Вот не надо "ля-ля".

Моделируем ситуацию: из-за шифровальщика остановилось управление сигналами, состав вылетел на занятый путь, погибли люди.

Эксперт утверждает, что шифровальщик распространяется через, прости Господи, CVE-2017-0144, которую субъект должен был бы закрыть два года назад. Следователь квалифицирует систематическую неустановку обновлений как нарушение правил эксплуатации, установленных п. 13.3 г) приказа 239, так как весь раздел 13 - это  обязанности субъекта в ходе эксплуатации объекта КИИ.

Будешь рассказывать следователю, что он извращенец? Расскажи, почему он не должен квалифицировать деяние именно так?

РЖД в регионах отчитывается, что кии у них нет! 🤔

Дык, я сам в бытность железнодорожником вполне успешно отбивался от требований ФСТЭК и ФСБ :)

Но в данном случае "пока нет". Дороги ждут, что скажет центр, а до центра только начала доходить вся глубина накрывшего их органа :)

Есть упоминание в нормативке, что для защиты КИИ должно быть назначено(выделено) отдельное ответственное за это лицо, или подразделение..? Помогите с ссылкой на пункт приказа/или РД... ?

Для защиты зокии

Неустановка патча не приводит непосредственно к нарушению - причинная связь будет нарушена.
Это как-то в духе призыва к ответственности за поджег тех, кто не ставит систему пожаротушения, а не поджигателей, или судить девушку, одевшую мини-юбку, а не насильника

Нарушения будут в части невыполнения требований по защите ЗОКИИ, но не по п.3 274.1

Отсутствие плана эвакуации и хлам на путях эвакуации тоже "непосредственно не приводят". Но после пожара ответственные садятся именно за это

Дмитрий, я так понимаю, что ты сторонник такой трактовки УК РФ "Если в результате расследования компьютерного инцидента выяснится, что доступ произошел благодаря уязвимости, устраняемой посредством обновления компьютерных программ, которое на тот момент было доступным для соответствующей организации, невыполнение этих требований будет являться признаком объективной стороны преступления, предусмотренного ст. 274.1 УК РФ. Судебная практика по уголовным делам в сфере компьютерных преступлений <12> показывает, что субъектом такого преступления становится ИТ-персонал, если эти нарушения совершены им самовольно в нарушение политики информационной безопасности, принятой в организации, в том числе руководители организации, если ИТ-персонал действовал по их приказу или в его отсутствие при наличии необходимости издания соответствующего распоряжения.  " https://t.me/ruporsecurite/260

Первый провалившийся случай покажет все мощь или немощь. Как на сок форуме сказал представитель регулятора. Ждём первого неудачного опыта чтобы всем у нем научиться.

1. Я говорю, что такая трактовка возможна, и эту возможность нужно учитывать - крыть ее нечем.

2. Имеющаяся судебная практика - это статья 274 УК РФ. У этой статьи есть принципиальное отличие от 274.1: фигурантам по этой статье ФСТЭК не указ. Поэтому все известные мне случаи сводятся к нарушению правил, установленных владельцем ИС.

В 274.1, кроме этих правил, есть правила, которые установил регулятор. Появится в товарных количествах судебная практика по таким случаям - будем посмотреть. Но вот утверждать "такого быть не может" пока просто не с чего.

А автор цитируемой тобой статьи умалчивает об этой разнице :) Но вывод делает правильный:


"Характерный пример преступного бездействия - неустановка обновлений программного обеспечения. Работник субъекта КИИ должен провести анализ угроз и принять дополнительные меры защиты от этих угроз. Если в результате расследования компьютерного инцидента выяснится, что доступ произошел благодаря уязвимости, устраняемой посредством обновления компьютерных программ, которое на тот момент было доступным для соответствующей организации, невыполнение этих требований будет являться признаком объективной стороны преступления, предусмотренного ст. 274.1 УК РФ."

Мне ближе такая позиция "Понятно, что, если само нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей было допущено по неосторожности или, хотя правила и нарушались сознательно, лицо самонадеянно рассчитывало, что негативные последствия не наступят (работник, используя служебный компьютер, в нарушение политики информационной безопасности предприятия выходит в Интернет, что влечет заражение локальной сети организации вредоносной компьютерной программой "WannaCry" и шифрование всех служебных данных), говорить о возможности покушения на преступление, предусмотренное ст. 274 УК РФ, нельзя." https://t.me/ruporsecurite/290

Приказ ФСТЭК России от 21.12.2017 N 235

Конечно, ожидание "товарного" кол-ва судебной практики нормальный подход, но всё же, хотелось бы, понимать риски и, в том числе, с целью доведения их до коллег из неИБ.
И степень (или грань) попадания под УК, в данном случае, достаточно принципиальный момент. В тех случаях, когда имеется факт умысла (например, продажа ПДн), всё достаточно понятно. Но когда, например, могут "пришить" уголовную статью за не обновление, какого-нибудь 7zip, про который не все сканеры показывают, тут хотелось бы чёткого понимания возможной степени ответственности....

Уважаемые Коллеги! Предлагаю не дожидаться товарного объема судебной практики по УК, а выполнять уже имеющиеся требования, чтобы регуляторам и их контролерам не приходилось закручивать гайки дальше

а по ПДн нет никакой ясности. Однотипные преступления у операторов связи классифицируются по разному.  Массово идет "разглашение КТ"  и только  Владивосток отличился единственным случаем классификации по КИИ.

Это кейс по новой методике для повышения KPI органов

Тема касается всех, кто работает с ФЗ-152, 149 и пр. , а не только операторов.
Тут всё просто.
КИИ надо пиарить, а новую статью УК применять.
Сторона обвинения по своему разумению делает заключение о принадлежности к КИИ или направляет пострадавшей стороне запрос: система из которой произошла утечка -относится к КИИ? Утечка является ущербом КИИ?
Если ответ «да» - то статья за КИИ.
Если ответ «нет» то более знакомые УК 137, 138, 183, 272, КОАП 13.

судебная практика пока только по операторам связи, в части ПДн и 274.1

Здесь грань очень простая. Для ч. 3-5 274.1 нужно одновременное выполнение двух условий:
1. Вред КИИ. Т. е. должен произойти инцидент, почему достаточно резонансный для того, чтобы возбудились правоохранители - так-то они далеко не по каждому случаю заводят уголовные дела.
2. Должно быть нарушение, причем такое, что без него этого вреда не было бы.

Банальное отсутствие единичного патча - не преступление: нет нормативного требования устанавливать абсолютно все патчи. Но обычно этого патча нет вместе с еще несколькими сотнями патчей. Это позволяет говорить о систематическом невыполнении одной из норм приказа 239, даже без учета базовых мер защиты. А это - невыполнение обязательного требования, установленного для процесса эксплуатации объекта КИИ