Журнал "Information Security/ Информационная безопасность" #3, 2018

Общих правил эксплуата- ции, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существу- ет. Правила доступа и экс- плуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автомати- зированную информацион- ную систему, договорах, соглашениях и иных офици- альных документах. Законодательством Российской Федерации с 01.01.2018 для субъектов КИИ предусмотрена административ- ная ответственность за несоот- ветствующее обеспечение без- опасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые ОКИИ) и уголовная ответствен- ность за нарушение установ- ленных правил эксплуатации объектов критической инфор- мационной инфраструктуры Российской Федерации (далее – ОКИИ), если оно повлекло при- чинение вреда критической информационной инфраструк- туре Российской Федерации (см. табл. 1). При этом субъек- там КИИ необходимо помнить о сроках давности по таким пре- ступлениям. Важно также отме- тить, что основным надзорным органом, привлекающим субъ- ектов КИИ к уголовной ответ- ственности, является ФСБ Рос- сии 1 . ФСТЭК России уполномо- чен в проведении государст- венного контроля в отношении субъектов КИИ, владеющих значимыми ОКИИ [2]. Отдельно выделим риск дисквалифика- ции должностных лиц субъектов КИИ, владеющих значимыми ОКИИ, за невыполнение в срок законного предписания ФСТЭК России об устранении наруше- ний законодательства 2 . Инте- ресный нюанс: руководители субъекта КИИ привлекаются к административной ответствен- ности за нарушения на значи- мых ОКИИ, а к уголовной ответ- ственности привлекаются тех- нические специалисты любого субъекта КИИ. Важной особен- ностью является тот факт, что требования к защите инфор- мации законодательно установ- лены только для значимых ОКИИ [3]. Наибольшую озабоченность у субъекта КИИ вызывает угро- за уголовной ответственности по пп. 3–5 ст. 274.1 УК РФ "Нарушение правил эксплуата- ции средств хранения, обработ- ки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструк- туре Российской Федерации, 10 • ПРАВО И НОРМАТИВЫ Уголовно-правовые риски субъектов КИИ статье анализируются особенности привлечения к уголовно- правовой ответственности организаций, которым на праве собственности, аренды или на ином законном основании при- надлежат информационные системы, информационно-телеком- муникационные сети, автоматизированные системы управле- ния, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сфе- рах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промыш- ленности (далее – субъекты КИИ). В Валерий Комаров, аудитор ИБ, отдел методологии информационной безопасности, управление информационной безопасности, ДИТ города Москвы 1 Ст. 151. Подследственность. Предварительное следствие производится: следователями органов федеральной службы безопасности – по уголовным делам о преступлениях, предусмотренных ст. 189, 200.1 ч. 2, 205, 205.1, 205.2, 205.3, 205.4, 205.5, 208, 211, 215.4 ч. 2 п. “б", 217.1, 226.1, 229.1, 274.1, 275 – 281, 283, 283.1, 284, 322 ч. 3, 322.1 ч. 2, 323 ч. 2, 355, 359 и 361 Уголовного кодекса Российской Федерации [1]. 2 Ст. 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль [4]. Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по пп. 3–5 ст. 274.1 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно- телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации" [1]. Прецеденты возбуждения уголовных дел по данной статье УК РФ в средствах массовой информации не опубликованы.