В Госдуму внесен законопроект об уголовной ответственности за кибератаки на критическую информационную инфраструктуру РФ

Правительство РФ внесло в Госдуму три законопроекта, направленные на обеспечение безопасности критической информационной инфраструктуры РФ, предусматривающие, в том числе тюремный срок для хакеров.

Согласно пояснительной записке, в настоящее время ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры РФ может наступать на основаниях, предусмотренных статьями 272-274 Уголовного кодекса Российской Федерации. Вместе с тем, учитывая необходимость повышенной уголовно-правовой защиты безопасности критической информационной инфраструктуры Российской Федерации, целесообразно выделение составов посягательств на критическую информационную инфраструктуру РФ в отдельную статью, считают авторы документа.

Законопроектом предлагается дополнить УК РФ статьей 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», которая предусматривает ответственность, в том числе уголовную, за:

  • создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации;
  • неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации;
  • нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации.
Неправомерное воздействие на критическую информационную инфраструктуру РФ (из текста зоконопроекта)
1. Создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации, — наказывается штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации или создал угрозу его наступления, — наказывается штрафом в размере от одного миллиона до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период от трех до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет или без такового.

3. Нарушение правил эксплуатации средств хранения, обработкиили передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей и их оконечного оборудования, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанной информации, информационным системам, информационно-телекоммуникационным сетям и их оконечному оборудованию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации или создало угрозу его наступления, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой лиц или лицом с использованием своего служебного положения, — наказываются принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

5. Деяния, предусмотренные частями первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового».

Согласно отзыву Верховного суда, само предложение о выделении посягательств на критическую информационную инфраструктуру в специальные составы преступлений возражений не вызывает.

Вместе с тем, по тексту законопроекта имеются некоторые замечания. Так, вызывает некоторые опасения то, что «в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда».

В случае принятия закон вступит в силу с 1 января 2017 года.

Также в Госдуму внесены следующие законопроекты: О безопасности критической информационной инфраструктуры Российской Федерации и О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

Проектом федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов в этой области, права, обязанности и ответственность лиц, владеющих на праве собственности или другом законном основании объектами такой инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

В соответствии с законопроектом, безопасность критической информационной инфраструктуры России и её объектов обеспечивается, в частности, за счёт:

  • разработки критериев категорирования объектов критической информационной инфраструктуры, показателей этих критериев и порядка категорирования объектов;
  • ведения реестра значимых объектов критической информационной инфраструктуры;
  • установления требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учётом их категорий;
  • создания систем безопасности значимых объектов критической информационной инфраструктуры и обеспечения их функционирования;
  •  обеспечения взаимодействия систем безопасности с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы;
  • государственного контроля в области безопасности критической информационной инфраструктуры.

Законопроектом «О безопасности критической информационной инфраструктуры Российской Федерации» наряду с дисциплинарной, гражданско-правовой и административной ответственностью предусматривается уголовная ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры.

Проектом федерального закона «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»» предусмотрено внесение соответствующих изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и в Закон Российской Федерации «О государственной тайне».

Внесение изменения в часть 3.1 статьи 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» позволит не применять положения этого Федерального закона, устанавливающие порядок организации и проведения проверок, к деятельности по государственному контролю в области безопасности критической информационной инфраструктуры.

Внесение изменения в пункт 4 статьи 5 Закона Российской Федерации «О государственной тайне» связано с необходимостью защиты сведений о мерах, предпринимаемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также сведений об оценке степени защищенности критической информационной инфраструктуры Российской Федерации. Это позволит отнести такие сведения к сведениям, составляющим государственную тайну.

Напомним, что в ноябре Минкомсвязь предложила внести в законодательство базовые термины, касающиеся работы Интернета. Так, законопроект предлагает ввести отдельные нормы, регулирующие критическую инфраструктуру Интернета. Правительство Российской Федерации предлагается наделить полномочиями по определению порядка управления и функционирования отдельными элементами критической инфраструктуры.

К критической инфраструктуре российского национального сегмента сети «Интернет», относятся:

а) национальная доменная зона ru, .рф и инфраструктура, обеспечивающая ее функционирование;

б) системы точек обмена трафиком, критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи;

в) государственная информационная система обеспечения целостности, устойчивости и безопасности функционирования российской части сети «Интернет», предусмотренная статьей 21.2 настоящего Федерального закона;

г) инфраструктура автономных систем сети «Интернет», критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи.

Отметим также, что в понедельник 5 декабря Владимир Путин утвердил новую доктрину информационной безопасности РФ. В частности, в доктрине идет речь и о безопасности критической информационной инфраструктуры страны.