КоАП для КИИ. Критика энергетиков.

КоАП для КИИ. Критика энергетиков.

 


      Представители энергетики в Государственной думе достаточно серьезно подошли к рассмотрению законопроекта по введению административной ответственности субъектов КИИ. Подтверждаются мои опасения , что законопроект содержит не обоснованные штрафы и что состав правонарушения не конкретизирован. Теперь ждем публикацию позиции Комитета Государственной Думы по информационной политике, информационным технологиям и связи. По сути, ничего нового не прозвучало. Подобные замечания поступили в ФСТЭК больше года назад , еще в апреле 2019 года.  name='more'>

Утверждено

Решением Комитета

Государственной Думы

по энергетике

№ 3.25-5/166 от 16 декабря 2020 г.




    ЗАКЛЮЧЕНИЕ  Комитета Государственной Думы по энергетике по проекту федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»

....

     В тоже время, Комитет по энергетике обращает внимание, что предлагаемые законопроектом санкции не учитывают степени общественной опасности правонарушений 

    Так законопроектом предлагается установить административную ответственность субъекта КИИ за нарушение порядка обмена информацией между субъектами КИИ, предусмотрев за совершение данного правонарушения административный штраф для юридических лиц в размере от 100 до 500 тыс руб.

   В соответствии с общими правилами назначения административных наказаний (статья 4.1 КоАП РФ) применение к нарушителям мер административной ответственности должно осуществляться с учетом характера совершенного деяния и оценкой их негативных последствий.

    Порядок обмена информацией о компьютерных инцидентах между субъектами КИИ установлен приказом ФСБ России от 24.07.2018 № 368 (далее – Приказ). При этом административная ответственность может быть применена к субъекту КИИ за любое нарушение порядка обмена информацией.

   Так, например, в соответствии с пунктом 4 Приказа при обмене информацией между собой субъекты КИИ направляют уведомления в формате представления информации в ГосСОПКА.

   В случае несоблюдения указанных форматов, например, при передаче уведомления посредством телефонной связи, субъект КИИ может быть по формальным основаниям привлечен к административной ответственности за несоблюдение порядка, несмотря на то, что уведомление позволило предотвратить компьютерный инцидент со стороны другого субъекта, а нарушение не повлекло общественно опасных последствий.

    В рассматриваемом случае, предлагаемая законопроектом административная ответственность не будет соответствовать степени общественной опасности совершенного правонарушения.

   Важно также отметить, что за более серьезное деяние - нарушение требований к созданию систем безопасности значимых объектов КИИ, законопроектом предлагается установить значительно более мягкую ответственность для юридических лиц в виде административного штрафа в размере от 50 до 100 тыс руб (ч. 1 проектируемой ст. 13.121 КоАП РФ). При этом указанное правонарушение (по сравнению с нарушением обмена информацией между субъектами КИИ) может повлечь более серьезные последствия, в том числе нарушение функционирования объектов КИИ в результате компьютерной атаки, выход из строя объектов обеспечения жизнедеятельности населения, сетей связи, нанесение ущерба жизни и здоровью людей.

   Различие в характере и степени общественной опасности правонарушений всегда должно быть связано с установлением различий в санкциях. Недопустимо, чтобы деяние обладало меньшей общественной опасностью, но большей наказуемостью и, наоборот, большей опасностью, но меньшей наказуемостью.

   Учитывая изложенное, предлагаем уточнить, за какие именно нарушения сроков будет возможно накладывать штрафы, и дифференцировать санкции за непредставление информации и за нарушение сроков ее предоставления. Установить штрафы соизмеримые ущербу от правонарушения.

   Кроме того, некорректно определять размер штрафов исходя из средней заработной платы руководителей структурных подразделений КИИ с сайта hh.ru. Структурные подразделения в соответствии с приказом ФСТЭК № 235 являются силами по обеспечению безопасности объектов КИИ. Уровень штрафов должен определяться исходя из ущерба, который значимый объект КИИ может причинить жизни и здоровью людей, государству и экологии. При этом приоритет должен отдаваться страхованию ответственности и профилактическим мероприятиям.

   Также обращаем внимание, что реализация требований по обеспечению безопасности объектов КИИ, предусмотренных законодательством о безопасности КИИ, требует временных и материальных ресурсов от субъектов хозяйственной деятельности.

   Переходный период, предусмотренный законопроектом, распространяется  только для реализации отдельных положений проектируемой статьи 13.121 КоАП. Невыполнение остальных требований законопроекта может привести к многочисленным штрафам и значительным расходам хозяйствующих субъектов на уплату штрафов, тогда как эти средства могли бы пойти на реализацию требований законодательства о КИИ. 

   С учетом изложенного, предлагаем предусмотреть в законопроекте переходные положения, содержащие посильные для субъектов хозяйственной деятельности сроки для реализации установленных к ним требованиям в части обеспечения безопасности объектов КИИ. 

   Учитывая вышеизложенное, Комитет Государственной Думы по энергетике рекомендует Государственной Думе принять в первом чтении проект федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» при условии его доработки ко второму чтению с учетом указанных замечаний. 


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности