Судебная практика 274 ук рф

Что ожидать от судебной практики по статье 274.1 УК РФ

Судебная практика 274 ук рф
Прогнозировать судебную практику — занятие неблагодарное, но иногда это удается с высокой степенью уверенности в результате. Субъекта КИИ в первую очередь интересует, кто и в каком случае может быть привлечен к ответственности по ч. 3-5 статьи 274.

1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»).

Для события преступления по этим составам требуется два фактора: должен быть причинен вред КИИ и причиной этого вреда должно являться невыполнение виновником правил эксплуатации «средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ«.

КИИ определена в ФЗ-187 как совокупность объектов критической информационной инфраструктуры и сетей электросвязи, используемых для организации взаимодействия таких объектов. Соответственно, причинение вреда любому объекту КИИ будет причинением вреда КИИ в целом.

Рассматриваемую предметную область можно охарактеризовать так:

  • Есть объекты, инциденты с которыми могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
  • Есть правила эксплуатации этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом непонятно, о каких правилах идет речь в статье.
  • Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно, непонятно, кто может быть признан таким виновником в случае реального инцидента.

Статистически значимой судебной практики по применению этой статьи нет и в ближайшее время не предвидится.

Но есть статья 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), которая на первый взгляд полностью аналогична и по которой судебная практика есть. Вот что говорится о ней в методических рекомендациях Генеральной Прокуратуры РФ:

  • «Предметом данного преступления являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное оборудование.» Тут все понятно: для события преступления требуется, чтобы вред был причинен воздействием на техническую составляющую объекта.
  • «Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации.» Т.е. не существует абстрактных, по умолчанию всем известных правил — нарушить можно только требования конкретных документов.
  • «Эти правила должны устанавливаться правомочным лицом.» Тут тоже понятно: никто не обязан выполнять предписания лица, которое никто такими полномочиями не наделял. В зачет идут только требования, установленные уполномоченным лицом.
  • «Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации… Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности.». Очевидно.
  • «Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.» Т.е. нарушением правил эксплуатации считается нарушение вообще любых обязательных к исполнению требований, в каких бы документах и нормативных актах они ни содержались.

Последний пункт хочу отметить особо: часто приходится слышать мнение, что под правилами эксплуатации понимаются только внутренние нормативные акты организации, которой принадлежит информационная система — дескать, только владелец информационной системы может устанавливать правила ее эксплуатации. Это не соответствует процитированной выше позиции Генпрокуратуры, которая явно называет одним из источников правил эксплуатации государственные стандарты — уж они-то никак не являются внутренними нормативными актами организации. Такая ошибка в трактовке обусловлена двумя факторами

Пересказывая чужое мнение, люди склонны опускать или искажать незначительные, по их мнению, подробности. Так, в учебных пособиях понятие «правила эксплуатации» пересказывается более простым языком и, к примеру, студентам Университета прокуратуры РФ преподносятся так:

Данные правила должны быть установлены уполномоченным лицом и приняты в надлежащем порядке, например утверждены письменным приказом, с которым исполнители должны быть ознакомлены под роспись.

Кроме того, правила эксплуатации могут не только устанавливаться управомоченным лицом, но и определяться техническими описаниями и инструкциями, передаваемыми работодателем работнику, а также пользователю от производителя при приобретении соответствующего устройства или программного обеспечения, либо правилами доступа к информационно-телекоммуникационным сетям в определенных случаях.

Как видим, смысл разъяснений Генпрокуратуры тут сохранен, но из примеров исчезли ГОСТы и иные официальные документы, остались только внутренние нормативные документы, с которыми ознакомливается пользователь или работник. Неудивительно, что в дальнейшем выпускники не обращаются к первоисточникам, а пересказывают единожды выученный материал.

Второй фактор — ничтожно малое количество случаев применения статьи 274 УК РФ: по данным Судебного департамента при ВС РФ, за 2017-2018 годы всеми судами РФ вынесено 2 (прописью «Два») приговора, причем в обоих случаях эта статья являлась дополнительной к основному деянию.

По другим источникам (спасибо Валерию Комарову), в 2010-2017 годах правоохранительными органами было возбуждено всего 21 уголовное дело с квалификацией деяния по этой статье.

Поэтому, говоря о судебной практике по нарушениям правил эксплуатации, мы имеем дело со статистически ничтожной выборкой, в которую попали, в основном, преступления против коммерческих компаний, возбужденные по заявлению их владельцев. Для квалификации деяния было достаточно того, что нарушены внутренние правила потерпевших.

В КИИ, применительно к значимым объектам, мы имеем принципиально иную ситуацию: есть ряд правовых норм, которые определяют обязанности субъекта КИИ в ходе эксплуатации значимого объекта КИИ — см. например, раздел 13 приказа ФСТЭК №239. Возникает вопрос: что будет, если причиной резонансного инцидента на значимом объекте КИИ станет игнорирование требований регулятора?

Судебная практика по статье 274 УК РФ нам тут не помощник, но есть другая предметная область, обладающая точно такими же характеристиками — пожарная безопасность:

  • Есть объекты, пожары на которых могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
  • Есть правила пожарной безопасности этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом точно так же непонятно, о каких правилах идет речь в статье.
  • Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно непонятно, кто может быть признан таким виновником в случае реального инцидента.

В обзоре судебной практики мы видим, что Пленум ВС РФ трактует понятие «правила пожарной безопасности» точно так же, как Генпрокуратура — понятие «правила эксплуатации»:

Как известно, диспозиция этой статьи является бланкетной. Законодатель не раскрывает в ней понятия «правил пожарной безопасности» и отсылает нас к нормам специального законодательства.

При этом в Федеральном законе «О пожарной безопасности» один из видов нормативных документов в этой области называется «правилами пожарной безопасности».

В то же время этим Федеральным законом отнесены к нормативным документам по пожарной безопасности стандарты, нормы, инструкции и иные документы, нарушение которых при наступлении указанных в диспозиции ст. 219 УК РФ последствий влечет уголовную

ответственность.

Как видим, в обеих предметных областях под «правилами» судебная система РФ понимает совокупность всех норм, устанавливающих обязанности субъекта в данной предметной области, независимо от того, каким именно документом эти обязанности установлены. Значит, стоит ожидать, что и при применении статьи 274.1 УК РФ судебная система будет относить к правилам эксплуатации также и нормативные требования ФСБ и ФСТЭК, определяющие обязанности субъекта КИИ в ходе эксплуатации объекта КИИ.

Говоря проще, если п. 13.2 и 13.

3 приказа ФСТЭК №239 требуют от субъекта КИИ проводить периодический анализ уязвимостей и выполнять управление обновлениями, то невыполнение этих требований в случае успешной атаки на объект КИИ вируса-шифровальщика станет самостоятельным уголовным преступлением, ответственность за которое лежит на субъекте КИИ. И тут возникает интересный вопрос: кто именно эту ответственность понесет?

И тут опять на помощь приходит судебная практика по делам о пожарной безопасности. Вот один из характерных примеров. Организация арендовала дебаркадер и оборудовала на нем общежитие.

Был назначен ответственный за пожарную безопасность, но фактически требования пожарной безопасности не выполнялись или выполнялись не в полном объеме (в приговоре перечислены только нарушения).

Случился пожар, погиб человек. Суд постановил:

  • Несмотря на то, что приказом директора был назначен ответственный за пожарную безопасность, именно директор «не обеспечил обучение ответственных работников пожарно-техническому минимуму в объеме знаний требований нормативных правовых актов, регламентирующих пожарную безопасность, в части противопожарного режима, а также приемов и действий при возникновении пожара в организации, позволяющих выработать практические навыки по предупреждению пожара, спасению жизни, здоровья людей и имущества при пожаре, не проводил у работников проверку знаний требований пожарной безопасности».
  • Именно директор «не обеспечил исправное состояние знаков пожарной безопасности, в том числе обозначающих пути эвакуации и эвакуационные выходы, вследствие чего эвакуационное освещение не включалось автоматически при прекращении электропитания рабочего освещения«
  • По вине именно директора «здание надстройки дебаркадера, являясь объектом общественного назначения не было оборудовано автоматической установкой пожарной сигнализации с установкой в помещениях дымовых извещателей» и т.п.

Суд постановил, что все перечисленные в приговоре нарушения были совершены именно директором, осознанно, ради экономии, с пониманием возможнх последствий. Директор был признан виновным, и то, что он отделался условным сроком, который был с него снят в связи с амнистией — совсем другая история.

Подобная практика вполне применима и к значимым объектам КИИ. Если атака на объект КИИ приведет к резонансным последствиям, кто-то должен стать крайним.

Следуя логике, которой руководствовался суд при вынесении рассмотренного выше приговора, персонал, ответственный за обеспечение безопасности, пожарная она или информационная, несет ответственность только за выполнение тех обязанностей, которые явно установлены для него внешними или внутренними нормативными актами.

Если руководитель организации не назначил ответственных, не определил их обязанности или не обеспечил возможность исполнения ими этих обязанностей (не организовал обучение, не выделил бюджет и т.п.), то ответственность за последствия несет он сам.

Это не единственный подобный приговор, просто он первым попался в поисковой выдаче. Не факт, что следствие и суды всегда будут придерживаться этой логики.

Но этот пример показывает, что в случаях, когда речь идет о гибели людей или других столь же резонансных последствиях, руководитель организации часто отвечает за последствия солидарно с ответственными работниками, а в некоторых случаях и единолично.

Источник: https://finreg.ru/ib/chto-ozhidat-ot-sudebnoj-praktiki-po-state-274-1-uk-rf/

Актуальные вопросы совершенствования судебной практики по уголовным делам о нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ)

Судебная практика 274 ук рф

 Евдокимов К.Н.

Российское правосудие выступает важным элементом в механизме противодействия компьютерным преступлениям и обеспечении информационной безопасности Российской Федерации.

Вместе с тем осуществление правосудия по уголовным делам о преступлениях в сфере компьютерной информации может быть эффективным только при наличии единообразной и постоянно совершенствующейся судебной практики.

Одним из проблемных с точки зрения юридической квалификации преступлений в сфере компьютерной информации является нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, уголовная ответственность за совершение которого предусмотрена ст. 274 Уголовного кодекса Российской Федерации (далее – УК РФ).

В соответствии с ч. 1 ст.

274 УК РФ ответственность для виновного лица наступает за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, размер которого превышает один миллион рублей.

Выявление указанных преступлений правоохранительными органами носит единичный характер. Так, по данным ГИАЦ МВД России, в 2010, 2011, 2013 гг. уголовные дела по данной статье УК РФ не возбуждались, в 2012 г. было возбуждено 1 уголовное дело, в 2014 г. – 3 уголовных дела, в 2015 году – 12 уголовных дел, в 2016 г. – 3 уголовных дела, в 2017 г. – 2 уголовных дела[1].

Поэтому судебная практика рассмотрения уголовных дел по ст.

274 УК РФ носит крайне редкий характер, что связано с небольшим количеством дел, направленных следователями в суд с обвинительным заключением, а также с проблемами квалификации и доказывания нарушения подсудимым правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационных сетей, оконечного оборудования либо доступа к информационно-телекоммуникационным сетям и размера причиненного вреда на сумму свыше одного миллиона рублей. При этом часть и без того немногочисленных уголовных дел судами была прекращена.

Так, например, Лефортовским районным судом г. Москвы было рассмотрено уголовное дело по обвинению гр-на А. в совершении преступления, предусмотренного ч. 1 ст. 274 УК РФ.

Судом было установлено, что А. работал по трудовому договору ведущим системным администратором отдела технической поддержки UNIX в ООО “Приват Трэйд”. Между руководством ООО “Приват Трэйд” и А.

было заключено соглашение о сохранении служебной и коммерческой тайны, которое обязывает сотрудника ООО “Приват Трэйд” не разглашать сведения, содержащие служебную тайну, какому-либо лицу и подчиняться правилам, существующим на предприятии, и указаниям должностных лиц, направленным на защиту служебной тайны (п. 3), которое было А. изучено и собственноручно подписано.

Однако гр-н А.

, используя служебные логин и пароль для доступа в компьютерную систему, в нарушение установленных правил скопировал на свой USB-носитель из базы данных ООО “Приват Трэйд” не менее 85 000 учетных записей, содержащих не прошедшие проверку имена, фамилии, никнеймы (имена, которые используются при регистрации на интернет-сайтах), а также адреса электронной почты, которые впоследствии передал В., который не был осведомлен о том, что полученная им информация охраняется внутренними документами ООО “Приват Трэйд”, а также действующим законодательством Российской Федерации.

Таким образом, А. нарушил правила эксплуатации средств хранения и передачи охраняемой компьютерной информации, а именно произвел копирование компьютерной информации, чем причинил крупный ущерб ООО “Приват Трэйд” на общую сумму 1 155 600 руб.

Между тем Постановлением Лефортовского районного суда г. Москвы от 29 сентября 2014 г. уголовное дело в отношении А. было возвращено прокурору ЮВАО г.

Москвы, в связи с тем что суд пришел к выводу, что обвинительное заключение составлено с нарушением требований Уголовно-процессуального кодекса РФ (далее – УПК РФ), что исключает возможность постановления судом приговора или вынесения иного решения на основании данного обвинительного заключения.

Источник: https://UrFac.ru/?p=1894

4 меры наказания за противозаконное использование технических средств работы с засекреченными данными

Судебная практика 274 ук рф

Защищать интересы людей в этой сфере хранения информации, ПК, ЭВМ и прочих гаджетов призваны статьи с 272 по 274 УК РФ. Причём в первой прописано, кто отвечает за посягательство на сохранность информационных данных на электронном носителе, а в последних двух представлено описание последствий такого правонарушения, тоесть назначаемые виды наказаний.

Многоканальная бесплатная горячая линияЮридические консультации по уголовному праву. Ежедневно с 9.00 до 21.

00Москва и область: +7 (495) 662-44-36Санкт-Петербург: +7 (812) 449-43-40

Статья 274 УК РФ является нормой, которая определяет правовую ответственность за противозаконное использование технических средств работы с засекреченными данными или нарушение правил эксплуатации, которое привело к уничтожению, изменению информации.

Такое деяние наказуемо. Норма закреплена в УК РФ, где указаны возможные меры за данное нарушение.

Меры наказания:

  1. Наказание материальными издержками – штраф до полумиллиона рублей или в размере дохода гражданина за последние полтора года.
  2. Исправительные работы сроком от полугода до года.
  3. Ограничение свободы или принудительные работы, оба сроком до двух лет.
  4. Тюремное заключение.

Когда действия правонарушителя привели к серьёзным последствиям, назначаемое наказание повторяет вышеуказанный пункт, увеличивая санкцию (свыше пяти лет).

Правовая оценка статьи 274 УК РФ

Основные аспекты:

  • владельцы информационных ресурсов не должны нарушать УК РФ,это позволит обезопасить данные в компьютерных машинах и других носителях;
  • преступление относят к завершённому, когда был нанесён серьёзный ущерб;
  • не играет роли, было ли совершено правонарушение по неосторожности или умышленно: человеческий фактор не учитывается и не меняет положение дел в лучшую сторону;
  • согласно Уголовному кодексу лицо, совершившее преступление, должно достичь возраста 16 лет и иметь доступ к ресурсу;
  • серьёзные последствия сказываются по-разному и зависят от того, что случилось конкретно, по фактам события.

Все положения данной правовой нормы носят бланкетный характер и описывают те действия, которые были совершены с целью нанести повреждение или украсть, уничтожить информационный ресурс.

В них представлены общие возможные нарушения, при этом не имеет значения, преднамеренно или случайно было совершено правонарушение.

Случаи из судебной практики по данной категории дел

В судах нередко рассматривают споры из этой серии. В качестве примера можно привести конфликт, произошедший в 2016 году в г. Москве между компанией ООО”Приват Трэйд” и её сотрудником.

В действиях последнего по отношению к организации определили состав преступления:

  1. Нарушены оглашённые правила пользования техникой хранения и передачи засекреченных данных.
  2. Копирование данных.
  3. Это привело к огромному ущербу субъекта.

Данное правонарушение, согласно материалам дела, расценивается как неправомерное. Важным моментом при рассмотрении дела считается то обстоятельство, что компания понесла убытки более одного миллиона рублей.

Размер суммы был определён уполномоченными органами исходя из справки об ущербе. В ней описано, что деньги ушли на восстановление доступа к базе данных организации, перепрограммирование компьютеров их работников и поиск объекта, совершившего преступление.

Далее дело отправилось на альтернативный пересмотр прокурору, но судебный процесс ещё не окончен. Пока разбирательство продолжается и приговор не вынесен, к правонарушителю была применена санкция, а именно: запрет на выезд.

Что говорят юристы относительно 274 ст. УК РФ?

Судебные практики часто заостряют внимание на том, что случаи с нарушениями конфиденциальности охраняемых данных в настоящее времявстречаютсявсё более часто.

Информация становится актуальным и ценным ресурсом.

Сегодня электронные носители имеют сильное влияние на человеческую деятельность, поэтому правоохранительные органы инициируют возбуждение дела в случае выявления признаков преступления.

Если что-то выйдет из строя, выйдет из строя целая сеть передачи данных, что приведёт к самым нежелательным последствиям.

Защищать интересы владельцев информационных ресурсов призвано законодательство, которое определило наказания заследующие нарушения:

  • невыполнение правил эксплуатации носителей данных;
  • изменение круга лица, допущенных к информации.

Правовой акт создан, чтобы руководить процессом обеспечения контроля над сохранностью информации, но сам является бланкетным, то есть ссылается на другие статьи с указаниями в них частных понятий и терминов, включая процедуру работы с носителями.

Источник: https://ugolovnoe.com/pravo/kodeks/statya-274-rf

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.