Pages - Menu

Страницы

13.7.12

Законопроект по наказанию за невыполнение требований по защите информации

Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления:
  • Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)
  • Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)
  • Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну
  • Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну
  • Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).
ФСТЭК у себя на сайте позавчера выложила проект закона, который вводит новые составы правонарушения и новые наказания:
  • Нарушение обязательных требований к защите информации (за исключением информации, составляющей государственную тайну)
  • Нарушение обязательных требований к защите информации, составляющей государственную тайну.
Сумма штрафа на юрлиц - 15 и 20 тысяч рублей соответственно.

Мотивация появления такого законопроекта тоже понятна. Сейчас вас можно наказать только за нарушение лицензионных условий или применение несертифицированных средств защиты. С обязательной сертификацией средств защиты вопрос очень непрост, от лицензирования всех и вся ФСТЭК отказывается. За что наказывать? Вот и появляется новый состав преступлений, под который попадает невыполнение требований по защите НПС, персданных и т.п. Правда, штраф очень незначителен - не приведет он к росту числа компаний, которые будут реализовывать требования по защите. РКН в этом плане был более глобален, установив сумму штрафа за нарушение законодательства по персданным в 1 миллион рублей.

3 комментария:

  1. Законотворчство итеративный процесс. Сначала статья с маленьким штрафом, потом увеличение штрафа после какого-то массового нарушения (типа утечки ПДн из интернет-магазинов).
    Если отказаться от требований получения лицензий, то это логичный путь.

    ОтветитьУдалить
  2. Если слишком сильно закрутить гайку, то можно и резьбу сорвать. Нормативка установит невыполнимые требования, но применяться карательные меры будут исключительно выборочно - мы все под колпаком у старика Мюллера. Интересная у нас программа повышения лояльности.

    ОтветитьУдалить
  3. 1. Согласен с предыдущими выступлениями. По такому же пути шёл РКН: сначала отодвинул ФСТЭК от проверки состояния ТЗ ПД, затем ввел институт независимых экспертов, потом взвинтил штрафы. Не хочешь платить - договаривайся с экспертом. Эксперт попался на взятке, РКН не при делах. Это инспектора бес попутал.
    2. Предлагаемые ФСТЭК изменения сами по себе являются преступлениями. Преступлениями логики и здравого смысла. Из-за подобных предложений просто торчат "ослиные уши" коррупциогенности.
    Всё это приобрело бы хоть какой-то смысл при комплексном подходе, т.е. наложении ответственности на обе стороны - и исполнителя, и регулятора. На исполнителя - за качество исполнения, на регулятора - за качество разработанных им РД и НМД. Понятно, что требования к регулятору первичны: сначала доводим до ума РД и НМД, затем требуем их выполнения. Не трудно догадаться, что было бы при таком подходе с РКН и ФСТЭК.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.