Контакты
Подписка 2024

Юридическая ответственность субъекта КИИ

Константин Саматов, 18/04/22

Прошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Юридическая ответственность и ее виды

Напомню, что юридическая ответственность – это применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера [1].

Юридическая ответственность бывает нескольких видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная [2].

Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско-правовая ответственность. В части гражданско-правовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ.

Уголовная и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ [3]) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ [4]) имеют ряд специализированных в части КИИ составов. Рассмотрим их более подробно.

Уголовная ответственность в сфере КИИ

С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", содержащая описание трех основных составов преступления, один из которых является формальным (ч. 1), то есть для его применения достаточно выполнения описанных в нем действий, а остальные (ч. 2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5):

  1. Состав с отягчающими обстоятельствами, который, помимо признаков основного состава, содержит специальные признаки, увеличивающие наказуемость по сравнению с основным составом (квалифицированный состав).
  2. Состав с особо отягчающими обстоятельствами, придающий преступлению более высокую общественную опасность (особо квалифицированный состав).

Части 1, 2 и 3 ст. 274.1 УК РФ практически полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства. Если в ст. 272–274 предметом является любая информационная инфраструктура, то в ст. 274.1 – только та, которая отнесена, в соответствии с законодательством, к критической.

По сути, ст. 274.1 не является какой-то новеллой, а представляет собой сборник статей гл. 28 "Преступления в сфере компьютерной информации" УК РФ применительно к сфере КИИ. Об этом, в частности, свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch [5], в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст. 273 УК РФ.

Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст. 274.1 УК РФ за 2019– 2021 гг. стало наказание в виде условного осуждения на срок три года и штрафа в размере 70 тыс. руб.

Помимо предмета преступного посягательства отличие ст. 274.1 УК РФ от других статей содержится еще и в подследственности: предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России [6].

Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, установившего эти правила. Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав, охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы [7]. Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты [8], сотрудник субъекта КИИ, то есть, говоря языком специалиста по информационной безопасности, внутренний нарушитель.

Административная ответственность в сфере КИИ

Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ:

  • ст. 13.12.1. "Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации";
  • ст. 19.7.15. "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации".

Как и в случае с уголовными преступлениями, составы административных правонарушений являются специальными по отношению к общим составам: ст. 13.12 "Нарушение правил защиты информации" и ст. 19.7 "Непредставление сведений (информации)".

Как и в случае с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК [9] России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше.

Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.).

При этом, если в части объективной стороны состава правонарушения [10], предусмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толковании), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже пришлось столкнуться на практике).

Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия:

  • непредоставление во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но "забыл" отправить сведения;
  • нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ категорировался, но своевременно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодательством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ).

Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассматриваются поправки в данную статью [11], предусматривающие ответственность за:

  • предоставление во ФСТЭК России неактуальных сведений о категорировании, то есть субъект КИИ не включил в сведения все важные (значимые), по мнению регулятора, данные на момент их предоставления;
  • предоставление во ФСТЭК России недостоверных сведений о категорировании, то есть субъект КИИ представил искаженные сведения о категорировании.

Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонарушения, предусмотренного ч. 1 этой статьи.

Часть 2 ст. 19.7.15 также не менее интересна. В ней предусмотрена ответственность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных ч. 2 ст. 13.12.1 КоАП РФ.

Объективная сторона состава данного правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в утвержденных приказом ФСБ России от 24.07.2018 № 367 перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации).

Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут:

  • должностные лица ФСТЭК России – п. 1–4 перечня информации;
  • субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имеющих категории значимости (п. 5–6 перечня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу наличия соответственной отсылки.

В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания рекомендую обратиться к постатейным комментариям УК РФ и КоАП РФ.


  1. Теория государства и права. Учебник для юридических вузов и факультетов. Под ред. В.М. Корельского и В.Д. Перевалова. М.: Издательская группа ИНФРА–М—НОРМА. 1997.
  2. Согласно наиболее распространенной на практике классификации по отраслевому признаку.
  3. Уголовный кодекс Российской Федерации
  4. Кодекс об административных правонарушениях Российской Федерации.
  5. https://www.infowatch.ru/analytics/analitika/issledovanie-sudebnykh-del-o-nepravomernom-vozdeystvii-na-kii 
  6. Федеральная служба безопасности Российской Федерации.
  7. Пример взят из документа “Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации” (утв. Генпрокуратурой России).
  8. https://www.iksmedia.ru/articles/5868262-KII-vrag-vnutri.html 
  9. Федеральная служба по техническому и экспортному контролю Российской Федерации.
  10. Внешние признаки проявления правонарушения: действия, бездействие, способ совершения, последствия и т.п.
  11. https://regulation.gov.ru/projects#npa=124438 

 

Темы:КИИЖурнал "Информационная безопасность" №1, 2022

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать