Получите обновленное ПП127. Разбор проекта НПА.

     После рассмотрения сопроводительных документов к проекту изменений в ПП127 и оценки озвученных целей этих изменений - https://valerykomarov.blogspot.com/2021/07/127.html, пришла пора обсудить сам текст проекта Постановления Правительств от ФСТЭК.

    С 2019 года практика применения ПП127 уже сложилась, появилось много замечаний и предложений по доработке Правил категорирования второй редакции. Эти пожелания неоднократно озвучивались представителями субъектов КИИ и находили отклик от представителей ФСТЭК на публичных мероприятиях. Начиная от простейших вопросов с неоднозначностью внесения изменений в Печень объектов КИИ, подлежащих категорированию и заканчивая инициативой самой ФСТЭК по методическому обеспечению организации работы постоянно действующей комиссии по категорированию субъектов КИИ. А видим полное отсутствие попыток как-то улучшить ситуацию при внесении изменений в ПП127. Проблемы субъектов КИИ, вызванные качеством ПП127, ФСТЭК не интересны. Оказывается все дело в малом количестве надзирателей за субъектами КИИ. Пропасть между регуляторами и субъектами демонстрируется наглядно.

Получите обновленное ПП127. Разве таких перемен мы ждали?

 

   Проект постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127» https://regulation.gov.ru/projects#npa=118306 

    До 5 августа 2021 года есть возможность подать свои предложения и замечания, проявляем активную гражданскую позицию.

Страна одна, а квалификация компьютерных преступлений разная.

   

   "Пробив" абонентов операторов связи в последние два года активно карается ФСБ как "неправомерный доступ к информации, обрабатываемой ОКИИ, повлекший вред КИИ" и квалифицируется по ст.274.1 УК РФ. https://valerykomarov.blogspot.com/2020/09/2741.html

     Примеры: Магнитогорск "Кроме того, он в период с сентября по декабрь 2020 года без судебного решения и согласия абонентов получил 6 детализаций телефонных соединений и передал их неустановленному лицу. На сотрудников компании возбуждено два уголовных дела: по ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ) и по ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений)".

    Волгоград:"Судом установлено, что в период с 2018 по 2020 гг. директор магазина сотовой связи, 33-летняя Марина Д., используя служебное положение, незаконно получала сведения о телефонных переговорах абонентов, а также их персональные данные, и предоставляла их иному лицу за денежное вознаграждение, из расчёта 500 рублей за детализацию одного абонентского номера. Всего подсудимой были незаконно получены сведения, составляющие тайну телефонных переговоров, в отношении 40 абонентов. Приговором Краснооктябрьского районного суда г.Волгограда Марина Д. признана виновной в совершении преступлений, предусмотренных ч.2 ст. 138 УК РФ, ч.4 ст. 274.1 УК РФ."

   Калуга "Следствием установлено, что подозреваемый, работая в одном из офисов продаж компании сотовой связи, имел доступ к сведениям о детализации телефонных соединений, установочным данным абонентов и иной информации. указанные неправомерные действия квалифицированы по ч. 4 ст. 274.1 УК".

  Новокузнецк " в период с сентября по октябрь 2020 года обвиняемая в одном из интернет-каналов увидела объявление о денежном вознаграждении за предоставление сведений о телефонных соединениях абонентских номеров сотовой компании. Будучи специалистом салона связи, молодая женщина решила подзаработать. Она связалась с не установленным следствием лицом, которое сообщило ей 4 номера сотовых телефонов, детализацию разговоров с которых необходимо предоставить. После чего женщина, используя служебное положение, осуществила доступ к базе данных и скопировала необходимую информацию. Затем она отправила данные сведения заказчику электронной почтой. О преступной деятельности работника салона связи стало известно сотрудникам УФСБ России по Кемеровской области  – Кузбассу. ..в совершении 4 эпизодов преступления, предусмотренного ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения), 4 эпизодов  преступления, предусмотренного  ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование  компьютерной информации, совершенный лицом с использованием своего служебного положения), ч. 4 ст. 274.1УК РФ (неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, совершенное лицом с использованием своего служебного положения)."

  Аналогичная квалификация преступлений отмечена в Владикавказе и Екатеринбурге.

  МВД же квалифицирует "пробив" совсем по другой статье УК РФ - ст.272 УК РФ

    Ранее уже приводил примеры - https://valerykomarov.blogspot.com/2021/03/blog-post_29.html ,

https://valerykomarov.blogspot.com/2020/12/blog-post.html , https://valerykomarov.blogspot.com/2021/07/blog-post_19.html и наказание суд выносит намного мягче, чем за КИИ.

  Интересно, что у ФСБ есть аналогичный опыт - https://valerykomarov.blogspot.com/2020/11/blog-post_13.html

   И вот очередные примеры из судебной практики. Свежие - конец прошлого года, разные регионы страны. Полностью отсутствует квалификация по ст.274.1 УК РФ,  а наказание  -  20 000 рублей штрафа и освобождение от уголовной ответственности. И такая квалификация по ст.138 и ст. 272 УК РФ выглядит намного логичнее и обоснование, чем квалификация по ст.274.1 УК РФ, когда под "вред КИИ" обвинение выдает - "дискредитации деловой репутации ПАО «МТС», выразившийся в разглашении конфиденциальных сведений об абонентских соединениях физических лиц - пользователей ПАО «МТС».

Конфликтовать с начальником СБ очень дорого.

   С одной стороны классический пример логичной квалификации "пробива" абонента работником оператора связи по ст.138 УК РФ без совершенно избыточной 274.1 УК РФ, но с другой - такая интрига в сюжете. Пробивать телефон начальника СБ своей же компании? И это намного интереснее. Выглядит как образец инициативного подхода начальника службы безопасности, который не смог "подкрепить" экономическую статью обвинения и пошел другим путем. Этакий осовремененный метод Жеглова. Но ничего не поделаешь, два суда уже указали что это домыслы преступника. 

И снова про субъект КИИ - волгоградский Ростелеком

  

 Уже дважды подходил к этому уголовному делу - https://valerykomarov.blogspot.com/2021/07/blog-post_6.html

   И вот два исходных судебных документа нашлись. Теперь можем работать с первоисточниками.

"Указанными противоправными действиями Ф.И.О.1 причинен вред критической информационной инфраструктуре Российской Федерации, выразившийся в копировании базы персональных данных абонентов оператора связи (ПАО «Ростелеком») и их переходу к конкурирующей с ним структуре - компании оператора связи ПАО «Вымпел-Коммуникации»."

  И в добавок, решение суда об освобождении от уголовной ответственности за коммерческую тайну, причем прокурор был против.

  Выглядит вся эта ситуация очень странно.

  А уж как выглядит позиция приглашенного свидетеля (эксперта)! Особенно в части трактовки "вреда КИИ". Вот очень жаль, что скрыт номер ФЗ на который эксперт скрывается.

В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

   

    Судя по отчетам ФСТЭК, ситуация с лицензиатами ТЗКИ находится с 2017 года на очень печальном уровне. Почти у половины проверенных в плановом режиме (то есть - лицензиат заранее знает что к нему придут) выявляют существенные нарушения установленных требований! Как результат видим усиление бюрократизма при аттестации, когда вводят требования к дополнительной отчетности и все. Вопросов с целью и эффективностью лицензирования деятельности по ТЗКИ возникает все больше, но за 4 отчетных года не видно никаких попыток регулятора изменить подход и системно подойти к решению проблемы. Видимо всех все устраивает. Ждем отчет за 2021 год, ФСТЭК за первое полугодие уже проверило в два раза больше лицензиатов, чем в прошлом году.

Обвиняемый по ст.274.1 УК РФ оправдан в суде

 

   Кировский районный суд Перми своим решением создал прецедент - обвинение в совершении преступления по ч.4 ст.274.1 УК РФ было снято. Интересно, а будет прокуратура обжаловать и настаивать на наказание в 4 года условно?

Все тайное со временем станет явным.

    

    С течением времени получается найти материалы по уже вынесенным уголовным приговорам по ст. 274.1 УК РФ. Жаль, что не функционируют нормально информационные базы по судебным решениям. Итоги судебной практики на начало июля  - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-2-kvartal-2021-goda-60e20f977671f13f01a68c9b.

Самообразование работника субъекта КИИ наказано!

 

   Обвинений по ч.3 ст.274.1 УК РФ в "чистом" виде пока редкость в судебной практике. Тем интереснее рассмотреть, а  что же вменили преступникам и за какие действия. Ведь именно эта часть статьи УК РФ - главная страшилка для субъектов КИИ.