Категоризация правонарушений как инструмент управления рисками в ИБ

от

Категоризация правонарушений как инструмент управления рисками в ИБ

Категоризация правонарушений в сфере информационной безопасности — это не формальность, а фундамент оценки и управления рисками. Юридически грамотная организация не только защищает себя от инцидентов, но и строит эффективную модель реагирования, учитывающую особенности законодательства и возможные последствия для бизнеса.

Четкое понимание различий между дисциплинарными, административными и уголовными правонарушениями критично для любого, кто связан с информационной безопасностью: от специалистов на местах до директоров и собственников. Неправильно определив характер нарушения, компания может столкнуться либо с недостаточной защитой, либо с чрезмерной реакцией, что одинаково опасно для репутации и ресурсов.

Виды правонарушений в области информационной безопасности

Защита информации традиционно ассоциируется с техническими мерами, но правовые аспекты не менее важны. Нарушение установленных правил, закрепленных в законодательстве и корпоративных политиках, может повлечь ответственность различных уровней и стать источником серьезных рисков.

Квалификация проступка определяет последующие шаги: внутреннее разбирательство, кадровые меры, обращение к регулятору или правоохранителям.

Классификация по виду юридической ответственности

В российском праве выделяют три основные категории ответственности за нарушения в сфере информационной безопасности:

Дисциплинарные проступки

Дисциплинарная ответственность — наиболее распространенная и внутренняя по своему характеру. Она связана с невыполнением или ненадлежащим исполнением трудовых обязанностей в области ИБ и регулируется локальными актами компании.

Основанием для применения дисциплинарных мер служат следующие документы:

  • Положения и политики по информационной безопасности
  • Регламенты по работе с персональными данными и средствами автоматизации
  • Инструкции по работе с корпоративными ресурсами
  • Правила использования электронной почты и интернета
  • Должностные инструкции

Типовые примеры дисциплинарных нарушений:

  • Хранение рабочей информации на незащищенном личном устройстве
  • Передача пароля третьим лицам
  • Установка нелицензионного программного обеспечения
  • Посещение с рабочего компьютера запрещенных или небезопасных ресурсов
  • Разглашение корпоративных данных в личной переписке

Санкции включают: устное замечание, выговор, увольнение по соответствующим основаниям, вплоть до увольнения за разглашение тайны.

Административные правонарушения

Административная ответственность регулируется КоАП РФ. Здесь речь уже о нарушении законодательства, а не только внутренних документов. К ответственности могут быть привлечены как должностные лица, так и компании.

Ключевые статьи КоАП, актуальные для ИБ:

Статья КоАП Суть нарушения Кто привлекает Санкции
13.11 Нарушение требований к обработке персональных данных Роскомнадзор Штрафы до 500 тыс. руб. для организаций; приостановка деятельности до 90 суток
13.12 Нарушение правил защиты информации (использование несертифицированных СЗИ и пр.) ФСТЭК России Штрафы до 500 тыс. руб., иногда конфискация СЗИ
13.13 Деятельность по защите информации без соответствующей лицензии ФСТЭК, ФСБ Штрафы до 500 тыс. руб. и конфискация оборудования
13.14 Разглашение информации с ограниченным доступом (если это не уголовное преступление) Органы внутренних дел Штрафы до 50 тыс. руб. для должностных лиц

Для организаций характерно наложение нескольких штрафов при выявлении различных составов нарушений в ходе одной проверки.

Уголовные преступления

Уголовная ответственность применяется в случае наиболее опасных деяний. Здесь уже затрагиваются интересы личности, собственность, государственная безопасность. Нарушения квалифицируются по статьям УК РФ.

  • Статья 272 УК РФ: Неправомерный доступ к компьютерной информации, связанный со взломом и последствиями в виде уничтожения, блокирования, изменения или копирования данных.
  • Статья 273 УК РФ: Создание, распространение и использование вредоносных программ (вирусов), если это приводит к ущербу.
  • Статья 274 УК РФ: Нарушение правил эксплуатации информационных систем и средств, приведшее к серьезным последствиям; часто касается лиц с правомерным доступом (например, сисадминов).
  • Статья 138.1 УК РФ: Незаконный оборот специальных технических средств для негласного получения информации.
  • Статьи 183, 285, 286 УК РФ: Нарушения, связанные с разглашением коммерческой/государственной тайны, превышением полномочий, служебным подлогом.

[ИЗОБРАЖЕНИЕ: Схема, отображающая прогрессию от дисциплинарной к административной и уголовной ответственности, и соотношение тяжести последствий.]

Классификация по объекту посягательства

Определение объекта нарушения помогает выбрать правильную квалификацию и применить необходимые меры.

Нарушения, связанные с персональными данными (ПДн)

Здесь объект посягательства — права субъектов персональных данных, а ключевым нормативом выступает 152-ФЗ.

  • Обработка ПДн без законного основания или согласия
  • Отсутствие локализации данных на территории РФ
  • Недостаточная защищенность ПДн (отсутствие моделей угроз, политик, необходимых средств защиты)

Ответственность может быть как административной (наказание по КоАП), так и уголовной (например, сбор ПДн обманным путем).

Нарушения режима секретности и конфиденциальности

Ключевое — защита коммерческой/государственной тайны и установленных режимов доступа.

  • Разглашение охраняемых сведений
  • Нарушение правил обращения с носителями информации
  • Несоблюдение допуска к работе с засекреченной информацией

Нарушения обращения с СЗИ и лицензирования

  • Использование несертифицированных средств защиты информации в обязательных случаях
  • Оказание услуг по технической защите без лицензии ФСТЭК
  • Разработка/производство средств защиты без лицензии ФСБ

Киберпреступления, связанные с безопасностью компьютерной информации

  • Взлом ИТ-систем (272 УК РФ)
  • Организация DDoS-атак
  • Создание ботнетов
  • Мошенничество с использованием доступа к ИТ-системам

Правонарушения для операторов КИИ и ГИС

Для владельцев КИИ и государственных информационных систем регулятор требует особого внимания. Правонарушения здесь связаны с несоблюдением специальных требований:

  • Нарушения порядка категорирования объектов КИИ
  • Непредставление информации о инцидентах в регулятор (ФСТЭК)
  • Несвоевременное проведение оценки соответствия безопасности
  • Игнорирование предписаний регулирующих органов

Ответственность может носить как административный, так и дисциплинарный характер по специфическим нормам, например, в рамках статей 13.12, 13.13 КоАП.

Сложные и смешанные составы правонарушений

В реальной практике встречаются ситуации, в которых одинаковое действие содержит признаки различных правонарушений. Пример: уволенный сотрудник, скопировавший базу данных с ПДн и коммерческой тайной и попытавшийся её продать, одновременно нарушает нормы трудового и административного права, а также законодательства об уголовной ответственности. В таких случаях итоговая квалификация нарушения — зона ответственности суда или проверяющих органов.

  1. Дисциплинарное производство — за нарушение политики безопасности и трудового договора
  2. Административное преследование — за разглашение коммерческой тайны
  3. Уголовное дело — за неправомерный доступ и дальнейшее распространение информации

Зачем бизнесу точная квалификация правонарушений?

Четкое понимание границ и критериев правонарушений — это:

  • Основа для правильного внутреннего расследования и выстраивания кадровых мер (замечание или увольнение, а не перегиб в виде чрезмерно строгих санкций для незначительных проступков)
  • Аргумент для руководства об уровне угроз и необходимости вложений в техническую и организационную защиту
  • Средство снижения стратегических рисков — от многомиллионных штрафов до приостановки деятельности
  • Залог корректного взаимодействия с регуляторами и основа для выстраивания юридически грамотных коммуникаций в рамках проверок

Ошибка в квалификации ведет к серьезным просчетам. Компания рискует либо «накопить» массу нарушений, которые проявятся только при проверке; либо, напротив, дискредитировать систему безопасности, если кадровые решения принимаются без опоры на правовую базу.

Зрелость практики управления информационной безопасностью в бизнесе начинается с ясного юридического разделения зон ответственности, видов правонарушений и оценки их потенциальных последствий.

Оставьте комментарий