В тюрьму за чашку кофе? Для пользователя КИИ легко

В тюрьму за чашку кофе? Для пользователя КИИ легко

        При обсуждении уголовной ответственности по Ст. 274.1 УК РФ стандартно упоминается риск привлечения должностных лиц, ответственных за эксплуатацию объектов КИИ (администраторы, ИТ-специалисты и подобные). Я так же разбирал подобные риски для этой группы риска . Но, если присмотреться внимательно к тексту п.3 Ст.274.1 УК РФ, то можно выделить еще одну группу риска - пользователи определенных информационных систем (ГИС и ИСПДн), отнесенных к объектам КИИ.
name='more'>
      УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации

     "Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий." (149-ФЗ)
      "Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям." (149-ФЗ)
        Аналогичная ситуация с ИСПДн.
Генпрокуратура считает, что "Под охраняемой законом понимается информация, для которой законом установлен специальный режим ее правовой защиты (например, государственная, служебная и коммерческая тайна, персональные данные и т.д.).". Но это более редкий случай для объектов КИИ, хотя в промышленности может и обрабатываться в объектах КИИ информация, отнесенная к коммерческой тайне (и гостайна). В данной заметке рассмотрим наиболее широко распространенный случай - федеральная или региональная медицинская ГИС, с несколькими тысячами пользователей (врачи, администраторы регистратур) на местах (больницы, поликлиники, экипажи скорой помощи). Для работы в такой ГИС используются типовые автоматизированные рабочие места - компьютеры, моноблоки, специализированные терминалы, планшеты (далее -АРМ).
        С точки зрения ГИС и 17 приказа, такие АРМ однозначно входят в состав ГИС. При согласовании моделей угроз по ПП 676 ФСТЭК требует учитывать их. Они включаются в Техпаспорта ГИС, ФСБ и ФСТЭК требует их аттестацию. При проведении проверок на местах, привлекает организации к административной ответственности по Ст.13.12 КоАП РФ.
И от этого не спасает тот факт, что проверяемая организация не является оператором или владельцем ГИС. Достаточно пользоваться АРМ, подключенным к ГИС.
       Медицинская ГИС будет однозначна отнесена к объектам КИИ, как ИС, функционирующая в сфере здравоохранения. Категория значимости для уголовной ответственности роли не играет.
       С точки зрения КИИ все то же самое. АРМ - средство обработки информации, подлежащие защите и входящее в состав объекта КИИ.
      Смотрим 239 Приказ ФСТЭК:
17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация информационной системы;
       Получается "взрывная смесь"  ГИС и КИИ, пользователь обрабатывает охраняемую компьютерную информацию, содержащуюся в КИИ. И при этом, он не работник субъекта КИИ. А так же, возможно два варианта:
1. АРМ принадлежит самой организации. Непонятен его статус, принадлежит то он не субъекту КИИ и просто используется для подключения к объекту КИИ, принадлежащему федеральному/региональному центру - субъекту КИИ.
2. АРМ выдан организации и принадлежит федеральному/региональному центру - субъекту КИИ. Самый простой случай для разбора.
       Спросите, а причем здесь чашечка кофе?



      Не причем, пока не опрокинете ее на АРМ.
      Если посмотреть на аналогичную статью в УК РФ (она же прародительница для обсуждаемой), то увидим ключевое отличие от 274.1:

УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб

      Генпрокуратура считает по 274, что "Объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, если такое нарушение повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.

Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272 и 273 УК РФ.

Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.

Субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы)."

   Отметим два важных момента для пользователя КИИ:
1. В Ст.274.1 УК РФ нет никаких уточнений про "уничтожение, блокирование, модификацию либо копирование компьютерной информации".
2. Прямо приведен пример невыполнения политик безопасности пользователем. Воспользовался личной флешкой на рабочем АРМ, при запрете в соответствующей политике и вирус заблокировал доступ к нему до уплаты выкупа? Здравствуйте, гражданин следователь! Открыли фишинговое письмо на своем рабочем АРМ и вирус-шифровальщик "зашифровал всю информацию на серверах поликлиники"? Но эти события хотя бы связаны с нарушениями требований ИБ, а вот  момент №1 совсем печален:

     Практически все производители моноблоков, ПЭВМ и т.д указывают запрет на попадание жидкостей при эксплуатации технических средств, на базе которых и создан АРМ:
https://docplayer.ru/27595360-Rukovodstvo-po-ustanovke-i-ekspluatacii-monobloka.html
"Избегайте попадания жидкости на дисплей, так как это может привести к повреждению
внутренних компонентов."
http://img.mvideo.ru/ins/30013711.pdf
"Не допускайте попадания любых предметов внутрь корпуса и любых жидкостей внутрь и на поверхность моноблока."
Инструкция моноблокa Acer Aspire Z1-623
"Не проливайте воду или жидкости на компьютер."
Инструкция по эксплуатации моноблока Lenovo B300A
"Не ставьте емкости с напитками на компьютер и подключенные устройства или
рядом с ними. Если вы прольете жидкость на компьютер или подключенное
устройство, то это может привести к короткому замыканию или к другому
повреждению"
      Так же, в инструкциях по охране труда в организациях, часто включается пункт о том, что употребление пищи и напитков разрешено только в специально отведенных местах.

      Итог: для привлечения к уголовной ответственности достаточно, что бы по вине пользователя вышла из строя хотя бы клавиатура или "мышь" АРМ, вписанного в аттестат ГИС, отнесенной к объектам КИИ.
      Клавиатура входит в состав АРМ и имеет балансовую стоимость, а АРМ входит в состав объекта КИИ. То есть, пользователь нарушил инструкцию по эксплуатации от производителя и нанес вред КИИ в размере стоимости клавиатуру.
      Для тех, кто считает, что это выходит за рамки разумного и никогда не случится, напомню о существовании в УК РФ и других "туманно" сформулированных статей, практику применения которых вынужден комментировать Президент России:
"Пресс-секретарь президента России Дмитрий Песков призвал не обобщать и не «стричь под одну гребенку» уголовные дела за публикации в социальных сетях, подчеркнув, что каждый конкретный случай нужно рассматривать отдельно.
В Кремле признали, что порой бывают случаи «за гранью разумного». Песков напомнил позицию Владимира Путина, во время «Прямой линии» призвавшего руководствоваться здравым смыслом в каждом конкретном деле."
      Остается надеяться на здравый смысл компетентных органов и отсутствие показателей по применению данной статьи УК РФ.

      Для исключения подобных проблем необходимо, что бы Ст.274.1 была сформулирована в таком варианте:

      УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой компьютерной информации, причинившее крупный ущерб  или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к значимым объектам критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение крупный ущерб критической информационной инфраструктуре Российской Федерации

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности