IT ManagerБезопасностьУправление ИБ

Публично-правовая ответственность субъектов КИИ: разбираемся что к чему

Валерий Комаров | 07.11.2019

Публично-правовая ответственность субъектов КИИ: разбираемся что к чему

В целях обеспечения безопасности критической информационной инфраструктуры Российской Федерации 26 июля 2017 года был принят пакет из трех федеральных законов: 187-ФЗ1, 193-ФЗ2 и 194-ФЗ3. В Уголовном кодексе Российской Федерации (далее – УК РФ) появилась и с 1 января 2018 года начала действовать новая статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», при этом Кодекс РФ об административных правонарушениях (далее – КоАП РФ) изменений не претерпел.

Тенденции изменения уголовно-правовой ответственности субъектов КИИ

Редакция ст. 274.1 УК РФ представляет собой объединение трех традиционных для отечественного законодательства форм преступного посягательства на безопасность компьютерной информации:

  1. Неправомерный доступ.

  2. Создание и распространение вредоносного программного обеспечения.

  3. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации, а также правил доступа к ней.

По смыслу ст. 274.1 УК РФ все эти деяния должны быть направлены против критической информационной инфраструктуры Российской Федерации (далее – КИИ). Таким образом, анализируемая уголовно-правовая норма конкурирует сразу с тремя статьями УК РФ (ст. 272, 273 и 274) и является специальной по отношению к ним. В некотором смысле конструирование ст. 274.1 УК РФ противоречит сложившимся отечественным традициям криминализации и использования приемов юридической техники при описании уголовно-правовых норм. Следуя им, установление более строгой уголовной ответственности за посягательства на КИИ предпочтительнее было бы реализовать путем выделения соответствующих квалифицирующих и особо квалифицирующих признаков в ст. 272, 273 и 274 УК РФ.

Анализируемая уголовно-правовая норма имеет бланкетный характер, что предполагает обязательное обращение к 187-ФЗ4.

Последствия криминализации нарушений в деятельности субъектов КИИ 

Законодательно установлена необходимость категорирования объектов КИИ исходя из их социальной, политической, экономической, экологической значимости и/или значимости объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка. Такие объекты КИИ являются значимыми и должны соответствовать требованиям государственных регуляторов5. К сожалению, действующая редакция ст. 274.1 УК РФ не учитывает данное деление, что представляется существенным упущением не только с точки зрения игнорирования критериев дифференциации уголовной ответственности, но и что, пожалуй, является более значимым, анализируемая уголовно-правовая новелла не позволяет должным образом оценить различия в объеме и значимости социальных последствий криминальных посягательств на объекты КИИ. Возможности учета опасности указанного деяния лишь посредством дифференциации уголовного наказания, как представляется, явно недостаточны6.

Положения, включенные в УК РФ в части установления уголовной ответственности за нарушения, связанные с функционированием КИИ, в целом вызывают опасения. Наказание за соответствующие преступления в виде лишения свободы установлено в пределах до 10 лет, при этом основным квалифицирующим признаком является причинение вреда КИИ. Вместе с тем законодательством не установлено, что является «вредом КИИ», уровень ущерба, служащего основанием для квалификации преступления, не урегулирован.

Таким образом, возбуждение уголовного дела возможно по любому факту нарушения функционирования объектов КИИ и сетей электросвязи, даже совсем незначительному.

По конструкции состав преступления материальный, предусматривает наступление общественно опасных последствий (как момента окончания преступления) – вреда КИИ (ч. 3 и 4 ст. 274.1 УК РФ) и тяжких последствий (ч. 5 ст. 274.1 УК РФ).

То есть законодатель логично ставит ответственность в зависимость от наступления общественно опасных последствий преступления, но при этом не устанавливает правил по определению размера тяжести такого вреда, оставляя данный вопрос на стороне судебной системы, которая, в свою очередь, получает возможность трактовать данное положение уголовного закона довольно широко, самостоятельно определяя порог размера малозначительности причиняемого вреда7.

Еще на этапе правовой экспертизы законопроекта, проведенной Верховным Судом РФ, была высказана позиция: «Вызывает некоторые опасения то, что в диспозиции проектной статьи для определения последствий общественно опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причиненного вреда»8.

Неуказание на форму вины в составе нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации является упущением законодателя, поскольку сама конструкция состава преступления логически требует признания возможности совершения деяния по неосторожности. Однако ч. 2 ст. 24 УК РФ позволяет признавать преступление совершенным по неосторожности, только если это предусмотрено соответствующей статьей Особенной части УК РФ.

Существует мнение, что, если непосредственно в тексте диспозиции уголовно-правовой нормы не указана форма вины, не упоминается специальная цель или мотив деяния, преступление может быть совершено как умышленно, так и по неосторожности. Если само нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и объектов КИИ было допущено по неосторожности или сознательно, но лицо самонадеянно рассчитывало, что негативные последствия не наступят, говорить о возможности покушения на преступление нельзя9.

К спорным можно отнести еще два реализованных решения:

  • в рамках одной части законодатель последовательно регламентировал совершение преступления предварительно сговорившейся и организованной группой. Уравнивание таких качественно разных по опасности форм соучастия преступлению не отвечает научно обоснованным критериям дифференциации ответственности;

  • все преступления в сфере компьютерной информации в качестве особо отягчающего обстоятельства называют не только наступление тяжких последствий, но и создание угрозы их наступления. Ст. 274.1 УК РФ, такой оговорки не содержит, что, учитывая особую значимость объектов посягательства, ошибочно10.

Полагаем, что уголовно-правовая норма об ответственности за неправомерное воздействие на КИИ требует корректировки.

Перспективы. Административная ответственность для субъектов КИИ 

Несмотря на наличие возможностей по осуществлению государственного контроля в области обеспечения безопасности значимых объектов КИИ11, ФСТЭК России разработал законопроект по внесению изменений в КоАП РФ12, основные предложения которого приведены в таблице 1.

Таблица 1. Предложения ФСТЭК России по изменению КоАП РФ

Состав правонарушения

Наказание, размер штрафа

1

Нарушение порядка категорирования объектов КИИ

на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

2

Нарушение требований к созданию систем безопасности значимых объектов КИИ (далее – ЗОКИИ) и обеспечению их функционирования, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, если такие действия (бездействие) не содержат уголовно наказуемого деяния

на должностных лиц в размере от десяти тысяч до сорока тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

3

Нарушение требований по обеспечению безопасности ЗОКИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, повлекших причинение вреда КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния

на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей.

4

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗОКИИ, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ

на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста пятидесяти тысяч до двухсот тысяч рублей.

5

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

на должностных лиц в размере от двадцати тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до двухсот тысяч рублей.

6

Непредставление или нарушение сроков представления в ФСТЭК сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, предусмотренных законодательством в области обеспечения безопасности КИИ

на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от пятидесяти тысяч до ста тысяч рублей

7

Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ

на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц – от ста тысяч до пятисот тысяч рублей.


При этом авторами законопроекта не приводится никакого экономического обоснования размеров штрафа, а также не определены основания для криминализации указанных нарушений субъекта КИИ.

Задача по обеспечению безопасности КИИ по своей важности полностью идентична задаче по сохранению государственной тайны. Так, к государственной тайне относятся «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации»13. Если посмотреть на размер штрафных санкций за нарушения в области защиты сведений, составляющих государственную тайну, приведенных в таблице 2, то можно увидеть суммы на порядок меньше, чем предлагается в законопроекте14. И при этом никаких действий по увеличению размера штрафа или расширения наказуемых нарушений в сфере защиты государственной тайны не предлагается. То есть компетентные органы считают их достаточными в существующем виде.

Таблица 2. Состав и наказание за нарушения требований о защите государственной тайны

Статья КоАП РФ

Состав правонарушения

Наказание, размер штрафа

Статья 13.12. Нарушение правил защиты информации

 

7. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния

на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от трех тысяч до четырех тысяч рублей; на юридических лиц – от пятнадцати тысяч до двадцати тысяч рублей.

 
Таким образом, законодатель пошел по пути расширения форм наказания субъектов КИИ, без дифференциации уголовного наказания. 

Рекомендации

  • Сформулировать ч. 3 ст.274.1 УК РФ в таком варианте:

«Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой компьютерной информации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, относящихся к значимым объектам критической информационной инфраструктуры Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение крупного ущерба критической информационной инфраструктуре Российской Федерации».

  • Следуя принципу соизмеримости нарушения и наказания, а также практике привлечения к ответственности по большинству существующих правонарушений, необходимо разделить ответственность за нанесение вреда КИИ на административную и уголовную с внесением соответствующих изменений в Кодекс Российской Федерации об административных правонарушениях.

  • Привести состав и размер административного наказания в КоАП РФ в соответствие с государственной концепцией [12] и экономическим обоснованием.



1 - Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

2 - Федеральный закон от 26.07.2017 № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

3 - Федеральный закон от 26.07.2017 № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

4 - Решетников А. Ю., Русскевич Е. А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. 2018. № 2.

5 - Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

6 - Решетников А. Ю., Русскевич Е. А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. 2018. № 2

7 - Решетников А. Ю., Русскевич Е. А. Некоторые вопросы квалификации неоконченных преступлений в сфере компьютерной информации // Уголовное право. 2018. № 2.

8 - Официальный отзыв Верховного Суда РФ от 15.05.2015 № 3-ВС-2996/15 «На проект федерального закона «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

9 - Трунцевский Ю. В. Неправомерное воздействие на критическую информационную инфраструктуру: уголовная ответственность ее владельцев и эксплуатантов // Журнал российского права. 2019. № 5.

10 - Решетников А. Ю., Русскевич Е. А. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК России) // Законы России: опыт, анализ, практика. 2018. № 2.

11 - Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

12 - Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации».

13 - Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне». Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.

14 - Концепция нового кодекса Российской Федерации об административных правонарушениях подготовлена межведомственной рабочей группой, образованной во исполнение поручения Председателя Правительства Российской Федерации Д.Медведева и в соответствии с распоряжением Правительства Российской Федерации от 4 апреля 2019 года № 631-р.


Ключевые слова: правовое регулирование

Журнал: Журнал IT-Manager [№ 10/2019], Подписка на журналы

Об авторах

Валерий Комаров

Валерий Комаров

Независимый эксперт, автор блога «Рупор бумажной безопасности»


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

14.11.2019 — 15.11.2019
SECR «Разработка ПО».

Park Inn Пулковская

14.11.2019 — 15.11.2019
New Retail Forum. Почта России

Москва, Технопарк "Сколково"

19.11.2019 — 20.11.2019
MarTech Expo 2019

Москва, DigitalLoft

20.11.2019
BIS-2019

Санкт-Петербург, отель «Holiday Inn Московские ворота»,