В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Законодательством Российской Федерации с 01.01.2018 для субъектов КИИ предусмотрена административная ответственность за несоответствующее обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые ОКИИ) и уголовная ответственность за нарушение установленных правил эксплуатации объектов критической информационной инфраструктуры Российской Федерации (далее – ОКИИ), если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации (см. табл. 1).
При этом субъектам КИИ необходимо помнить о сроках давности по таким преступлениям. Важно также отметить, что основным надзорным органом, привлекающим субъектов КИИ к уголовной ответственности, является ФСБ России1. ФСТЭК России уполномочен в проведении государственного контроля в отношении субъектов КИИ, владеющих значимыми ОКИИ [2]. Отдельно выделим риск дисквалификации должностных лиц субъектов КИИ, владеющих значимыми ОКИИ, за невыполнение в срок законного предписания ФСТЭК России об устранении нарушений законодательства2. Интересный нюанс: руководители субъекта КИИ привлекаются к административной ответственности за нарушения на значимых ОКИИ, а к уголовной ответственности привлекаются технические специалисты любого субъекта КИИ. Важной особенностью является тот факт, что требования к защите информации законодательно установлены только для значимых ОКИИ [3].
Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по пп. 3–5 ст. 274.1 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации" [1]. Прецеденты возбуждения уголовных дел по данной статье УК РФ в средствах массовой информации не опубликованы.
К попыткам прогнозирования применения пп. 3–5. ст. 274.1 УК РФ на основе правоприменительной практики ст. 274 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей", введенной в Уголовный кодекс еще в 1996 г. в формулировке "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", следует относится очень осторожно.
Вероятнее всего будут распространены на пп. 3 – п. 5 ст. 274.1 УК РФ следующие позиции надзорных органов ст. 274 УК РФ [6]:
Мероприятия по минимизации рисков для организации:
Отличия применения статей УК РФ за нарушение правил эксплуатации информационной системы и правил эксплуатации ОКИИ (отличие ст. 274 от пп. 3–5 ст. 274.1 УК РФ) приведены в табл. 2.
Ключевые особенности применения пп. 3–5. ст. 274.1 УК РФ:
Учитывая вышесказанное, рекомендуется провести следующие мероприятия по минимизации рисков для организации:
Литература
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2018