11 Апреля, 2018

ГосСОПКа, без лицензии ты преступник. Продолжение.

Валерий Комаров


      Мелодрама в двух частях.

     Часть вторая. "Тебя посадят, а ты не воруй" (к/ф "Берегись автомобиля")

    Так какие же уголовно-правовые риски у владельца ведомственного/корпоративного центра ГосСОПКи?
Вступление 17.06.2017 в силу Постановления Правительства Российской Федерации от 15.06.2016 № 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» привело к ситуации, когда все организации, оказывающие услуги по мониторингу информационной безопасности средств и систем информатизации и/или наладке средств защиты информации оказались нарушителями Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».
С точки зрения судов не важна причина оказания организацией услуг по лицензируемым видам деятельности без лицензии на осуществление этих видов деятельности (далее - лицензия). Вне зависимости от того, вызвана ли она отсутствием административных процедур ФСТЭК России по оформлению лицензий [1] , длительностью процесса оформления лицензии [2] или умыслом на совершение противоправных действий. Ответственности за осуществление организацией лицензируемого вида деятельности без наличия лицензии подлежит руководитель организации [3] .
        Законодательством Российской Федерации за осуществление лицензируемого вида деятельности без наличия лицензии предусмотрена административная и уголовная ответственность. При квалификации действий руководителя организации и привлечении к ответственности основным критерием является размер полученного дохода [4] за осуществление лицензируемых видов деятельности без лицензии. При этом организациями часто недооценивается срок давности по таким преступлениям. Получение организацией лицензии или прекращение действия договора на оказание данных услуг не повод расслабиться -  в зависимости от полученного дохода руководитель организации может быть привлечен к ответственности и по прошествии шести лет. Так же важно отметить, что ФСТЭК России может рассматривать только дела [5] об административных правонарушениях. А мнением прокуратуры регуляторы как то не интересуются. 
         Сведем уголовно-правовые риски в таблицу:

Ответственность
Доход,
руб.
Срок давности, лет
Наказание
Административная,
КоАП РФ Статья 13.13. Незаконная деятельность в области защиты информации
До 2 250 000
1
Штраф от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой
Уголовная, за преступление небольшой тяжести, УК РФ Статья 171. Незаконное предпринимательство

От 2 250 000 до 9 000 000
2
Штраф в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.
Уголовная, за преступление средней тяжести,
 УК РФ Статья 171. Незаконное предпринимательство

От 9 000 000
6
Штраф в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.

        Рассмотрим уголовно-правовые последствия для организации-исполнителя, заключившей договор «Оказание информационно-технологических услуг по мониторингу информационной безопасности ООО «Наименование 1» в начале 2017 года. Срок действия договора: с 01.05.2017 по 30.04.2018, стоимость услуг - 3 млн. рублей, Акт сдачи-приемки оформляется ежемесячно [6] .





Организация может избежать совершения административного правонарушения только подачей заявления в ФСТЭК России на предоставление лицензии 19.06.2017, так как процесс выдачи лицензии не может начаться ранее вступления в силу Постановления Правительства РФ от 15.06.2016 № 541. Если организация не получила лицензию до февраля 2018 года, то ее руководитель совершил уголовное преступление небольшой тяжести. Для квалификации его действий как преступление средней тяжести недостаточно дохода по этому договору. Однако возможно в организации существуют подобные договора с другими заказчиками и суммарный доход превышает 9 млн. рублей.

При этом надо понимать, что попытка маскировать факт оказания лицензируемых услуг изменением формулировок в названиях оказываемых услуг не является эффективной, следственные органы имеют богатый опыт по выявлению и доказательству незаконной деятельности, скрытой в договорах под «безобидными» названиями. Наказывается деятельность, а не использование определенных слов/словосочетаний в ее названии.  Так, для доказательства вины ООО «Державинское» следствием изымались и использовались в том числе следующие типы документов:
-       правила внутреннего трудового распорядка;
-       инструкции по технике безопасности;
-       положение об оплате труда работников;
-       должностные инструкции директора и работников;
-       сведения об электронных отправлениях электронного почтового ящика.
Правоприменительная практика уголовного наказания за осуществление предпринимательской деятельности без лицензий очень обширна, стандартным наказанием по решению суда является назначение штрафа от 85 000 до 250 000 рублей.  Необходимо учитывать, что возможно использование уголовного преследования для конкурентной борьбы, рейдерского захвата или смены неугодного руководителя организации. Так, для обеспечения следственных действий проводится выемка бухгалтерской и договорной документации, изъятие и экспертиза серверного оборудования и т.д. Возможна конфискация серверного оборудования и специализированного программного обеспечения, используемого в организации для мониторинга информационной безопасности. 
Под давлением на конкурсные отделы заказчика со стороны организаций-исполнителей, не имеющих соответствующих лицензий, в 2018 году будет широко практиковаться изменение названия услуг по мониторингу информационной безопасности средств и систем информатизации и/или наладке средств защиты информации в тендерах и конкурсной закупочной документации. Прежде чем принять такое решение, просчитайте риски и трезво оцените свои возможности по такой «маскировке» незаконной деятельности. Как было показано выше, просто использование при заключении договора «безопасных» слов недостаточно.
Пока же индустрию информационной безопасности спасает высокая загруженность следственных органов и «мягкость» наказания по Ст. 171 УК РФ. Плановые показатели по таким преступлениям легко выполняются по делам «игровой» и «алкогольной» направленности.
По Ст.13.13 КОАП активно работают территориальные подразделения ФСБ. Основным вниманием пользуются установщики тахографов и "бухгалтерия как услуга" за отсутствие лицензий ФСБ на работу с СКЗИ, либо отсутствие необходимых работ в действующей лицензии ФСБ. Для уголовной ответственности не хватает незаконного дохода у правонарушителей..
Прогноз на перспективу: ФСБ заключило соглашение с ведомственным/корпоративным центром субъекта КИИ, не предъявляя требований о наличии лицензии ТЗКИ. И тут случился планово/внеплановый приход ФСТЭК к субъекту КИИ. Субъект радостно докладывает, что все выполнено по 187-ФЗ, вот договор с центром ГосСОПКИ, а дальше «боль и ненависть». ФСТЭК выявил факт оказания услуг без надлежащего оформления лицензии. И либо сама оформляет "административку", либо передает материалы проверки в прокуратуру для возбуждения уголовного дела.

А самое печальное, что в случаях предоставления услуг госучреждениям или госкорпорациям, этим будет заниматься управление ФСБ, только совсем не ИБешной направленности. Получение дохода преступным путем за счет государственных (бюджетных) денег – это очень плохо! Ай-яй, гражданин Директор.
Отдельно замечу, что ст. 171 квалифицируется не только по доходу, но и нанесенному вреду. Если в ходе проверки выяснится, что центр ГосСОПКи «проглядел» компьютерную атаку на субъект и это повлекло нанесение существенного ущерба ему, то при отсутствии лицензии – это статья УК, даже, если вы не получали денег. Это особенно актуально для ведомственных центров ГосСОПКи.

* Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

Данный материал в литературной обработке был опубликован в № 1 за 2018 год журнала "Информационная безопасностьhttp://www.itsec.ru/imag/insec-1-2018/21



[1] «Если федеральным законом разрешено заниматься предпринимательской деятельностью только при наличии специального разрешения (лицензии), но порядок и условия не были установлены, а лицо стало осуществлять такую деятельность в отсутствие специального разрешения (лицензии), то действия этого лица, сопряженные с извлечением дохода в крупном или особо крупном размере либо с причинением крупного ущерба гражданам, организациям или государству, следует квалифицировать как осуществление незаконной предпринимательской деятельности без специального разрешения (лицензии).» [1]
[2]  «Право осуществлять деятельность, на занятие которой необходимо получение специального разрешения (лицензии), возникает с момента получения разрешения (лицензии) или в указанный в нем срок и прекращается по истечении срока его действия (если не предусмотрено иное), а также в случаях приостановления или аннулирования разрешения (лицензии) (пункт 3 статьи 49 ГК РФ.» [1]
[3] «При осуществлении организацией (независимо от формы собственности) незаконной предпринимательской деятельности ответственности по статье 171 УК РФ подлежит лицо, на которое в силу его служебного положения постоянно, временно или по специальному полномочию были непосредственно возложены обязанности по руководству организацией (например, руководитель исполнительного органа юридического лица либо иное лицо, имеющее право без доверенности действовать от имени этого юридического лица), а также лицо, фактически выполняющее обязанности или функции руководителя организации.» [1]
[4] «Под доходом в статье 171 УК РФ следует понимать выручку от реализации товаров (работ, услуг) за период осуществления незаконной предпринимательской деятельности без вычета произведенных лицом расходов, связанных с осуществлением незаконной предпринимательской деятельности» [1]
[5] Статья 23.46. КоАП РФ «Федеральные органы исполнительной власти, осуществляющие государственный контроль в области обращения и защиты информации». [2]
[6] Используется информация открытого тендера на оказание услуг, опубликованного в сети Интернет.