Штраф за категорирование ОКИИ

266 full reads
626 story viewsUnique page visitors
266 read the story to the endThat's 42% of the total page views
3,5 minutes — average reading time
Штраф за категорирование ОКИИ

Продолжим разбор норм 141-ФЗ, внесшего административное наказание за нарушение требований 187-ФЗ.

Начало

Часть 1

Часть 2

Предметом данной заметки станет правонарушения, допущенные субъектом КИИ на этапе категорирования объектов КИИ

«Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

1. Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий - влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.

Важно: это статья применяется ко всем субъектам КИИ, вне зависимости от категории значимости объекта КИИ. И ее применение ФСТЭК не имеет никакого отношения к проверкам при осуществлении государственного контроля за безопасностью значимых объектов КИИ. Формально, для ЗОКИИ ее вообще не должны применять, так как объект КИИ становится "значимым" только после включения в Реестр ФСТЭК, то есть все сведения уже поданы к моменту планового контроля (через 3 года после внесения сведений в Реестр ФСТЭК).

В состав правонарушения входит два деяния:

1. нарушение сроков предоставления сведений о результатах категорирования объекта КИИ.

187-ФЗ

Статья 7. Категорирование объектов критической информационной инфраструктуры

5. Сведения о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий субъекты КИИ в письменном виде в десятидневный срок со дня принятия ими соответствующего решения направляют в ФСТЭК, по утвержденной им форме.

Постановление Правительства РФ от 08.02.2018 N 127

"Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

17. Субъект КИИ в течение 10 рабочих дней со дня утверждения акта, указанного в пункте 16 настоящих Правил, направляет в ФСТЭК, сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. Указанные сведения включают:

......

з) категорию значимости, которая присвоена объекту КИИ, или сведения об отсутствии необходимости присвоения одной из категорий значимости, а также сведения о результатах оценки показателей критериев значимости, содержащие полученные значения по каждому из рассчитываемых показателей критериев значимости с обоснованием этих значений или информацию о неприменимости показателей к объекту с соответствующим обоснованием;

......

18. Сведения, указанные в пункте 17 настоящих Правил, и их содержание направляются в печатном и электронном виде по форме, утверждаемой федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры.

Итог: наказание предусмотрено КоАП за нарушение срока направления сведений о результатах категорирования объекта КИИ по форме 236 приказа ФСТЭК в течении 10 рабочих дней с даты утверждения акта категорирования.

Не за превышение 12 месяцев от утверждения Перечня объектов КИИ до акта категорирования и не за нарушение сроков устранения замечаний ФСТЭК к уже направленным сведениям о результатах категорирования.

Утвердили акт категорирования - пошел отсчет 10 рабочих дней. Фиксируйте реквизиты исходящего корреспонденции в ФСТЭК, иначе не докажете свою невиновность. Никаких выездных проверок ФСТЭК для привлечения к административной ответственности к субъекту КИИ не потребуется, достаточно присланных документов от субъекта КИИ в рамках текущей деятельности ФСТЭК по проверке результатов категорирования.

Важно: не забывайте про вновь создаваемые объекты КИИ. Они категорируются еще до создания - на этапе утверждения технического задания (нет никаких 12 месяцев на категорирование). И по ним два этапа направления сведений, штраф может быть наложен за нарушение сроков за оба этапа и/или за каждый по отдельности.

Постановление Правительства РФ от 08.02.2018 N 127

По вновь создаваемым объектам КИИ сведения, указанные в подпунктах "а" - "в" и "з" пункта 17 настоящих Правил, направляются в течение 10 рабочих дней после утверждения требований к создаваемому объекту КИИ, а сведения, указанные в подпунктах "г" - "ж" и "и" пункта 17 настоящих Правил, - в течение 10 рабочих дней после ввода объекта КИИ в эксплуатацию (принятия на снабжение).

2. Непредставление сведений сведений о результатах категорирования объекта КИИ.

Это наказание для тех субъектов КИИ, которые на момент запроса ФСТЭК не направили сведения о результатах категорирования объектов КИИ.

Важно: под данный состав правонарушения гарантированно попадают субъекты КИИ, которые направили в ФСТЭК Перечень объектов КИИ, подлежащий категорированию и не провели категорирование в течении 12 месяцев. Вся исходная информация для оформления штрафа у ФСТЭК есть, включая сведения о должностном лице для наказания (смотрите форму Перечня, рекомендованную ФСТЭК).

Совет: если ваша организация направила в ФСТЭК Перечень ОКИИ, подлежащих категорированию в сентябре 2019 года (по срокам из ПП452), а потом "затаилась", то вариантов действий без штрафа всего два:

  • до 6 июня 2021 года проводите заседание комиссии и оформляете акт категорирования, заполняете форму 236 приказа и направляете в ФСТЭК. Качество заполнения формы не важно, критично зафиксировать дату отправки.
  • до 6 июня 2021 года вносите изменения в ранее направленный Перечень ОКИИ и уведомляете об изменениях ФСТЭК, с фиксацией даты направления уведомления. Подробнее - здесь.

В зоне риска находятся субъекты КИИ, которые ранее получали запросы от ФСТЭК, региональных органов власти, отраслевых ведомств, прокуратуры о выполнении организацией 187-ФЗ и давали на них письменные ответы, что находятся в процессе выполнения (работаем по плану, направим позднее и т.д.).

Вне зоны риска находятся организации, которые официально оформили решения об отсутствии у себя объектов КИИ. Подробнее - здесь.

Важно: просто "письма счастья" от ФСТЭК, что вы организация, осуществляющая экономическую деятельность в 13 сферах КИИ, недостаточно. ФСТЭК обязана указать в отношении какого конкретно объекта КИИ не предоставлены организацией сведения о результатах категорирования! А не то, что мы считаем вас субъектом КИИ и почему то не получили от вас никакой информации.

При этом, у ФСТЭК нет полномочий определять какая ИС/АСУ/ИТКС будет являться объектом КИИ. Это решение либо комиссии субъекта КИИ, либо решение суда.

Общий итог:

  • закон обратной силы не имеет. За нарушения закона, допущенные субъектом КИИ до 6 июня 2021 года, штрафа нет. Не выявленные ФСТЭК после 6 июня, а совершенные субъектом КИИ до 6 июня 2021 года.
  • срок давности - 1 год. Нарушили 10 дней отправки формы 236 приказа после 6 июня 2021 года - наказать могут в течении 12 месяцев.
  • штраф могут выписать ФСТЭК и прокуратура, ФСБ и региональные органы власти могут передать информацию о выявленном правонарушении в ФСТЭК. Обязательно привлекайте юриста организации к любой официальной переписке на тему КИИ с любым адресатом, цена неверно сформулированного ответа - сотни тысяч рублей.
  • непредставление сведений - отсутствие у субъекта КИИ подтверждения даты отправки (не даты получения ФСТЭК, а отправки) сведений о результатах категорирования объекта КИИ на момент получения письменного запроса ФСТЭК/Прокуратуры (например - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-prokurorskii-zapros-5e2c14c1ba281e00ae0d0f85). Если интуиция подсказывает, что запрос вот вот будет - оформляете сведения аврально и отправляете в ФСТЭК. Не забудьте, что между датой утверждения акта категорирования и датой отправки в ФСТЭК не должно быть больше 10 рабочих дней.
  • помните о вновь создаваемых объектах КИИ в госсекторе. ФСТЭК может удивится увидев публикацию ТЗ на госконтракт по созданию объекта КИИ с разделом по обеспечению безопасности КИИ и не получив сведений о результатах категорирования. Вот и штраф. И не думайте что ФСТЭК не заметит, по всем вновь создаваемым ГИС направляются на согласование в ФСТЭК модели угроз (благодаря ПП676).

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019

Другие публикации канала

Когда начнут штрафовать за 187-ФЗ? Кого накажут?