Статья 13.12 КоАП РФ. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей; на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -
влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от двух тысяч до трех тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от двух тысяч до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
7. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния, -
влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
Комментарий к статье 13.12 КоАП РФ
Комментируемая ст. 13.12 КоАП РФ устанавливает административную ответственность за нарушение правил защиты информации.
Статья 13.12 КоАП РФ содержит семь смежных составов административных правонарушений, основным объектом которых являются правоотношения в сфере защиты информации.
Дополнительным объектом правонарушений, предусмотренных ч. ч. 1 - 5 ст. 13.12 КоАП РФ, является порядок осуществления лицензируемых видов деятельности, связанных с защитой информации.
Дополнительным объектом правонарушений, предусмотренных ч. ч. 3, 4, 7 ст. 13.12 КоАП РФ, являются правоотношения в сфере обращения с информацией, составляющей государственную тайну.
Объективная сторона правонарушения, предусмотренного ч. 1 ст. 13.12 КоАП РФ, заключается в нарушении условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Указанное деяние влечет наложение административного штрафа от 1 000 до 1 500 рублей на граждан, от 1 500 до 2 500 рублей на должностных лиц, от 15 000 до 20 000 рублей на юридических лиц. То же деяние, совершенное в сфере деятельности по использованию и защите информации, составляющей государственную тайну, создания средств, предназначенных для защиты информации, составляющей государственную тайну, осуществления мероприятий и (или) оказания услуг по защите информации, составляющей государственную тайну, квалифицируется по ч. 3 ст. 13.12 КоАП РФ и предусматривает наложение административного штрафа от 2 000 до 3 000 рублей на должностных лиц, от 20 000 до 25 000 рублей на юридических лиц.
Обязательность получения лицензии для осуществления деятельности в области защиты конфиденциальной информации установлена п. п. 1 - 5 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности" (далее - Закон N 99-ФЗ). Лицензионные требования к отдельным видам деятельности в области защиты информации установлены в нормативных правовых актах Правительства РФ, в том числе:
Постановлении Правительства РФ от 16.04.2012 N 314 "Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)";
Постановлении Правительства РФ от 12.04.2012 N 287 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации";
Постановлении Правительства РФ от 03.03.2012 N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".
В частности, в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации", к лицензиату предъявляются следующие требования:
а) наличие у соискателя лицензии:
юридического лица - в штате по основному месту работы в соответствии со штатным расписанием руководителя и (или) уполномоченного руководить работами по лицензируемому виду деятельности лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов), а также инженерно-технических работников (не менее 2 человек), имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов);
индивидуального предпринимателя - высшего образования по направлению подготовки (специальности) в области информационной безопасности и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшего образования по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иного высшего образования и стажа работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, а также дополнительного профессионального образования по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов);
б) наличие помещений, принадлежащих соискателю лицензии на праве собственности или ином законном основании, в которых созданы необходимые условия для размещения работников, производственного и испытательного оборудования для осуществления лицензируемого вида деятельности, обсуждения информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну;
в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных п. 4 данного Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;
г) наличие принадлежащих соискателю лицензии на праве собственности или ином законном основании автоматизированных систем, предназначенных для обработки конфиденциальной информации, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
д) наличие технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, предусмотренных п. 4 данного Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем. Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.
Объективная сторона правонарушения, предусмотренного ч. 5 ст. 13.12 КоАП РФ, заключается в грубом нарушении условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Указанное деяние влечет наложение административного штрафа от 2 000 до 3 000 рублей на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, от 2 000 до 3 000 рублей на должностных лиц, от 20 000 до 25 000 рублей на юридических лиц. На индивидуальных предпринимателей и юридических лиц может быть наложено взыскание в виде приостановления деятельности на срок до 90 суток.
Под грубым нарушением лицензионных требований понимается невыполнение лицензионных требований, повлекшее за собой:
- возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, а также угрозы чрезвычайных ситуаций техногенного характера;
- человеческие жертвы или причинение тяжкого вреда здоровью граждан, причинение средней тяжести вреда здоровью двух и более граждан, причинение вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, возникновение чрезвычайных ситуаций техногенного характера, нанесение ущерба правам, законным интересам граждан, обороне страны и безопасности государства (ч. 11 ст. 19 Закона N 99-ФЗ). Исчерпывающий перечень грубых нарушений лицензионных требований установлен положением о лицензировании конкретного вида деятельности.
Объективная сторона правонарушения, предусмотренного ч. 2 ст. 13.12 КоАП РФ, заключается в использовании несертифицированных информационных систем, баз и банков данных, средств защиты информации, подлежащих обязательной сертификации (за исключением информации, составляющей государственную тайну). Указанное деяние влечет наложение административного штрафа от 1 500 до 2 500 рублей на граждан, от 2 000 до 3 000 рублей на должностных лиц, от 20 000 до 25 000 рублей на юридических лиц. То же деяние, совершенное в сфере деятельности по использованию и защите информации, составляющей государственную тайну, создания средств, предназначенных для защиты информации, составляющей государственную тайну, осуществления мероприятий и (или) оказания услуг по защите информации, составляющей государственную тайну, квалифицируется по ч. 4 ст. 13.12 КоАП РФ и предусматривает наложение административного штрафа от 3 000 до 4 000 рублей на должностных лиц, от 20 000 до 30 000 рублей на юридических лиц. Дополнительно может быть наложено взыскание в виде конфискации несертифицированных средств защиты информации.
Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации средств защиты информации, используемых в определенных целях. Так, Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи (утвержден Приказом МНС РФ от 02.04.2002 N БГ-3-32/169) предусматривает, что с целью защиты информации, содержащейся в налоговой декларации, при передаче ее по каналам связи участниками обмена информацией применяются средства криптографической защиты информации, сертифицированные Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
Объективная сторона правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ, заключается в нарушении требований о защите информации (за исключением информации, составляющей государственную тайну). Указанное деяние влечет наложение административного штрафа от 500 до 1 000 рублей на граждан, от 1 000 до 2 000 рублей на должностных лиц, от 10 000 до 15 000 рублей на юридических лиц. То же деяние, совершенное в отношении информации, составляющей государственную тайну, квалифицируется по ч. 7 ст. 13.12 КоАП РФ и предусматривает наложение административного штрафа от 1 000 до 2 000 рублей на граждан, от 3 000 до 4 000 рублей на должностных лиц, от 15 000 до 20 000 рублей на юридических лиц.
Требования о защите информации закреплены в различных федеральных законах и принятых в соответствии с ними нормативных правовых актах. Установление этих актов необходимо для правильной квалификации деяния. Данные требования не связаны с осуществлением только лицензируемых видов деятельности. Так, оператор персональных данных обязан принимать меры по обеспечению безопасности (ст. 19 Закона N 152-ФЗ), а оператор информационной системы - меры по защите информации, содержащейся в информационной системе (ст. 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"). Нарушение указанных требований влечет административную ответственность в соответствии с комментируемой частью только в случае, если речь идет о государственной информационной системе, что должно быть установлено при привлечении нарушителя к ответственности.
ПРИМЕР.
Постановлением начальника подразделения Управления ФСБ России по Оренбургской области от 29.07.2016 Государственное казенное учреждение "Центр информационных технологий Оренбургской области" признано виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ, и подвергнуто административному штрафу в размере 10 000 рублей в связи с тем, что в нарушение требований ст. 16 Федерального закона от 27.07.2006 N 149 "Об информации, информационных технологиях и о защите информации" ГКУ "ЦИТ" не проведены следующие мероприятия по защите информации:
- не разработаны документы, регламентирующие порядок администрирования системы защиты информации ИС Интернет-портал, ИС Электронная почта, а также мониторинга за обеспечением защищенности;
- применяемые в информационных системах программные средства защиты информации, за исключением средств антивирусной защиты, не сертифицированы по требованиям безопасности информации;
- хранение и передача данных аутентификации допускались в открытом виде.
Представитель ГКУ "Центр информационных технологий Оренбургской области" Бровиков Н.А. обратился с жалобой в Ленинский районный суд г. Оренбурга, в которой просил отменить указанное постановление. При этом он, в частности, указал, что действия Управления ФСБ России по расширительному толкованию норм Закона N 149 и применению к Сервису "Электронная почта" и ИС "Интернет-портал" норм закона, касающихся государственных информационных систем, нарушают действующее законодательство, а именно п. 1 ч. 1 ст. 13 и ч. 5 ст. 14 Закона N 149.
Суд, однако, исследовав материалы дела, не согласился с его доводами, указав, в частности, что согласно акту проверки информационные системы "Интернет-портал органов государственной власти Оренбургской области" и "Электронная почта органов государственной власти Оренбургской области" имеют признаки государственных информационных систем, а именно: созданы в рамках выполнения нормативных правовых актов Правительства Оренбургской области; предназначены для реализации полномочий органов государственной власти Оренбургской области и обеспечения обмена информацией между этими органами.
На этой основе суд принял решение постановление начальника подразделения Управления ФСБ России по Оренбургской области от 29.07.2016 по делу об административном правонарушении, предусмотренном ст. 13.12 КоАП РФ в отношении Государственного казенного учреждения "Центр информационных технологий Оренбургской области", оставить без изменения, жалобу представителя Государственного казенного учреждения "Центр информационных технологий Оренбургской области" Бровикова Н.А. оставить без удовлетворения (решение Ленинского районного суда г. Оренбурга Оренбургской области N 12-934/2016 от 5 октября 2016 г. по делу N 12-934/2016).
Субъектами рассматриваемых правонарушений являются: по ч. ч. 1, 3 и 5 ст. 13.12 КоАП РФ - лица, осуществляющие лицензируемые виды деятельности в сфере защиты информации, их должностные лица; по ч. ч. 2, 4, 6, 7 ст. 13.12 КоАП РФ - лица, которые при осуществлении своей деятельности обязаны принимать меры по обеспечению безопасности определенных сведений (в том числе путем применения сертифицированных средств защиты информации), их должностные лица.
Административные правонарушения, предусмотренные ст. 13.12 КоАП РФ, могут быть совершены как умышленно, так и по неосторожности.
ЧИСТЯКОВА Л.В. АМЕЛИН Р.В. КОЛОКОЛОВ А.В. КОЛОКОЛОВА М.Д. ЛИПАТОВ Э.Г. СВЕЧНИКОВА И.В. ЧАННОВА С.Е.
Под общ. Л.В. Чистяковой "ПОСТАТЕЙНЫЙ КОММЕНТАРИЙ К КОДЕКСУ РФ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ. ЧАСТЬ ПЕРВАЯ. ГЛАВА 9-14. ТОМ 2"
Издательство "РосБух", 2019 год