Сегодня практически все отрасли экономики и даже государственное управление переходят в цифровой формат. Однако чем больше процессов зависит от IT-инфраструктуры, тем выше риски масштабных сбоев или атак, которые могут затронуть целые отрасли не только на национальном, но и на международном уровне. С целью снижения этих рисков на международном и национальном уровнях создаются эффективные правовые механизмы, которые призваны не только создать инструменты кибербезопасности, но и научиться предотвращать возникновение таких рисков. Какие правовые механизмы обеспечивают кибербезопасность сейчас, рассмотрим в материале.
Механизмы, которые помогают защищать информационные системы, данные и пользователей от киберугроз, включают в себя технико-правовые меры международного, регионального и национального уровня, ежедневную работу регуляторов, отраслевые и корпоративные стандарты, а также судебные прецеденты, которые являются ориентиром для выработки критериев киберустойчивости и формирования безопасной среды.
В настоящее время рост цифровизации приводит к новым проблемам и вызовам, определяя приоритетность развития разветвленной системы инструментов кибербезопасности.
Международный дискурс и общие принципы
Современные кибератаки отличаются многоуровневой структурой и трансграничным масштабом воздействия, а злоумышленники постоянно совершенствуют тактику, используя сложные и трудно обнаруживаемые методы. В этих условиях ключевым элементом противодействия киберугрозам становится формирование международных правовых механизмов в сфере цифровой безопасности.
На настоящий момент существуют только региональные соглашения (Директива ЕС NIS 2, соглашения ASEAN по кибербезопасности), которые устанавливают стандарты борьбы с киберпреступлениями и механизмы международного сотрудничества.
Если рассматривать правовое регулирование ответственности за киберпреступления в России, оно осуществляется через ряд законов и нормативных актов, которые охватывают различные аспекты цифровой безопасности и противодействия преступлениям в IT-сфере.
Общая система официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере изложена в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ от 05.12.2016 № 646.
Доктрина также определяет стратегические ориентиры развития кибербезопасности. Эти положения конкретизируются в принимаемых нормативных документах, а также за счет усиления надзорных полномочий регуляторов и механизмов правоприменения.
Уголовная ответственность за киберпреступления
Концепция комплексного регулирования кибербезопасности, охватывающая ключевые аспекты защиты информации, инфраструктуры и борьбы с киберпреступностью, не является новой для международного сообщества и успешно реализована во многих странах и на союзных уровнях, например: в Сингапуре (Cybersecurity Act), Германии (Закон о безопасности информационных технологий (IT-Sicherheitsgesetz), Европейском союзе (Директива ЕС NIS2), США (Cybersecurity Information Sharing Act) и пр.
На сегодняшний день в России отсутствует единый законодательный акт, комплексно регулирующий кибербезопасность. Нормы в этой сфере содержатся в разрозненных профильных законах, подзаконных документах (приказы ФСТЭК, постановления правительства) и отраслевых стандартах.
Ключевые нормы, определяющие понятия и меры ответственности за киберпреступления, сосредоточены в главе 28 УК РФ, которая входит в раздел IX «Преступления против общественной безопасности и общественного правопорядка». Такое структурное расположение подчеркивает признание защиты цифровой инфраструктуры в качестве элемента национальной безопасности и общественных интересов.
Важным актом для единообразного применения законодательства об уголовной ответственности за преступления в сфере компьютерной информации является постановление Пленума ВС РФ от 15.12.2022 № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть Интернет».
В постановлении Пленума ВС РФ от 15.12.2022 № 37 разъяснены особенности рассмотрения уголовных дел о преступлениях, предусмотренных:
-
ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»;
-
ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»;
-
ст. 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»;
-
ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
При этом ВС РФ призвал суды руководствоваться при рассмотрении уголовных дел о преступлениях, предусмотренных ст. 272, 273, 274 и 274.1 УК РФ следующими законодательными актами:
-
положениями федеральных законов, которые регламентируют вопросы создания, распространения, передачи, защиты информации и применения информационных технологий, в частности федеральных законов от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и других федеральных законов;
-
подзаконных актов, технических регламентов;
-
а также ратифицированных Российской Федерацией международных договоров и соглашений, посвященных указанным вопросам и борьбе с преступлениями в сфере компьютерной информации, в частности Соглашения о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере информационных технологий (заключено в городе Душанбе 28.09.2018).
В документе акцентируется, что борьба с киберпреступностью требует гибкости правоприменения (адаптации к технологическим изменениям) и междисциплинарного подхода (сочетания юридических и технических знаний), а также применения комплексного подхода норм УК РФ и федеральных законов, регулирующих создание, использование и защиту цифровых ресурсов, включая вопросы обработки данных, противодействия кибератакам и регулирования IT-технологий.
Стоит отметить, что дела, связанные с киберпреступностью, сопряжены с рядом системных сложностей, вытекающих из специфики цифрового пространства: временный характер цифровых следов, быстрая эволюция инструментов и методов кибератак, каскадность преступлений (один инцидент (например, утечка паролей) провоцирует серию новых преступлений (взломы аккаунтов, мошенничество)), а также сложности с информированием об инцидентах. Именно поэтому часто квалификация киберпреступлений вызывает сложности.
Например, есть проблемы в квалификации DDoS-атак. По статье 272 УК РФ (неправомерный доступ к компьютерной информации) внимание фокусируется именно на доступе к информации, тогда как DDoS-атака является атакой на доступность сервиса. Это создает пробел в законодательстве, так как атака на «доступность» не подпадает под четкие критерии статьи. Иногда DDoS-атаки пытаются квалифицировать по ст. 273 УК РФ («создание вредоносных программ») или ст. 274 УК РФ (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации), но и эти нормы не полностью соответствуют характеру таких атак.
Секторальное регулирование
Правовые основы защиты критической инфраструктуры
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» направлен на защиту объектов критической информационной инфраструктуры (КИИ) — систем, нарушение работы которых может нанести ущерб безопасности государства. Требования закона обязывают владельцев КИИ внедрять системы защиты и взаимодействовать с профильными органами, такими как ФСТЭК России.
Вслед за принятием указанного закона в 2017 г. особым составом был дополнен УК РФ (ст. 274.1).
По части 1 ст. 274.1 УК РФ предусматривается уголовная ответственность за неправомерное воздействие на КИИ Российской Федерации: создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.
К слову, именно по данной статье судам проще инкриминировать DDoS-атаки.
См., например, кассационное постановление Четвертого кассационного суда общей юрисдикции от 25.01.2024 по делу № 77147/2024.
Правовые основы защиты персональных данных
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
В соответствии с Законом № 152-ФЗ операторы по обработке персональных данных субъектов обязаны обеспечивать безопасность данных с использованием технических и организационных мер, включая их защиту от несанкционированного доступа и утечек.
Те или иные требования к защите определяются в постановлении Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных» в зависимости от категории персональных данных, количества обрабатываемых оператором данных и, как следствие, присваиваемого уровня защищенности данных в информационной системе.
В том числе согласно документу:
цитируем документ
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Также в документе квалифицированы угрозы для информационной системы:
-
угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
-
угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
-
угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
При этом определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ, и в соответствии с нормативными правовыми актами, принятыми во исполнение ч. 5 ст. 19 Закона № 152-ФЗ.
Специальные нормативы в области защиты информации устанавливаются ФСТЭК России, а также дополняются отраслевыми требованиями: например, правила для операторов связи, включая использование систем оперативно-розыскных мероприятий — СОРМ, для организаций, подпадающих под закон о национальной платежной системе и пр.
Обязанности регулируемых субъектов включают не только внедрение специализированных мер безопасности, но и регулярный аудит информационных систем для своевременного выявления уязвимостей и отклонений от установленных стандартов.
Несоблюдение требований информационной безопасности может повлечь не только потерю доверия крупных контрагентов — компании учитывают и юридические риски, проявляемые в усиленном контроле со стороны регуляторов (например, Роскомнадзор, Банк России) или надзорных органов (Прокуратура РФ), включая внеплановые проверки и санкции.
См. некоторые из многих примеров проведения проверок различными государственными органами с целью выявления нарушений в области защиты данных в информационных системах: решение Илишевского районного суда Республики Башкортостан от 21.10.2024 по делу № 2-720/2024, решение Октябрьского районного суда г. Краснодара от 22.11.2024 по делу № 12-648/2024.
Корпоративные и отраслевые стандарты
В России отраслевые стандарты кибербезопасности разрабатываются как государственными регуляторами, так и профессиональными сообществами. Они дополняют законы и часто носят обязательный характер для конкретных секторов экономики.
Например, Национальный стандарт РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и Положение Банка России от 25.07.2022 № 802-П «О требованиях к защите информации в платежной системе Банка России» являются основополагающими документами для финансового сектора, за соблюдением которого следит в том числе и сам Банк России.
цитируем документ
Базовый состав мер защиты информации, определяемый настоящим стандартом, применим к совокупности объектов информатизации, в том числе автоматизированным системам (АС), используемым финансовыми организациями для выполнения бизнес-процессов и (или) технологических процессов, связанных с предоставлением финансовых, банковских услуг, а также услуг по осуществлению переводов денежных средств. Национальный стандарт РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
При этом требования к защите информации в платежной системе Банка России должны выполнять прямые участники платежной системы Банка России, являющиеся:
-
участниками обмена в соответствии с абз. 2 п. 3.10 Положения Банка России от 24.09.2020 № 732-П «О платежной системе Банка России»;
-
и кредитными организациями (их филиалами), являющимися международными финансовыми организациями, и пр.
Эти документы формируют базовый, но обязательный набор требований для участников национальной платежной системы. При этом регуляторные предписания в финансовой отрасли регулярно обновляются и становятся все более строгими — это связано с растущими киберугрозами и повышенной уязвимостью конфиденциальных данных, обрабатываемых в инфраструктуре таких организаций.
Операторы связи также сталкиваются со строгими регуляторными требованиями. В этом секторе экономики действуют обязательные нормы.
***
Подводя итог, стоит отметить, что в современном мире разветвленная система кибербезопасности крайне важна по нескольким ключевым причинам:
- 1. Обеспечение стабильности цифровой экономики
- 2. Защита прав и свобод граждан
Персональные данные, цифровые идентификаторы и онлайн-коммуникации стали новой «валютой» цифровой эпохи. Без эффективной киберзащиты растут масштабы мошенничества (фишинг, утечки данных, кража личных сбережений), также под угрозой оказывается приватность — бесконтрольный сбор данных создает риски манипуляций и дискриминации, дестабилизируя общественное доверие к цифровым платформам.
- 3. Защита информационного пространства
Только автономная и многоуровневая система кибербезопасности позволяет государству контролировать цифровой периметр и противодействовать деструктивному влиянию, защищая информационный суверенитет.
Таким образом, инвестиции в кибербезопасность — это инвестиции в будущее, гарантирующие стабильность, независимость и конкурентоспособность на мировой арене.