13.07.2012

Законопроект по наказанию за невыполнение требований по защите информации

Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления:
  • Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)
  • Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)
  • Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну
  • Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну
  • Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
ФСТЭК у себя на сайте позавчера выложила проект закона, который вводит новые составы правонарушения и новые наказания:
  • Нарушение обязательных требований к защите информации (за исключением информации, составляющей государственную тайну)
  • Нарушение обязательных требований к защите информации, составляющей государственную тайну.
Сумма штрафа на юрлиц - 15 и 20 тысяч рублей соответственно.

Мотивация появления такого законопроекта тоже понятна. Сейчас вас можно наказать только за нарушение лицензионных условий или применение несертифицированных средств защиты. С обязательной сертификацией средств защиты вопрос очень непрост, от лицензирования всех и вся ФСТЭК отказывается. За что наказывать? Вот и появляется новый состав преступлений, под который попадает невыполнение требований по защите НПС, персданных и т.п. Правда, штраф очень незначителен - не приведет он к росту числа компаний, которые будут реализовывать требования по защите. РКН в этом плане был более глобален, установив сумму штрафа за нарушение законодательства по персданным в 1 миллион рублей.

3 коммент.:

ZZubra комментирует...

Законотворчство итеративный процесс. Сначала статья с маленьким штрафом, потом увеличение штрафа после какого-то массового нарушения (типа утечки ПДн из интернет-магазинов).
Если отказаться от требований получения лицензий, то это логичный путь.

Сергей комментирует...

Если слишком сильно закрутить гайку, то можно и резьбу сорвать. Нормативка установит невыполнимые требования, но применяться карательные меры будут исключительно выборочно - мы все под колпаком у старика Мюллера. Интересная у нас программа повышения лояльности.

Атаманов Г. А. комментирует...

1. Согласен с предыдущими выступлениями. По такому же пути шёл РКН: сначала отодвинул ФСТЭК от проверки состояния ТЗ ПД, затем ввел институт независимых экспертов, потом взвинтил штрафы. Не хочешь платить - договаривайся с экспертом. Эксперт попался на взятке, РКН не при делах. Это инспектора бес попутал.
2. Предлагаемые ФСТЭК изменения сами по себе являются преступлениями. Преступлениями логики и здравого смысла. Из-за подобных предложений просто торчат "ослиные уши" коррупциогенности.
Всё это приобрело бы хоть какой-то смысл при комплексном подходе, т.е. наложении ответственности на обе стороны - и исполнителя, и регулятора. На исполнителя - за качество исполнения, на регулятора - за качество разработанных им РД и НМД. Понятно, что требования к регулятору первичны: сначала доводим до ума РД и НМД, затем требуем их выполнения. Не трудно догадаться, что было бы при таком подходе с РКН и ФСТЭК.