Уголовно-правовые риски операторов информационных систем

Основными типами информационных систем (далее – ИС), эксплуатация которых влечет возникновение уголовно-правовой ответственности оператора, являются информационные системы персональных данных (далее – ИСПДн), государственные информационные системы (далее – ГИС) и информационные системы – объекты критической информационной инфраструктуры (далее – ОКИИ)¹.

Законодательством Российской Федерации для операторов предусмотрена административная и уголовная ответственность за нарушение установленных правил эксплуатации ИС. Квалификация действий оператора сильно зависит от типа эксплуатируемой ИС. При этом операторами повсеместно недооценивается срок давности по таким преступлениям. Важно также отметить, что основным надзорным органом, привлекающим операторов к административной ответственности, является ФСБ России². Но не стоит забывать, что ФСТЭК России также имеет подобные полномочия³.

Иногда это приводит к интересным коллизиям в судебных делах, когда дело об административном правонарушении по ст. 13.12 ч. 2 КоАП РФ возбуждено отделом ФСБ, а суд определил передать дело об административном правонарушении в Управление ФСТЭК России [1]. Сведем уголовно-правовые риски оператора в табл. 1.

К настоящему моменту сложилась правоприменительная практика по привлечению должностных лиц операторов ИС к административной ответственности по ч. 6 ст. 13.12. КоАП РФ (нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации) территориальными органами ФСБ России. Особенностями данной практики являются следующие моменты:

1. К ответственности привлекаются руководители операторов, вне зависимости от содержания должностных инструкций и трудовых договоров. Должностные лица ФСБ России и судов (в случае обжалования постановлений об административном правонарушении) придерживаются позиции, что руководитель учреждения при организации работы с ГИС в соответствии с законодательством РФ обязан принимать или обеспечивать необходимые правовые, организационные и технические меры для защиты обрабатываемой информации от неправомерного или случайного доступа. [4]
2. За невыполнение требований по защите информации, установленных приказами ФСТЭК № 17 и № 21, к ответственности привлекаются руководители операторов (подведомственных учреждений), не являющиеся операторами государственных информационных систем, при их подключении к централизованным ГИС посредством автоматизированных рабочих мест, не аттестованных на соответствие требованиям по защите информации, изложенных в приказе ФСТЭК России № 17. [5]
3. Использование Web-при-ложений для доступа к ГИС не освобождает оператора от обязанностей по аттестации автоматизированных рабочих мест на соответствие требованиям по защите информации, установленным приказом ФСТЭК России № 17. [4]

Отмечены также случаи привлечения к административной ответственности операторов ГИС и ИСПДн за использование несертифицированных средств защиты информации и за использование средств криптографической защиты информации (далее – СКЗИ) несоответствующего класса [6].

Правоприменительная практика уголовного наказания операторов очень скудна, в основном это применение ч. 1 ст. 274 УК РФ к операторам информационных систем, обрабатывающих банковскую информацию. Вызвано это необходимостью доказательства размера "крупного ущерба" (более 1 млн руб.), при этом суды требуют оценить стоимость преступных действий, а не стоимость действий по ликвидации их последствий. [7].

Хотелось бы отметить следующие нюансы уголовного преследования по ст. 274 УК РФ с точки зрения Генеральной прокуратуры России [8]:

1. Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.
2. Объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, если такое нарушение повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
3. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272 и 273 УК РФ.
4. Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности. В ней говорится о нарушении правил, которое может повлечь уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, т.е. такие же последствия, что и при неправомерном доступе к компьютерной информации, создании, использовании и распространении вредоносных программ для ЭВМ.
5. Субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы).

По ст. 274.1 УК РФ правоприменительная практика отсутствует, так как статья введена в действие только 01.01.2018. Но для операторов ОКИИ прогноз более пессимистичный. Ст. 274.1 УК РФ относится к "тяжким", при этом не установлен пороговый размер вреда, превышение которого приводит к уголовной ответственности.

Учитывая вышесказанное, рекомендуется провести следующие мероприятия по минимизации рисков для организации:

1. Провести классификацию ИС в соответствии с законодательством Российской Федерации.
2. Провести инвентаризацию средств защиты информации на предмет наличия сертификатов соответствия требованиям по безопасности (ГИС) либо провести оценку соответствия самостоятельно (ИСПДн, ОКИИ).
3. При использовании СКЗИ проверить наличие и правильность обоснования по выбору класса защиты СКЗИ.
4. При подключении к ГИС обязательно наличие аттестата соответствия на удаленные рабочие места. Либо получен свой аттестат, либо получено подтверждение от оператора ГИС о том, что ваши рабочие места учтены как типовые в аттестате на ГИС.
5. При закупке услуг у облачного провайдера обязательно интересуйтесь местом нахождения облачной инфраструктуры.
6. Операторам ОКИИ следует очень аккуратно подходить кпро-ведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.

Литература

• [1] Решение по делу об административном правонарушении мирового судьи судебного участка № 2 Морозовского судебного района Ростовской области от 31.03.2015 № 5-160/2015.
• [2] Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 31.12.2017).
• [3] Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 31.12.2017).
• [4] Решение по делу об административном правонарушении Советского районного суда г. Владикавказа РСО-Алания от 11.05.2017 № 12-65/2017.
• [5] Решение по делу об административном правонарушении Ленинского районного суда от 22.01.2016 № 12-1/16.
• [6] Решение по делу об административном правонарушении Промышленного районного суда г. Смоленска от 11.05.2017 № 12-65/2017.
• [7] Постановление по уголовному делу Лефортовского районного суда г. Москвы от 29.09.2014 № 1-277/2014.
• [8] Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России)