Журнал "Information Security/ Информационная безопасность" #1, 2022

охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умыш- ленно, при этом умысел должен быть направлен на нарушение правил экс- плуатации и доступа (например, систем- ный администратор компании установил на элемент инфраструктуры программ- ное обеспечение для майнинга крипто- валюты, не включенное в перечень раз- решенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям про- грамму без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы 7 . Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты 8 , сотруд- ник субъекта КИИ, то есть, говоря язы- ком специалиста по информационной безопасности, внутренний нарушитель. Административная ответственность в сфере КИИ Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ: l ст. 13.12.1. "Нарушение требований в области обеспечения безопасности критической информационной инфра- структуры Российской Федерации"; l ст. 19.7.15. "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности кри- тической информационной инфраструк- туры Российской Федерации". Как и в случае с уголовными преступ- лениями, составы административных правонарушений являются специальны- ми по отношению к общим составам: ст. 13.12 "Нарушение правил защиты информации" и ст. 19.7 "Непредставле- ние сведений (информации)". Как и в случае с уголовными преступ- лениями, разница между общими и спе- циальными составами состоит в пред- мете противоправного посягательства и специфике должностных лиц, уполно- моченных рассматривать дела об адми- нистративных правонарушениях, коими являются сотрудники ФСТЭК 9 России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше. Если ч. 6 ст. 13.12 КоАП РФ пред- усматривает ответственность за нару- шение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, мак- симальный размер штрафа для юриди- ческих лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.). При этом, если в части объективной стороны состава правонарушения 10 , пред- усмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толкова- нии), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже при- шлось столкнуться на практике). Так, ч. 1 ст. 19.7.15 КоАП РФ пред- усматривает ответственность за два вида бездействия: l непредоставление во ФСТЭК России сведений о результатах присвоения объ- екту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законода- тельством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категориро- ванию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но "забыл" отправить сведения; l нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из кате- горий значимости либо об отсутствии необходимости ее присвоения, пред- усмотренных законодательством, то есть субъект КИИ категорировался, но свое- временно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодатель- ством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ). Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассмат- риваются поправки в данную статью 11 , предусматривающие ответственность за: l предоставление во ФСТЭК России неактуальных сведений о категорирова- нии, то есть субъект КИИ не включил в сведения все важные (значимые), по мнению регулятора, данные на момент их предоставления; l предоставление во ФСТЭК России недо- стоверных сведений о категорировании, то есть субъект КИИ представил искажен- ные сведения о категорировании. Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонаруше- ния, предусмотренного ч. 1 этой статьи. Часть 2 ст. 19.7.15 также не менее инте- ресна. В ней предусмотрена ответствен- ность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации послед- ствий компьютерных атак на информа- ционные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотрен- ной законодательством в области обес- печения безопасности критической инфор- мационной инфраструктуры Российской Федерации, за исключением случаев, пред- усмотренных ч. 2 ст. 13.12.1 КоАП РФ. Объективная сторона состава данного правонарушения выражается в непредо- ставлении или нарушении сроков и поряд- ка предоставления информации, описан- ных в утвержденных приказом ФСБ Рос- сии от 24.07.2018 № 367 перечне инфор- мации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации). Таким образом, ответственность за совершение правонарушения, пред- усмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут: l должностные лица ФСТЭК России – п. 1–4 перечня информации; l субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имею- щих категории значимости (п. 5–6 переч- ня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу нали- чия соответственной отсылки. В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмот- реть толкование правовых норм, пред- усматривающих ответственность за пра- вонарушения (преступления) в сфере КИИ. Для более полного и углубленного пони- мания рекомендую обратиться к постатей- ным комментариям УК РФ и КоАП РФ. l • 13 КИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 7 Пример взят из документа “Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации” (утв. Генпрокуратурой России). 8 https://www.iksmedia.ru/articles/5868262-KII-vrag-vnutri.html 9 Федеральная служба по техническому и экспортному контролю Российской Федерации. 10 Внешние признаки проявления правонарушения: действия, бездействие, способ совершения, последствия и т.п. 11 https://regulation.gov.ru/projects#npa= 124438

RkJQdWJsaXNoZXIy Mzk4NzYw