CC BY
1Закон и право. 2024. № 6. С. 229-233. Law and legislation. 2024;(6):229-233.
Научная статья УДК 343.34
https://doi.org/10.24412/2073-3313-2024-6-229-233 EDN: https://elibrary.ru/ACMCWX
NIION: 1997-0063-6/24-337 MOSURED: 77/27-001-2024-6-537
Функционирование значимых объектов критической информационной инфраструктуры как объект преступлений, предусмотренных статьей 274.1 УК РФ
Даниил Сергеевич Мирный
Всероссийский государственный университет юстиции (РПА Минюста России), Москва, Россия, 79260558027@yandex.ru
Аннотация. В статье исследуются отдельные вопросы квалификации преступлений, предусмотренных ст. 274.1 УК РФ, в части установления одного из возможных объектов таких посягательств — нормального функционирования значимых объектов критической информационной инфраструктуры Российской Федерации. На базе анализа действующего законодательства предпринимается попытка классификации существующих категорий объектов критической информационной инфраструктуры в зависимости от социальной значимости их нормального функционирования.
По результатам классификации сформулирован вывод о большей общественной опасности посягательств на значимые объекты критической информационной инфраструктуры, что требует учета при квалификации. Отдельное внимание обращается на повышенную общественную опасность посягательств на функционирование государственных информационных систем и ресурсов, а также объектов критической информационной инфраструктуры в сфере связи. С учетом этого предлагается внесение соответствующих корректировок в статью 274.1 УК РФ.
В процессе исследования использовались методы: формально-логический, сравнительно-правовой, буквального толкования.
Ключевые слова: госзакупки, информационная безопасность, информационная инфраструктура, общественная опасность, социальная ценность.
Для цитирования: Мирный Д.С. Функционирование значимых объектов критической информационной инфраструктуры как объект преступлений, предусмотренных статьей 274.1 УК РФ // Закон и право. 2024. № 6. С. 229—233. https://doi.org/10.24412/2073-3313-2024-6-229-233 ББЫ: https://elibrary.ru/ACMCWX
Operation of significant objects of critical information infrastructure as an object of crimes provided for in Article 274.1 of the Criminal Code of the Russian Federation
Daniil S. Mirny
All-Russian State University of justice, (RPA of the Ministry of Justice of Russia), Moscow, Russia, 79260558027@yandex.ru
Abstract. This article examines certain issues of qualification of crimes provided for in Article 274.1 of the Criminal Code of the Russian Federation, in terms of establishing one of the possible objects of such attacks — the normal functioning of significant objects of the critical information infrastructure of the Russian Federation. Based on an analysis of current legislation, an attempt is made to classify existing categories of the critical information infrastructure objects depending on the social significance of their normal functioning.
© Мирный Д.С. М., 2024.
Original article
LAW & LEGISLATION • 06-2024
Based on the classification results, a conclusion was formulated about the greater public danger of encroachments on significant of the critical information infrastructure objects, which requires consideration when qualifying. Special attention is drawn to the increased public danger of encroachments on the functioning of state information systems and resources, as well as of the critical information infrastructure facilities in the field of communications. In this regard, appropriate adjustments are proposed in Art. 274.1 of the Criminal Code of the Russian Federation.
The following methods were used in the research process: formal-logical, comparative-legal, literal interpretation.
Keywords: government procurement, information security, information infrastructure, public danger, social value.
For citation: Mirny D.S. Operation of significant objects of critical information infrastructure as an object of crimes provided for in Article 274.1 of the Criminal Code of the Russian Federation // Law and legislation. 2024;(6):229—233. (In Russ.). https://doi.org/10.24412/2073-3313-2024-6-229-233 EDN: https://elibrary.ru/ ACMCWX
Правильное применение ст. 274.1 УК РФ связано с установлением обстоятельств, охватывающих направленность деяния на функционирование критической информационной инфраструктуры Российской Федерации (далее — КИИ), включающей объекты КИИ и иные взаимодействующие элементы. Однако действующая редакция ст. 274.1 УК РФ, на наш взгляд, необоснованно игнорирует различную социальную ценность нормального функционирования отдельных категорий объектов КИИ, нашедшую отражение в профильном законодательстве.
Заметим, что действующее правовое регулирование в указанной сфере отличается такими чертами, как разнообразие источников регулирования, обладающих различным правовым статусом; отсутствие единого перечня объектов КИИ; отсутствие единой классификации объектов КИИ; установление особого правового режима, в том числе дополнительных требований по обеспечению безопасности функционирования, в отношении наиболее важных объектов КИИ.
Закономерно, что известную трудность, сопряженную с правильным толкованием профильного регулирования и, прежде всего, корректным установлением объекта посягательства, представляет и правильная квалификация преступлений, предусмотренных ст. 274.1 УК РФ.
В настоящее время вопросам регулирования информационной безопасности КИИ посвящены, помимо профильного Федерального закона от 27 июля 2017 г. № 187-ФЗ, ряд указов Президента Российской Федерации, которыми устанавливаются дополнительные обязательные требования в отношении собственников (владельцев) отдельных объектов КИИ.
Так, Указом от 1 мая 2022 г. № 250 установлено полномочие Правительства РФ по определению конкретного перечня ключевых субъек-
тов КИИ, которым требуется осуществить мероприятия по оценке защищенности принадлежащих им информационных систем. В указанный перечень вошли, в частности, отдельные федеральные органы исполнительной власти, крупнейшие компании с государственным участием и т.п.
Считаем целесообразным обобщить доступные нам сведения об объектах КИИ и предложить их следующую категоризацию:
1. Значимые (или категорированные)
объекты КИИ
Включают те объекты КИИ, которым их собственниками (иными законными владельцами) присвоена категория значимости, а сведения о таком объекте представлены во ФСТЭК России. По результатам оценки представленных материалов сведения об объекте, его категории вносятся ФСТЭК России в специальный реестр, о чем собственник объекта уведомляется. Кроме того, указание на категорию объекта может содержаться в требовании ФСТЭК России к собственнику (владельцу) значимого объекта КИИ, формируемом при несоблюдении им установленного порядка добровольного категорирования такого объекта.
Нормальное функционирование значимых объектов КИИ обладает, в свою очередь, повышенной социальной ценностью, возможные формы которой поименованы в Федеральном законе от 26 июля 2017 г. № 187-ФЗ. При этом установление значимости осуществляется в зависимости от возможного ущерба, который может быть причинен объектам КИИ. Например, «политически значимым» может быть признан объект КИИ, выход которого из строя может нанести вред интересам Российской Федерации в вопросах внутренней политики.
В зависимости от ценности функционирования значимого объекта КИИ выделяются объек-
ЗАКОН И ПРАВО • 06-2024
ты первой, второй и третьей категорий, которые определяются собственником (владельцем) объекта исходя из масштабов возможного ущерба от посягательств на нормальную работу объекта КИИ.
Правительством Российской Федерации определена методика исчисления такого ущерба — в зависимости от количества затрагиваемых им людей, территорий, услуг и т.п. Например, посягательство на нормальную работу объекта первой категории значимости может приводить к нарушению условий жизнедеятельности 5000 человек и более.
Таким образом, действующим профильным законодательством сформирована достаточная правовая база для корректной оценки общественной опасности и общественно опасных последствий преступлений, предусмотренных ст. 274.1 УК РФ, при их квалификации.
2. Иные важные объекты КИИ
Включают те объекты КИИ, которые не были категорированы в установленном порядке, однако отвечают критериям обязательного катего-рирования, приведенным в Федеральном законе от 27 июля 2017 г.
Выявление повышенной социальной ценности нормального функционирования таких объектов возможно лишь при буквальном толковании норм указанного закона, обращении к нормативным правовым актам, устанавливающим перечни собственников КИИ, а также применении по аналогии упомянутой методики оценки ущерба от посягательства на значимые объекты КИИ.
Принимая во внимание, что такие объекты не имеют официально закрепленного правового статуса, а их собственники (владельцы) — дополнительных обязанностей, представляется вполне реальным, что число не категорированных, но фактически соответствующих установленным критериям значимости объектов КИИ значительно превышает количество категорированных объектов. Однако данное обстоятельство, как мы полагаем, ни в коей мере не принижает социальную ценность нормальной работы подобных «фактически значимых» объектов КИИ.
Считаем, что учет особенностей значимых, но не категорированных объектов КИИ возможен в рамках квалификации преступлений, предусмотренных ст. 274.1 УК РФ, исходя из установления повышенной общественной опасности посягательств на подобные объекты, а также
большего размера ущерба, причиняемого такими посягательствами.
Специфическим источником регулирования в рамках категорирования объектов КИИ выступают методические рекомендации, утверждаемые заместителем директора ФСТЭК России и заместителем руководителя федерального органа исполнительной власти, ответственного за политику по обеспечению безопасности КИИ в установленной сфере деятельности, по согласованию с ФСБ России. Такие перечни содержат примерный список типовых объектов КИИ, наиболее характерных и часто встречаемых в той или иной отрасли.
Например, Минцифры России совместно со ФСТЭК России утвержден типовой перечень объектов КИИ в сфере связи, включающий, среди прочего, телеметрические системы, а также системы, обеспечивающие мониторинг абонентского обслуживания. Сведения, содержащиеся в таких методических рекомендациях, представляют собой неоспоримую ценность при отграничении по объекту преступлений, предусмотренных ст. 274.1 УК РФ, от преступлений, предусмотренных статьями 272—274 УК РФ.
Заметим, что лицо, осуществляющее производство по уголовному делу, не наделено полномочиями по установлению категории объекта КИИ, которому причинен вред преступлением. Однако, на наш взгляд, представляется вполне возможным в ходе квалификации самостоятельное определение со стороны правоприменителя предмета преступления как элемента КИИ, принимая во внимание, что Федеральным законом от 26 июля 2017 г. № 187-ФЗ существование элементов КИИ не ставится в зависимость от факта их категорирования.
Для правильной квалификации преступлений, предусмотренных ст. 274.1 УК РФ, необходимо использовать не только формальные критерии объекта посягательства, перечисленные в профильном федеральном законе (технологическая сущность предмета посягательства, требования к субъекту КИИ, социальная значимость отдельных объектов КИИ), но и упомянутые подзаконные нормативные правовые акты (в части установления отдельных субъектов КИИ и оценки ущерба), методические рекомендации, примерные отраслевые перечни объектов КИИ.
Требует своего внимания и то обстоятельство, что в действующей редакции ст. 274.1 УК РФ не содержится указания на категорию, к которой отнесен объект КИИ. Одинаково ценным
ЬДМ & ЬЕ^БЬДТЮМ • 06-2024
в действующей редакции уголовного закона признается нормальное функционирование любого элемента КИИ, в том числе и значимых ее объектов. При этом квалифицированным составом, закрепленным в ч. 5 указанной статьи, устанавливается возможность повышенной ответственности за причинение не конкретизированных «тяжких последствий», примерный состав которых разъяснен Постановлением Пленума Верховного Суда Российской Федерации.
Представляется целесообразным закрепление в рамках ст. 274.1 УК РФ в качестве квалифицирующего признака такого объекта преступления, как нормальное функционирование государственных информационных систем, государственных информационных ресурсов и иных информационных систем (ресурсов), создаваемых и (или) эксплуатируемых органами государственной власти.
Свое применение такие системы находят как при оказании населению государственных услуг, информировании граждан о деятельности государства, так и при реализации отдельных полномочий органами государственной власти в установленной сфере ведения (например, при маркировке подакцизной продукции, межведомственном документообороте и проч.). Соответственно, и выход в результате целенаправленного воздействия из строя объектов КИИ, представляющих собой информационные системы, операторами которых выступают государственные органы, может наносить ущерб особо ценным общественным отношениям — по осуществлению функций государства, в том числе поддержанию правопорядка, обеспечению безопасности, а также осуществлению госзакупок [3]. Или же, как отмечается экономистами, по уровню доверия населения к финансовым институтам [1].
При этом данные, обрабатываемые подобными системами, не только имеют большой количественный объем, но и разнообразны по своему содержанию, поскольку включают самые разные категории охраняемой законом информации. Это не только сведения, составляющие охраняемую законом тайну, но и представляющие иные виды конфиденциальной информации. Например, такими системами может обрабатываться корреспонденция федеральных органов исполнительной власти, снабженная ограничительной пометкой «для служебного пользования» и содержащая сведения, не подлежащие публичному разглашению, которое, в свою очередь, становится возможным в ходе компьютерных атак. В подобных
случаях установление «тяжких последствий» как квалифицирующего признака посягательства представляется затруднительным, поскольку раскрытие таких сведений не названо в качестве варианта тяжких последствий в соответствующем Постановлении Пленума Верховного Суда Российской Федерации.
При обосновании необходимости корректировки ст. 274.1 УК РФ следует, однако, обратить внимание на то, что до настоящего времени исчерпывающего перечня информационных систем, применяемых государственными органами в своей работе, не создано. Не имеется на уровне многочисленных федеральных законов, устанавливающих полномочия по созданию и эксплуатации таких систем, и единой терминологии для их описания. Нередко операторами таких систем и ресурсов выступают подведомственные государственные организации. Такие системы и ресурсы в отдельных сферах деятельности фактически представляют собой объекты КИИ.
Дополнительное внимание следует обратить и на, без всякого сомнения, повышенную общественную опасность посягательств, направленных на нормальное функционирование объектов КИИ в сфере связи. Выход их из строя в результате действий, поименованных в ст. 274.1 УК РФ, создает реальную опасность массовой недоступности для неопределенного круга пользователей услуг связи. Такие услуги, в свою очередь, представляют собой технологическую основу для нормального течения хозяйственных процессов современной цифровой экономики, а их прекращение в результате компьютерной атаки создает реальную возможность возникновения своеобразного «каскада» негативных последствий в межотраслевом масштабе в виде массовой неработоспособности сервисов и технических процессов, с учетом высокого уровня связности и взаимовлияния элементов информационно-телекоммуникационной сети Интернет и сети связи общего пользования [2].
Таким образом, в действующей редакции уголовного закона не находит своего отражения безусловно повышенная общественная опасность посягательств на нормальную работу объектов КИИ специального назначения.
С учетом изложенного полагаем целесообразным сделать соответствующее уточнение диспозиции ст. 274.1 УК РФ в аспекте определения в качестве квалифицирующего признака направленности посягательства на нормальную работу информационных систем, информационных ресурсов, собственниками (владельцами) которых
ЗАКОН И ПРАВО • 06-2024
являются государственные органы и организации, а также объектов КИИ в сфере связи.
На основании этого считаем возможным ч. 4 ст. 274.1 УК РФ после слова «совершенные» дополнить словами: «в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, а равно в отношении объектов критической информационной инфраструктуры в сфере связи, и (или)».
Также предлагается ч. 5 указанной статьи после слов «если они» дополнить словами: «совершены в отношении информационных систем или информационных ресурсов, принадлежащих государственному органу, государственному учреждению, государственному предприятию — субъекту критической информационной инфраструктуры, и (или)».
Представляется, что указанные корректировки позволят более полно охватить средствами уголовного закона несомненно большую общественную опасность посягательств, направленных на нормальную работу таких наиболее важных объектов КИИ.
По результатам проведенного исследования могут быть сделаны следующие выводы:
■ в действующем законодательстве отражены различные категории объектов КИИ в зависимости от социальной ценности их функционирования;
■ квалификация преступлений, предусмотренных ст. 274.1 УК РФ, должна учитывать фактическую социальную ценность функционирования затронутых посягательством объектов КИИ независимо от факта их категорирования;
■ нормальное функционирование отдельных объектов КИИ, а именно: информационных систем (ресурсов), эксплуатируемых органами государственной власти, а также объектов КИИ в сфере связи, обладает повышенной социальной ценностью,
а посягательства на такие объекты — повышенной общественной опасностью;
■ содержание ст. 274.1 УК РФ требует корректировки в части установления дополнительных квалифицирующих признаков, отражающих повышенную общественную опасность посягательств на нормальное функционирование отдельных значимых объектов КИИ.
Список источников
1. Восканян Р. О. Финансовые угрозы национальной безопасности государства // Проблемы экономики и юрид. практики. 2019. Т. 15. № 1. С. 61—65.
2. Гаврилюк А, Рожков Р. Выйти из сбоя: что случилось в Рунете вечером 30 января и почему // Forbes.ru: https://www.forbes.ru/tekhnologii/ 505322-vyjti-iz-sboa-cto-slucilos-v-runete-vecerom-30-anvara-i-pocemu (Дата обращения: 23.05.2024)
3. Дроздов В.Ю. Противодействие коррупции в сфере госзакупок: европейский опыт и российская практика // Вестник Сургутского гос. унта. 2019. № 4 (26). С. 28—33.
References
1. Voskanyan R. O. Financial threats to the national security of the state / / Problems of economics and legal practice. 2019.Vol. 15. № 1. Pp. 61—65.
2. Gavrilyuk A., Rozhkov R. Get out of the glitch: what happened in Runet on the evening of January 30 and why // Forbes.ru: https://www.forbes.ru/ tekhnologii/505322-vyjti-iz-sboa-cto-slucilos-v-runete-vecerom-30-anvara-i-pocemu (Accessed: 23.05.2024)
3. Drozdov V. Yu. Anti-corruption in the field of public procurement: European experience and Russian practice / / Bulletin of Surgut State University. 2019. № 4 (26). Pp. 28—33.
Информация об авторе
Мирный Д.С. — аспирант кафедры уголовного права и криминологии
Статья поступила в редакцию 09.04.2024; одобрена после рецензирования 08.05.2024; принята к публикации 14.05.2024.
Information about the author
Mirny D.S. — postgraduate student of the department of criminal law and criminology
The article was submitted 09.04.2024; approved after reviewing 08.05.2024; accepted for publication 14.05.2024.
LAW & LEGISLATION • 06-2024
