Журнал "Information Security/ Информационная безопасность" #2, 2018

Литература [1] Решение по делу об административном правона- рушении мирового судьи судебного участка № 2 Морозовского судебного района Ростовской области от 31.03.2015 № 5-160/2015. [2] Кодекс Российской Федерации об администра- тивных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 31.12.2017). [3] Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 31.12.2017). [4] Решение по делу об административном правона- рушении Советского район- ного суда г. Владикавказа РСО-Алания от 11.05.2017 № 12-65/2017. [5] Решение по делу об административном правона- рушении Ленинского район- ного суда от 22.01.2016 № 12-1/16. Основными типами и н ф о р м а ц и о н н ы х систем (далее – ИС), эксплуатация которых влечет возникновение у г о л о в н о - п р а в о в о й ответственности опера- тора, являются инфор- мационные системы пер- сональных данных (далее – ИСПДн), госу- дарственные информационные системы (далее – ГИС) и инфор- мационные системы – объекты критической информационной инфраструктуры (далее – ОКИИ) 1 . Законодательством Россий- ской Федерации для операторов предусмотрена административ- ная и уголовная ответственность за нарушение установленных правил эксплуатации ИС. Ква- лификация действий оператора сильно зависит от типа эксплуа- тируемой ИС. При этом опера- торами повсеместно недооце- нивается срок давности по таким преступлениям. Важно также отметить, что основным надзор- ным органом, привлекающим операторов к административной ответственности, является ФСБ России 2 . Но не стоит забывать, что ФСТЭК России также имеет подобные полномочия 3 . Иногда это приводит к инте- ресным коллизиям в судебных делах, когда дело об админи- стративном правонарушении по ст. 13.12 ч. 2 КоАП РФ возбуж- дено отделом ФСБ, а суд опре- делил передать дело об адми- нистративном правонарушении в Управление ФСТЭК России [1]. Сведем уголовно-правовые риски оператора в табл. 1. К настоящему моменту сло- жилась правоприменительная практика по привлечению долж- ностных лиц операторов ИС к административной ответствен- ности по ч. 6 ст. 13.12. КоАП РФ (нарушение требований о защите информации (за исклю- чением информации, состав- ляющей государственную тайну), установленных феде- ральными законами и приняты- ми в соответствии с ними иными нормативными правовыми акта- ми Российской Федерации) тер- риториальными органами ФСБ России. Особенностями данной практики являются следующие моменты: 1. К ответственности привле- каются руководители операто- ров, вне зависимости от содер- жания должностных инструкций и трудовых договоров. Долж- ностные лица ФСБ России и судов (в случае обжалования постановлений об администра- тивном правонарушении) при- держиваются позиции, что руко- водитель учреждения при орга- низации работы с ГИС в соот- ветствии с законодательством РФ обязан принимать или обес- печивать необходимые право- вые, организационные и техни- ческие меры для защиты обра- батываемой информации от неправомерного или случайного доступа. [4] 2. За невыполнение требова- ний по защите информации, установленных приказами ФСТЭК № 17 и № 21, к ответ- ственности привлекаются руко- водители операторов (подве- домственных учреждений), не являющиеся операторами госу- дарственных информационных систем, при их подключении к централизованным ГИС посред- ством автоматизированных рабочих мест, не аттестованных на соответствие требованиям по защите информации, изло- женных в приказе ФСТЭК Рос- сии № 17. [5] 4. Использование Web-при- ложений для доступа к ГИС не освобождает оператора от обя- занностей по аттестации авто- матизированных рабочих мест на соответствие требованиям по защите информации, уста- новленным приказом ФСТЭК России № 17. [4] Отмечены также случаи при- влечения к административной ответственности операторов ГИС и ИСПДн за использование несертифицированных средств защиты информации и за использование средств крипто- графической защиты информа- ции (далее – СКЗИ) несоответ- ствующего класса [6]. Правоприменительная прак- тика уголовного наказания опе- раторов очень скудна, в основ- ном это применение ч. 1 ст. 274 УК РФ к операторам информа- ционных систем, обрабатываю- щих банковскую информацию. 34 • ПРАВО И НОРМАТИВЫ Уголовно-правовые риски операторов информационных систем статье анализируется риск привлечения к уголовно-правовой ответственности организаций, эксплуатирующих информа- ционные системы, (далее – операторы). В Валерий Комаров, аудитор ИБ, отдел методологии информационной безопасности, управление информационной безопасности, ДИТ города Москвы 1 Вопросы обработки сведений, составляющих государственную тайну, в данной статье не рассматриваются. 2 Руководитель федерального органа исполнительной власти, уполномоченного в области безопасности Российской Федерации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители, руководители структурных подразделений указанного федерального органа исполнительной власти, их заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители, начальники структурных подразделений территориальных органов указанного федерального органа исполнительной власти – об административных правонарушениях, предусмотренных ч. 3 и 4 ст. 13.5, ст. 13.6, ч. 1, 2 и 6 ст. 13.12, ч. 1 ст. 13.13, ст. 13.17, 20.23, 20.24 настоящего Кодекса [2]. 3 Руководитель федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители – об административных правонарушениях, предусмотренных ч. 1, 2 и 6 ст. 13.12, ч. 1 ст. 13.13 настоящего Кодекса [2].