воскресенье, 26 февраля 2017 г.

Обзор судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации». Штрафы за работу без лицензии ФСБ.

1. 2011 год. Генеральный директор бухгалтерской компании-посредника по передаче отчетности в ФНС оштрафован на 2000 руб. за деятельность без лицензии ФСБ России

Суть спора: УФСБ России по Белгородской области оштрафовало генерального директора бухгалтерской компании-посредника по передаче отчетности в ФНС на том основании, что компания осуществляла деятельность по передаче персональных данных (бухгалтерской отчетности) по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, не имея на то соответствующей лицензии. Компания обратилась в суд с требованием отменить постановление.



Позиция компании-посредника по передаче отчетности в ФНС:
Используемые для отправки отчетности в ФНС средства ЭЦП попадают под исключение постановления Правительства № 957 от 29.12.2007 г., деятельность с их использованием не подлежит лицензированию в ФСБ.

Позиция регулятора (УФСБ по Белгородской области):
Деятельность по передаче отчетности в ФНС с использованием средств ЭЦП является деятельностью по предоставлению услуг шифрования информации и подлежит лицензированию в соответствии с п.7 ч.1 ст.17 ФЗ от 08.08.2001 года №128-ФЗ «О лицензировании отдельных видов деятельности» и п.п. (в) п.2 «Положения о лицензировании предоставления услуг в области шифрования информации», утв. постановлением Правительства № 957 от 29.12.2007 г.

Позиция Свердловского районного суда города Белгорода:
Компания-посредник предоставляет возмездные услуги по передаче отчетности в ФНС, что подтверждается договорами с клиентами.
В соответствии с п. 3 Инструкции, утв. Приказом № 152 ФАПСИ от 13.06.2001г. лица, оказывающие возмездные услуги по организации и обеспечению безопасности хранения, обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, должны иметь лицензию ФАПСИ на деятельность по предоставлению услуг в области шифрования информации.
Функции ФАПСИ в части регулирования деятельности с криптографией были переданы в ФСБ России.
При передаче отчетности в ФНС передавались в том числе и персональные данные, относящиеся к конфиденциальной информации.
Для передачи отчетности использовались СКЗИ КриптоПро CSP, TLS, Верба-OW, Домен-К (VipNet).
Таким образом, компания-посредник обязана иметь лицензию ФСБ России на предоставление услуг в области шифрования информации.

Решение: постановление зам. начальника отдела Управления ФСБ РФ по Белгородской области по делу об административном правонарушении, предусмотренном ч.1 ст.13.13 КоАП РФ, оставить без изменения, а жалобу - без удовлетворения.

Интересное: в качестве одного из оснований для получения лицензии ФСБ России на предоставление услуг шифрования суд упомянул положения инструкции, утвержденной приказом ФАПСИ № 152. Использовалось устаревшее уже Положение о лицензировании, утвержденное постановлением Правительства № 957 от 29.12.2007 г.

2. 2013 год. Комитет по развитию информационных технологий Мурманской области оштрафован на 10000 руб. за деятельность по развертыванию региональной СМЭВ (РСМЭВ) без получения лицензии ФСБ России


Суть спора: УФСБ России по Мурманской области провело внеплановую выездную проверку Комитета на предмет соответствия деятельности с криптографическими средствами обязательным требованиям и условиям, установленным нормативными правовыми актами по защите информации. В результате проверки был установлен факт незаконной деятельности по защите информации без получения соответствующей лицензии, составлен протокол об административном нарушении по ч. 1 ст. 13.13 и вынесено постановление о привлечении к административной ответственности. Комитет обратился в суд с требованием отменить постановление.

Позиция Комитета по развитию информационных технологий Мурманской области:
Необходимость создания защищенной виртуальной сети Мурманской области продиктована Указом Президента РФ от 07.05.2012, Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Госпрограммой РФ «Информационное общество (2011-2020), постановлением Правительства Российской Федерации от 08.09.2010 № 697 «О единой системе межведомственного электронного взаимодействия», постановления Правительства Мурманской области от 14.06.2012 № 286-ПП «О региональной системе межведомственного электронного взаимодействия Мурманской области».
Кроме того, получение лицензии ФСБ на деятельность с использованием криптографических средств не требуется, т.к. деятельность попадает под исключения подпункта «л» пункта 3 постановления Правительства Российской Федерации от 16.04.2012 № 313 (шифрование технологических каналов связи).

Позиция регулятора (УФСБ по Мурманской области):
По результатам внеплановой выездной проверки был установлен факт осуществления Комитетом лицензируемой деятельности с использованием криптографических средств без получения соответствующей лицензии ФСБ России, о чем 27.02.2013 был составлен протокол об административном правонарушении по части 1 статьи 13.13 КоАП РФ.
12.03.2013 заместителем начальника Управления вынесено постановление № 12113 о привлечении Комитета к административной ответственности, предусмотренной частью 1 статьи 13.13 КоАП РФ, в виде административного штрафа в размере 10 000 руб.


Позиция Арбитражного суда Мурманской области:
Деятельность с использованием криптографических средств подлежит лицензированию у соответствии с пунктом 1 части 1 статьи 12 Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности» и постановлением Правительства Российской Федерации от 16.04.2012 № 313 (Положение о лицензировании).
Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, определен в Приложении к указанному Положению о лицензировании: пункт 27 - предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
Каналы связи Комитету были предоставлены ОАО «Ростелеком» и ООО «Мурманские мультисервисные сети».
По государственному контракту между Комитетом и ЗАО «Центр Информатики» были переданы средства криптографической защиты информации (криптомаршрутизаторы) и проведены работы по криптографической защите открытых информационных каналов передачи данных, предоставленных Комитету.
ЗАО «Центр Информатики» оказывает услуги по передаче средств криптографической защиты информации, изготовлению ключей шифрования и электронной цифровой подписи (ЭЦП), осуществляет хранение регистрационных данных, создание запросов на выпуск сертификатов и их обслуживание, выдачу сертификатов, осуществляет деятельность, связанную с распространением и техническим обслуживанием шифровальных (криптографических) средств, на основании имеющихся лицензий ФСБ России.
Причем, деятельность по предоставлению защищенных каналов связи юридическим лицам ЗАО «Центр Информатики» не осуществляет.
Проверкой УФСБ по Мурманской области установлено, что защищенная виртуальная сеть исполнительных органов государственной власти Мурманской области функционирует на базе технологий пакетной коммутации данных с использованием протокола IP и криптографической защитой информации в каналах связи типа «VipNet Custom».
Для криптографической защиты информации в каналах связи используются криптомаршрутизаторы «VipNet Coordinator», размещенные на площадях Комитета. При взаимодействии в защищенной сети серверов и абонентских пунктов автоматически обеспечиваются установление между такими компьютерами защищенных соединений – виртуальных каналов связи с использованием сети Интернет. При этом осуществляется шифрование всего IP-трафика между двумя узлами (компьютерами) по алгоритму ГОСТ 28147-89.
В составе криптомаршрутизаторов «VipNet Coordinator» встроено сертифицированное ФСБ Росси по классу КС2 средство криптографической защиты «Домен-КС2».
Указанные криптомаршрутизаторы закреплены за Комитетом на праве оперативного управления и фактически располагаются в серверной административного здания Правительства Мурманской области.
Таким образом, предоставление защищенных каналов участникам региональной СМЭВ осуществляется Комитетом.
Предоставление защищенных каналов - совокупность действий Комитета (как оператора, координатора и администратора), направленных на обеспечение доступа Участников к защищенной сети, обеспечение возможности получения Участниками сертификатов ключей, обеспечивающих доступ к сети по защищенным каналам, ограничение или прекращение доступа при нарушении Участником установленных законодательством Российской Федерации и Комитетом требований к эксплуатации сети и защите информации. Результатом действий Комитета по предоставлению защищенных каналов является подключение Участников к защищенной сети.
Довод о том, что деятельность Комитета попадает под исключения подпункта «л» пункта 3 постановления Правительства Российской Федерации от 16.04.2012 № 313 (шифрование технологических каналов связи) судом не принят, ввиду предоставления УФСБ по Мурманской области выписки из шифртелеграммы от 02.04.2013 № 262912 из ЦЛСЗ ФСБ России с определением технологического канала: под технологическим каналом информационно-телекоммуникационной системы и сети связи следует понимать защищенный с использованием шифровальных (криптографических) средств канал связи, по которому осуществляется только передача данных для управления (конфигурирования) информационно-телекоммуникационной системой и/или сетью связи.
Судом также не установлено оснований для освобождения Комитета от административной ответственности в силу статьи 2.9 КоАП РФ (за малозначительностью правонарушения).

Решение: в удовлетворении требования Комитета о признании незаконным и отмене постановления УФСБ по Мурманской области о привлечении к административной ответственности, предусмотренной частью 1 статьи 13.13 КоАП, отказать.

Интересное: Комитет ссылался на использование шифровальных средств для защиты технологических каналов взаимодействия (исключение из ПП № 313), а УФСБ по Мурманской области предоставило выписку из шифртелеграммы от 02.04.2013 № 262912 из ЦЛСЗ ФСБ России с определением технологического канала и доказало, что в РСМЭВ каналы – не технологические.


Выводы:
Ввиду неоднозначности толкования некоторых требований законодательства о лицензировании деятельности с использованием криптографических средств и нормативных актов регулятора, рекомендуется получить лицензию ФСБ России на указанную деятельность, чем доказывать в суде, что деятельность компании не подлежит лицензированию.

Источники:
1. Сайт Свердловского районного суда города Белгорода

2 Сайт Арбитражного суда Мурманской области


Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправить комментарий