КоАП для КИИ. Вторая попытка ФСТЭК

КоАП для КИИ. Вторая попытка ФСТЭК

    До 15 ноября есть возможность высказать свое мнение и повлиять на законопроект, который серьезно затронет сотни тысяч организаций в стране.
name='more'>

  Свое мнение о законопроекте я уже высказывал ранее:

  ФСТЭК не внесла изменений с того времени, значит стороны остались при своем мнении.
  Зато появился документ, которого не было в апрельской попытке ФСТЭК. И в нем очень много интересного.

ФОРМА сводного отчета
о проведении оценки регулирующего воздействия проекта акта с высокой степенью регулирующего воздействия

   1. Обоснование отнесения проекта акта к определенной степени регулирующего воздействия: Проект акта содержит положения, устанавливающие ранее не предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами обязанности, запреты и ограничения.
   2. Негативные эффекты, возникающие в связи с наличием проблемы: Не выполнение в срок требований законодательства  о безопасности критической информационной инфраструктуры
   3. Источники данных: Практика реализации Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
   4. Цели предлагаемого регулирования: Дифференциация наказания
   5. Описание предлагаемого способа решения проблемы и преодоления связанных с ней негативных эффектов: Дифференциация уголовной ответственности, предусмотренной статьей 274.1 Уголовного кодекса Российской Федерации
   6. Описание иных способов решения проблемы (с указанием того, каким образом каждым из способов могла бы быть решена проблема): Статьей 274.1 Уголовного кодекса Российской Федерации предусмотрена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру, в том числе за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре
   7. Обоснование выбора предлагаемого способа решения проблемы: Нарушение указанных требований создает предпосылки к нанесению ущерба в социальной, экономической, политической и иных сферах деятельности государства, за что должна быть предусмотрена административная ответственность.

   Возникает несколько вопросов "просто на логику":
1. Как п.1 стыкуется с п.4? Законопроект впервые криминализирует действия субъекта КИИ. Вводится дополнительный состав правонарушения, который ранее не наказывался вообще. Никаких изменений в уголовную статью не вносится. Что за "Дифференциация наказания"?Пишите прямо, что цель законопроекта - ужесточение наказания, путем введения дополнительного к уголовному административного состава.
2. Каким образом п.6 может повлиять на п.2? ФСТЭК просто продавливает единственный вариант - ужесточение КоАП.
3. Каким образом п.7 подтверждается п.3? Предпосылки к нанесению ущерба в несоблюдении сроков законодательства по КИИ? Неужели отправка перечня ОКИИ на день позже создает их? Или может задержка с отправкой формы уведомления после утверждения акта категорирования создает предпосылки к ущербу? А нарушение ФСТЭК сроков ответов на полученные формы уведомления не приводит к таким предпосылкам?

Что еще интересного в форме?

    ФСТЭК считает, что 500 000 организаций являются субъектами КИИ. Обоснование количества - Источники данных: Реестр выданных лицензий на предпринимательскую деятельность Росреестра России, Единый реестр субъектов малого и среднего предпринимательства ФНС России.
7.1.1.
Оценка структуры регулируемых субъектов по категориям
Количественная (интервальная) оценка
Удельный вес
(%)
Микропредприятия
4 000
0,8
Малые предприятия
50 000
10
Средние предприятия
75 000
15
Крупные предприятия
371 000
74,2
7.1.2. Источники данных: Показатели Росстата России
   
  ФСТЭК предлагает внедрить наказание без последующей оценки эффективности принятого решения. Да и рисков никаких не видят от введения штрафов.

13.1.
Риски решения проблемы предложенным способом и риски негативных последствий
13.2.
Оценки вероятности наступления рисков
13.3.
Методы контроля эффективности избранного способа достижения целей регулирования
13.4.
Степень контроля рисков
Риски решения проблемы предложенным способом регулирования и риски негативных последствий не установлены
0
отсутствуют
отсутствует
        
     При этом, ФСТЭК на этапе публичного обсуждения в апреле 2019 года заявляла «Суммы административных штрафов за указанные административные правонарушения определены в соответствии со статьёй 3.5 Кодекса Российской Федерации об административных правонарушениях.
   В случае, если по результатам анализа практики правоприменения Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» будет установлено невыполнение норм законодательства Российской Федерации о безопасности критической информационной инфраструктуры по причине малых сумм штрафов за соответствующие административные правонарушения, ФСТЭК России будут подготовлены предложения по увеличению сумм штрафов»
   То есть, оценка эффективности все таки возможна и проводится будет? И оказывается, что методы контроля эффективности существуют.

   Возвращаясь к апрельской аргументации ФСТЭК.
    Вот ее разъяснение по одному из замечаний:
«Предлагаемая формулировка значительно сужает состав правонарушений, по которым возможно применение административного наказания. Например, предлагаемая формулировка исключает возможность применения административного наказания в случае невключения объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, в перечень объектов критической информационной инфраструктуры Российской Федерации, подлежащих категорированию, утверждаемый субъектом критической информационной инфраструктуры Российской Федерации».
   Из нее следует, что специалист ФСТЭК будет иметь полномочия самостоятельно определять какая ИС/АСУ/ИТКС в организации является ОКИИ. Вот комиссия во главе с директором не считает это ОКИИ, а пришедший на проверку специалист ФСТЭК считает. А почему тогда ФСТЭК отказывается от всех приглашений поучаствовать в комиссиях по категорированию и ссылается на отсутствие полномочий? Судя по этому законопроекту, нам комиссии по категорированию вообще не нужны. Все способна сделать ФСТЭК.
   И об этом писалось еще 24.01.2017 при экспертизе проекта 187-ФЗ.
"Комитет Государственной Думы по информационной политике, информационным технологиям и связи, рассмотрел внесенный Правительством Российской Федерации проект федерального закона № 47571-7 «О безопасности критической информационной инфраструктуры Российской Федерации» и отмечает следующее.
Законопроектом предлагается установить , что категорирование объектов критической информационной инфраструктуры Российской Федерации осуществляется самостоятельно субъектами критической информационной инфраструктуры. Такой подход с точки зрения интересов государственного регулирования в сфере информационной безопасности нуждается в содержательном пересмотре в пользу позиции о необходимости осуществления категорирования объектов критической информационной инфраструктуры не самостоятельно собственниками и пользователями имущества, относящегося к объектам критической информационной инфраструктуры, не по результатам плановых и внеплановых проверок в рамках государственного надзора (контроля), а непосредственно силами и средствами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры. "

   P.S. И еще "привет из прошлого", аргументация при принятии 187-ФЗ:
Дмитрий Владиславович, в финансово-экономическом обосновании сказано, что
принятие данного законопроекта не потребует дополнительных расходов из федерального бюджета и не повлечёт финансовых обязательств государства. Однако согласно статье 7 законопроекта под пунктом 12 в обязанности субъектов критической информационной инфраструктуры входит оказание помощи в обнаружении и предупреждении компьютерных атак, там говорится о возможности установления технических средств для поиска признаков компьютерных атак - все эти обязанности и права потребуют установления специализированного компьютерного обеспечения. Кроме того, согласно проекту закона в реестр будет внесено большинство федеральных органов власти, что также повлечёт за собой дополнительное финансирование из бюджета на установку программного обеспечения и реализацию закона. Непонятно: сначала закон примем, а потом будем искать финансовые средства для его реализации?

ШАЛЬКОВ Д. В. Спасибо за вопрос. Средства из государственного бюджета на
решение этих вопросов уже выделены, действует государственная программа по
обнаружению и противодействию компьютерным атакам - ГосСОПКА, у нас уже
деньги есть, и мы работаем. Что касается владельцев объектов критической
инфраструктуры - на большинстве этих объектов необходимое оборудование уже и так установлено, поэтому каких-то существенных затрат, по нашим прогнозам, у них не будет."

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности