Прошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ.
Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности
Напомню, что юридическая ответственность – это применение к правонарушителю предусмотренных санкцией юридической нормы мер государственного принуждения, выражающихся в форме лишений личного, организационного либо имущественного характера [1].
Юридическая ответственность бывает нескольких видов: уголовная, административная, гражданско-правовая, дисциплинарная и материальная [2].
Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, административная и гражданско-правовая ответственность. В части гражданско-правовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютерного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ.
Уголовная и административная ответственность, помимо общих норм, связанных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ [3]) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ [4]) имеют ряд специализированных в части КИИ составов. Рассмотрим их более подробно.
С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", содержащая описание трех основных составов преступления, один из которых является формальным (ч. 1), то есть для его применения достаточно выполнения описанных в нем действий, а остальные (ч. 2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5):
Части 1, 2 и 3 ст. 274.1 УК РФ практически полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посягательства. Если в ст. 272–274 предметом является любая информационная инфраструктура, то в ст. 274.1 – только та, которая отнесена, в соответствии с законодательством, к критической.
По сути, ст. 274.1 не является какой-то новеллой, а представляет собой сборник статей гл. 28 "Преступления в сфере компьютерной информации" УК РФ применительно к сфере КИИ. Об этом, в частности, свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации, проведенного компанией InfoWatch [5], в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст. 273 УК РФ.
Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компании InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст. 274.1 УК РФ за 2019– 2021 гг. стало наказание в виде условного осуждения на срок три года и штрафа в размере 70 тыс. руб.
Помимо предмета преступного посягательства отличие ст. 274.1 УК РФ от других статей содержится еще и в подследственности: предварительное следствие по уголовным делам, возбужденным по данной статье, производится следователями ФСБ России [6].
Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, предусматривающий ответственность субъекта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуатации и/или доступа к компонентам критической информационной инфраструктуры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, установившего эти правила. Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав, охраняющий интересы субъекта КИИ, а не направленный против его интересов. Важно отметить, что субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа (например, системный администратор компании установил на элемент инфраструктуры программное обеспечение для майнинга криптовалюты, не включенное в перечень разрешенного), так и по неосторожности: программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы [7]. Поэтому основной субъект данного преступления – это, как справедливо замечают некоторые эксперты [8], сотрудник субъекта КИИ, то есть, говоря языком специалиста по информационной безопасности, внутренний нарушитель.
Федеральным законом от 26 мая 2021 г. № 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" были введены два специальных состава административных правонарушений, касающихся субъектов КИИ:
Как и в случае с уголовными преступлениями, составы административных правонарушений являются специальными по отношению к общим составам: ст. 13.12 "Нарушение правил защиты информации" и ст. 19.7 "Непредставление сведений (информации)".
Как и в случае с уголовными преступлениями, разница между общими и специальными составами состоит в предмете противоправного посягательства и специфике должностных лиц, уполномоченных рассматривать дела об административных правонарушениях, коими являются сотрудники ФСТЭК [9] России и ФСБ России (ст. 23.90, 23.91 КоАП РФ). Кроме того, ввиду значимости предмета правонарушения санкции (штрафы), предусмотренные данными составами, значительно выше.
Если ч. 6 ст. 13.12 КоАП РФ предусматривает ответственность за нарушение любых требований о защите информации, то ст. 13.12.1 КоАП РФ – только за требования, предусмотренные в приказах ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239 и приказах ФСБ России от 24.07.2018 № 368 и от 19.06.2019 № 282. Соответственно, максимальный размер штрафа для юридических лиц по ч. 6 ст. 13.12 КоАП РФ составляет 50 тыс. руб., а по ч. 1 ст. 13.12.1 КоАП РФ – 150 тыс. руб. (минимальный – 50 тыс. руб.).
При этом, если в части объективной стороны состава правонарушения [10], предусмотренного ст. 13.12.1 КоАП РФ, все достаточно прозрачно (по крайней мере, автор не видит сложности в ее толковании), то вот с толкованием ст. 19.7.15 КоАП РФ есть определенные сложности (в том числе с которыми автору уже пришлось столкнуться на практике).
Так, ч. 1 ст. 19.7.15 КоАП РФ предусматривает ответственность за два вида бездействия:
Как видно, в ч. 1 ст. 19.7.15 КоАП РФ отсутствует характерная для общего состава ответственность за действия – предоставление неполных или неверных сведений. В настоящий момент рассматриваются поправки в данную статью [11], предусматривающие ответственность за:
Планируется также дополнить ст. 19.7.15 так называемым рецидивом, то есть предусмотреть ответственность за повторное совершение правонарушения, предусмотренного ч. 1 этой статьи.
Часть 2 ст. 19.7.15 также не менее интересна. В ней предусмотрена ответственность за непредоставление или нарушение порядка либо сроков предоставления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, предусмотренных ч. 2 ст. 13.12.1 КоАП РФ.
Объективная сторона состава данного правонарушения выражается в непредоставлении или нарушении сроков и порядка предоставления информации, описанных в утвержденных приказом ФСБ России от 24.07.2018 № 367 перечне информации, предоставляемой в ГосСОПКА, и порядке ее предоставления (далее по тексту – перечень информации).
Таким образом, ответственность за совершение правонарушения, предусмотренного в ч. 2 ст. 19.7.15 КоАП РФ, несут:
В заключение хотелось бы отметить, что я постарался кратко и на понятном широкому кругу читателей языке рассмотреть толкование правовых норм, предусматривающих ответственность за правонарушения (преступления) в сфере КИИ. Для более полного и углубленного понимания рекомендую обратиться к постатейным комментариям УК РФ и КоАП РФ.