Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Юридическая ответственность субъекта КИИ

Константин Саматов, 18/04/22

Прошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Юридическая ответственность и ее виды

Напомню, что юридическая ответственность – это применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера [1].

Юридическая ответственность бывает нескольких видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная [2].

Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско-правовая ответственность. В части гражданско-правовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ.

Уголовная и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ [3]) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ [4]) имеют ряд специализированных в части КИИ составов. Рассмотрим их более подробно.

Уголовная ответственность в сфере КИИ

С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", содержащая описание трех основных составов преступления, один из которых является формальным (ч. 1), то есть для его применения достаточно выполнения описанных в нем действий, а остальные (ч. 2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5):

  1. Состав с отягчающими обстоятельствами, который, помимо признаков основного состава, содержит специальные признаки, увеличивающие наказуемость по сравнению с основным составом (квалифицированный состав).
  2. Состав с особо отягчающими обстоятельствами, придающий преступлению более высокую общественную опасность (особо квалифицированный состав).

Части 1, 2 и 3 ст. 274.1 УК РФ практически полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства. Если в ст. 272–274 предметом является любая информационная инфраструктура, то в ст. 274.1 – только та, которая отнесена, в соответствии с законодательством, к критической.

По сути, ст. 274.1 не является какой-то новеллой, а представляет собой сборник статей гл. 28 "Преступления в сфере компьютерной информации" УК РФ применительно к сфере КИИ. Об этом, в частности, свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch [5], в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст. 273 УК РФ.

Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст. 274.1 УК РФ за 2019– 2021 гг. стало наказание в виде условного осуждения на срок три года и штрафа в размере 70 тыс. руб.

Помимо предмета преступного посягательства отличие ст. 274.1 УК РФ от других статей содержится еще и в подследственности: предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России [6].

Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, установившего эти правила. Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав, охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы [7]. Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты [8], сотрудник субъекта КИИ, то есть, говоря языком специалиста по информационной безопасности, внутренний нарушитель.

Административная ответственность в сфере КИИ

Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ:

  • ст. 13.12.1. "Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации";
  • ст. 19.7.15. "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации".

Как и в случае с уголовными преступлениями, составы административных правонарушений являются специальными по отношению к общим составам: ст. 13.12 "Нарушение правил защиты информации" и ст. 19.7 "Непредставление сведений (информации)".

Как и в случае с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК [9] России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше.

Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.).

При этом, если в части объективной стороны состава правонарушения [10], предусмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толковании), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже пришлось столкнуться на практике).

Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия:

  • непредоставление во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ утвердил и направил во ФСТЭК России перечень объектов КИИ, подлежащих категорированию, но не завершил категорирование в максимально установленный срок (один год) либо завершил категорирование, но "забыл" отправить сведения;
  • нарушение сроков предоставления во ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости ее присвоения, предусмотренных законодательством, то есть субъект КИИ категорировался, но своевременно сведения во ФТЭК России не предоставил, а предоставил их уже по истечении установленного законодательством срока (10 рабочих дней со дня утверждения акта категорирования или утверждения требований к создаваемому объекту КИИ).

Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассматриваются поправки в данную статью [11], предусматривающие ответственность за:

  • предоставление во ФСТЭК России неактуальных сведений о категорировании, то есть субъект КИИ не включил в сведения все важные (значимые), по мнению регулятора, данные на момент их предоставления;
  • предоставление во ФСТЭК России недостоверных сведений о категорировании, то есть субъект КИИ представил искаженные сведения о категорировании.

Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонарушения, предусмотренного ч. 1 этой статьи.

Часть 2 ст. 19.7.15 также не менее интересна. В ней предусмотрена ответственность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных ч. 2 ст. 13.12.1 КоАП РФ.

Объективная сторона состава данного правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в утвержденных приказом ФСБ России от 24.07.2018 № 367 перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации).

Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут:

  • должностные лица ФСТЭК России – п. 1–4 перечня информации;
  • субъекты КИИ, в случае нарушения правил предоставления информации в ГосСОПКА в отношении компьютерных инцидентов на объектах КИИ, не имеющих категории значимости (п. 5–6 перечня информации), в отношении значимых объектов КИИ, – несут ответственность по ч. 2 ст. 13.12.1 КоАП РФ, в силу наличия соответственной отсылки.

В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания рекомендую обратиться к постатейным комментариям УК РФ и КоАП РФ.


  1. Теория государства и права. Учебник для юридических вузов и факультетов. Под ред. В.М. Корельского и В.Д. Перевалова. М.: Издательская группа ИНФРА–М—НОРМА. 1997.
  2. Согласно наиболее распространенной на практике классификации по отраслевому признаку.
  3. Уголовный кодекс Российской Федерации
  4. Кодекс об административных правонарушениях Российской Федерации.
  5. https://www.infowatch.ru/analytics/analitika/issledovanie-sudebnykh-del-o-nepravomernom-vozdeystvii-na-kii 
  6. Федеральная служба безопасности Российской Федерации.
  7. Пример взят из документа “Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации” (утв. Генпрокуратурой России).
  8. https://www.iksmedia.ru/articles/5868262-KII-vrag-vnutri.html 
  9. Федеральная служба по техническому и экспортному контролю Российской Федерации.
  10. Внешние признаки проявления правонарушения: действия, бездействие, способ совершения, последствия и т.п.
  11. https://regulation.gov.ru/projects#npa=124438 

 

Темы:КИИЖурнал "Информационная безопасность" №1, 2022

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...