воскресенье, 11 марта 2018 г.

Возможность уголовного преследования за КИИ

    1. Есть хорошая новость и плохая.
    1.1. Хорошая новость: за невыполнение 187-ФЗ не предусмотрено никакой ответственности. Ни административной, ни уголовной. Максимально что грозит субъекту КИИ за невыполнение самого закона и подзаконных актов по защите КИИ, это административная ответственность за невыполнение предписания ФСТЭК по устранению замечаний, выявленных в результате плановых проверок. Причем вполне вероятен "увлекательный квест" с непризнанием себя субъектом КИИ, при должной юридической подготовке со стороны коммерческих организаций. (Понятно что госкорпорации, ФОИВ и ГБУ не будут таким заниматься).
     1.2. Плохая новость - выполнение всех требований 187-ФЗ и подзаконных актов по защите КИИ не освобождает от уголовной ответственности и никак не облегчает наказание. Это вообще не влияет на судьбу субъекта КИИ. Причина простая - единственное, что объединяет 187-ФЗ и 194-ФЗ, так это определение термина КИИ. Попросту 187-ФЗ указывает кого наказывать по ст.274-1 УК РФ, введенной 194-ФЗ.
      2. Разбор проблемы.
      Смотрим в 187-ФЗ "Статья 1. Сфера действия настоящего Федерального закона
      Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также - критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак."
Закон касается только узкого воздействия на КИИ, только от компьютерных атак.
      Смотрим ст.274-1, а там только п.1 относиться к компьютерным атакам, но не имеет отношения к субъекту КИИ. Это для хакеров наказание.
     Даже п.2 рассматривает НСД к информации в КИИ в общем,а не только в результате компьютерной атаки. И опять же это актуально для хакеров.
     И самый страшный для ИТ-специалистов п.3. "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации". Вообще нет привязки к нанесению вреда КИИ компьютерной атакой. Любой эксплуатационный "косяк" низового ИТ-специалиста, нарушившего обычную инструкцию по эксплуатации телекоммуникационного оборудования, вызвавший сбой в работе объекта КИИ (банально сожгли блок питания маршрутизатора неправильным переключением в щитовой) приводит к уголовной ответственности. А, если эти работы делались с ведома главного энергетика, то еще хуже. Привет п.4.
    3. Ключевое для ИТ-службы. Если эксплуатируете объект КИИ, то уголовная ответственность наступает за нанесенный вред оборудованию, а не информации. И отдельно выделяю "ВРЕД", не "Ущерб". Если вы потеряли всю информацию из СХД по вине неправильных действий админа, то уголовка вам не грозит. Оборудование не пострадало. И материальные претензии владельца инфы не важны, поскольку не ущерб важен, а вред.
   4. ст.274-1 УК РФ имеет очень широкие возможности для применения на практике, причем статья очень удобная для следователя (не надо ни кого искать, все доказательства по документам, сроки "посадки" серьезные). Но есть тонкости - нет определения что такое "вред КИИ РФ", нет определения "тяжкие последствия". Но правоприменительная практика будет зависеть от политической воли руководства страны. Есть "мертворожденные" статьи УК РФ, по которым никто никогда не привлекался.
   5. Вывод: Для руководителя организации эффективнее и надежнее "вложиться" в хорошего юриста, чем в "безопасника" или "итешника". Да и не расслабляйтесь, законы уже вступили в силу - не забывайте про сроки давности. За "косяк" с оборудованием КИИ могут и через 5 лет спросить, документально оформленные результаты служебных расследований и выговоры админам очень облегчат работу следователю.

Комментариев нет:

Отправить комментарий