Изменение КоАП для субъектов КИИ. Аргументы Минэкономразвития.

Изменение КоАП для субъектов КИИ. Аргументы Минэкономразвития.




   В продолжение заметки  об отрицательном отзыве Минэкономразвития на законопроект по изменению КоАП за нарушение 1897-ФЗ, разберем аргументацию субъектов КИИ , указанную в приложению к самому отзыву Минэкономразвития . 
name='more'>
1. Правильно указано отсутствие ранжирования наказания.
2. Верно указано на субъективность оценки при проведении проверки, как основной фактор риска коррупции.
3. Отсутствие профилактических мер (предупреждение),а так же механизма обжалования решения надзорного органа - серьезное упущение авторов законопроекта. 
4. Почему то предложено установить полномочия для регуляторов только на возбуждение административных дел исключительно в отношении негосударственных субъектов КИИ. Чем так госучреждения отличаются, что в отношении их регуляторы могут сразу выносить штрафные решения?

   СВОДКА ЗАМЕЧАНИЙ И ПРЕДЛОЖЕНИЙ, 
поступивших по результатам публичных консультаций, проведенных в рамках подготовки заключения об оценке регулирующего воздействия 
   В ходе подготовки заключения об оценке регулирующего воздействия проекта акта Минэкономразвития России в соответствии с пунктом 28 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов, проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. № 1318, в период с 29 января 2020 г. по 7 февраля 2020 г. проведены дополнительные публичные консультации с представителями предпринимательского сообщества, по результатам которых 
в отношении проекта акта получены замечания и предложения комиссии РСПП по связи и информационно-коммуникационным технологиям, Ассоциации организаций цифрового развития отрасли «Цифровая энергетика», АО «СО ЕЭС», ПАО «МегаФон», АО «ЭР-Телеком Холдинг», а также органов исполнительной власти отдельных субъектов Российской Федерации.


Содержание замечания/предложения по проекту/отчету
В Законопроекте необходимо ранжировать санкции за правонарушения в зависимости от степени их последствий для безопасности критической информационной инфраструктуры (КИИ)
Предлагаемые законопроектом санкции не учитывают степени общественной опасности правонарушений. Санкции за непредоставление либо несвоевременное предоставление информации в области обеспечения безопасности КИИ применяются за сам факт наличия правонарушения вне зависимости от степени общественной опасности таких правонарушений и их последствий.
Считаем, что санкции за значительное нарушение сроков предоставления информации и санкции за незначительное нарушение сроков должны быть ранжированы. Также требуется уточнить, за какие именно нарушения сроков будет возможно накладывать штрафы, и дифференцировать санкции за непредставление информации и за нарушение сроков ее предоставления.
Законопроект содержит оценочные формулировки, создающие сложности в практике применения проектируемых норм
Законопроект содержит размытые формулировки, оценка которых оставлена на усмотрение сотрудника проверяющего органа. Например, в ч. 2 ст.13.12.1 КоАП РФ в редакции законопроекта предусматривается административная ответственность за нарушение требований по обеспечению безопасности значимых объектов КИИ, установленных федеральными законами и принятыми
в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, повлекших причинение вреда КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния.
При этом, нигде не разъясняется что понимается под вредом КИИ, не определена методика расчета такого вреда, а также меры его измерения.
Подобная неопределенность формулировок создаст сложности в практике применения нормы, а также возможности злоупотреблений со стороны проверяющих органов.
Аналогичная ситуация сложилась в практике применения действующей ст. 274.1 Уголовного кодекса Российской Федерации, предусматривающей уголовную ответственность за неправомерное воздействие на КИИ, повлекшее причинение вреда указанной КИИ. Ввиду отсутствия критериев определения вреда КИИ для целей доказывания факта причинения такого вреда в процессе судебного разбирательства работники органов безопасности ссылаются на экспертные заключения. Однако указанные экспертные заключения не могут быть использованы для целей рассматриваемой статьи УК РФ, поскольку факт причинения вреда КИИ устанавливается не на основании нормативно установленных правил и критериев, а на основании предположений экспертной организации и органов безопасности.
В результате различные оценки аналогичных обстоятельств приведут к неоднородности правоприменения, что не позволит достигнуть целей административного наказания.
В целях нивелирования риска возникновения вышеуказанных последствий в практике применения проектируемых норм КоАП РФ предлагаем конкретизировать оценочные формулировки.
В Законопроекте необходимо ранжировать санкции за правонарушения в зависимости от степени их последствий для безопасности критической информационной инфраструктуры (КИИ)
Предлагаемые законопроектом санкции не учитывают степени общественной опасности правонарушений. Санкции за непредставление либо несвоевременное предоставление информации в области обеспечения безопасности КИИ применяются за сам факт наличия правонарушения вне зависимости от степени общественной опасности таких правонарушений и их последствий.
Допустим, срок направления сведений 7 дней со дня подписания акта, можно опоздать и на 1 день и на 1 год, наказание одинаково. Срок предоставления сведений об инциденте 3 часа, опоздать на минуты вполне реально (при этом сами гос. органы на рассмотрение инцидента отводят себе сутки).
Считаем такой подход к установлению административной ответственности недопустимым.
Санкции за значительное нарушение сроков предоставления информации и санкции за незначительное нарушение сроков должны быть ранжированы. Также требуется уточнить, за какие именно нарушения сроков будет возможно накладывать штрафы, и дифференцировать санкции за непредставление информации и за нарушение сроков ее предоставления.
Статья 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
Согласно ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливается три категории значимости объектов критической информационной инфраструктуры, исходя из социальной, политической, экономической и оборонной значимости объекта. Таким образом, считаем применение одинакового наказания за нарушения, относящие к объектам разных категорий не приемлемым. Предлагаем детализировать или исключить ряд штрафов, налагаемых на субъекты КИИ, в зависимости от категории субъекта КИИ, так как размер и тяжесть последствий их несоразмерен с наказанием.
Отсутствует норма «Обжалования» и «Предупреждения». Сразу наказание. Следует доработать НПА. Считаем целесообразным выносить представления об устранении нарушений, в случае если эти нарушения несут формальный характер и не выразились в негативном влиянии на общественные отношения. Применять штраф в случае неустранения нарушений, указанных в предписании. 
Термины "компьютерной атаки и инцидента" закреплены в 187-фз:
«4) компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;
5) компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;»
Стоит обратить внимание, что в настоящее время, в связи с развитием технологий, а также средств и способов осуществления компьютерных атак, терминилогия используемая в 187-ФЗ может быть недостаточна для применения (определения нарушения) в КоАП РФ. Таким образом не представляется возможным в нашем кибер-активном мире при появляющихся новых видах компьютерных атак. Кроме того, они потребуют определений в НПА, а это не всегда возможно (как описать фишинговую атаку и тд?).
Части 3 и 4 статьи 39.24 проекта КоАП РФ – терминология «порядок категорирования объектов критической информационной инфраструктуры» не в полной мере соответствует действующему законодательству (127 Постановлению Правительства, там это озвучено как «Правила»). Предлагаем внести изменения в действующие НПА, путем приведения их в соответствие с 187-ФЗ.
Считаем нарушение срока предоставления и не предоставление информации о компьютерных инцидентах несут разную угрозу общественным отношениям, соответственно должны оцениваться исходя из реальной угрозы или ущерба, а значит за не предоставление или несвоевременное предоставление должны быть назначены различные санкции.
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации. Необходимо определить статус НКЦКИ. По положению – это не гос. орган и передача им информации ограниченного доступа и конфиденциальной информации не представляется возможным. Необходимо прописать их статус и предоставление им полномочий.
Статья 39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации вообще не очень понятна.
Сведения о категории объектов КИИ передаются во ФСТЭК (Указ 620) и им же дальше заносятся в реестр. Необходимо уточнить, какая информация должна передаваться и каким документом эта передача регламентируется?
В проектируемых нормах находит отражение в рамках КоАП РФ только состав за нарушение требований по обеспечению значимых объектов критической инфраструктуры. Предлагается также ввести состав за нарушение требований по обеспечению обычных объектов критической инфраструктуры, дополнив проект изменений следующими положениями:
Нарушение требований по обеспечению безопасности объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, если такие действия (бездействие) не содержат уголовно наказуемого деяния, –
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до двадцати пяти тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.
Частями 1 и 2 ст. 13.12.1 КоАП РФ законопроекта предлагается установить составы административных правонарушений за нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, нарушение требований по обеспечению безопасности значимых объектов КИИ.
Однако, законопроектом не учитывается, что   совокупность мер и способов реализации указанных требований, и так не вполне однозначно определённых нормативными правовыми актами, могут отличаться  для каждой отрасли, субъекта КИИ и будут определяться на основании установления актуальных угроз безопасности для конкретного объекта КИИ с применением экспертных оценок.
В этой связи оценка правильности принятых экспертами решений по безопасности объекта КИИ будет носить субъективный характер, что может привести к  неоднородности правоприменения, создает неопределенности для бизнеса, является  коррупциогенным фактором.
Частью 3 проектируемой ст. 13.12.1 КоАП РФ предлагается установить ответственность за нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
Между тем нормативными правовыми актами состав компьютерных инцидентов на объектах КИИ не определен. Приказом ФСБ России от 24.07.2018 № 367 установлен лишь перечень информации о компьютерном инциденте.
В этой связи устанавливать ответственность за непредставление сведений о компьютерных инцидентах, состав которых не определен, представляется необоснованным
Законопроектом предлагается наделить ФСТЭК и ФСБ России полномочиями по возбуждению и рассмотрению административных дел в области обеспечения безопасности объектов КИИ.
Практика взаимодействия с территориальными органами регуляторов по аналогичным вопросам обеспечения информационной безопасности на иных объектах защиты указывает на неоднозначность трактовки установленных требований, что усугубляется неоднозначностью самих требований. Полагаем целесообразным наделить ФСТЭК и ФСБ России полномочиями по возбуждению административных дел в отношении негосударственных субъектов КИИ. Полномочия по рассмотрению указанной категории дел представляется необходимым передать суду.


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
******Группа вконтакте  https://vk.com/klub187fz
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности