1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, —
наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, —
наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, —
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, —
наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, —
наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Комментарии к ст. 274.1. УК РФ
1. Безопасность критической информационной инфраструктуры (КИИ) — это состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак. Критическая информационная структура Российской Федерации включает в себя автоматизированные системы и телекоммуникационные сети, которые используются в целях государственного управления, обеспечения обороноспособности и безопасности страны. Стабильность и безопасность их работы являются основой для нормального функционирования государства.
Критически важный объект — это объект, нарушение или прекращение функционирования которого приведет к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно-территориальной единицы субъекта Российской Федерации, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения (см.: Федеральный закон от 21 декабря 1994 г. N 68-ФЗ «О защите от чрезвычайных ситуаций природного и техногенного характера»).
Критическая информационная инфраструктура — это объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
К объектам критической информационной инфраструктуры относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры.
Категорирование объекта критической информационной инфраструктуры представляет собой установление соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений, присвоение ему одной из категорий значимости, проверку сведений о результатах ее присвоения. Категорирование осуществляется исходя из: 1) социальной значимости; 2) политической значимости; 3) экономической значимости; 4) экологической значимости; 5) значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка (см.: Федеральный закон от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»). Устанавливаются три категории значимости объектов критической информационной инфраструктуры — первая, вторая и третья. В целях учета значимых объектов критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, ведет реестр значимых объектов критической информационной инфраструктуры в установленном им порядке.
В соответствии с Федеральным законом от 26 июля 2017 г. N 187-ФЗ к субъектам критической информационной инфраструктуры относят государственные органы, государственные учреждения, российских юридических лип и (или) индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, обеспечивающие взаимодействие указанных систем или сетей.
2. Предметом в ч. 1 ст. 274 1 УК являются компьютерные программы либо иная компьютерная информация, заведомо предназначенные для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации. Данные программы предназначены для проведения компьютерных атак, целенаправленного воздействия программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности, обрабатываемой такими объектами информации.
3. Объективная сторона выражается в создании, распространении и (или) использовании таких компьютерных программ либо иной компьютерной информации.
Создание компьютерной программы или иной компьютерной информации — это написание самостоятельного кода или внесение изменений в уже существующий, разработка соответствующих данных и придание им формы электрических сигналов, предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации.
Использование компьютерной программы или иной компьютерной информации может выражаться в ее запуске, вводе информации и манипулировании ею. Лицо осуществляет целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи и т.п.
Распространение компьютерной программы или иной компьютерной информации может осуществляться по сетям передачи данных или перемещение носителя программы (информации) от одного лица к другому (купля-продажа, дарение, мена и т.п).
Преступление окончено в момент совершения любого из перечисленных действий.
4. Субъективная сторона характеризуется прямым умыслом и заведомостью. Лицо осознает, что компьютерная программа или информация непосредственно предназначена для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации.
5. Субъект преступления — лицо, достигшее 16 лет.
6. Предметом в ч. 2 ст. 274 1 УК является охраняемая компьютерная информация, содержащаяся в критической информационной инфраструктуре Российской Федерации.
7. Объективная сторона включает деяние (неправомерный доступ), причинную связь и последствие в виде причинения вреда критической информационной инфраструктуре Российской Федерации. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, понимается как возможность ее получения и использования, это незаконное либо неразрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации. Под доступом понимается проникновение в ее источник с использованием средств компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее).
Получение информации происходит, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ. Такие действия выполняются без санкции на то субъектов критической информационной инфраструктуры Российской Федерации.
Преступление окончено в момент причинения вреда критической информационной инфраструктуре Российской Федерации. Таковым является нарушение функционирования объектов критической информационной инфраструктуры, в частности к ним можно отнести уничтожение, блокирование, модификацию либо копирование компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации.
8. Субъективная сторона характеризуется умышленной формой вины.
9. Субъект преступления — лицо, достигшее возраста 16 лет.
10. Предметом преступления в ч. 3 ст. 274 1 УК является информационно-телекоммуникационные сети, системы электросвязи информационных систем, автоматизированные системы управления, системы хранения, обработки и передачи информации субъектов критической информационной инфраструктуры Российской Федерации.
11. Объективная сторона выражается в нарушении правил эксплуатации средств хранения, обработки, передачи информации или правил доступа к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации или информационным системам, информационно-телекоммуникационных сетям, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации.
Ответственность наступает при причинении вреда критической информационной инфраструктуре Российской Федерации.
Норма бланкетная, нарушение правил эксплуатации заключается в несоблюдении правил работы с оборудованием, нарушением должностных инструкций, а также нарушением правил обращения с охраняемой компьютерной информацией (например, приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Зарегистрировано в Минюсте России 26 марта 2018 г. N 50524).
Нарушение правил эксплуатации может быть в как форме действия, так и бездействия.
Деяние, описанное в ч. 3 ст. 274 1 УК с субъективной стороны характеризуется виной как в форме умысла, так и неосторожности.
12. Субъект данного преступления специальный: вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к критической информационной инфраструктуре Российской Федерации, либо к объектам, относящимся к критической информационной инфраструктуре Российской Федерации в силу исполнения должностных обязанностей и обязанный исполнять установленные правила эксплуатации.
В ч. 4 и 5 ст. 274 1 предусмотрены квалифицированные составы данного преступления.
