КоАП для КИИ. Итог нашей деятельности. Часть 1.

КоАП для КИИ. Итог нашей деятельности. Часть 1.


  Мы были достаточно активны на этапе общественного обсуждения законопроекта по внесению изменений в КоАП.
   ФСТЭК рассмотрела 53 замечания к законопроекту.
   Мной было подано 35 замечаний. Формально ФСТЭК учла 9.
   Полностью с поступившими замечаниями и ответами ФСТЭК можно ознакомиться по ссылке
Итог: состав правонарушений откорректирован, ответственность ужесточили.
name='more'>

Все изменения отражены в таблице:

проект от 18.10.2019,
Доработанный проект от 21.01.2020,
Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
1. Нарушение порядка категорирования объектов критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных частью 1 статьи 19.7.15 настоящего Кодекса, –
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

2. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния, –




влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

часть 1 не добавляется













1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния, –

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
Статья 23.89. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, рассматривает дела об административных правонарушениях, предусмотренных частями 1-3 статьи 13.12.1, частью 1 статьи 19.7.15 настоящего Кодекса.
Статья 23.89. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, рассматривает дела об административных правонарушениях, предусмотренных частями 1 и 2 статьи 13.12.1, частью 1 статьи 19.7.15 настоящего Кодекса.

   Самые значительные наши достижения:
  1. Рассмотрение законопроекта отложено. В докладе Лютикова В.С (ФСТЭК) на Инфофоруме-2020 было заявлено, что потребовалась корректировка отчета о регулирующем воздействии законопроекта.


  По данному отчету мной было подано два замечания. ФСТЭК признала их и по обещала учесть.

В форме сводного отчета приведена «Оценка соответствующих расходов (возможных поступлений) бюджетов бюджетной системы Российской Федерации», все показатели нулевые. При этом, ФСТЭК указывает в форме сводного отчета, что оценивает количество субъектов КИИ в 500 000 организаций. Согласно отчетам ФСТЭК, в настоящий момент времени менее 1 % субъектов КИИ выполняют сроки и требования 187-ФЗ. С учетом размеров штрафов по предлагаемой ст.13.12.1.1. и 19.7.15 КоАП и огромного количества организаций нарушителей, такие нулевые показатели невозможны. Это говорит об отсутствии оценки последствий от законопроекта на экономику страны. Необходимо вводить отсрочку минимум на 6 месяцев на вступление в силу законопроекта.
В форме сводного отчета приведена неверная информация об отсутствии метода контроля эффективности избранного способа достижения цели регулирования. Согласно «Сводке предложений по итогам общественного обсуждения проекта нормативного правового акта к Проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры)» ID проекта: 01/05/03-19/00089944; Даты проведения общественного обсуждения: 5.04.2019 - 29.04.2019» этими же авторами законопроекта было указано, что  «В случае, если по результатам анализа практики правоприменения Федерального закона от 26 июля 2017 г. № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации» будет установлено невыполнение норм законодательства Российской Федерации о безопасности критической информационной инфраструктуры по причине малых сумм штрафов за соответствующие административные правонарушения, ФСТЭК России будут подготовлены предложения по увеличению сумм штрафов». Таким образом, у ФСТЭК России имеются методы контроля эффективности избранного способа достижения цели законопроекта.

   И это отлично. Особенно в свете новостей о другом законопроекте от Минюста = новый КоАП + Процессуального КоАП РФ. Не правки старого, а «с нуля»! И правки ФСТЭК в старую версию теряют смысл. Есть шанс, что инициативу ФСТЭК/ФСБ увяжут уже на доработку законопроекта Минюста, в котором вполне логично нет раздела по КИИ.  И это еще год отсрочки.


   2. Удалили состав правонарушения «нарушение порядка категорирования». Теперь ФСТЭК не получит права выписывать штраф до 50 000 рублей за нарушения, выявленные при рассмотрении результатов категорирования субъекта КИИ (по 236 приказу). Забавно, но можно утвердить перечень ОКИИ и форму уведомления по 236 приказу без создания комиссии по категорированию. И никакого штрафа за это не будет. Главное соблюдение сроков, иначе запланирован штраф по ст. 19.7.15.
  
    Больше похвастаться нечем!
    К сожалению, заявленная цель законопроекта - дифференциации наказания не достигается. 
    ФСТЭК/ФСБ так и не дали ответа на вопросы: 
   1. Почему один день просрочки присвоения категории, а это всего лишь 0,3 % от установленного срока категорирования в 12 месяцев, для незначимого ОКИИ стоит 50 000 рублей?
   2. Как повлияет на безопасность страны отправка перечня объектов КИИ, подлежащих категорированию не через 10 дней, а через 11? Почему это стоит 50 000 рублей? (ФСТЭК посчитал безопасным на основе правоприменительной практики 187-ФЗ увеличить этот срок в 2 раза (с 5 до 10 дней) и изменил ПП127 в 2019 году, а субъект КИИ за ОДИН день опоздания значит подорвет безопасность России и его надо штрафовать на значительную сумму).
   3. Почему опоздание с информированием НКЦКИ на 15 минут (1%) для незначимого ОКИИ стоит 150 000 рублей?

   Наибольший же интерес представляет аргументация позиции ФСТЭК. Разберем ее «по косточкам» в следующей заметке. Продолжение следует...

P.S. Если кому интересно, как сейчас наказывают субъекта КИИ за нарушение 187-ФЗ, то вот два варианта из жизни - просто субъект КИИ и с убъект КИИ с ЗОКИИ

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности