Контакты
Подписка
МЕНЮ
Контакты
Подписка

Information Security №1/2018: Уголовно-правовые риски предоставления услуг по информационной безопасности

Ekaterina Danilina, 08.05.18

komarov_m

 

 

Валерий Комаров, аудитор ИБ, отдел методологии информационной безопасности, управление информационной безопасности, ДИТ города Москвы.

 

В статье анализируется риск привлечения к уголовно-правовой ответственности руководителей организаций, оказывающих услуги по мониторингу информационной безопасности средств и систем информатизации и/или наладке средств защиты информации.

Вступление 17.06.2017 в силу постановления Правительства Российской Федерации от 15.06.2016 № 541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" привело к ситуации, когда все организации, оказывающие услуги по мониторингу информационной безопасности средств и систем информатизации и/или наладке средств защиты информации, оказались нарушителями Федерального закона от 04.05.2011 № 99-ФЗ "О лицензировании отдельных видов деятельности".

С точки зрения судов не важна причина оказания организацией услуг по лицензируемым видам деятельности без лицензии на осуществление этих видов деятельности (далее -- лицензия), вне зависимости от того, вызвана ли она отсутствием административных процедур ФСТЭК России по оформлению лицензий¹, длительностью процесса оформления лицензии² или умыслом на совершение противоправных действий. Ответственности за осуществление организацией лицензируемого вида деятельности без наличия лицензии подлежит руководитель организации³.


1 "Если федеральным законом разрешено заниматься предпринимательской деятельностью только при наличии специального разрешения (лицензии), но порядок и условия не были установлены, а лицо стало осуществлять такую деятельность в отсутствие специального разрешения (лицензии), то действия этого лица, сопряженные с извлечением дохода в крупном или особо крупном размере либо с причинением крупного ущерба гражданам, организациям или государству, следует квалифицировать как осуществление незаконной предпринимательской деятельности без специального разрешения (лицензии)." [1]
2 "Право осуществлять деятельность, на занятие которой необходимо получение специального разрешения (лицензии), возникает с момента получения разрешения (лицензии) или в указанный в нем срок и прекращается по истечении срока его действия (если не предусмотрено иное), а также в случаях приостановления или аннулирования разрешения (лицензии) (пункт 3 статьи 49 ГК РФ". [1]
3 "При осуществлении организацией (независимо от формы собственности) незаконной предпринимательской деятельности ответственности по статье 171 УК РФ подлежит лицо, на которое в силу его служебного положения постоянно, временно или по специальному полномочию были непосредственно возложены обязанности по руководству организацией (например, руководитель исполнительного органа юридического лица либо иное лицо, имеющее право без доверенности действовать от имени этого юридического лица), а также лицо, фактически выполняющее обязанности или функции руководителя организации". [1]

Законодательством Российской Федерации за осуществление лицензируемого вида деятельности без наличия лицензии предусмотрена административная и уголовная ответственность. При квалификации действий руководителя организации и привлечении к ответственности основным критерием является размер полученного дохода4 за осуществление лицензируемых видов деятельности без лицензии. При этом организациями часто недооценивается срок давности по таким преступлениям. Получение организацией лицензии или прекращение действия договора на оказание данных услуг не повод расслабиться -- в зависимости от полученного дохода руководитель организации может быть привлечен к ответственности и по прошествии шести лет. Важно также отметить, что ФСТЭК России может рассматривать только дела5 об административных правонарушениях. Сведем уголовно-правовые риски в табл. 1.


4 "Под доходом в статье 171 УК РФ следует понимать выручку от реализации товаров (работ, услуг) за период осуществления незаконной предпринимательской деятельности без вычета произведенных лицом расходов, связанных с осуществлением незаконной предпринимательской деятельности". [1]
5 Статья 23.46. КоАП РФ "Федеральные органы исполнительной власти, осуществляющие государственный контроль в области обращения и защиты информации". [2]

komarov_tab

Таблица. Уголовно-правовые риски

Уголовно-правовые последствия

Рассмотрим уголовно-правовые последствия для организации-исполнителя (см. рисунок), заключившей договор "Оказание информационно-технологических услуг по мониторингу информационной безопасности ООО "Наименование 1" в начале 2017 г. Срок действия договора: с 01.05.2017 по 30.04.2018, стоимость услуг 3 млн руб., акт сдачи-приемки оформляется ежемесячно6.


6 Используется информация открытого тендера на оказание услуг, опубликованного в сети Интернет.

komarov_ris

Изменение ответственности исполнителя при выполнении договора мониторинга

Организация может избежать совершения административного правонарушения только подачей заявления в ФСТЭК России на предоставление лицензии 19.06.2017, т.к. процесс выдачи лицензии не может начаться ранее вступления в силу постановления Правительства Российской Федерации от 15.06.2016 № 541. Если организация не получила лицензию до февраля 2018 г., то ее руководитель совершил уголовное преступление небольшой тяжести. Для квалификации его действий как преступления средней тяжести недостаточно дохода по этому договору. Однако, возможно, в организации существуют подобные договоры с другими заказчиками и суммарный доход превышает 9 млн руб.

При этом надо понимать, что попытка маскировать факт оказания лицензируемых услуг изменением формулировок в названиях оказываемых услуг не является эффективной, следственные органы имеют богатый опыт по выявлению и доказательству незаконной деятельности, скрытой в договорах под "безобидными" названиями. Наказывается деятельность, а не использование определенных слов/словосочетаний в ее названии. Так, для доказательства вины ООО "Державинское" следствием изымались и использовались в том числе следующие типы документов:

  • правила внутреннего трудового распорядка;
  • инструкции по технике безопасности;
  • положение об оплате труда работников;
  • должностные инструкции директора и работников;
  • сведения об электронных отправлениях электронного почтового ящика. [4]

Правоприменительная практика уголовного наказания за осуществление предпринимательской деятельности без лицензий очень обширна, стандартным наказанием по решению суда является назначение штрафа от 85 тыс. до 250 тыс. руб. Казалось бы, наказание минимальное и несоизмеримо со стоимостью выполнения требований к лицензиатам: дешевле платить штраф, чем получить лицензию ФСТЭК России. Однако необходимо еще оценить репутационный и финансовый ущерб, поскольку действующие договоры на оказание услуг будут расторгнуты по вине исполнителя.

Необходимо учитывать, что возможно использование уголовного преследования для конкурентной борьбы, рейдерского захвата или смены неугодного руководителя организации. Так, для обеспечения следственных действий проводится выемка бухгалтерской и договорной документации, изъятие и экспертиза серверного оборудования и т.д. Возможна конфискация серверного оборудования и специализированного программного обеспечения, используемого в организации для мониторинга ИБ.

Пока же индустрию информационной безопасности спасает высокая загруженность следственных органов и "мягкость" наказания по ст. 171 УК РФ. Плановые показатели по таким преступлениям легко выполняются по делам "игровой" и "алкогольной" направленности.

Мероприятия по минимизации рисков

1. Провести анализ выполненных и действующих договоров на предмет осуществления деятельности, требующей наличия лицензий в соответствии с законодательством Российской Федерации.

2. Провести анализ возможностей применения к организации методов "недобросовестной" конкуренции в перспективе до пяти лет.

3. Оценить риски осуществления деятельности, требующей наличия лицензий в соответствии с законодательством Российской Федерации, с привлечением юристов в обязательном порядке. Оценку необходимо проводить с учетом сроков давности по ст. 171 УК РФ, а также прогноза по угрозам основной деятельности организации со стороны конкурентов.

4. Применить меры финансового планирования при заключении договоров на осуществление лицензируемого вида деятельности с целью минимизации дохода по лицензируемой деятельности, на которые у организации не имеется лицензии. Необходимо учитывать совокупный доход по всем договорам с оказанием услуг по лицензируемым видам деятельности.

5. Провести анализ опубликованных рекламных и информационных материалов и проверить корпоративные сайты на предмет предложений об оказании услуг по лицензируемым видам деятельности и отчетов о достижениях в лицензируемых сферах деятельности.

6. Ввести процедуру согласования юристами материалов PR-подразделений перед их публикацией.

7. Исключить упоминания лицензируемой деятельности в коммерческих предложениях и официальной переписке до момента получения организацией лицензии.

8. Не публиковать материалы о получении лицензии, если лицензируемая деятельность уже осуществлялась.

Под давлением на конкурсные отделы заказчика со стороны организаций-исполнителей, не имеющих соответствующих лицензий, в 2018 г. будет широко практиковаться изменение названия услуг по мониторингу информационной безопасности средств и систем информатизации и/или наладке средств защиты информации в тендерах и конкурсной закупочной документации. Прежде чем принять такое решение, просчитайте риски и трезво оцените свои возможности по такой "маскировке" незаконной деятельности. Как было показано выше, просто использование при заключении договора "безопасных" слов недостаточно.

Отдельный совет для амбициозных руководителей, планирующих серьезный карьерный рост: соизмеряйте незаконный доход от осуществления предпринимательской деятельности без необходимых лицензий с возможными перспективами вашей личной карьеры и профессионального роста. Будет очень обидно, если вас собьют на пике карьеры, используя такой "скелет" из вашего прошлого, как руководство организацией, осуществлявшей предпринимательскую деятельность без необходимых лицензий. Сам факт возбуждения уголовного дела через шесть лет легко поставит крест на вашей профессиональной деятельности. Этот козырь для недоброжелателей вы создаете сами.


Литература

[1] Постановление Пленума Верховного Суда РФ от 18.11.2004 N 23 (ред. от 07.07.2015) "О судебной практике по делам о незаконном предпринимательстве".

[2] Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 31.12.2017).

[3] Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 31.12.2017).

[4] Постановление о прекращении уголовного дела (уголовного преследования) и назначении судебного штрафа от 15 декабря 2017 года по уголовному делу № 1-55/2017.

Темы:ЗаконодательствоИнформационная безопасностьДИТ г. МосквыПраво и нормативыinformation security

Еще темы...