BISA
Статьи
Юридическая Ответственность в Сфере Безопасности КИИ
Юридическая ответственность в сфере безопасности КИИ

Как известно из теории права, юридическая ответственность бывает следующих видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная. С точки зрения субъекта КИИ как субъекта юридической ответственности актуальными являются уголовная, административная и гражданско-правовая ответственность (здесь смотрим в сфере безопасности КИИ).

В части гражданско-правовой ответственности каких-либо особенностей для субъекта КИИ в части обеспечения безопасности КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, которые потребуется возместить. Например, в случае утечки персональных данных из информационной системы, являющейся объектом КИИ.

В свою очередь, уголовная и административная ответственность помимо общих норм, связанных с наказанием за совершения киберпреступлений (272-274 УК  РФ (Уголовный кодекс Российской Федерации)) и правонарушений в сфере защиты информации (13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ (Кодекс об административных правонарушениях Российской Федерации)), имеет ряд специализированных в части КИИ составов.

Так, в УК РФ есть статья, посвященная охране критической информационной инфраструктуры – 274.1. «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», которая содержит описание трех основных составов преступления, один из которых является формальным (часть 1), т.е. для его применения достаточно выполнения описанных в нем действий, остальные (части 2 и 3) - материальными, то есть требующими наличия вреда, а также двух квалифицированных составов (части 4 и 5): состав с отягчающими обстоятельствами, который, помимо признаков основного состава, содержит специальные признаки, увеличивающие наказуемость по сравнению с основным составом (квалифицированный состав) и состав с особо отягчающими обстоятельствами, придающий преступлению более высокую общественную опасность (особо квалифицированный состав).

Части 1, 2 и 3 статьи 274.1 УК РФ практически полностью дублируют первые части статей 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства: если в статьях 272-274 предметом является любая информационная инфраструктура, то в статье 274.1 только та, которая отнесена в соответствии с законодательством РФ к критической. Таким образом, по сути, статья 274.1 не является какой-то новеллой, а представляет собой сборник статей главы 28 «Преступления в сфере компьютерной информации» УК РФ применительно к сфере КИИ. Об этом, в частности свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch,  в 2021 году по одному из уголовных дел, возбужденных по статье 274.1 УК РФ, обвинение в итоге было предъявлено по статье 273 УК РФ.

Статистика уголовных дел по статье 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 год – 4 завершённых и опубликованных в ГАС «Правосудие» уголовных дела, 2020 год – 12 уголовных дел, 2021 – 17 уголовных дел. Самой строгой мерой наказания по статье 274.1 УК РФ за 2019-2021 годы стал условный срок 3 года и штраф 70 000 рублей.

Помимо предмета преступного посягательство отличие 274.1 УК РФ от других статей содержится еще и в подследственности. Предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России.

Переходя к ответственности субъекта КИИ, хотелось бы коснуться части 3 статьи 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое, сложившееся на практике, мнение не совсем верно. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законам интересам, т.е., по сути, интересам субъекта КИИ, установившего эти правила. Иными словами, часть 3 статьи 274.1 УК РФ содержит состав, охраняющий интересы субъекта КИИ, а не направленный против его интересов.

Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы).

Поэтому, по мнению автора, основной субъект данного преступления – это сотрудник субъекта КИИ, т.е., говоря языком специалиста по информационной безопасности, внутренний нарушитель.

Иными словами, привлечь по этой статье к уголовной ответственности  руководителя организации или специалиста по информационной безопасности, которые не выполнили требования нормативно-правовых актов о безопасности КИИ, вопреки распространенному мнению, нельзя, для них предусмотрена административная ответственность.

Как и в случае с уголовными преступлениями, составы административных правонарушений (статьи 13.12.1 и 19.7.15 КоАП РФ) являются специальными по отношению к общим составам (статьи 13.12 и 19.7 КоАП РФ).

Также, как и с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК России и ФСБ России (статьи 23.90, 23.91 КоАП РФ). Кроме того, в виду значимости предмета правонарушения, санкции (штрафы), предусмотренные данными составами, значительно выше.

Так, например, если часть 6 статьи 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то статья 13.12.1 КоАП РФ только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно максимальный размер штрафа для должностных лиц (руководитель организации или подразделения ИБ) по части 6 статьи 13.12 КоАП РФ составляет 2 тысячи рублей, а по части 1 стати 13.12.1 КоАП РФ – 50 тысяч рублей (минимальный – 10 тысяч рублей).

В заключение хотелось бы отметить, что автор постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания, автор рекомендует обратиться к постатейным комментариям УК РФ и КоАП РФ.

Саматов Константин Михайлович, Руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.
Присоединяйтесь к BISA в
Читать свежее
05.03.2024
Ступени зрелости управления привилегированным доступом
13.02.2024
Утечки персональных данных – что действительно повлияет
17.01.2024
Информационная безопасность — часть жизни