Осталась неделя на подачу замечаний и предложений к проекту нового КоАП, принимаются до 24 июня 2020 https://regulation.gov.ru/projects#npa=102447.
Каждое надзорное ведомство прописало свои составы правонарушений. По котором только оно будет выносить решение о наказании. Привело это к появлению дублирующих статей не совпадающих по размеру наказания. Пришел РКН и за невыполнение обязанности по соблюдению конфиденциальности ИОД наказал штрафом до 500 000 рублей (33.1.6.), пришла ФСТЭК и за нарушение норм и требований в области защиты информации штрафует до 20 000 рублей (33.2.6). А, если конфиденциальность нарушил с использованием служебных полномочий, то получи штраф до 5 000 рублей (33.4).
name='more'>
Мной поданы такие замечания к законопроекту:
1. Неверное название Статья 33.4. Несоблюдение конфиденциальности в отношении информации с ограниченным доступом. В законодательстве используется термин "информация ограниченного доступа".
2. Не гармонизирован размер наказания по однотипным составам правонарушения. Персональные данные относятся к информации ограниченного доступа, а размер наказания за нарушение конфиденциальности различается на порядок.
3. По новым составам правонарушений в отношении субъектов КИИ несоразмерность наказания. Например с штрафами, предусмотренным за нарушения требований в области защиты информации, содержащей сведения, составляющие государственную тайну, статья 33.2 законопроекта содержит следующие меры ответственности:
7. Нарушение норм и требований в области защиты информации, содержащей сведения, составляющие государственную тайну, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц – от пятнадцати тысяч до двадцати тысяч рублей.
Учитывая, что правоприменительная практика по соблюдению требований к субъектам КИИ на текущий момент не сформирована, представляется обоснованным сокращение размера вводимых штрафов.
4. Включение в КоАП состава правонарушения
Статья 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
и обеспечению их функционирования, установленных федеральными законами
и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации,
2. Нарушение требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.
преждевременно, так как отсутствует правоприменительная практика, доказывающая недостаточность существующих мер государственного контроля и принуждения субъектов КИИ в отношении ЗОКИИ. Постановление Правительства РФ от 17.02.2018 № 162
"Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" вполне достаточно для эффективного соблюдения законодательства в части предлагаемых составов правонарушения.
5. Включение в КоАП состава правонарушения
Статья 39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, –влечет наложение административного штрафа на должностных лиц
в размере от десяти тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей – от тридцати тысяч до семидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.
избыточно, так как п.11 ст.11 187-ФЗ уже введен механизм реагирования на данный состав правонарушения.
Целесообразность введения дополнительного наказания и обоснованность размера штрафов сомнительна.
6. Статья 39.24. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
3. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации
и
Статья 39.25. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
2. Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
в отношении одного и то же состава правонарушения - "Нарушение порядка информирования о компьютерных инцидентах" вводят разные штрафные санкции, причем для ЗОКИИ штрафы существенно МЕНЬШЕ, чем для незначимых ОКИИ.
Отмечу, что предлагается ввести и новый тип кодекса - процессуальный кодекс об административных нарушениях. https://regulation.gov.ru/projects#npa=99061
В нем предусмотрена отдельная статья
Статья 6.10. Представление об устранении причин и условий, способствовавших совершению административного правонарушения
1. Орган, должностное лицо, рассматривающие дело об административном правонарушении, при установлении причин административного правонарушения и условий, способствовавших его совершению, вносят в соответствующие организации и соответствующим должностным лицам представление о принятии мер по устранению указанных причин и условий.
2. Организации и должностные лица обязаны рассмотреть представление об устранении причин и условий, способствовавших совершению административного правонарушения, в течение месяца со дня его получения принять меры, направленные на устранение причин и условий совершения административного правонарушения и сообщить о принятых мерах в орган, должностному лицу, внесшим представление.
Невыполнение представления - это отдельный состав правонарушения!
https://valerykomarov.blogspot.com/2020/06/blog-post_9.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
