Статья 13.12. Нарушение правил защиты информации

Опубликовано 16-02-2011

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -

влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -

влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

Примечание.

По вопросу лицензирования деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны см. Постановление Правительства РФ от 15.04.1995 N 333.

3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -

влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц — от пятнадцати тысяч до двадцати тысяч рублей.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

Примечание.

О системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, см. Приказ ФСБ РФ от 13.11.1999 N 564.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -

влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц — от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -

влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц — от одной тысячи до одной тысячи пятисот рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

(часть пятая введена Федеральным законом от 02.07.2005 N 80-ФЗ)

Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

(примечание введено Федеральным законом от 02.07.2005 N 80-ФЗ)

Комментарий к статье 13.12

1. О лицензировании отдельных видов деятельности в области защиты информации см. п. 4 комментария к ст. 13.11.

Согласно п. 1 ст. 21 Федерального закона «Об информации, информатизации и защите информации» защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

- в отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона РФ от 21 июля 1993 г. N 5485-1 «О государственной тайне» (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ);

- в отношении конфиденциальной документированной информации — собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона «Об информации, информатизации и защите информации»;

- в отношении персональных данных — федеральным законом.

2. К документированной информации (документу) по смыслу Федерального закона «Об информации, информатизации и защите информации» относится зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

3. Целями защиты информации являются:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угрозы безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Права и обязанности юридических, физических лиц в области защиты информации, а также защита права на доступ к информации определены соответственно ст. 22, 24 Федерального закона «Об информации, информатизации и защите информации».

4. Согласно ст. 2 вышеназванного Федерального закона под информационной системой понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих процессы сбора, обработки, накопления, хранения, поиска и распространения информации (информационные процессы).

В соответствии с Законом РФ от 23 сентября 1992 г. N 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных» программа для ЭВМ — это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения. Программы для ЭВМ, используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию, относятся к средствам обеспечения автоматизированных информационных систем и их технологий.

5. Согласно ст. 19 Федерального закона «Об информации, информатизации и защите информации» информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Федеральным законом «О техническом регулировании» (см. п. 1, 2 комментария к ст. 13.6, а также п. 7 комментария к данной статье).

Информационные системы органов государственной власти РФ и органов государственной власти субъектов РФ, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством РФ. О статусе информации с ограниченным доступом см. комментарий к ст. 13.14.

6. О лицензировании отдельных видов деятельности в области защиты информации в соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» см. п. 4 комментария к ст. 13.11. О статусе информации, составляющей государственную тайну, а также о лицензировании проведения работ, связанных с использованием и защитой информации, составляющей государственную тайну, в соответствии с Законом РФ «О государственной тайне» см. комментарий к ст. 13.13.

Согласно ст. 28 Закона РФ от 21 июля 1993 г. N 5485-1 «О государственной тайне» (в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗ, с изменениями, внесенными Постановлением Конституционного Суда РФ от 27 марта 1996 г. N 8-П) средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на Гостехкомиссию России, ФСБ, Минобороны в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ.

Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Применительно к Закону РФ «О государственной тайне» под средствами защиты информации понимаются технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

7. А. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»:

под сертификацией понимается форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров;

сертификатом соответствия является документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов или условиям договоров;

под системой сертификации понимается совокупность правил выполнения работ по сертификации, ее участников и правил функционирования системы сертификации в целом (о статусе национального и иных стандартов, установленных указанным Федеральным законом, см. п. 1, 2 комментария к ст. 9.4).

Федеральным законом «О техническом регулировании» вышеуказанные понятия определяются следующим образом:

орган по сертификации — юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;

оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;

подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;

технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента РФ, или постановлением Правительства РФ и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; статус общих технических регламентов и специальных технических регламентов установлен ст. 8 Федерального закона «О техническом регулировании»);

форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.

Б. Согласно ст. 20, 21 Федерального закона «О техническом регулировании» подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.

Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.

Обязательное подтверждение соответствия осуществляется в формах:

принятия декларации о соответствии (декларирование соответствия);

обязательной сертификации.

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.

Орган по сертификации:

осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;

выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;

приостанавливает или прекращает действие выданных им сертификатов соответствия.

В соответствии с п. 1, 2 ст. 23 Федерального закона «О техническом регулировании» обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.

Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории РФ.

Форма и схемы обязательного подтверждения соответствия могут устанавливаться только техническим регламентом с учетом степени риска недостижения целей технических регламентов.

Применительно к рассматриваемому Федеральному закону под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.

Согласно п. 1, 2 ст. 25, п. 1 ст. 26 Федерального закона «О техническом регулировании» обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством РФ, на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.

Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.

В. В соответствии с п. 2, 3 ст. 4 Федерального закона «О техническом регулировании» положения федеральных законов и иных нормативных правовых актов РФ, касающиеся сферы применения указанного Федерального закона (в том числе прямо или косвенно предусматривающие осуществление контроля (надзора) за соблюдением требований технических регламентов), применяются в части, не противоречащей данному Федеральному закону.

Федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных ст. 5 Федерального закона «О техническом регулировании», которой определены особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну.

Г. Согласно ст. 5 Федерального закона «О техническом регулировании» в случае отсутствия требований технических регламентов в отношении оборонной продукции (работ, услуг), поставляемой для федеральных государственных нужд по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, обязательными являются требования к продукции, ее характеристикам и требования к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные федеральными органами исполнительной власти, являющимися в пределах своей компетенции государственными заказчиками оборонного заказа, и (или) государственным контрактом.

Порядок разработки, принятия и применения документов о стандартизации в отношении указанной продукции (работ, услуг) устанавливается Правительством РФ.

Оценка соответствия, в том числе государственный контроль (надзор) за соблюдением обязательных требований к указанной продукции (работам, услугам), осуществляется в порядке, установленном Правительством РФ.

Обязательные требования к указанной продукции (работам, услугам) не должны противоречить требованиям технических регламентов.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации в соответствии с Положением о сертификации средств защиты информации, утвержденным Постановлением Правительства РФ от 26 июня 1995 г. N 608 (в ред. Постановления Правительства РФ от 29 марта 1999 г. N 342). Сертификация указанных средств проводится в рамках систем сертификации средств защиты информации.

Система сертификации средств защиты информации (далее — система сертификации) представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.

Системы сертификации создаются Гостехкомиссией России, ФСБ, Минобороны, СВР, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами РФ.

Согласно п. 7 Положения изготовители вправе производить (реализовывать) средства защиты информации только при наличии сертификата. Порядок получения сертификата установлен п. 8 — 9 Положения, условия приостановления действия сертификата или его аннулирования определены п. 10 Положения.

Согласно Доктрине информационной безопасности Российской Федерации, утвержденной Президентом РФ 9 сентября 2000 г. (N Пр-1895), угрозой безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, может являться использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.

Применительно к ч. 2 и 4 комментируемой статьи следует иметь в виду, что обязательная сертификация информационных систем, баз и банков данных и (или) средств защиты информации относится к лицензионным требованиям и условиям при осуществлении деятельности по технической защите конфиденциальной информации (см. п. 4 комментария к ст. 13.11, подп. «в» п. 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации).

Представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с предоставлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата федерального органа исполнительной власти, уполномоченного в области правительственной связи и информации (о реорганизации управления в указанной области см. п. 1 комментария к ст. 23.45)), относится к лицензионным требованиям и условиям, установленным подп. «в» п. 5 Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств; подп. «в» п. 6 Положения о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; подп. «в» п. 6 Положения о лицензировании предоставления услуг в области шифрования информации, утвержденных Постановлением Правительства РФ от 23 сентября 2002 г. N 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

Согласно подп. «з» п. 6 Положения о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, утвержденного Постановлением Правительства РФ от 23 сентября 2002 г. N 691, к лицензионным требованиям и условиям при осуществлении лицензируемой деятельности относится использование криптографических алгоритмов, утвержденных в качестве государственных стандартов или определенных соответствующими перечнями, утвержденными Правительством РФ.

Применительно к указанным положениям о лицензировании к шифровальным (криптографическим) средствам относятся:

а) средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования — средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации).

Таким образом, шифровальные (криптографические) средства, указанные в подп. «а» и «б», в зависимости от целей их использования являются техническими средствами защиты информации, составляющей государственную тайну (ч. 4 комментируемой статьи), либо предназначаются для защиты иной информации (см. ч. 2 рассматриваемой статьи).

Согласно п. 1 Определения Конституционного Суда РФ от 10 ноября 2002 г. по жалобе гражданина Ю.П. Романова на нарушение его конституционных прав ст. 21 и 21.1 Закона РФ «О государственной тайне» (в ред. от 6 октября 1997 г.) допуск должностных лиц и граждан к государственной тайне осуществляется в добровольном порядке по решению руководителя органа государственной власти, предприятия, учреждения или организации после проведения соответствующих проверочных мероприятий. Из этого общего правила ст. 21.1 того же Закона предусмотрено исключение для отдельных категорий должностных лиц и граждан, в частности для адвокатов, участвующих в качестве защитников в уголовном судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну, — они допускаются к указанным сведениям без проведения проверочных мероприятий, предусмотренных ст. 21.

8. В соответствии со ст. 5 Федерального закона от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи» создание ключей электронных цифровых подписей осуществляется для использования в:

- информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

- корпоративной информационной системе в порядке, установленном в этой системе.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.

Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления квалифицируется по ч. 2 комментируемой статьи.

Применительно к указанному Федеральному закону под электронной цифровой подписью понимается реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Под сертификатом средств электронной цифровой подписи понимается документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Согласно ст. 3 Федерального закона «Об электронной цифровой подписи» под информационной системой общего пользования понимается информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано; под корпоративной информационной системой подразумевается информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

9. Неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, квалифицируется как преступление в сфере компьютерной информации (ч. 1 ст. 272 УК). Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, квалифицируется как преступление (ч. 1 ст. 274 УК).

10. См. примечание к п. 5 комментария к ст. 5.1.

Дела об административных правонарушениях рассматриваются:

а) предусмотренных ч. 1, 2 комментируемой статьи — должностными лицами ФСБ и Гостехкомиссии России, указанными в подп. «б» данного пункта комментария (см. п. 2, 3 ч. 2 ст. 23.46 КоАП);

б) предусмотренных ч. 3, 4 комментируемой статьи, в соответствии со ст. 23.45 КоАП:

- директором ФСБ, его заместителями, руководителями территориальных органов ФСБ, их заместителями;

- министром обороны, его заместителями;

- директором СВР, его заместителями;

- председателем Гостехкомиссии России, его заместителями, руководителями региональных центров Гостехкомиссии России, их заместителями;

в) предусмотренных ч. 3 комментируемой статьи, по смыслу п. 6 ч. 2 ст. 23.45 КоАП — руководителями структурных подразделений ФСБ, Минобороны, СВР и Гостехкомиссии России, к ведению которых отнесено лицензирование видов деятельности, связанных с использованием и защитой сведений, составляющих государственную тайну (см. п. 4 комментария к ст. 13.11, п. 3 комментария к ст. 13.13).

В соответствии с ч. 2 ст. 23.1 КоАП должностные лица, указанные в подп. «б» данного пункта комментария, вправе передавать дела об административных правонарушениях, предусмотренных ч. 2 и 4 комментируемой статьи, на рассмотрение судьям (см. п. 6 комментария к ст. 13.11).