Сертифицированный антивирус – или штраф
dushanba, 29-iyun, 2020
Бывает, что некий закон суров, но правоприменительной практики по нему мало. Суды по-разному рассматривают подобные дела, ждут руководящих разъяснений от высшей судебной инстанции, чтобы ориентироваться на них. У правоохранительных и проверяющих органов находятся различные замечания к потенциальным нарушителям.
Типичный пример – использование сертифицированных средств защиты информации. Их использования, например, требуют приказ ФСТЭК России № 21 и Постановление Правительства РФ № 1119 от 01.11.2012 г., выпущенные во исполнение положений 152-ФЗ «О персональных данных». Эти документы обязывают компании и организации (а также частных лиц), защищающих персональные данные, использовать сертифицированные средства защиты. Аналогичные требования содержатся в приказах ФСТЭК России № 17/31/239.
Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.
Пункт 8 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ
Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
Ранее мы уже обращали внимание на весьма широкий круг лиц, отнесенных законодателем к числу субъектов критической информационной инфраструктуры (см. выпуск «Удачной посадки»), многие компании о такой своей причастности могут просто не догадываться. А кто у нас не использует персональные данные? Почти никто. Получается, что любая компания должна применять сертифицированные продукты.
Это интересно.
Требования сертификации средств защиты информации, используемых госорганами при подключении к сети Интернет в России, существовали и до принятия этого документа. Еще в 2004 году был издан Указ Президента РФ № 611, которым было установлено, что владельцы открытых и общедоступных государственных информационных ресурсов могут осуществлять их включение в состав объектов международного информационного обмена (читай Интернет) только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических, для подтверждения достоверности информации.
Соответственно, предусмотрена и ответственность за нарушение подобных требований:
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (ред. от 24.04.2020) (с изм. и доп., вступ. в силу с 01.06.2020)
КоАП РФ Статья 13.12. Нарушение правил защиты информации
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.
Аналогичные требования действуют и по защите гостайны – только ответственность там больше.
При этом интерес вызывает даже не штраф, а фраза «с конфискацией несертифицированных средств защиты информации». То есть компания или организация, вложившая деньги, например, в дорогостоящие аппаратные средства, может их лишиться (в скобках заметим, что было бы любопытно посмотреть на конфискацию встроенного антивируса 😊).
Несмотря на требования и ответственность за их неисполнение, выполняются они небрежно.
Думаю, никто не будет покупать в магазине несертифицированную водку или того хуже медикаменты, не прошедшие сертификацию минздрава.
А вот средства защиты, от работы которых зависит сохранность денег компании, почему-то можно поставить любые.
Что из средств защиты должно быть сертифицировано? Если кратко – все.
Согласно п. 3 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, должны быть сертифицированы:
- средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
- средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
- средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Теперь перейдем к судебной практике.
Нарушение порядка использования сертифицированных средств защиты:
При проведении проверки режима секретности и состояния информационной безопасности федерального бюджетного учреждения «Санаторно-курортный комплекс «Сочинский» Министерства обороны РФ» на ул. Курортный проспект, д. 94, Хостинского района г.Сочи, установлено, что Михайлов Г.И., допустил использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну.
В ходе эксплуатации ЭВМ на экране увидел уведомление об истечении срока действия ранее установленного средства антивирусной защиты , в связи с чем был приглашен из сторонней организации человек для обновления антивирусной программы, тогда как согласно приказа обновление должно было производиться восьмым управлением МО РФ.
Привлечь Михайлова Г.И., …. года рождения, к административной ответственности по ч. 2 ст. 13.12 КоАП РФ и назначить ему наказание в виде административного штрафа в размере 500 (пятьсот) рублей без конфискации не сертифицированных средств защиты информации.
Это антивирус. А вот операционная система:
Выявлен факт использования несертифицированных для Министерства обороны РФ систем Microsoft Windows7 SP1 Профессиональная Гальцова О.Е., несмотря на указанные обстоятельства, использовала ПЭВМ для обработки служебной информации.
Признать «….» Гальцову О.Е. виновной в совершении административного правонарушения, предусмотренного ч. 2 ст. 13.12 КоАП РФ, и назначить ей наказание в виде административного штрафа в сумме 2500 (две тысячи пятьсот) рублей в доход государства.
Еще одно интересное дело (точнее, два). В ходе проверки двух скорее всего связанных между собой организаций были выявлены:
нарушения требований п.2 ч.3 ст. 19 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»:
- программное обеспечение «крипто про», установленное на ПЭВМ, находящейся в офисном помещении ООО «ЧОО «Сфинкс Патруль» и используемой для обработки персональных данных, имеет просроченный сертификат ФСБ России;
- антивирусное средство, установленное не ПЭВМ, находящейся в офисном помещении ООО «ЧОО «Сфинкс Патруль» и используемой для обработки персональных данных, не входит в список средств защиты и информации, разрешенных ФСБ России.
А вот – еще одно аналогичное дело.
Однако руководитель компании решил обжаловать назначенный штраф в суде (а потом – и в апелляции).
…Просит обжалуемое постановление о назначении административного наказания отменить, производство по делу прекратить в связи с малозначительностью, ограничиться устным замечанием. Жалобу мотивирует и в том числе тем, что доказательства по делу об административном правонарушении, а именно: протокол обследования помещений от ДД.ММ.ГГГГ., протокол об административном правонарушении № от ДД.ММ.ГГГГ. получены с нарушением федерального закона, и подлежат исключению из числа доказательств административного судопроизводства.
Суд принял решение, что:
Доводы законного представителя Хайруллина Д.Р. о том, что доказательства по делу об административном правонарушении… получены с нарушением федерального закона, и подлежат исключению из числа доказательств, для суда не состоятельны, поскольку соответствуют требованиям закона…
ПозициюХайруллина Д.Р. по данному делу суд объясняет его желанием как руководителя привлекаемого к административной ответственности юридического лица избежать административную ответственность.
Несогласие заявителя с привлечением юридического лица к административной ответственности не свидетельствует о малозначительности правонарушения и не является основанием для прекращения производства по делу.
По мнению суда у юридического лица ООО «ЧОО «Сфинкс Патруль» имелась возможность для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность по ч.2 ст.13.12 КоАПРФ, однако юридическое лицо не приняло все зависящие от него меры по их соблюдению.
С учетом изложенного, суд приходит к выводу о законности и обоснованности вынесенного административным органом постановления по делу об административном правонарушении.
Короче, закон есть закон, и мелочей, за которые можно простить нарушения, – нет.
#законодательство #защита_от_потери_данных #корпоративная_безопасность #ответственность #персональные_данные #ущерб
Антивирусная правДА! рекомендует
Напомним, что Dr.Web обладает всеми необходимыми сертификатами соответствия ФСТЭК России. Остается решить, что проще: купить сертифицированное средство (тем более что его поставка теперь возможна и в электронном виде) или рисковать и платить штраф.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
17:17:41 2020-11-26
Lia00
17:04:56 2020-08-11
Sasha50
16:34:16 2020-07-11
achemolganskiy
09:40:39 2020-06-30
Б...а
09:30:35 2020-06-30
tigra
06:58:29 2020-06-30
Morpheus
04:47:47 2020-06-30
Неуёмный Обыватель
01:28:59 2020-06-30
Zserg
23:02:52 2020-06-29
Шалтай Александр Болтай
22:06:51 2020-06-29
А налог — это штраф за то, что сделал правильно...
Альфа
21:45:44 2020-06-29
Toma
21:41:49 2020-06-29
orw_mikle
21:25:10 2020-06-29
anatol
21:02:14 2020-06-29
L1t1um
19:55:49 2020-06-29
yuraorc
19:55:41 2020-06-29
Dragstars
19:45:35 2020-06-29
Татьяна
19:41:32 2020-06-29
matt1954
19:28:06 2020-06-29
Sergey
18:50:36 2020-06-29
Геральт
17:53:22 2020-06-29
Masha
16:38:24 2020-06-29
kokuxo
16:35:28 2020-06-29
marisha-san
15:57:05 2020-06-29
EvgenyZ
15:08:34 2020-06-29
DrKV
15:02:01 2020-06-29
Денисенко Павел Андреевич
13:42:05 2020-06-29
Slava90
13:12:27 2020-06-29
ka_s
12:53:31 2020-06-29
vkor
12:41:19 2020-06-29
Dmur
12:38:17 2020-06-29
runikot
12:37:50 2020-06-29
vinnetou
12:19:35 2020-06-29
Alexander
11:44:30 2020-06-29
Да, бывает затруднительно действовать в ситуации так, чтобы и волки были сыты, и овцы целы. Но ведь на то и дана нам голова, - чтобы думать и решать, а не только, чтоб говорить и есть. А чтобы правильно думать и корректировать свои "хотелки" мы читаем Антивирусную правду, обсуждаем здесь её статьи, изучаем рекомендации и ума-разума набираемся.
P.S. Имеется ещё одно любопытное латинское высказывание: Знание законов состоит не в том, чтобы помнить их слова, а в том, чтобы понимать их смысл (Scire leges non hoc est verba earum tenere, sed vim ac potestatem).
Но с другой стороны, - субъективизм в принятии различных решений присутствует непременно.
Dvakota
11:35:03 2020-06-29
maestro431
11:32:05 2020-06-29
Любитель пляжного футбола
11:26:26 2020-06-29
Serg07
11:12:22 2020-06-29
Alex Kad
11:11:23 2020-06-29
Mara
10:38:40 2020-06-29
dyadya_Sasha
10:11:21 2020-06-29
Вячeслaв
09:58:07 2020-06-29
Любитель пляжного футбола
09:55:07 2020-06-29
TV
09:40:33 2020-06-29
Vlad X
09:10:47 2020-06-29
dyadya_Sasha
09:08:28 2020-06-29
@admin пройдет ли статья использования не сертифицированного ПО, если ПО (антивирус) стоит сертифицированный, но ключ ворованный. По-моему здесь статья другая.
Korney
06:48:33 2020-06-29