСТЭК России в том числе через свои территориальные органы, которые имеют межрегиональный уровень и расположены в столицах федеральных округов.
В соответствии с возложенными обязанностями руководителями проверок, проводимых ФСТЭК России в рамках государственного контроля, могут быть назначены руководители, заместители руководителей и начальники отделов территориальных органов
ФСТЭК России, которые непосредственно на объектах осуществляют контрольные мероприятия.
Проектируемой статьей 23.89 предусматривается наделение указанных должностных лиц полномочиями по составлению протоколов об административных правонарушениях
25     
10) часть 2 статьи 28.3 дополнить пунктом
111 следующего содержания:
«111) должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, его территориальных органов – об административных правонарушениях, предусмотренных частью 1 статьи 19.4, частью 1 статьи 19.5, статьей 19.6 настоящего Кодекса;».
Не вносить.
Полномочия уже предоставлены действующей редакцией КоАП «протоколы об административных правонарушениях, предусмотренных статьей 19.4.1, частью 20.1 статьи 19.5, частью 1 статьи 19.26 настоящего Кодекса, вправе составлять должностные лица федеральных органов исполнительной власти, их структурных подразделений и территориальных органов, а также иных государственных органов, уполномоченных осуществлять государственный контроль (надзор), государственный финансовый контроль.»
Действующая редакция Кодекса Российской Федерации об административных правонарушениях не предполагает наличия у должностных лиц федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, его территориальных органов полномочий по подготовке протоколов об административных правонарушениях, предусмотренных частью 1 статьи 19.4, частью 1 статьи 19.5, статьей 19.6 Кодекса
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности