Государственная служба и кадры. 2024. № 3. С. 193—197. State service and personnel. 2024;(3):193—1 97.
Научная статья УДК 343.34
https://doi.org/10.24412/2312-0444-2024-3-193-197 NIION: 2012-0061-03/24-148
EDN: https://elibrary.ru/GZZULB MOSURED: 77/27-008-2024-03-348
О соотношении объекта преступлений, предусмотренных ст. 274.1 УК РФ, и объекта охраны законодательства в сфере безопасности критической информационной инфраструктуры
Даниил Сергеевич Мирный
Всероссийский государственный университет юстиции
(РПА Минюста России), г. Москва, Россия, [email protected]
Аннотация. В настоящей статье рассматривается содержание объекта преступлений, предусмотренных ст. 274.1 УК РФ, в его сравнении с объектом охраны профильного Федерального закона от 27 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
В настоящее время охраняемая уголовным законом ценность — нормальное функционирование элементов КИИ — находится в процессе своего становления. Профильным Федеральным законом, принятым еще в 2017 г., охраняемой ценностью признано состояние безопасности КИИ. Однако ст. 274.1 УК РФ, принятой синхронно с названным законом, объектом охраны признается более широкое по содержанию явление — нормальное функционирование элементов КИИ.
Обращение к содержанию профильного законодательства обусловлено бланкетным характером диспозиций ст. 274.1 УК РФ, конструкция которой, с одной стороны, заимствует из Федерального закона № 187-ФЗ понятия, используемые для описания посягательств, а с другой — сохраняет преемственность в приемах описания вариантов объективной стороны в сравнении с составами преступлений, предусмотренных предшествующими по времени появления статьями главы 28 УК РФ.
Указанные факторы привели к тому, что объект уголовно-правовой охраны, нашедший отражение в ст. 274.1 УК РФ, по своему объему является гораздо большим, нежели конкретная характеристика функционирования КИИ, признанная охраняемой ценностью в профильном законодательстве, — устойчивость КИИ при проведении в отношении нее компьютерных атак.
В то же время по смыслу ч. 2 и 3 ст. 274.1 УК РФ наказуемым признается любой вариант причинения неуточ-ненного вреда функционированию любого элемента КИИ, что, по мнению автора, явно не соответствует формирующейся регуляторной политике по закреплению особой ценности нормального функционирования отдельных категорий объектов КИИ.
В связи с этим предлагаются соответствующие корректировки диспозиций ст. 274.1 УК РФ.
Ключевые слова: безопасность, информационная инфраструктура, информационная система, преступные последствия, экранное отображение, электросвязь.
Для цитирования: Мирный Д.С. О соотношении объекта преступлений, предусмотренных ст. 274.1 УК РФ, и объекта охраны законодательства в сфере безопасности критической информационной инфраструктуры // Государственная служба и кадры. 2024. № 3. С. 193—197. https://doi.org/10.24412/2312-0444-2024-3-193-197 EDN: https://elibrary.ru/GZZULB
Original article
On the relationship of the object of crimes provided for in article 274.1 of the RF criminal code and the object of protection of legislation in the field of security of critical information infrastructure
Daniil S. Mirny
All-Russian State University of Justice (RPA of the Ministry of Justice of Russia), Moscow, Russia, [email protected]
©Мирный Д.С. М.,2024.
№ 3/2024
Annotation. This article examines the content of the object of crimes under Art. 274.1 of the Criminal Code of the Russian Federation, in comparison with the object of protection of the relevant Federal Law of July 27, 2017 No. 187-FZ «On the security of critical information infrastructure of the Russian Federation».
Currently, a value protected by criminal law - the normal functioning of CII elements — is in the process of its formation. The relevant Federal Law, adopted back in 2017, recognizes the state of security of CII as a protected value. However, Art. 274.1 of the Criminal Code of the Russian Federation, adopted simultaneously with the above-mentioned law, the object of protection is recognized as a much broader phenomenon in content - the normal functioning of CII elements.
The appeal to the content of relevant legislation is due to the blanket nature of the dispositions of Art. 274.1 of the Criminal Code of the Russian Federation, the design of which, on the one hand, borrows from Federal Law No. 187-FZ the concepts used to describe attacks, and on the other hand, maintains continuity in the methods of describing options for the objective side in comparison with the elements of crimes provided for by those that preceded in time of appearance Articles of Chapter 28 of the Criminal Code of the Russian Federation.
These factors led to the fact that the object of criminal law protection, reflected in Art. 274.1 of the Criminal Code of the Russian Federation, in its scope, is much more than a specific characteristic of the functioning of CII, recognized as a protected value in relevant legislation — the stability of CII during computer attacks against it.
At the same time, within the meaning of Parts 2 and 3 of Art. 274.1 of the Criminal Code of the Russian Federation recognizes as punishable any variant of causing unspecified harm to the functioning of any element of the CII, which, in the author's opinion, clearly does not correspond to the emerging regulatory policy to consolidate the special value of the normal functioning of certain categories of CII objects.
In this regard, appropriate adjustments to the dispositions of Art. 274.1 of the Criminal Code of the Russian Federation.
Keywords: security, information infrastructure, information system, criminal consequences, screen display, telecommunications.
For citation: Mirny D.S. On the Ownership of the Prestige Object Provided for in Article 274.1 of the Criminal Code of the Russian Federation, and Objects of Protection of Legislation in the Field of Security of Critical Information Infrastructure // State Service and Personnel 2024. No. 3. P. 193—197. https://doi.org/10.24412/2312-0444-2024-3-193-197 END: https://elibrary.ru/GZZULB
С появлением летом 2017 г. в УК РФ ст. 274.1 стала возможной уголовная ответственность за посягательства на новый специфический объект — нормальное функционирование критической информационной инфраструктуры Российской Федерации (далее — КИИ).
В соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ под критической информационной инфраструктурой Российской Федерации понимается совокупность различных видов информационных систем, информационно-телекоммуникационных сетей, АСУТП, задействованных в ключевых областях экономики (объекты КИИ), а также сетей электросвязи, используемых для их взаимодействия.
Появление в российском уголовном законе ст. 274.1, на наш взгляд, явилось значительным событием российской уголовной политики, поскольку сопровождалось двумя нерядовыми обстоятельствами:
■ отсутствием сформировавшейся правоприменительной практики по соблюдению новых обязательных требований к субъектам КИИ, предусмотренных профильным Федеральным законом;
■ постановкой под уголовно-правовую охрану принципиально нового объекта (в лице нормального функционирования информационных систем), что ознаменовало новый подход к наполнению главы 28 УК РФ.
Указанные обстоятельства, на наш взгляд, привели к тому, что объект преступлений, предусмотренных ст. 274.1 УК РФ, приобрел более широкий характер, чем объект охраны профильного Федерального закона от 26 июля № 187-ФЗ, что весьма затрудняет квалификацию таких преступлений.
Принятие Федерального закона от 26 июля 2017 г. № 194-ФЗ, содержащего указанную новеллу уголовного закона, по времени произошло синхронно с принятием Федерального закона от 26 июля 2017 г. № 187-ФЗ, заложившего основы правового регулирования деятельности, связанной с обеспечением безопасности КИИ. В последнем не только впервые было сформулировано определение «объект КИИ», но и фактически с нуля была создана сама модель правового регулирования общественных отношений, связанных с обеспечением безопасности КИИ. Так, на уровне закона определялись обязанности собственников (иных законных владельцев) таких объектов по их самостоятельному категорированию, полномочия федеральных органов исполнительной власти по выявлению таких объектов, централизованному обеспечению их безопасности, взаимодействию с их владельцами и т.д.
В связи с этим можно говорить о том, что конструирование уголовной ответственности за нарушение нормального функционирования КИИ происходило в условиях отсутствия достаточного релевантного правоприменительного опыта.
№ 3/2024
Следует, однако, принимать во внимание, что к 2017 г. уже была накоплена обширная правоприменительная практика по вопросам привлечения к уголовной ответственности за посягательства, охватываемые ст. 272—74 УК РФ. С этих позиций представляется закономерным, что посягательства, описанные в ст. 274.1 УК РФ, по своей объективной стороне сближаются с посягательствами, охватываемыми ст. 272—274 УК РФ, поскольку подразумевают схожие по своему механизму методы незаконного доступа и получения контроля над компьютерной информацией.
Однако в достаточности подобной практики для обоснования введения ответственности за посягательства с принципиально иным объектом, который составляет нормальная работа элементов КИИ, а не безопасность содержащейся в информационных системах компьютерной информации (что характерно для традиционной модели ответственности, предусмотренной предшествующими по времени составами главы 28 УК РФ), следует усомниться.
Принимая во внимание потребность в корректной квалификации деяний, связанных с нарушением нормальной работы информационных систем, считаем целесообразным более подробно осветить содержание ценностей, охраняемых как уголовным законом, так и профильным законодательством.
Ценностью, охраняемой ст. 274.1 УК РФ, или же своеобразным социально полезным благом следует признать именно нормальное функционирование КИИ. Название ст. 274.1 УК РФ прямо указывает на то, что ей охватываются различные варианты «неправомерного воздействия» на такую инфраструктуру. При этом в качестве обязательного признака объективной стороны посягательств, предусмотренных ч. 2 и 3 названной статьи, выступают преступные последствия — в виде причинения неконкретизированного «вреда» такой инфраструктуре.
При анализе действующей редакции ст. 274.1 УК РФ следует обратить внимание и на то, что ее объект (нормальное функционирование элементов КИИ) представляет собой качественно иную ценность, нежели объект преступлений, предусмотренных ст. 272—274 УК РФ, который может быть истолкован как нормальный порядок использования компьютерной информации [3].
Таким образом, объектом преступлений, предусмотренных ст. 274.1 УК РФ, выступают не конкретные характеристики функционирования элементов КИИ (к примеру, устойчивость такой работы), а состояние их нормальной работы в целом. При этом для квалификации содеянного по ч. 2 и 3 ст. 274.1 УК РФ достаточно установить факт причинения любого вреда элементу
КИИ, пусть даже и не влияющего на устойчивость его работы (к примеру, деградации экранного отображения пользовательских интерфейсов информационной системы, что прямого влияния на работоспособность информационной системы не оказывает).
Обратим внимание, что Федеральным законом от 26 июля 2017 г. № 187-ФЗ охраняемой законом ценностью признается конкретная характеристика функционирования КИИ — ее безопасность, под которой понимается состояние устойчивости элементов КИИ при проведении в отношении них компьютерных атак. Социальная полезность такого блага обусловливается тем, что ст. 14 названного закона устанавливается обязанность виновных лиц нести ответственность за нарушение его требований, как раз в совокупности направленных на достижение и поддержание безопасности функционирования КИИ.
Названным Федеральным законом к субъектам КИИ отнесены организации наиболее важных отраслей экономики. В частности, субъектами КИИ признаются организации, являющиеся собственниками (иными законными владельцами) объектов КИИ, используемые в сфере связи, энергетики, оборонной промышленности и т.д. Кроме того, Федеральным законом № 187-ФЗ определяется ряд характеристик наиболее важных объектов КИИ, указывающих на повышенную социальную ценность их функционирования.
При этом возможной формой воздействия на элементы КИИ выступает «компьютерная атака», которая выражается в целенаправленном использовании специальных программных (аппаратных) средств с целью нарушить (прекратить) их работу либо же создать угрозу безопасности для обрабатываемой информации. В последние годы именно такой вид атак представляет угрозу национальной безопасности [4].
По результату анализа понятийного аппарата Федерального закона от 26 июля 2017 г. № 187-ФЗ, а также иных составов главы 28 УК РФ может быть сделан вывод, что посягательства на безопасность КИИ должны представлять собой нарушение нормального порядка обработки компьютерной информации в специальной информационной системе, информационно-телекоммуникационной сети, обслуживающей указанные элементы сети электросвязи, осуществляемое посредством компьютерной атаки на такие системы и сети.
Однако буквальное толкование диспозиций ч. 1—3 ст. 274.1 УК РФ демонстрирует, что круг охватываемых ими преступных деяний значительно шире, поскольку не ограничивается только компьютерными атаками, а включает дополнительные формы деятельности, направленные на
№ 3/2024
причинение любого неконкретизированного вреда любому элементу КИИ. В содержание такого «вреда» могут входить разнообразные нарушения любых характеристик функционирования КИИ (устойчивость, безопасность, целостность, быстродействие и т.д.) либо же причинение физического ущерба элементу КИИ.
При этом связь между, к примеру, нарушением порядка обработки компьютерной информации в КИИ и причинением ей какого-либо вреда (ч. 2 ст. 274.1 УК РФ) далеко не очевидна, принимая во внимание, что вред безопасности информационной системы может быть фактически усмотрен в любом случае неправомерного доступа к компьютерной информации (например, к банковской или налоговой тайне [2]), даже если такой доступ и не оказал никакого влияния на работоспособность элемента КИИ. Закономерным представляется вывод о необходимости законодательного уточнения последствий, поименованных в ч. 2 и 3 ст. 274.1 УК РФ.
Таким образом, в 2017 г. с появлением в УК РФ ст. 274.1 имела место криминализация посягательств, имеющих качественной иной объект — в сравнении с ценностями, поставленными под охрану профильным Федеральным законом от 26 июля 2017 г. № 187-ФЗ. На наш взгляд, данное обстоятельство, хотя и расширяет круг наказуемых вариантов преступной деятельности, отнюдь не способствует правильной их квалификации, поскольку не вполне отвечает реализации принципа законности при конструировании бланкетных норм [1].
В связи с этим вопрос о достаточности правоприменительной практики для обоснования проектируемых новелл уголовного закона приобретает существенное значение. Представляется, что сущность охраняемых Федеральным законом от 26 июля 2017 г. ценностей в целом позволяла для обоснования введения уголовной ответственности за «неправомерное воздействие» на КИИ использовать ранее накопленную практику квалификации аналогичных преступлений, предусмотренных ст. 272—274 УК РФ.
Однако обращаем внимание читателя, что состав, приведенный в ч. 3 указанной статьи, фактически криминализирует неисполнение обязательных требований, приведенных в подзаконных актах, которые должны быть приняты во исполнение положений Федерального закона от 26 июля 2017 г. № 187-ФЗ уже после установления уголовной ответственности за их неисполнение, что никак не могло способствовать появлению достаточной правоприменительной практики.
При этом следует отметить, что ч. 3 ст. 274.1 фактически криминализовано любое нарушение подзаконных обязательных требований, повлек-
шее неконкретизированный «вред» объектам КИИ. Такой подход явно не соответствует аналогичной ст. 274 УК РФ, также установившей ответственность за несоблюдение обязательных требований. Заметим, что в более ранней ст. 274 УК РФ были приведены не только необходимые последствия таких нарушений, описанные по аналогии со ст. 272—273 УК РФ (к примеру, блокирование информации), но и разграничены различные категории ущерба (крупный ущерб, тяжкие последствия). По неясным для нас причинам подобные уточнения не нашли своего отражения в ч. 3 ст. 274.1 УК РФ.
Анализ практики применения норм Федерального закона от 26 июля 2017 г. № 187-ФЗ демонстрирует всю трудность правильного истолкования и применения содержащегося в нем корпуса норм, принимая во внимание реализованную в законе модель добровольного выявления и кате-горирования объектов КИИ их собственниками. Так, в настоящее время имеет место систематическое неисполнение требований закона о КИИ со стороны собственников таких объектов, а также принятых в его исполнение подзаконных нормативных правовых актов [6]. Известную трудность представляет и квалификация деяний, предусмотренных ст. 274.1 УК РФ. Правильное установление объекта представляет главную трудность квалификации, что подтверждается отдельными материалами правоприменительной практики [5].
Подобные обстоятельства, на наш взгляд, дополнительно подтверждают необходимость корректировки уголовного закона на основе тщательного анализа правоприменительной практики, в том числе обращаясь к уже накопленному опыту схожего уголовно-правового регулирования.
С учетом изложенного считаем целесообразным по тексту ст. 274.1 УК РФ слова «причинение вреда» заменить словами «нарушение устойчивого функционирования». Предлагаемая мера позволит уточнить содержание уголовной ответственности и приблизить его к сущности ценностей, охраняемых профильным законодательством, исключив возможность привлечения к ответственности за недостаточно определенный круг посягательств, которые могут причинить неопределенный «вред» любому элементу КИИ.
По результатам проведенного исследования могут быть сделаны следующие выводы:
■ установление уголовной ответственности, предусмотренной ст. 274.1 УК РФ, происходило в условиях отсутствия релевантной практики применения законодательства о КИИ;
■ объект уголовно-правовой охраны, отраженный в составах ст. 274.1 УК РФ, имеет более широкий объем, чем объект
№ 3/2024
охраны профильного законодательства о КИИ;
■ в действующем законодательстве отражены различные категории объектов КИИ в зависимости от социальной ценности их функционирования;
■ квалификация преступлений, предусмотренных ст. 274.1 УК РФ, сопряжена с трудностью корректного определения объекта;
■ содержание ст. 274.1 УК РФ требует уточнения в части конкретизации общественно опасных последствий.
Список источников
1. Вольдимарова Н.Г. Проблемы регламентации уголовной ответственности за незаконные получение и разглашение коммерческой, налоговой и банковской тайны // Безопасность бизнеса. 2021. № 3. С. 34—39.
2. Восканян P.O. Финансовые угрозы национальной безопасности государства // Проблемы экономики и юридической практики. 2019. № 1. С. 61—65.
3. Ляпунов Ю.В., Максимов В.Ю. Ответственность за компьютерные преступления // Законность. 1997. № 1. С. 8—15.
4. Никифоров Б.С. Объект преступления по советскому уголовному праву. М.: Госюриздат, 1960. 229 с.
5. Чупрова А.Ю. Проблемы квалификации мошенничества с использованием информационных технологий // Уголовное право. 2015. № 5. С. 131—134.
6. Яцеленко Б.В. Проблемы соблюдения принципа законности в контексте совершенствования уголовного законодательства России // Уголовное право. 2017. № 4. С. 128—132.
References
1. Voldimarova N.G. Problems of regulating criminal liability for illegal receipt and disclosure of commercial, tax and banking secrets // Business Security. 2021. No. 3. P. 34—39.
2. Voskanyan R.O. Financial threats to the national security of the state // Problems of economics and legal practice. 2019. No. 1. P. 61—65.
3. Lyapunov Yu.V., Maksimov V.Yu. Responsibility for computer crimes // Legality. 1997. No. 1. P. 8—15.
4. Nikiforov B.S. The object of the crime according to Soviet criminal law. M.: Gosyurizdat, 1960. 229 p.
5. Chuprova A.Yu. Problems of qualifying fraud using information technology // Criminal law. 2015. No. 5. P. 131—134.
6. Yatselenko B.V. Problems of compliance with the principle of legality in the context of improving the criminal legislation of Russia // Criminal Law. 2017. No. 4. P. 128—132.
Информация об авторе
Мирный Д.С. — аспирант кафедры уголовного права и криминологии ВГУЮ (РПА Минюста России)
Статья поступила в редакцию 06.07.2024; одобрена после рецензирования 10.07.2024; принята к публикации 20.07.2024.
Information about the author
Mirny D.S. — Postgraduate student of the Department of Criminal Law and Criminology VSU (RPA of the Ministry of Justice of Russia)
The article was submitted 06.07.2024; approved after reviewing 10.07.2024; accepted for publication 20.07.2024.
№ 3/2024