ПОЛНОМОЧИЯ ОРГАНОВ ВЛАСТИ В ОБЛАСТИ КЛЮЧЕВОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Вступивший в силу федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" [1] наделяет ФСТЭК правом согласовывать категорию для значимых объектов ключевой информационной инфра­структуры (далее КИИ). ФСТЭК также наделена правом проводить плановые и внеплановые проверки. Формально плановая проверка может проводиться не ранее чем через три года после категорирования ключевой информационной инфраструктуры [4] и при этом повторная проверка может проводиться еще не раньше чем через три года [5]. Если в результате проверки найдены какие-то недостатки, субъекту дают месяц или два на устранение, и через указанный период уже могут прийти с внеплановой проверкой, чтобы посмотреть что же субъект сделал в рамках плана устранения выявленных недостатков. Однако, если например произошел компьютерный инцидент, приведший к каким-то негативным последствиям, то это уже основание для проведения внеплановой проверки (даже если субъект еще не прошел процедуру категорирования).

Проверка включает в себя не просто проверку документов, а проверку на практике действительно ли эти требования выполняются. Помимо этого проверки могут проводиться по распоряжению президента и правительства, либо проверку может инициировать прокуратура.

Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" вводится такое понятие как оценка безопасности объекта КИИ. Это такая косвенная и явная форма проверки, которую проводит ФСБ. ФСБ при проведении проверки будут интересовать уже практические аспекты защиты КИИ. ФСБ будет выяснять вопросы: почему происходил компьютерный инцидент, почему субъект не смог отреагировать и т. д. Для проведения проверки органы власти используют различные источники информации, это и сведения которые сам же субъект сообщает о себе в рамках инвентаризации информационной системы (далее – ИС) в ГосСОПКА [3], это может быть и сведения [8] о составе програм­мных и аппаратных средств значимого объекта (далее – ЗО) КИИ включенные в реестр КИИ [7], который ведет ФСТЭК.

В рамках ФСБ, создано специальное подразделение, которое занимается практической оценкой защищенности, данное подразделение делает фактическое тестирование на проникновение. При этом о выяв­ленных недостатках ФСБ обязана в рамках закона сообщать в ФСТЭК, которая в свою очередь будет использовать данную информацию при проведении надзорных действий.

В результате реализации полномочий, оба надзорных органа «зажимают» субъект КИИ. ФСТЭК устанавливает требования и прове­ряет их формальное исполнение, а ФСБ проверяет исполнение этих требований на практике. При таком подходе, в случае реализации компьютерного инцидента, в ходе его расследования сотрудники ФСБ будут иметь все объективные данные о возможных нарушениях требо­ваний ФСТЭК, способствующих реализации компьютерного инцидента. Подразумевается двусторонний обмен информацией о КИИ между ФСБ и ФСТЭК.

Федеральный закон от 26.07.2017 N 194-ФЗ была введена уголовная ответственность за причинение вреда объектам КИИ [2]. Субъектам необходимо обратить внимание на ст. 274.1 ч. 3 УК РФ «нарушение правил обработки информации в КИИ РФ, нарушение правил эксплуатации информационных систем …. относящихся к КИИ РФ, либо правил доступа к указанным информации, информационным системам …. если оно повлекло причинение вреда КИИ РФ наказы­вается лишением свободы на срок до шести лет», группой лиц либо лицом с использованием служебного положения лишение свободы до восьми лет, с тяжкими последствиями до десяти лет лишения свободы.

У субъекта КИИ есть две обязанности - категорирование объектов [4] с присвоением категории и за это санкций не предусмотрено. Теоретически субъект может занизить оценку либо не сообщить о каких-то своих объектах КИИ. На этапе категорирования ФСТЭК не будет располагать дополнительной информацией об объектах КИИ субъекта, и соответственно не будет санкций за эти деяния. Если произошел компьютерный инцидент, наказывать будут за невыполнение требований, выполнение которых могло бы пред­отвратить компью­терный инцидент. Самый характерный пример - это не установка обновлений программного обеспечения. Если в результате расследования компьютерного инцидента выяснилось, что проникно­вение произошло, используя уязвимость, устраняемую обновлением доступным уже пару месяцев, что является невыполнением требований - это уже сразу будет объективной стороной преступления предусмотрен­ного УК РФ. За систематическую не установку обновлений можно получить реальный срок. При этом опыт судебной практики по уголовным делам сфере компьютерных преступлений, показывает, что субъектом уголовного преступления становится ИТ-персонал, если будет доказано, что вот эти нарушения выполнены самовольно, и в нарушении политики информационной безопасности принятой на предприятии.

Согласно требований организационно-технические меры обеспе­чения безопасности КИИ делятся на базовые и дополнительные [9]. В случае классификации значимого объекта по 3 категории значи­мости [4], у субъекта определяется базовый набор мер, который он обязан применить в любом случае. Однако кроме этого субъект должен провести анализ угроз и принять дополнительные меры защиты, которые пред­назначены для защиты от этих угроз. Если субъект применил только базовые меры защиты и не предусмотрел например защиту от хакерских атак - это не значит что субъект выполнил все требования. В данном случае аттестация [6] объекта всего лишь подтвердит, что субъект выполнил требования, которые сам заявил, но он не подтвердит, что субъект обеспечил выполнение всех мер, которые необходимы в данной ситуации.

Соответственно компьютерные инциденты с тяжкими и общест­венно значимыми последствиями начинают представлять угрозу владельцем информационных систем. Если в результате компьютерного инцидента появляются реальные пострадавшие люди - которые не смогли вовремя улететь из аэропорта, лишились билетов, самолеты не смогли сесть на аэродром или взлететь и т. п. инцидент приобретает общественную значимость, и уже просто исполняя свои обязанности к данному компьютерному инциденту автоматически подключиться прокуратура и как следствие возбуждение уголовного дела.

В результате в рамках реализации систем защиты информации необходимо сделать акцент не на системе реагирования на компью­терные инциденты, а на предупреждение самих компьютерных атак.

В методическом документе генеральной прокуратуры по квалификации преступлений в сфере высоких технологий нет четкого определения критерия, что такое тяжкие последствия, но там присутствует фраза, что тяжесть последствий должна учитываться «с учетом причинения материального ущерба, серьезное нарушение деятельности предприятий, наступление аварий и катастроф, причинение тяжкого вреда здоровью людей или смерти, уничтожение, блокирование, модификация или копирование привилегированной информации особой ценности, реальность созданной угрозы и др.» [10]. Таким образом, решение о том, что являются ли последствия тяжкими, относится к компетенции прокуроров, на основании внутреннего убеждения.

Субъектам КИИ следует провести тщательную работу по категорированию значимых объектов КИИ, и разработать и внедрить соответствующую систему защиты. Достаточно самонадеянно надеяться на то, что тяжких последствий просто не может произойти. В судебной практике по уголовным делам, связанным с вирусописательством, можно усмотреть, что к тяжким последствиям относятся инциденты, связанные с ущербом в несколько миллионов рублей, но в случае с КИИ тяжкий ущерб не ограничивается экономическим ущербом, например остановка воздушного сообщения на взгляд автора однозначно будет трактоваться как тяжкие последствия. Спектр трактовок очень широк, и у прокуратуры очень большие возможности по применению таких трактовок, поэтому лучше избегать компьютерных инцидентов, которые могут вызвать общественный резонанс.

Список литературы:

1. Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
2. Федеральный закон от 26.07.2017 N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" // СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
3. Указ Президента РФ от 22.12.2017 N 620 "О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"// СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
4. Постановление Правительства РФ от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфра­структуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"// СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
5. Постановление Правительства РФ от 17.02.2018 N 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфра­структуры Российской Федерации" // СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
6. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 15.02.2017) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"// СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
7. Приказ ФСТЭК России от 06.12.2017 N 227 "Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации" // СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
8. Приказ ФСТЭК России от 22.12.2017 N 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий"// СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
9. Приказ ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» // СПС "КонсультантПлюс"// СПС "КонсультантПлюс" (Дата обращения: 21.05.2018).
10. Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. [Электронный документ], URL: https://genproc.gov.ru/documents/nauka/execution/document-104550/ (Дата обращения: 21.05.2018).