Журнал "Information Security/ Информационная безопасность" #1, 2022

Юридическая ответственность и ее виды Напомню, что юридическая ответ- ственность – это применение к правона- рушителю предусмотренных санкцией юридической нормы мер государствен- ного принуждения, выражающихся в форме лишений личного, организацион- ного либо имущественного характера 1 . Юридическая ответственность бывает нескольких видов: уголовная, админи- стративная, гражданско-правовая, дис- циплинарная и материальная 2 . Для субъектов КИИ (как субъектов юридической ответственности) наиболее актуальными являются уголовная, адми- нистративная и гражданско-правовая ответственность. В части гражданско- правовой – каких-либо особенностей для субъекта КИИ нет. Следует лишь отметить, что в результате компьютер- ного инцидента может быть причинен реальный ущерб и/или моральный вред, например в случае утечки персональных данных из информационной системы, являющейся объектом КИИ. Уголовная и административная ответ- ственность, помимо общих норм, свя- занных с наказанием за совершение киберпреступлений (статьи 272–274 УК РФ 3 ) и правонарушений в сфере защиты информации (статьи 13.11, 13.12, 13.13, 13.14, 13.14.1, 19.7 КоАП РФ 4 ) имеют ряд специализированных в части КИИ составов. Рассмотрим их более под- робно. Уголовная ответственность в сфере КИИ С 1 января 2018 г. вступила в силу специальная статья УК РФ, посвященная охране критической информационной инфраструктуры – ст. 274.1. "Неправо- мерное воздействие на критическую информационную инфраструктуру Рос- сийской Федерации", содержащая опи- сание трех основных составов преступ- ления, один из которых является фор- мальным (ч. 1), то есть для его примене- ния достаточно выполнения описанных в нем действий, а остальные (ч. 2 и 3) – материальными, требующими наличия вреда, а также двух квалифицированных составов (ч. 4 и 5): 1. Состав с отягчающими обстоятель- ствами, который, помимо признаков основного состава, содержит специ- альные признаки, увеличивающие нака- зуемость по сравнению с основным составом (квалифицированный состав). 2. Состав с особо отягчающими обстоятельствами, придающий преступ- лению более высокую общественную опасность (особо квалифицированный состав). Части 1, 2 и 3 ст. 274.1 УК РФ практи- чески полностью дублируют первые части ст. 272, 273 и 274 УК РФ, разница лишь в предмете преступного посяга- тельства. Если в ст. 272–274 предметом является любая информационная инфра- структура, то в ст. 274.1 – только та, которая отнесена, в соответствии с зако- нодательством, к критической. По сути, ст. 274.1 не является какой- то новеллой, а представляет собой сборник статей гл. 28 "Преступления в сфере компьютерной информации" УК РФ применительно к сфере КИИ. Об этом, в частности, свидетельствует и судебная практика. Так, согласно материалам исследования судебной практики по преступлениям, связанным с неправомерным воздействием на критическую информационную инфра- структуру Российской Федерации, про- веденного компанией InfoWatch 5 , в 2021 г. по одному из уголовных дел, возбужденных по ст. 274.1 УК РФ, обвинение в итоге было предъявлено по ст. 273 УК РФ. Статистика уголовных дел по ст. 274.1 УК РФ, согласно исследованию компа- нии InfoWatch, выглядит следующим образом: 2019 г. – 4 уголовных дела, 2020 г. – 12 уголовных дел, 2021 г. – 17 уголовных дел. Самой строгой мерой наказания по ст. 274.1 УК РФ за 2019– 2021 гг. стало наказание в виде услов- ного осуждения на срок три года и штра- фа в размере 70 тыс. руб. Помимо предмета преступного пося- гательства отличие ст. 274.1 УК РФ от других статей содержится еще и в под- следственности: предварительное след- ствие по уголовным делам, возбужден- ным по данной статье, производится следователями ФСБ России 6 . Переходя к ответственности субъекта КИИ, хотелось бы коснуться ч. 3 ст. 274.1 УК РФ, традиционно считающейся содержащей состав преступления, пред- усматривающий ответственность субъ- екта КИИ. Проведенный автором анализ показывает, что такое мнение не совсем верное. Суть данной нормы в том, что уголовной ответственности подлежит лицо, нарушившее правила эксплуата- ции и/или доступа к компонентам крити- ческой информационной инфраструкту- ры, что повлекло причинение вреда охраняемым законом интересам, то есть, по сути, интересам субъекта КИИ, уста- новившего эти правила. Иными словами, ч. 3 ст. 274.1 УК РФ содержит состав, 12 • В ФОКУСЕ Юридическая ответственность субъекта КИИ рошлый, 2021-й, год был “богат” на внесение серьезных изменений в законодательные акты по вопросам безопасности критической информационной инфраструктуры, в том числе и касающиеся ответственности за нарушение законодательства. Попробуем разобраться, какая ответственность и за какие действия (бездействие) предусмотрена для субъектов КИИ. П Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности 1 Теория государства и права. Учебник для юридических вузов и факультетов. Под ред. В.М. Корельского и В.Д. Перевалова. М.: Издательская группа ИНФРА–М—НОРМА. 1997. 2 Согласно наиболее распространенной на практике классификации по отраслевому признаку. 3 Уголовный кодекс Российской Федерации 4 Кодекс об административных правонарушениях Российской Федерации. 5 https://www.infowatch.ru/analytics/analitika/issledovanie-sudebnykh-del-o-nepravomernom-vozdeystvii-na-kii 6 Федеральная служба безопасности Российской Федерации.

RkJQdWJsaXNoZXIy Mzk4NzYw