04.12.2013

Обзор последних законопроектов и законов, имеющих отношение к ИБ

Сегодня Президент Путин заявил на встрече с будущими юристами, что ужесточать регулирование Интернет не стоит. А вчера г-н Путин подписал Федеральный закон от 02.12.2013 № 341-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях". Законопроект писался ФСТЭК еще в прошлом году и вот спустя непродолжительное время он принят. Теперь в России, наконец-то, ФСТЭК и ФСБ получили право наказывать не только за нарушение лицензионных условий, и не только за использование несертифицированных СрЗИ там, где они должна быть сертифицированными, но и просто за нарушение установленных правил защиты информации. Установленных, разумеется, федеральными законами и принятыми в их исполнение подзаконными актами. На сегодняшний день к таким ФЗ у нас могут быть отнесены, как минимум:
  • ФЗ-152 "О персональных данных"
  • ФЗ-161 "О национальной платежной системе"
  • ФЗ-149 "Об информации, информационных технологиях и защите информации".
Также увеличена сумма штрафа за нарушение существовавших ранее частей статьи 13.12. А вот законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации по вопросам лицензирования отдельных видов деятельности" так и не попал в Госдуму - видимо нашлись правильные лоббисты, которые не допустили даже регистрации законопроекта в Госдуме, не говоря уже о первом чтении.

Следующий законопроект № 387351-6 "О внесении изменений в статью 272 Уголовного кодекса Российской Федерации" был внесен 18-го ноября и направлен на изменение статьи УК РФ, посвященной неправомерному доступу к защищаемой законом информации. Таким же небольшим по объему является ноябрьский законопроект №361795-6 "О внесении изменений в Федеральный закон "Об оперативно-розыскной деятельности" и статью 13 Федерального закона "О федеральной службе безопасности". Законопроект добавляет только одно слово "информационной" в перечисление видов безопасности, которыми может заниматься ФСБ в рамках ОРД. Иными словами, после принятия законопроекта ФСБ сможет заниматься ОРД и в контексте обеспечения информационной безопасности. Правда, данная поправка в нынешней редакции воспринимается по-разному. Кто-то считает, что поправка настолько расплывчатая, что ФСБ каждый раз придется доказывать необходимость ОРД для обеспечения ИБ и по сравнению с текущей ситуацией ничего не поменяется. Кто-то наоборот думает, что поправки в закон об оперативно-розыскной деятельности приведут к слишком широким полномочиям ФСБ, т.к. под обеспечение информационной безопасности страны можно подвести слишком много каких действий и активностей. Время и правоприменительная практика покажет...

Меня регулярно спрашивают, что там с законопроектом по увеличению штрафа за нарушение правил обработки персональных данных. Пока рано говорить - существует, как минимум, два законопроекта на эту тему. Один достаточно банальный - всего одна дополнительная часть в статью 13.11 и увеличение штрафа до семисот тысяч рублей. Второй законопроект гораздо более продуманный и нравится мне больше - он предполагает наказание за нанесение реального вреда субъекта ПДн, а не за мнимое нарушение правил обработки ПДн, которое может и не привести к вреду для субъекта. Во втором законопроекте несколько новых правонарушений и максимальная сумма штрафа достигает трехсот тысяч рублей. Основная проблема, которая и притормаживает внесение законопроектов в Госдуму, - нежелание 8-го Центра ФСБ смягчить положения 19-й статьи. Идея усиления ответственности была связана со снижением обремений и смягчением требований по защите персональных данных. Логика простая и соответствовала Евроконвенции - оператор сам определяет защитные меры, но в случае нанесения вреда субъекту его ждет немаленькое наказание. У нас же 8-й Центр настаивает на том, что меры по защите надо оставить (а проект приказа ФСБ по применению шифровальных средств только ухудшает ситуацию), а РКН хочет поднять штраф на пару порядков. Вот чтобы этого не произошло сейчас и идет позиционная борьба с переменным успехом.