КоАП для КИИ. Вторая попытка ФСТЭК. Продолжение.

КоАП для КИИ. Вторая попытка ФСТЭК. Продолжение.
        В этой заметке будут отражены принципиальные моменты, которые показывают существенное несовершенство предложенного ФСТЭК законопроекта по изменению КоАП. Которые, на мой взгляд, должны быть устранены в действующей редакции законопроекта. Вопрос целесообразности введения наказания как формы принуждения к исполнению законодательства в заметке не поднимается. У ФСТЭК выбора нет, если они не выпустят закон по внесению изменений в КоАП, то это невыполнение поручения Правительства РФ. Остается вопрос содержания закона, а вот на это мы уже можем повлиять.
name='more'>
        1. Смотрим на заявленную ФСТЭК проблему: "Не выполнение в срок требований законодательства  о безопасности критической информационной инфраструктуры.".
         Какие же сроки установлены в законодательстве для субъекта КИИ?
а.  Для госучреждений до 01.09.2019 утвердить перечни объектов КИИ, подлежащих категорированию. Для коммерческих организаций срок не установлен.
б.  365 дней на присвоение категории с момента утверждения перечня объектов.
в.  10 дней на отправку перечня и формы уведомления в ФСТЭК после утверждения субъектом.
г.  10 дней на устранение замечаний ФСТЭК по форму уведомления о результатах категорирования.
д.   1825 дней срок действия акта категорирования.
е.    24/3 часа на информирование НКЦКИ (незначимый/значимый ОКИИ) о КИ.
ж.   90 дней на составление плана реагирования на КИ (только для ЗОКИИ).
з.    2 дня на информирование НКЦКИ о результатах мероприятий (только для ЗОКИИ).
и.    5 дней на информирование ФСБ/НКЦКИ при изменениях в техсредствах ГосСОПКА.
   Отдельно отмечу, что срок создания системы безопасности ЗОКИИ в законодательстве не установлен. 
    Вопрос:  какие сроки из приведенных выше криминальны? 
    Что изменится с безопасностью страны, если субъект направит свой перечень объектов КИИ, подлежащих категорированию не через 10 дней,а через 11? 
     Почему ФСТЭК считает безопасным на основе правоприменительной практики 187-ФЗ увеличить этот срок в 2 раза (с 5 до 10 дней), а субъект КИИ за ОДИН день опоздания значит подорвет безопасность России и его надо штрафовать на значительную сумму?
      Почему надо штрафовать за один день просрочки присвоения категории? Это всего-лишь 0,3 % от установленного срока категорирования. С учетом последующих временных затрат на переписку с ФСТЭК (только на рассмотрение дается 30 дней), это вообще на уровне погрешности регистрации. 
       А ведь это будет основной состав правонарушений.  ФСТЭК оперирует количеством субъектов КИИ в 500 000 организаций. Сейчас же с ФСТЭК взаимодействуют менее 1 % от этого количества. 
       


        По срокам ФСБ/НКЦКИ таких вопросов не возникает, возможно сроки обоснованы. А возможно и нет.
        Если посмотреть на состав правонарушений в законопроекте, то увидим удивительное - на соблюдение сроков направлена только часть изменений КоАП. А остальные не соответствуют решению заявленной ФСТЭК проблемы. 
          Что нам предложила ФСТЭК с упоминанием сроков:
          Статья 19.7.15 Непредставление или нарушение порядка либо сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей. 
           Вопрос: а что входит  в состав правонарушения "нарушение порядка представления в ФСТЭК сведений"?  Оформили не 236 приказу? не утвердили? не приложили в электронном виде? Или отправили на адрес местного ФСТЭК вместо ЦА? Более того, в 187-ФЗ нет никаких упоминаний о полномочиях ФСТЭК надзирать за порядком представления сведений и тем более наказывать за его нарушение.
          С какого момента "нарушение срока представления" переквалифицируется в "непредставление уведомления"? 
           Замечу, что еще упоминается  нарушение порядка категорирования. То есть, ФСТЭК хочет выписывать штраф за каждый возврат уведомлений на доработку. А это сейчас от 20 до 30% от общего количества уже полученных уведомлений (по публичным отчетам ФСТЭК). 
              13.12.1.1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
             Еще ФСТЭК упоминал цель законопроекта -"Дифференциация наказания".
Но в тексте КоАП этого не видно. Вполне логично по разному наказывать правонарушителя, ан нет. 

Итог (в части ФСТЭК):
1.  Законопроект не соответствует заявленным целям: соблюдение сроков и дифференциация наказания.
2.  Отсутствует какое-либо обоснование необходимости криминализировать нарушения сроков категорирования или предоставление результатов категорирования.
3.  Состав правонарушений не конкретизирован и допускает субъективное толкование.
4.  Законопроект содержит дублирующие составы правонарушений, так ст.7 187-ФЗ относит предоставление сведений в ФСТЭК к процедуре категорирования.
5.   Редакция ст.19.7.15 незаконна. ФСТЭК наделен полномочия госконтроля исключительно в ЗОКИИ. Полномочия ФСТЭК прописаны в ст.6 187-ФЗ и соответствующих указах Президента РФ - в них нет никакого упоминания о функциях государственного контроля/надзора за порядком категорирования. Согласно ст.7 187-ФЗ, у ФСТЭК есть право при проверке мотивированно вернуть результаты категорирования и "выслать требование о необходимости соблюдения положений настоящей статьи".

    Вывод: текущая редакция (в части ФСТЭК) несет высокий коррупционный риск, а так же дискредитирует основные принципы публично-правого принуждения к исполнению законодательства.
    Либо ФСТЭК в момент вступления в силу изменений КоАП штрафует 99 % потенциальных субъектов КИИ и обеспечивает равенство всех перед законом с неотвратимостью наказания, либо получает вопросы о "ручном" применении закона и роли коррупционной составляющей по каждому случаю применения.
     
     Предложения: 
1. Ввести дифференциацию нарушения сроков и соответствующих штрафов (по аналогии с нарушениями скоростного режима на автодороге). Пример: превысил сроки на 30 календарных дней - предупреждение, от 30 до 90 календарных дней - штраф в 5 000 рублей, более 90 календарных дней - 20 000 рублей.
2. Исключить статью 19.7.15.1, так как она дублируется 13.12.1.1.
3. В соответствии с ст.7 187-ФЗ, предусмотреть, что применение ст. 13.12.1.1. наступает исключительно после "невыполнения требования о необходимости соблюдения положений настоящей статьи", высланного ФСТЭК в адрес субъекта КИИ в 30-ти дневный срок или в случаях повторного нарушения порядка категорирования (не устранение мотивированного замечания).

Продолжение следует...

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности