Преступление и наказание для владельцев критической информационной инфраструктуры РФ



    Вирус Petya/NotPetya/ExPetr в 2017 году был «хорошим» примером насколько крупный бизнес может пострадать от такого рода атаки, например, Maersk оценила ущерб от «Пети»:
    “We expect the cyber-attack will impact results negatively by USD 200–300m.”
    Мы ожидаем, что кибер-атака негативно повлияет на результаты в размере 200-300 млн долларов США

    Вы помните, что в середине 2017 был опубликован Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и этот закон вступил в силу с 1 января 2018 года, а вместе с ним вступили в силу изменения в Уголовный кодекс РФ.

    Думаю, вопрос ответственности за нарушение уголовного законодательства РФ является актуальным для тех, чья работа связана с критической информационной инфраструктурой (далее — КИИ).

    Внимание: в статье 2 картинки (одну вы видели) и много текста



    Согласно ст. 14 закона о безопасности КИИ: «Нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации».
    Уточним нормы законодательства РФ, в соответствии с которым наступает уголовная ответственность.
    В целях формирования нормативной базы в части уголовной ответственности за нарушения закона о КИИ законодатель внес изменения в Уголовный кодекс Российской Федерации, принятием отдельного Федерального закона N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.

    Как владельцев/эксплуатантов КИИ нас интересует части 3,4,5 ст. 274.1 УК РФ. Приведу текст частей 3,4,5 статьи 274.1 УК РФ полностью:

    ч. 3,4,5 ст. 274.1 УК РФ
    Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

    3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации,
    наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.


    4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения,
    — наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.


    5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия,
    -наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.



    Попробую провести анализ данных норм и привести возможное их применение в рамках судебной системы.
    В конце статьи приведены определения некоторых юридических понятий, необходимых для комментирования норм уголовного закона.

    Итак, для ч. 3, 4 и 5 ст. 274.1 УК РФ, предметом преступления является электронно-вычислительная машина (далее — ЭВМ), носитель информации, система ЭВМ, а также сети ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
    Объектом преступления выступают общественные отношения, по обеспечению нормальной работы, функционированию ЭВМ, сети ЭВМ, системы ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
    Объективная сторона преступления может быть, как действием, так и бездействием.
    Нарушение правил эксплуатации заключается в несоблюдении правил работы с ЭВМ, сетями и др. оборудованием, нарушением должностных инструкций, а также нарушением правил обращения с охраняемой компьютерной информацией.
    Нарушение правил эксплуатации может быть в форме активного действия, свежий пример: системный администратор аэропорта вычислял биткоины с использованием электрической сети аэропорта, так и бездействия, например: администратор не обновляет антивирусные базы.
    Деяние, описанное в ч.3 ст. 274.1 с субъективной стороны характеризуется виной как в форме умысла, так и неосторожности. По аналогии со ст. 274 УК РФ лицо предвидит причинение вреда КИИ РФ в результате „нарушения им правил эксплуатации, но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение последствий. Либо не предвидит указанных в законе последствий, хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть“. (6)
    Субъект данного преступления — специальный: вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ, либо к объектам, относящимся к КИИ РФ в силу исполнения должностных обязанностей и обязанный исполнять установленные правила эксплуатации.
    Обязательным признаком ч. 3 ст. 274.1 является общественно-опасные последствия в виде причинения вреда критической информационной инфраструктуре Российской Федерации.

    Обратите внимание, на формулировку причинение “вреда критической информационной инфраструктуре Российской Федерации”, здесь необходимо выделить слово «вред».
    Возникает вопрос, какого размера в денежном эквиваленте должны быть потери, чтобы их можно было отнести к категории „вред“?
    Стоит также обратить внимание, что в п. 2 ст. 272 УК РФ есть интересное примечание: “Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей”.
    При этом должна быть подтверждена причинно-следственная связь между фактом нарушения эксплуатации и причинением вреда.
    С учетом изложенного, а также того, что понятие „вред“ в денежном выражении, очевидно, уже понятия „крупный ущерб“ — можно сказать, что под размером “вреда” КИИ РФ законодатель скорее всего понимает ущерб меньше одного миллиона рублей.

    По аналогии со ст. 274 УК РФ: умышленные действия, повлекшие причинение вреда КИИ РФ (хищение отдельных компонентов, повреждение или уничтожение оборудования) не являются преступлениями, предусмотренными ст. 274.1 УК РФ – в этом случае деяния должны квалифицироваться по соответствующим статьям гл. 21 УК РФ.

    Ответственность за преступления, описанные ч. 3 ст. 274.1 УК РФ без квалифицирующих признаков, дифференцирована, и выбор остается за судом:
    — принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
    — либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
    Фактически суд может в одном варианте привлечь к принудительным работам с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности) либо к лишению свободы на срок до шести лет с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности).

    Части 4 и 5 статьи 274.1 УК РФ обладают рядом квалифицирующих признаков, рассмотрим их.
    Часть 4 статьи 274.1 УК РФ гласит следующее: «Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения».
    В данной части квалифицирующими признаками будут:
    — группой лиц по предварительному сговору или организованной группой;
    — лицо;
    — с использованием своего служебного положения.
    Здесь необходимо разъяснить понятие “использование своего служебного положения”. Позиция Пленума Верховного суда РФ в общем случае выглядит следующим образом: под лицами, использующими свое служебное положение, стоит понимать должностных лиц, служащих, а также лиц, осуществляющих управленческие функции в коммерческих и иных организациях. Более подробно можно ознакомиться в статье.
    Как можно заметить, что в данном составе преступления должна присутствовать группа лиц предварительно, сговорившаяся, или организованная группа, которая готовит или уже совершила преступление. Нужно понимать, что общественная опасность от такого рода деяний значительно возрастает, при этом законодатель вводит уточняющий квалифицирующий признак: «с использованием своего служебного положения». В совокупности группа лиц с использованием своего служебного положения может нанести более существенный вред.
    Стоит отметить, что организация группы для совершения преступления, так и участие в подобной группе является отдельным составом преступления и в рамках судебного преследования будет рассматриваться как отягчающее обстоятельство см. п. (в) ст. 63 УК РФ, а также ст. 35 УК РФ и ст. 210 УК РФ, соответственно наказание будет более суровым.
    Как уже выше отмечалось в ч. 4 ст. 274.1. есть другой квалифицирующий признак: «лицо, с использованием своего служебного положения».
    Указанная конструкция говорит, что в рамках ч. 3 ст. 274.1 лицом, которое может быть привлечено к ответственности, является не только непосредственный исполнитель, но и руководитель, в действиях которого есть такой состав преступления.
    Поэтому законодатель вводит более суровую ответственность за преступления с такими квалифицирующими признаками:
    наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

    В связи с тем, что в контексте исследуемого вопроса стоит обратить внимание на наличие такого риска как: совершение преступления с использованием своего служебного положения и одновременно создание преступной группы с использованием своего должностного положения, т.е. появляется такое лицо, как организатор. Указанные деяния буду отдельными составами преступлений, с соответствующей ответственностью, которая будет учтена судом по правилам ст. 69 УК РФ.

    Перейдем к рассмотрению ч. 5 ст. 274.1 УК РФ:
    “Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия”
    Как видим, появился еще один квалифицирующий признак “тяжкие последствия”.
    Краткий анализ судебной практики показывает, что единого подхода к определению понятия «тяжких последствий» с точки зрения размера ущерба в денежном выражении не выявлено (более подробно можно ознакомиться в статье), в каждом случае суд должен установить размер вреда/тяжесть последствий, исходя из обстоятельств дела, а также контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба, точно определить категорию последствия часто представляется крайне сложной задачей.
    Однако, стоит обратить внимание, что категория “тяжкие последствия” описывает очевидно более опасные последствия, чем “крупный ущерб”, который был рассмотрен выше и определен как “ущерб, сумма которого превышает один миллион рублей”.
    Одновременно с этим, несомненно, можно отнести к тяжким последствиям следующие события: гибель и серьезные травмы людей, разрушения инфраструктуры, повреждения зданий и сооружений, нанесению вреда безопасности государства и т.д.
    Описанная часть, определяет еще более существенную ответственность за деяния с такими последствиями:
    “наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового».

    Думаю, стоит также остановиться на формулировке в санкционной части норм ч. 3,4,5 ст. 274.1 УК РФ: «с лишением права занимать определенные должности или заниматься определенной деятельностью на срок … лет или без такового».
    С понятием «лишение права» все очевидно, может быть вынесен судебный запрет на замещение определенных должностей, например: руководящие должности или заниматься определенной деятельностью – например: оказывать услуги по защите информации. Срок действия запрета может носить как временный характер, так и бессрочный. Одновременно с этим у суда есть опция не включать в приговор судебный запрет на право занимать определенные должности или заниматься определенной деятельностью.

    В заключении нужно отметить, что при сложности и несовершенстве законодательной базы и отсутствии судебной практики за совершение преступлений, описанных в ч. 3,4,5 статьи 274.1 УК РФ могут нести ответственность как непосредственные исполнители, так и руководство юридических лиц/государственных органов.
    Размер ответственности законодатель логично ставит в зависимость от тяжести ущерба/последствий преступления, но по при этом не устанавливает правил градации определения тяжести последствий, оставляя данный вопрос на стороне судебной системы, которая в свою очередь может трактовать закон довольно широко.
    На рисунке ниже представлены основные моменты, отраженные в статье.



    Термины и определения
    Предмет преступления — это конкретная материальная вещь, в которой проявляются определенные свойства общественных отношений (объекта преступлений), путем физического или психического воздействия на который причиняется социально-опасный вред в сфере общественных отношений. (1)
    Объект преступления — это те поставленные под охрану уголовного закона общественные отношения, против которых направлено преступление.
    Объективная сторона преступления — это внешнее проявление конкретного общественно опасного поведения, осуществляемого в определенных условиях, месте, времени и причиняющего вред общественным отношениям.
    Субъективная сторона преступления — это психическое отношение лица к совершаемому им преступлению, которое характеризуется конкретной формой вины, мотивом и целью.
    Субъект преступления — признается вменяемое физическое лицо, достигшее определенного законодателем возраста, которое совершило запрещенное законом общественно опасное деяние, причинившее вред объекту уголовно-правовой охраны. (ст. 19 УК РФ).

    PS: дополнил название.
    Leges intellegi ab omnibus debent (лат.) — законы должны быть понятны каждому.

    Источники
    Нормативно-правовые акты
    (1) ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
    (2) «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 20.12.2017) (с изм. и доп., вступ. в силу с 01.01.2018).
    (3) ФЗ N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.

    Литература
    (1) с. 17, Коржанский Н.И. — Предмет преступления. — Волгоград, 1975.
    (2) «Комментарий к Уголовному кодексу Российской Федерации» (постатейный) (7-е издание, переработанное и дополненное) (под ред. Г.А. Есакова) («Проспект», 2017)
    (3) Уголовное право России. Общая часть: Учебник / Под ред. Ф.Р. Сундурова, И.А. Тарханова. – 2-е изд., перераб. и доп. – М.: Статут, 2016. – 864 с.
    (4) Уголовное право России. Особенная часть: Учебник / Под ред. Ф.Р. Сундурова, М.В. Талан. М.: Статут, 2012. – 943 с.
    (5) Статья: Наступление тяжких последствий в результате злоупотребления полномочиями. www.s-yu.ru/articles/2012/6/5903.html
    (6) Комментарий к Уголовному Кодексу Российской Федерации: stykrf.ru/274
    Share post

    Comments 61

      0
      что такое КИИ?
        0
        Критическая информационная инфраструктура.
          +2

          Статья сильно выиграла бы от расшифровки и этого термина, а то объект преступления не ясен.

            0
            Дополнил. Спасибо.
              +1
              А что это означает?
              И можно TL;DR для ленивых — кого, за что и на сколько могут посадить?
                0
                Вариантов может быть масса. Полагаю, если будет похожая история как с «Петром», то мы достаточно быстро увидим уголовное дело.
                В свете последней уязвимости процессоров и сложностями с ее устранением — это весьма вероятный вектор развития событий.

                  +1
                  Нашел определение в Консультант Плюс:
                  критическая информационная инфраструктура Российской Федерации (далее — критическая информационная инфраструктура) — совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий;

                  Выходит, что закон касается только государственной инфраструктуры? Если не связывать с госами, то риск поехать на нары минимальный?
                    0

                    Ну, если госы, например, используют коммерческие каналы, а вы их повредите...

                      0
                      Нет. В это новшество закона — он распространяется на частный бизнес тоже.
                      Большая часть этих компаний точно попадает в список www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017
                        0
                        Ну похоже попасть легко любому, даже если не работаешь в госструктуре или «крупной» компании: положить ГИС ГМП, СМЭВ (государственные) или ВТБ («крупная») можно на-раз, просто выполняя свои должностные обязанности.
                          0
                          Маятник качается, палка перегибается то в одну сторону, то в другую. Уголовные дела будут, и наверняка пострадают в том числе и невиновные — но, с другой стороны, уже реально достало всеобщее безнаказанное раздолбайство; достало видеть банки и крупные организации, живущие без бэкапов, без антивирусов, без обновлений.
                          Недавно делал аудит одной довольно крупной торговой сети, более ста магазинов по стране — оказалось, что там половина бизнес-критичных данных не бэкапится вообще. Просто потому, что не были распределены зоны ответственности — программисты думали, что этим должны заниматься системные администраторы, а системные администраторы не знали, что происходит на серверах у программистов и какие системы являются боевыми.
                          История с Петей — очень, очень хороший пример.
                            0
                            Не может быть в проде никаких «серверов программистов», и контуры разработки и работы должны быть физически разделены. И там уже сразу понятно становится, где чья сфера ответственности.
                              +5
                              Напишите «не должно быть» и я с Вами соглашусь.
                              На практике я знаю множество организаций, включая банки из первой сотни, где программисты пилят боевые сервера на ходу.
                                0
                                Хорошо, «не должно быть». Только банки же должны быть сертифицированы по PCI DSS, а там даже админов сильно ограничивают, не то что программеров.
                                Хотя по мне — в банках за такое стоило бы и сажать, за некомпетентность.
                                Хотя есть же ещё devops…
                                  0
                                  По PCI DSS сертифицируются только организации, работающие с карточками, а далеко не каждый банк имеет свой собственный процессинг. Даже выпуская карты под своим именем, банк может иметь статус Associate, т.е. взаимодействовать с платёжной системой через организацию-принципала. Это существенно дешевле.
                                  В итоге непосредственно процессинг может находиться у принципала и онлайн-обслуживание карт выполняет он, а в банк-ассоциат просто выгружается информация об остатках.
                                0

                                Контуры могут быть и разделены, но администраторы могут и не знать, например, что разработчики создали ещё одну базу данных на производственных серверах в ходе деплоя какой-нибудь миграцией, которую нужно бэкапить.

                                  0
                                  В нормальном проде просто не может быть такого. Даже если у программеров и есть доступ (чаще если есть вообще то уровня тимлид и выше, а те способны уведомить о любых работах и изменениях админов), то только уровня точечных правок, но никак не «создать еще базу в прод». И такой подход снимает кучу проблем, мы даже в достаточно небольшой вебстудии в этом убедились не раз.
                                    0
                                    Для реализации любого вменяемого подхода в организации должно быть вменяемое IT-руководство. А до сих пор не редкость, когда на позиции начальника ИТ (как и других начальников) ставят всяких зятьёв, двоюродных племянников и т. д.
                                    Ну или просто решают сэкономить на услугах хедхантеров, а тут приходит на собеседование весь такой благообразный чел, говорит много умных слов авада кедавра капекс, опекс, айтиль, кобит и прочее. Гендир фшоке, тут же подписывает приказ о найме, вуаля.
                                    Я видел в начальниках ИТ бывших проджект-менеджеров, например. Внедряли какую-нибудь ERP или хотя бы просто CRM, а потом решили переманить менеджера проекта — ну он же знает продукт. А то, что за рамками продукта есть ещё целая вселенная — ему неведомо. Однажды вообще попался ИТ-директором чувак с экономическим образованием, работавший до этого в HR-департаменте. Или наоборот — ставят вчерашнего эникея, которому просто не хватает кругозора для того, чтобы вникнуть во все перипетии работы IT в организации. Результат будет примерно тот же.
                                      0
                                      А потом программисты сделают chmod -R 777 / и после этого появляются уже деления контуров, разделение прав итд (у нас так было, тогда и разделили чётко дев и прод. А могло быть и rm -rf /*). Или не появляются, но нормальным людям в таких местах делать нечего.
                                      И пример выше — программисты творили что хотели, заливали свои базы, бэкапов не было, они понадобились, по итогам — сделали нормально или там нечего делать.
                                        0
                                        А потом программисты сделают

                                        Не сделают, потому что чинить всё равно придётся им. Ну разве что случайно, так от случайностей и админы не застрахованы. Я лично присутствовал при том, как едва не убили целый банк, переписав развалившейся схемой единственный бэкап. Просто копирование поставили не в ту сторону. Спасло только то, что вовремя опомнились — тейблспейсы с индексами похерились, а с данными не успели.

                                        нормальным людям в таких местах делать нечего.

                                        От того, что страус засунул голову в песок, окружающая действительность существовать не перестаёт. Мы сейчас обсуждаем подобные места не в контексте потенциального трудоустройства, а в контексте потенциальной применимости анальных кар, прописанных в новой законодательной норме.

                                        Я потому и говорю, что острого отторжения эта идея у меня не вызывает, хотя и понятно, что в свете «палочной» системы наказывать будут далеко не всегда тех, кого надо.
                                          +1
                                          Не сделают, потому что чинить всё равно придётся им.

                                          chmod был сделан специально, «а чего он мне на права ругается? Ну я сделал повыше, чтоб наверняка». Неужели такие нормально способны починить? То был не докер, а просто сервер. Можно придумать кучу вариантов, когда делалось в том числе специально, но без понимания что именно делается и последствий.

                                          Я лично присутствовал при том, как едва не убили целый банк, переписав развалившейся схемой единственный бэкап.

                                          За отстутствие/некорректные бэкапы никакой закон штрафовать не будет, а вот при факапе бизнес просто может перестать существовать. Законом можно наказывать только за дыры в работающей системе, но наказать можно не «приближенных» виновных, а крайних. Поэтому наказывать надо именно компанию, штрафами, большими, риском отзыва лицензий если такое предусмотрено (сотовые операторы, банки) итд. Сроком — только за майнеры на серверах.
                                            +1
                                            За отстутствие/некорректные бэкапы никакой закон штрафовать не будет, а вот при факапе бизнес просто может перестать существовать. Законом можно наказывать только за дыры в работающей системе,

                                            А вот следовало бы именно за это. Отсутствие бэкапа фактически можно приравнять к дыре, наряду с отсутствием апдейтов.
                                            По сути, это — подвергание риску инфраструктуры. Неважно, каким образом она подвергается риску — выставленной в инет виндой без апдейтов или отсутствием бэкапа для сервера БД. Факап инфраструктуры и в том, и в другом случае может повлечь за собой примерно равные последствия.

                                            Сроком — только за майнеры на серверах.

                                            А вот тут я как раз не соглашусь. Сервера принадлежат компании; если админ использовал средства компании в личных целях — это предмет разборок между ним и компанией. То есть лавка может вкатить ему иск за потраченное электричество и условный износ оборудования, может уволить нахрен — но к государству это отношения не имеет. Даже если сервера относятся к КИИ — наличие работающего майнера не создаёт угрозы безопасности.
                                              0
                                              Не знаю, куда делся мой комментарий, повторю вкратце.

                                              Отсутствие бэкапа фактически можно приравнять к дыре

                                              Нельзя. Для бизнеса — это только проблема бизнеса, и не рабочий или отсутствующий бэкап — может не проявиться никогда. Опять же, бэкап есть, на тот же диск где система. Или на отдельный диск в том же сервере. Вроде есть, а вроде и нет. Где регламенты, ГОСТы,..? А главное, кто и как это должен контролировать (хинт: должно быть у сисадмина в должностных обязанностях)

                                              Даже если сервера относятся к КИИ — наличие работающего майнера не создаёт угрозы безопасности.

                                              Создаёт. Вкратце — повышенный износ, перегрузка кондиционеров, питания.
                                                +1
                                                Для бизнеса — это только проблема бизнеса, и не рабочий или отсутствующий бэкап — может не проявиться никогда

                                                Если бизнес является КИИ (например, обеспечивает по госконтракту некую услугу), то отсутствующий бэкап может стать проблемой государства.
                                                Соответственно, требования к нему должны быть жёстче (ГОСТов тут не надо, а регламент должен быть прописан в госконтракте), и трахать за отсутствие бэкапа тоже должны жёстче.

                                                А так — дырка на винде без апдейтов, торчащей голой задницей в интернет, тоже теоретически может не проявиться никогда, хе-хе.
                                                  0

                                                  Если часть или всю инфраструктуру бизнеса отнесли к КИИ, то отсутствующий бэкап — это уже не только проблема бизнеса. Она уже касается государства. И государство будет разбираться почему нет бэкапа — потому что админ не исполняет должностные обязанности и кто-то этого не замечает, или потому что кто-то ему не прописал в них создание и проверку бэкапов. А может даже и без прописанных посадит админа, решив, что это его обязанности по дефолту.

                                        0

                                        Речь не про доступ, а про CI/CD-практики. Доступа прямого может и не быть, но закоммиченные в репозиторий скрипты миграции вполне могут создать ещё одну базу. А какие-нибудь docker-compose файлы и не только базу, но и новый сервер баз данных поднять.

                                    +1

                                    Особенно хорошо это будет работать с палочной системой у мусоров и прокуратуры, которые ищут крайних вместо виновных.

                                +2
                                DNS (в широком смысле), к примеру, у нас пока не «гос».

                                Но его отказ приведёт к «падению» тех же «госуслуг», «предназначенных для решения задач государственного управления».

                                как-то так.

                                Вангую новый вид наезда: принудительное отнесение бизнеса к КИИ.
                            0
                            Я тут писал статью про взлом почты, и коснулся темы этого закона со стороны операторов почты.
                            Видимо, никто не понял намека и обсуждать тему не стал.

                            Задам наводящий вопрос в более профильной теме здесь — а являются ли большие операторы почтовых служб РФ — Мэйл, Яндекс, Рамблер, да и сама Почта РФ, объектами КИИ РФ?
                              0
                              Почта РФ скорее да, чем нет. Отнесение остальных операторов будет зависеть от критериев оценки.

                              Есть такой проект документа: Проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»
                              regulation.gov.ru/projects#npa=73423
                                +1
                                Я думаю все зависит от того, чей ящик вы сломаете.
                                Если ящик, условно, рособоронэкспорта, который пользуется инфраструктурой Яндекса (или майла), то да. Вы взломали объект КИИ.
                                Если ящик Васи Пупкина — нет.
                                  0

                                  А если блокировал работу Яндекса и Мэйла в принципе? )

                                    0
                                    А вот тут вопрос…
                                    Даже если у вас был умысел, то доказать, что вы умышленно сломали яндекс что бы нанести урон рособоронэкспорту задача не тривиальная.
                                      0

                                      Если Яндекс отнесут к КИИ просто по факту охвата, то пострадал ли рособоронэкспорт дело десятое будет.

                                    0
                                    Неверно. Субъект то правоприменения один — или все, или ничего
                                      –1
                                      Ну так субъект есть ящик рособоронэкспортта. Где он — на яндексе или нет — не важно.
                            0
                            Дополнил. Спасибо.
                            +3
                            А что именно относится к КИИ РФ? Это где-нибудь расписано, или будет трактоваться в каждом отдельном случае по разному?
                            А то отключу я свою точку доступа дома, а потом окажется, что на ней висел условный отдел полиции №Х.
                            И из-за потери связи не смог в полной мере выполнять свои обязанности.
                              0
                              Есть такое определение. См. ниже.

                              объекты критической информационной инфраструктуры — информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;

                              Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы»
                                0
                                Очень уж оно расплывчатое, ну впрочем как и всё у нас. Т.е. эникея в банке коммерческом, порушившего сетку случайно, вполне можно насадить по части четвёртой (от 3 до 8)?
                                  0
                                  Это верхнеуровневый документ.
                                  Нет, часть 4 уже по своему составу уже предполагает наличие умысла и вполне сознательных действий.
                                  Эникею скорее ч.3 больше актуальна, хотя всегда возможны варианты.
                                  +3
                                  То есть вот мы — оператор связи. Стоит нам подключить абонента, относящегося к чему-то из списка, и техники/монтажники/админы ходят под вот этой ответственностью, правильно я понимаю?
                                    0
                                    Сфера действия закона о кии:
                                    «Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак
                                    В некоторых случаях техники/монтажники могут попасть под действие закона, админы в полной мере.

                                    Если вы оператор связи и крупный федеральный или может региональный, но занимаете большую долю рынка в регионе, то скорее сами по себе являетесь обладателем критическое инфраструктуры.
                                    Если вы единственный оператор связи для объекта КИИ, то тоже. (на основании проекта критериев значимости кии — как его утвердят, будет понятно точно).
                                0
                                del/веткой промазал/
                                  0
                                  также информационные системы… функционирующие в… кредитно-финансовой сфере


                                  Получается, что банки к этому тоже относятся, и можно больно получить за «взлом» какого-то интернет-банка или сервиса банка?

                                  И более интересный вопрос: можно ли заставить банк исправлять уязвимости? Или эти законы работают только в одну сторону?
                                    +1
                                    Да.
                                    Будет зависеть от того, что за банк и что конкретно произошло. Если банк крупный и его деятельность сильно пострадала, то будут искать ломателей и ИТ банка тоже по шапке получит. Поэтому ИТ банка в свете закона должно будет заинтересовано закрывать насколько возможно уязвимости. (но нужно понимать, что не все уязвимости можно технически закрыть).
                                      0
                                      Спасибо, это довольно интересно. А в свете новых законов IT банка не получает по шапке, если кто-то сначала сообщил об уязвимости, а после отсутствия реакции раскрыл ее публично (очень частая история)? И кто является инициатором преследования по закону? Руководство коммерческой организации?
                                        +1
                                        Спасибо. Что вы имеете в виду под уязвимостью: Полный путь проникновения в систему банка или уязвимость в ПО разработчика?
                                        Вопросы вы задали интересные и одним комментарием сложно ответить. Обдумаю их более подробно и наверное напишу отдельный пост на эту тему.
                                          0
                                          Спасибо, будет очень круто: до этого не видел материалов, объясняющих ответственности или ее отсутствия за то, что какая-то уязвимость не исправлена.
                                          Пример реальной ситуации: в двух банках из 10 крупнейших я знаю о существовании уязвимостей, благодаря которым можно получить доступ к данным о счётах пользователя (счёт, баланс, покупки, отдельно идут личные данные). Поэтому и стало интересно, несёт ли кто-то за это серьёзную ответственность.

                                          Насколько я знаю, в Китае тоже делают что-то подобное с критичной инфраструктурой.
                                          0

                                          Скорее всего органы власти точно могут быть инициаторами начала уголовного разбирательства даже без наличия заявлений от потерпевших. Статья публичного обвинения.

                                            0
                                            Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в этом поможет.
                                      +1
                                      Ну написали закон, а что далее?
                                      Неужели какой-то там очередной закон моментально закроет все дыры от уязвимостей нулевого дня, а также Hardware-уязвимости Intel/AMD/ARM процессоров???
                                      Ахах, не смешите мои тапочки!
                                      А может Кирилу нужно кадылом помахать да святой водичкой сверху закон окропить?
                                      Тогда будет полная инф. безопасность, инфа 146%
                                      Думаю, тут больше копают под майнеров.
                                        +1
                                        Думаю, тут больше копают под майнеров.

                                        Будут сажать за блокировки банков через реестр Роскомпозора, которыми народ развлекался в прошлом году. Чинушей из РКН, естественно, никто виновными не сделает.
                                          0

                                          Закон дыры не закроет, но позволит, например, наказывать работников, которые надлежащим образом не реагируют на сообщения о дырах. Это в теории, конечно.

                                            –2
                                            Просто наличие уголовного кодекса уже дисциплинирует многих.
                                              0
                                              Думаете трутни сразу поувольняются?
                                              Скорее придумают как спихнуть ответственность на других. А нормальных сотрудников это демотивирует проявлять всякую инициативу за пределами ДИ.
                                                0
                                                Конечно нет — это фантастика. Здесь больше вариантов.
                                                Есть мнение, что при отсутствии угрозы наказания за преступления, количество людей, совершающих преступление увеличится.
                                                Возьмем пример кражи. Есть люди которые не будут красть, т.к. считают это неприемлемым, есть которые будут красть всегда, а есть которые при возможности украсть и наличии наказания подумают, а нужно ли им это?
                                                Таки и с этой историей. Кто-то спихнет обязанности на других, кто-то откажется их исполнять или сменит компанию не более спокойную, кто-то будет более вдумчиво подходить к тому, что делает.
                                                Я надеюсь, что какой-то положительный эффект будет.
                                                  0
                                                  Я считаю, что вреда от этого будет значительно больше. По сути это наказание инженеров за ошибки, в том время как западная философия их наооборот поощряет как источник развития и новых идей.

                                                  А в качестве вишенки на торте статья про самый гуманный и справедливый.
                                                    0
                                                    Читал как-то эту статью. Есть еще хороший материал . В конце есть сводная инфографика, к сожалению, только в абсолютных цифрах.

                                                    Скажу так, в УК РФ нет ни одной статьи, которая запрещает что-либо делать, в статьях есть ответственность за определенные составы преступлений.

                                                    Относительно новых идей, экспериментов и ошибок.

                                                    Предлагаю такой пример.
                                                    В труднодоступном регионе из-за внутрибольничной инфекции нескольким новорожденным требуется немедленная помощь. В таких случаях обычно вызывают вертолет для транспортировки в областной центр и вопрос оперативно решается.
                                                    В результате некорректной настройки инженером сети (недостатка квалификации/как было установлено потом, желания поэкспериментировать с настройками) и отсутствия бэкапов настроек в удаленном труднодоступном регионе не было сотовой связи больше суток (это был единственный способ связи). Инженер живет в соседнем районе и знает о том, что сотовая связь является единственным способом связи. Вертолет в результате вызвать не смогли/машина отправленная за помощью не успела.
                                                    В результате несколько новорожденных погибли, при наличии связи у новорожденных вероятность выжить была бы выше.

                                                    Кого суд должен признать виновными в гибели новорожденных?
                                                      0
                                                      Хм, пошел читать определение халатности (ст. 239 УК РФ), а там всё уже есть. Тогда к чему новый закон?
                                                        +1
                                                        Вот комментарий к статье Халатность УК РФ.
                                                        Этот состав преступления, является более общим по отношению к остальным составам преступления, связанным с нарушением правил. Как пример, нарушение правил ведения строительных работ.
                                                        С ст. 274.1 УК РФ аналогичная история (является специальным составом преступления по отношению к халатности), при этом данная статья предполагает более суровое наказание за наступление тяжких последствий.

                                        Only users with full accounts can post comments. Log in, please.