КоАП для КИИ. Вопросы про 1 сентября 2021 года.

КоАП для КИИ. Вопросы про 1 сентября 2021 года.

 


     Процедура принятия федерального закона по внесению изменений в КоАП в части ответственности за невыполнение требований 187-ФЗ очень напоминает принятие самого 187-ФЗ, когда в течении трех недель прошли: 2-е и 3-е чтение в ГД, одобрение в СФ и подписание Президентом РФ. Сейчас законопроект по КоАП принят в 2-м чтении 12.05.2021, в 3-м чтении 18.05.2021, а уже 19.05.2021 одобрен СФ. Вполне можем ожидать подписание Президентом РФ в мае. 

name='more'>

   Позицию "энергетиков" на первом чтении в ГД игнорировали, предпочли позицию "связистов" -  https://valerykomarov.blogspot.com/2020/12/blog-post_22.htm

  Подробнее в цикле заметок на моем дзен.канале "Клуб любителей КИИ" -  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/kogda-nachnut-shtrafovat-subektov-kii-uje-skoro-600b0b1ecdf9ab055a66b0d1

  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/kogda-nachnut-shtrafovat-za-187fz-skoro-60a55e4fce404e36f44c5cdb

https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/kogda-nachnut-shtrafovat-za-187fz-kogo-nakajut-60ad4e321b13b3072bebd689

   Таким образом, предположительно в июне закон вступит в силу через 10 календарных дней после публикации. Но не весь. Есть мудреная формулировка «Абзацы третий и четвертый пункта 2 статьи 1 настоящего Федерального закона вступают в силу с 1 сентября 2021 года.»

     За что же будут наказывать с 1 сентября 2021 года?

«1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния»

     То есть, с 1 сентября 2021 все субъекты КИИ должны создать системы безопасности по 235/239 приказам ФСТЭК для своих ЗОКИИ. Вне зависимости от даты внесения информации о ЗОКИИ в Реестр ФСТЭК. Даже если внесли 31 августа 2021, то уже на следующий день безопасность ЗОКИИ должна обеспечиваться.

    Отмечу, что задача подтверждения субъектом КИИ выполнения всех требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации очень не тривиальна. Одним актом соответствия (аттестатом) на подсистему безопасности ЗОКИИ не отделаться. Подробнее разбирал  -  https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-poluchili-predstavlenie-prokurora-5e38700153de5721ccf795b6

    Другой вопрос еще возникает. С 235 и 239 приказами ФСТЭК понятно, а будут ли наказывать за невыполнение требований Приказа ФСТЭК России от 28.05.2020 N 75"Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"? 

   Если посмотреть "Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля (надзора) в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (утв. приказом ФСТЭК России от 16.07.2019 N 135), то в нем нет ни 75 приказа ФСТЭК, ни Постановления Правительства РФ от 08.06.2019 N 743 "Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры" в рамках которого этот приказ ФСТЭК появился. Более того, ч.6 187-ФЗ вообще не указана в этом Перечне ФСТЭК.

   Операторам сетей электросвязи вообще везет - импортозамещение их не касается, административка не грозит, госконтроля ФСТЭК за ними нет.

    Основная угроза наказания для субъектов КИИ будет исходить не от ФСТЭК, которая планово начнет приходить с мероприятиями государственного контроля за обеспечением безопасности значимых объектов КИИ к десяткам организаций по всей стране, а от прокуратуры.

КоАП РФ. Статья 28.4. Возбуждение дел об административных правонарушениях прокурором

При осуществлении надзора за соблюдением Конституции Российской Федерации и исполнением законов, действующих на территории Российской Федерации, прокурор также вправе возбудить дело о любом другом административном правонарушении, ответственность за которое предусмотрена настоящим Кодексом или законом субъекта Российской Федерации.

   И штрафом все это не ограничится. Будут выписаны представление по устранению причин и условий, способствующих совершению административного правонарушения. За невыполнение сроков представление есть свое наказание.

Статья 29.13. Представление об устранении причин и условий, способствовавших совершению административного правонарушения

1.            Судья, орган, должностное лицо, рассматривающие дело об административном правонарушении, при установлении причин административного правонарушения и условий, способствовавших его совершению, вносят в соответствующие организации и соответствующим должностным лицам представление о принятии мер по устранению указанных причин и условий.

И        Вот здесь для меня пока непонятно, а что будет делать ФСТЭК при выявлении нарушений в рамках госконтроля. Понятно что штраф выпишут, а дальше? С одной стороны должны выписать представление на устранение по КоАП, с другой стороны в Постановлении Правительства РФ от 17.02.2018 N 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" своя процедура указана - "39. В случае выявления при проведении проверки нарушения субъектом критической информационной инфраструктуры требований по обеспечению безопасности должностные лица органа государственного контроля, проводившие проверку, в пределах полномочий, предусмотренных законодательством Российской Федерации, обязаны:

а) выдать предписание субъекту критической информационной инфраструктуры об устранении выявленного нарушения требований по обеспечению безопасности с указанием срока его устранения, который устанавливается в том числе с учетом утвержденных и представленных субъектом критической информационной инфраструктуры программ (планов) по модернизации (дооснащению) значимого объекта критической информационной инфраструктуры;"

   А внесение изменений в форму акта проверки ЗОКИИ не анонсировано ФСТЭК (Приказ ФСТЭК России от 11.12.2017 N 229 "Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации").


* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности