Журнал "Information Security/ Информационная безопасность" #3, 2018

характеризуется двумя фор- мами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно (при этом умысел должен быть направлен на нарушение пра- вил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предва- рительной проверки ее на наличие в ней компьютерного вируса, в результате чего про- изошел отказ в работе систем жизнеобеспечения реанима- ционного отделения больни- цы). Отличия применения статей УК РФ за нарушение правил эксплуатации информационной системы и правил эксплуатации ОКИИ (отличие ст. 274 от пп. 3–5 ст. 274.1 УК РФ) при- ведены в табл. 2. Ключевые особенности при- менения пп. 3–5. ст. 274.1 УК РФ: 1. Нет исключений примене- ния статьи для ОКИИ, которым не присвоена категория значи- мости. По сути, уже сейчас ее можно применять к любому субъекту КИИ, даже если он не провел категорирования объ- ектов. Достаточно будет экс- пертного заключения от ФСБ, что поврежденная ИС органи- зации функционирует в сферах деятельности из 187-ФЗ. 2. Расследовать будет след- ственное управление ФСБ Рос- сии. 3. Суды предпочитают не отказывать следователем ФСБ, на это есть отдельные объ- ективные причины. 4. Так как прописано нанесе- ние вреда "критической инфра- структуре РФ", а не "компьютер- ной информации", размер вреда легко рассчитывается следова- телем и доказывается в суде. 5. Создание системы безопас- ности (не только информации, но и физической/промышлен- ной и т.д.) по требованиям ФСТЭК России [4] усугубляет ситуацию для субъекта КИИ, так как нарушение правил экс- плуатации на оборудовании из ее состава, повлекшее нанесе- ние вреда, – это те же пп. 3–5 ст. 274.1 УК РФ. 6. Статья очень удобная для следователя: большой срок дав- ности позволяет не спешить с следственными действиями, есть возможность "надавить" на подозреваемого путем помеще- ния его в СИЗО, наказание серьезное – отличная отчет- ность и показатели. Учитывая вышесказанное, рекомендуется провести сле- дующие мероприятия по мини- мизации рисков для организа- ции: 1. Внеплановую классифика- цию информационных систем для всех организаций – вла- дельцев информационных систем. Необходимо докумен- тально зафиксировать, что кон- кретная информационная систе- ма не является ОКИИ. 2. Минимизировать количе- ство оборудования, входящего в состав ОКИИ. 3. Актуализировать инструк- ции по эксплуатации оборудо- вания ОКИИ, с целью миними- зации рисков по привлечению к уголовной ответственности за ее нарушение. 4. Следует очень аккуратно подходить к проведению внут- ренних служебных расследова- ний инфраструктурных инци- дентов и инцидентов информа- ционной безопасности. Необхо- димо понимать, что отчетные документы по результатам таких проверок могут исполь- зоваться правоохранительными органами для возбуждения уго- ловного дела в течение после- дующих 10 лет. Литература [1] Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 № 174-ФЗ (ред. от 23.04.2018). [2] Постановление Правитель- ства РФ от 17.02.2018 № 162 "Об утверждении Правил осу- ществления государственного контроля в области обеспечения безопасности значимых объ- ектов критической информа- ционной инфраструктуры Рос- сийской Федерации". [3] Приказ ФСТЭК России от 25.12.2017 № 239 "Об утвер- ждении Требований по обес- печению безопасности значи- мых объектов критической информационной инфраструк- туры Российской Федерации" (зарегистрировано в Минюсте России 26.03.2018 № 50524). [4] Кодекс Российской Феде- рации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 31.12.2017). [5] Уголовный кодекс Россий- ской Федерации от 13.06.1996 № 63-ФЗ (ред. от 31.12.2017). [6] Методические рекоменда- ции по осуществлению проку- рорского надзора за исполне- нием законов при расследова- нии преступлений в сфере ком- пьютерной информации (утв. Генпрокуратурой России). l 12 • ПРАВО И НОРМАТИВЫ Особенность Ст. 274 Ст. 274.1 Порог ущерба для Более 1 000 000 Более 0 наступления ответственности, руб. Объективная сторона Нарушение правил эксплуатации, Любое нарушение правил преступления повлекшее уничтожение, блокиро- эксплуатации, повлекшее вание, модификацию либо копиро- нанесение вреда КИИ вание компьютерной информации Срок давности, лет 2 До 10 Мера пресечения Подписка о невыезде Помещение под арест в СИЗО на период следствия Органы следствия МВД ФСБ Объект преступления Информация Инфраструктура + информация Таблица 2. Особенности применения ст. 274.1 УК РФ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Мероприятия по минимизации рисков для организации: 1. Внеплановую классификацию информационных систем для всех организаций – владельцев информационных систем. Необходимо документально зафиксировать, что конкретная информационная система не является ОКИИ. 2. Минимизировать количество оборудования, входящего в состав ОКИИ. 3. Актуализировать инструкции по эксплуатации оборудования ОКИИ, с целью минимизации рисков по привлечению к уголовной ответственности за ее нарушение. 4. Следует очень аккуратно подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.