Об усилении административной ответственности за нарушения в области защиты информации
4 июля 2024 года ФСТЭК России разместила на Федеральном портале проектов нормативных правовых актов проект федерального закона "О внесении изменений в статью 13.12 Кодекса Российской Федерации об административных правонарушениях". Публичное обсуждение проекта закона предполагается провести в течение 15 суток и завершить 24 июля 2024 г.
Законопроектом предусматривается существенное увеличение административных штрафов как за нарушение требований о защите информации, составляющей государственную тайну, так и за нарушение требований о защите других видов информации ограниченного доступа.
Целью законопроекта является усиление мер ответственности государственных органов и организаций за нарушение требований о защите информации, содержащейся в государственных информационных системах, а также иных информационных системах, содержащих информацию ограниченного доступа.
Законопроектом предлагается увеличение административных штрафов по правонарушениям, предусмотренных следующими частями ст. 13.12 КоАП, в следующих размерах:
• на граждан в размере от 5 до 10 тыс. руб. с конфискацией несертифицированных СЗИ или без таковой (было 1,5-2,5 тыс. руб.);
• на должностных лиц - от 10 до 50 тыс. руб. (было 2,5-3 тыс. руб.);
• на юридических лиц - от 50 до 100 тыс. руб. (было 25-30 тыс. руб.) с конфискацией несертифицированных СЗИ или без таковой.
• на юридических лиц - от 50 до 100 тыс. руб. (было 20-30 тыс. руб.) с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
• на должностных лиц - от 10 до 50 тыс. руб. (было 1-2 тыс. руб.);
• на юридических лиц - от 50 до 100 тыс. руб. (было 10-15 тыс. руб.).
• на должностных лиц - от 20 до 50 тыс. руб. (было 3-4 тыс. руб.);
• на юридических лиц - от 50 до 100 тыс. руб. (было 15-20 тыс. руб.).
Перечисленные нововведения регулятор обосновывает следующими причинами:
- защита информации в государственных информационных системах должна обеспечиваться обладателями и операторами в соответствии с требованиями о защите информации, устанавливаемыми ФСБ России и ФСТЭК России в пределах их полномочий;
- анализ причин возникновения компьютерных инцидентов показал, что реализация компьютерных атак нарушителями стала возможной вследствие невыполнения требований о защите информации, установленных нормативными правовыми актами Российской Федерации, в том числе неприменения (нарушения правил применения) средств защиты информации;
- результаты контроля состояния технической защиты информации, проведенного ФСТЭК России в 2022-2024 гг. в государственных органах и организациях, показали, что более 73% выявленных нарушений требований о защите информации связаны с непринятием технических мер и наличием недостатков (слабостей) в системах защиты информационных систем государственных органов и организаций. Более 40% проверенных информационных систем имеют критические уязвимости, которые могут быть использованы нарушителями с минимальными навыками для несанкционированного доступа к информации или нарушения функционирования информационных систем;
- наличие нарушений требований о защите информации, создающих предпосылки для возникновения компьютерных инцидентов в информационных системах государственных органов и организаций, и регулярность их выявления в ходе контрольных мероприятий ФСТЭК России указывают на уклонение работников и должностных лиц государственных органов и организаций, ответственных за обеспечение защиты информации в информационных системах, от выполнения требований, установленных нормативными правовыми актами Российской Федерации. Это создает условия для утечки информации ограниченного доступа и нарушения функционирования информационных систем, создавая реальную угрозу для граждан, риски функционирования государственных органов и организаций.
По информации регулятора при определении максимальных размеров административных штрафов учитывалось, что штрафы должны быть направлены на предупреждение совершения правонарушений, принимать во внимание реальное финансовое и имущественное положение привлекаемого к административной ответственности. Нижняя граница размеров предлагаемых административных штрафов позволяет надлежащим образом учесть характер и последствия совершенного административного правонарушения, а также реализовать дифференциацию административной ответственности и индивидуализацию административного наказания с учетом значимости информации, содержащейся в информационных системах.
Регулятор также предполагает, что принятие законопроекта не потребует внесения изменений в нормативные правовые акты и дополнительных расходов средств федерального бюджета, а также иных бюджетов бюджетной системы Российской Федерации.
И в заключение этой статьи ответим на вопрос, кто может возбуждать административные дела по перечисленным составам правонарушений?
Согласно КоАП дела об административных правонарушениях по частям 2 и 6 ст. 13.12 рассматривают должностные лица органов, осуществляющих государственный контроль в области обращения и защиты информации (см. ст. 23.46 КоАП РФ). Это ФСТЭК России и ФСБ России в пределах их полномочий.
- руководитель ФСТЭК России, его заместители, начальники структурных подразделений ФСТЭК России, руководители территориальных органов, их заместители, начальники структурных подразделений территориальных органов ФСТЭК России;
- руководитель ФСБ России, его заместители, руководители территориальных органов, их заместители, руководители структурных подразделений, их заместители, руководители территориальных органов, их заместители, начальники структурных подразделений территориальных органов ФСБ России.
Дела об административных правонарушениях по частям 4 и 7 статьи 13.12 КоАП рассматривают должностные лица органов, осуществляющих контроль за обеспечением защиты государственной тайны (см. ст. 23.45 КоАП РФ) - это также ФСТЭК России и ФСБ России в пределах их полномочий.
Рассмотрение дел по частям 2 и 4 статьи 13.12 может быть передано судье, учитывая возможную конфискацию предмета правонарушения - несертифицированных средств защиты информации (см. ч. 2 ст. 23.1 КоАП РФ).