такие требования легко оспариваются в ФАС как избыточные,в этом проблема

Теоретически да, но на практике желающих через фас влезть в асу тп немного))) ...Сами видите - под определение 79 ПП РФ, скажем прямо , очень обтекаемого и не попадающего ни под что, можно подтянуть все))))

Может лучше разобрать более сложные темы - тз, проектную документацию, испытания, оценку соответсвия и тд

13.12 ч. 6 - это нарушение требований о защите информации, устанавливаемых нормативными актами РФ. В случае КИИ эти требования обязан самостоятельно установить субъект КИИ (раздел 14 приказа 239).

ПП79 порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) сравни с КоАП - Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации. И там и там - защищаемая в соответствии с законодательством информация. И либо 187-ФЗ устанваливает обязанность защищать информацию, либо нет

Не все так просто - иначе уже штрафов накидали намерено, под обеспечение безопасности зо кии делают свою нормативку

Об этом Кубарев (ФСТЭК)  еще в сентябре 2018 года публично заявил, что 13.12 не будет применяться к субъектам КИИ

Ты не понял.

Предмет нарушения в 13.12 ч. 6 - нарушение только тех требований о защите информации, которые установлены нормативными актами РФ и никакими другими

Приказ 239 требования о защите информации не устанавливает - он прямо говорит, что такие требования должны быть установлены локальными нормативными актами субъекта. То есть:
- если субъект не установил требование - это не нарушение требований (нельзя нарушить то, чего нет);
- если требования есть, то их нарушение - не предмет статьи 13.12

это как? 239 приказ ничем не отличается по структуре от 17. В 239 приказе прямо указан, что объект защиты - информация, обрабатываемая в ЗОКИИ и прописаны требования и меры по ее защите

Вот прямым текстом написано: "14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком)"

и что? вот цитата из 17 приказа "14. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком)." за 17 приказ наказывают только в путь

Поделись решениями, если есть - посмотрим, в чем разница

а с чем сравнивать будешь? по КИИ ведь нет админки

Приказы сравним по нарушению.

Ну вот смотри. Ты приводит пример судебного решения, где наказали за несертифицированный антивирус. В этом случае в 17 приказе было прямое требование, которого нет в 239м.

Ты можешь привести пример судебного решения, где фигуранта наказали бы за невыполнение того же требования 17го приказа, какое есть и в 239м?

Решение № 7-77/2016 от 24 февраля 2016 г. по делу № 7-77/2016 Согласно п.7, 8, 13, 17 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённых приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 г. № 17, защита информации, содержащейся в государственной информационной системе, обеспечивается путём выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе.

В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: аттестация информационной системы по требованиям защиты информации и ввод её в действие.

Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы настоящим Требованиям.

В нарушение вышеуказанных положений аттестация 45 персональных компьютеров, имеющих подключение к федеральной государственной информационной системе ФГИАС «ЕСУГИ» для просмотра и ввода информации на соответствие требованиям защиты юридическим лицом, привлекаемом к административной ответственности, не проведена.

239 приказ. Ввод в эксплуатацию значимого объекта и его подсистемы безопасности осуществляется при положительном заключении (выводе) в акте приемки (или в аттестате соответствия) о соответствии значимого объекта установленным требованиям по обеспечению безопасности.

Полный текст прочитать не могу, но смысл понял. Смотри, получается что  с точки зрения закона в применении 13.12 к ГИС и ЗОКИИ никакой разницы нет. Если ФСТЭК отказывается ее применять в КИИ - это волевое решение ФСТЭК.

Я не очень понял при чем здесь сертификат СЗИ, если это отдельный состав правонарушения в КоАП, это часть 2. ст.13.12 КоАП. А мы обсуждаем часть 6.

13.12 и ФСБ может применять и прокуратура. Все отказались? Должна же быть серьёзная причина для такого бездействия

ФСБ не уполномочена не занимается надзором. А прокуратура занимается надзором за соблюдением требований безопасности в исключительных случаях.

а причём здесь надзор? ФСБ активно применяет 13.12 в испдн и гисах. Прокуратура сейчас серьёзно протрясла проверкам субъектов, отличный повод вменить.