Уголовная ответственность за нарушения в защите информации по ФЗ-187

Вадим Владимирович Петров
Количество просмотров622

фз 187 кии уголовная ответственность

Итак, законодательство о критической информационной инфраструктуре постепенно обрастает практикой и разъяснениями ФСТЭК и ФСБ. Регуляторы уверены, что при должной квалификации и навыках IT-специалисты способны правильно категорировать объект и выстроить систему защиты КИИ. А если не способны — на то предусмотрена уголовная ответственность за нарушение требований защиты информации на значимых объектах.

фз 187 кии уголовная ответственность

Для нарушений правил обеспечения информационной безопасности в системах КИИ введена специальная статья 274.1 УК РФ — «Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации».

Основная проблема на сегодняшний день — есть закон о КИИ, но нет определённости в том, кто именно является субъектом и какую категорию присвоить тому или иному объекту. Без этих базовых данных правильно выстроить защиту объекта практически невозможно, а значит, высок риск уголовной ответственности. Мы подробно писали об этом, и до сих пор ответы регуляторов не содержат конкретики, ограничиваются фразой «нужно смотреть в каждом конкретном случае». То есть, ответственность за признание/непризнание объекта критически значимым (а значит, за выполнение требований ИБ) ложится на IT-специалистов компании.

Статья по теме: Проблемы исполнения закона о КИИ

Если объект признан КИИ, как определить, является ли он значимым и какие именно меры защиты необходимо реализовать? Как правило, ФСТЭК рекомендует исходить из того, что объект значимый, а защита должна соответствовать наивысшему возможному классу. При этом расходы организации на создание защищённой системы никого не волнуют, кроме самой организации. А уголовная ответственность грозит именно сисадмину. Тем не менее, советуем перестраховаться и не экономить на мерах безопасности на объектах КИИ. Это лучше, чем рисковать и защищаться от обвинений в суде. Например, если вы имеете лицензию ФСБ на гостайну и даже теоретически имеете возможность получать и обрабатывать секретные сведения в своей информационной системе, лучше обеспечить ИБ по высшему классу защиты.

За что могут привлечь по ст. 274.1 УК РФ

Основанием для возбуждения дела является любое нарушение официальных правил и инструкций по эксплуатации средств хранения или информационных систем на объектах, отнесённых к КИИ. Такие правила могут содержаться в руководствах, инструкциях, положениях, приказах ФСТЭК и ФСБ, ГОСТах и т.д.

уголовная ответственность защита информации

Для наступления ответственности неважно, к какой категории значимости отнесён объект и проводилось ли категорирование вообще — достаточно экспертизы и заключения ФСБ о том, что объект подпадает под регулирование ФЗ-187. Таким образом, даже если организация не признает себя субъектом КИИ, это не освобождает сотрудников от уголовной ответственности за нарушения при эксплуатации информационной системы и средств хранения информации.

Правила, нарушение которых вменяется в вину, должны быть официально закреплены в нормативных актах (законах, подзаконных актах, локальных актах предприятия) и относиться именно к обеспечению информационной безопасности объекта КИИ. Лицо, привлекаемое к ответственности, обязано соблюдать и исполнять данные правила эксплуатации в силу трудового договора (т. е. это входит в его служебные обязанности) либо на основании гражданско-правового договора, при этом обязанности и отсылка к правилам должны быть прямо предусмотрены таким договором.

Обязательное условие наступления уголовной ответственности за нарушения в защите информации — вред информационной инфраструктуре или информации объекта, при этом материального ущерба может и не быть. Вред инфраструктуре доказать легче, чем причинение ущерба информации. Кроме того, следователю придётся доказать причинно-следственную связь между действием (бездействием) сотрудника и наступившими последствиями.

Нарушение правил эксплуатации может быть как умышленным, так и неосторожным. В первом случае сотрудника вполне могут привлечь к уголовной ответственности и по другим статьям УК РФ. Например, если сотрудник фирмы с лицензией ФСБ на гостайну сознательно «потерял» флешку с секретными сведениями или «случайно» открыл доступ к информационной системе компании определённым лицам, его могут привлечь по ст. 283 или 284 УК РФ.

Статья по теме: Уголовная ответственность за преступления, связанные с государственной тайной

На что обратить внимание

Преступление по ст. 274.1 относится к тяжким, а это значит, что обвиняемого могут поместить в СИЗО на время следствия, а в результате рассмотрения дела он получит реальный срок заключения. Учитывая важность объекта преступления, предполагается, что суды охотно будут содействовать следствию, а следствие в свою очередь может использовать любые меры воздействия и не спешить со сбором доказательной базы, ведь сроки давности по таким преступлениям — от 6 до 10 лет.

Пока нет практики применения ст 274.1 УК РФ, предусматривающей уголовную ответственность за нарушения в защите КИИ. Однако стоит учитывать: если доказательств по ФЗ-187 не хватает, следствие может постараться применить к нарушителю ст. 274 УК РФ. Здесь возможно привлечение к уголовной ответственности за причинение ущерба информации на сумму 1 млн рублей и более. И хотя защите подлежит не любая компьютерная информация, а лишь та, которая охраняется законом и обрабатывается в особом режиме, например, коммерческая тайна, персональные данные и т. д., стать нарушителем здесь достаточно легко. Круг нормативных актов, регулирующих такую защиту, достаточно широк, а сами требования не всегда конкретны и однозначны, поэтому риск есть всегда.

Как снизить риск уголовной ответственности

В первую очередь — реализовать максимально возможную систему защиты информации на объекте КИИ. В любой непонятной ситуации обращаться к специалистам по технической защите информации или непосредственно в ФСТЭК за разъяснениями. Поддерживать защиту в актуальном состоянии. Не забывать, что на объектах критической информационной инфраструктуры защите подлежит не только компьютерная система, но и иные объекты-носители защищаемых данных. Пользоваться только сертифицированными средствами техзащиты и актуальным ПО. Чтоюы вовремя выявить и исправить возможные недостатки, нелишним будет изучать практику привлечения к ответственности по статьям 274 и 274.1 УК РФ, когда таковая появится.

Есть вопросы по технической защите информации или работе с гостайной? Обращайтесь!

Нужна косультация по новости?

Оставить комментарий