понедельник, 16 апреля 2018 г.

Уголовная ответственность за нарушение правил эксплуатации





         Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по п.3 Ст.274.1 "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации". Статья новая и прецедентов ее применения пока нет.
 




         Начать обсуждение данной статьи УК РФ считаю целесообразным с анализа применения следственными органами статьи-прародительницы:
         Ст. 274 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб".
       Отметим, что под "компьютерной информацией" понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи, а "крупным ущербом"  признается ущерб, сумма которого превышает один миллион рублей.
      Согласно п.3 Ст. 151 УПК РФ предварительное следствие производится следователями органов внутренних дел Российской Федерации, но, если такое преступление выявит орган ФСБ, то согласно п.7 Ст.151 УПК РФ может и следователь ФСБ.
      Очень интересную позицию выразила Генпрокуратура в своих "Методических рекомендациях по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации":
      Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из последствий:а) уничтожение информации - это приведение информации или ее части в непригодное для использования состояние независимо от возможности ее восстановления. Уничтожением информации не является переименование файла, где она содержится, а также само по себе автоматическое "вытеснение" старых версий файлов последними по времени;б) блокирование информации - результат воздействия на компьютерную информацию или технику, последствием которого является невозможность в течение некоторого времени или постоянно осуществлять требуемые операции над компьютерной информацией полностью или в требуемом режиме, то есть совершение действий, приводящих к ограничению или закрытию доступа к компьютерному оборудованию и находящимся на нем ресурсам, целенаправленное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением;в) модификация информации - внесение изменений в компьютерную информацию (или ее параметры).г) копирование информации - создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме - от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.       Субъект преступления общий - вменяемое лицо, достигшее шестнадцати лет.       Ключевые моменты:      Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существуетПравила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.       Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности. В ней говорится о нарушении правил, которое может повлечь уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, то есть такие же последствия, что и при неправомерном доступе к компьютерной информации, создании, использовании и распространении вредоносных программ для ЭВМ.

     В ч. 2 ст. 274 УК РФ предусмотрен квалифицирующий признак рассматриваемого состава преступления - наступление тяжких последствий или создание угрозы их наступления.                  Следует учитывать, что в случае наступления тяжких последствий данный квалифицированный состав преступления является материальным, то есть деяние окончено с момента наступления общественно опасных последствий, а если создана угроза их наступления, то состав является усеченным.
     При этом тяжесть последствий должна определяться с учетом всей совокупности обстоятельств дела (причинение особо крупного материального ущерба, серьезное нарушение деятельности предприятий и организаций, наступление аварий и катастроф, причинение тяжкого и средней тяжести вреда здоровью людей или смерти, уничтожение, блокирование, модификация или копирование привилегированной информации особой ценности, реальность созданной угрозы и др.).

   Итог
1.Занимается МВД.
2.Ответственность с 16 лет.
3.Наказывают за нарушение правил эксплуатации, которые направлены на обеспечение ИБ. Выборочно, не за все. Необходимо доказывать прямую связь нарушение -ущерб.
4.Правила эксплуатации могут быть описаны в любом официальном документе, не обязательно в инструкции или регламенте.
5. Статья применяется только при нанесенном ущербе ИНФОРМАЦИИ более 1 000 000 рублей. Стоимость ущерба надо доказывать.
6. Статья " не большой тяжести". Срок давности - 2 года.
        В следующей заметке рассмотрим реальное уголовное дело по Ст.274 УК РФ, которое явно показывает роль вышеуказанных нюансов в жизни обвиняемых.
* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

Комментариев нет:

Отправить комментарий