Автор: Анастасия Заведенская, аналитик
В майском обзоре изменений российского законодательства поговорим об отсрочках, которые были предоставлены регуляторами, а также рассмотрим нашумевшие проекты документов по импортозамещению, административной и уголовной ответственности для субъектов КИИ.
Банк России о неприменении мер в связи с коронавирусной инфекцией
В информационном письме от 14.05.2020 № ИН-014-56/88 «О неприменении мер в связи с коронавирусной инфекцией (COVID-19)» Банк России сообщает о неприменении до 01.07.2021 мер в случае нарушения кредитными организациями п.4 Положения Банка России от 17.04.2019 №683-П и некредитными финансовыми организациями Положения Банка России от 17.04.2019 №684-П.
Таким образом, временные регуляторные послабления до 1 июля 2021 г в отношении нарушений требований нормативных актов Банка России получили:
- Кредитные организации в части требования по использованию сертифицированного прикладного программного обеспечения (далее – ПО) или ПО, для которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4. Напомним, что требование вступило в силу с 1 января 2020 года.
- Некредитные финансовые организации в части исполнения требований Положения Банка России от 17.04.2019 №684-П. Требования вступили в силу с 1 января 2020 года.
Следует отметить, что отсрочка по применению мер за нарушение требований Положений Банка России не отменяет самой необходимости исполнения требований в корректные сроки.
Применение в ГИС средств защиты информации, соответствующих уровням доверия
13 мая 2020 г. официально опубликован Приказ ФСТЭК России от 27.04.2020 № 61 «О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17» (далее – Приказ). Приказ вступил в силу 24 мая 2020 г.
Приказ предусматривает сдвиг до 1 января 2021 г. срока по вступлению в силу требования по применению в государственных информационных системах сертифицированных средств защиты информации, соответствующих уровням доверия. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.
Импортозамещение в критической информационной инфраструктуре
21 мая 2020 года был опубликован Проект Указа Президента Российской Федерации «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (далее – Проект Указа).
Проектом Указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры (далее – КИИ), и порядка перехода на преимущественное использование российского ПО и оборудования. При этом по Проекту Указа требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., а осуществить переход на российское ПО будет необходимо до 1 января 2021 г., на российское оборудование – до 1 января 2022 г.
К Проекту Указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по использованию российского оборудования – Минпромторг России. При этом в случае, если переход на российское обеспечение все-таки невозможен, то необходимо будет согласовать перечень используемого и (или) планируемого к использованию иностранного ПО с Минкомсвязи России, оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязи России, и Минпромторг России, и ФСБ России, и ФСТЭК России. В какие сроки будет подготовлено описание порядка согласования пока неизвестно: никаких временных рамок Проект Указа не устанавливает, а проектов нормативных актов от регуляторов еще не было представлено.
В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и (или) оборудования и направить копию этого плана в течение 30 рабочих дней с момента утверждения в Минкомсвязь России и Минпромторг России.
При этом экспертным сообществом отмечается:
- Невозможность исполнения предлагаемых сроков выполнения требований, которые будут утверждены к 1 сентября 2020 г., а часть из них уже надо будет выполнить за оставшиеся 4 месяца 2020 года. Также достаточная часть субъектов КИИ являются государственными органами и организациями со строго нормированным бюджетированием и процедурами закупок.
- Проекты нормативных актов скорей всего направлены на первоначальное планирование перехода на отечественное ПО и оборудование к 1 января 2021, с дальнейшим непосредственным переходом в более поздние регламентированные сроки.
- Проекты нормативных актов предусматривают распространение требований по импортозамещению на все объекты КИИ. Т.е. необходимо будет использовать российское ПО и оборудование не только в значимых объектах КИИ, но и на всех объектах КИИ, принадлежащих субъектам КИИ.
Новый КоАП РФ
29 мая 2020 г. к общественному обсуждению был представлен проект нового «Кодекса Российской Федерации об административных правонарушения» (далее – проект КоАП РФ). Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности.
Рассмотрим некоторые из основных изменений, предлагаемых Проектом КоАП РФ:
- Ч. 3 Ст. 12.1 отказ в заключении, изменении, расторжении и (или) исполнении договора с потребителем в связи с отказом потребителя предоставить персональные данные (далее – ПДн), за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством, и связана с непосредственным исполнением договора с потребителем, влечет наложение штрафов в размере до 500 тыс. рублей.
- Ст. 30.34. нарушение требований законодательства в сфере деятельности некредитных финансовых организаций в части защиты информации влечет предупреждение или наложение штрафов до 500 тыс. рублей.
- Ст. 30.35 нарушение оператором платежной системы и оператором услуг платежной инфраструктуры требований законодательства о национальной платежной системе в части защиты информации влечет предупреждение или наложение штрафа на должностных лиц до 100 тыс. рублей. При этом административный штраф за повторные нарушения может доходить до 1 млн. рублей.
- Ч. 6 ст. 33.1 невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа в размере до 500 тыс. рублей. Экспертным сообществом отмечается, что введение именно такого административного правонарушения позволит, наконец, привлекать операторов ПДн к ответственности за утечки ПДн.
В таблице ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ статьям 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.
Лицо | Административный штраф | За что? |
Должностное лицо |
от 10 тыс. руб. до 50 тыс. руб. |
|
от 10 тыс. руб. до 50 тыс. руб. |
|
|
от 20 тыс. руб. до 50 тыс. руб. |
|
|
Юридическое лицо |
от 50 тыс. руб. до 100 тыс. руб. |
|
от 150 тыс. руб. до 200 тыс. руб. |
|
|
от 100 тыс. руб. до 500 тыс. руб. |
|
|
Индивидуальный предприниматель |
от 30 тыс. руб. до 70 тыс. руб. |
|
от 50 тыс. руб. до 100 тыс. руб. |
|
Безопасность критической информационной инфраструктуры и УК РФ
Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ (далее – УК РФ), связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало Проект федерального закона «О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации» (далее – Проект ФЗ).
Согласно пояснительной записке к Проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду чего авторами Проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой статьи 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами «а равно для иных неправомерных действий в отношении указанной информации». Данная поправка должна привести перечень способов неправомерного воздействия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ.
Проектом ФЗ предлагается отказаться от термина «причинение вреда», который также неоднозначен и субъективен. «Причинение вреда» предлагается заменить на «причинение крупного ущерба». Понятие «причинение крупного ущерба» точно и однозначно трактуется и широко используется в УК РФ, как связанное с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно пункту 2 примечания к статье 272 УК РФ («Неправомерный доступ к компьютерной информации») крупным ущербом в статьях главы 28 «Преступления в сфере компьютерной информации» УК РФ признается ущерб, сумма которого превышает один миллион рублей.
Таким образом, предлагаемые изменения, по мнению авторов Проекта ФЗ, позволят четко определить размер имущественного вреда, причинение которого станет основанием для наступления уголовной ответственности по частям 2 и 3 статьи 274.1 УК РФ.