© Аналитический центр InfoWatch. 2019 г.

Исследование судебной практики

по делам об утечках информации

ограниченного доступа в 2018 г.

2

Оглавление

Оглавление ................................................................................................................. 2

Только цифры ............................................................................................................. 3

Аннотация .................................................................................................................. 4

Методология .............................................................................................................. 8

Результаты исследования ......................................................................................... 11

Заключение и выводы ............................................................................................. 25

Мониторинг утечек на сайте InfoWatch .................................................................. 27

Сокращения ............................................................................................................. 28

Глоссарий ................................................................................................................. 29

3

Только цифры

4

Аннотация

Аналитический центр компании InfoWatch впервые представляет отчет

об исследовании судебной практики по делам об утечках информации ограниченного

доступа, которые были рассмотрены российскими судами в 2018 году.

Понятие информации ограниченного доступа закреплено Законом «Об информации».1

Перечень такой информации до сих пор не установлен, хотя попытки

предпринимались неоднократно.2 Исследователи насчитывают от 723 до 784 видов

«тайн», т. е. видов информации, доступ к которой ограничен в соответствии

с требованиями законодательства Российской Федерации.

Законом «Об информации» на обладателя информации, помимо прочего, возложена

обязанность предотвращать неправомерные доступ и передачу информации

ограниченного доступа. Специальные законы имеют схожие нормы. Так, Закон

«О персональных данных»5 обязывает оператора персональных данных защищать их

от неправомерного или случайного доступа к ним, уничтожения, изменения,

блокирования, копирования, предоставления, распространения и иных

неправомерных действий в отношении персональных данных.

В рамках регулятивного законодательства определена гипотеза правовой нормы —

презюмируется (предполагается), что в момент, предшествующий преступлению или

правонарушению, информация ограниченного доступа пребывает в состоянии

защищенности. Определенные действия лиц, направленные на такую информацию,

объявлены противоправными и предусмотрены нормами охранительных законов —

КОАП РФ, ТК РФ и УК РФ.

В силу исторических причин нормы регулятивных и охранительных законов не

отличаются однозначным соответствием, что не позволяет говорить о единой системе

противоправных деяний, предусмотренных законодательством в отношении

информации ограниченного доступа.

Так определение понятия (термина) «разглашение» закреплено в Законе

«О коммерческой тайне»6, однако активно применяется практически ко всем видам

информации ограниченного доступа для описания объективной стороны

преступления или правонарушения. К примеру, ответственность за разглашение

информации ограниченного доступа предусмотрена семью статьями УК РФ (ст. ст. 147,

155, 183, 283, 310, 311, 320) и пятью статьями Кодекса об административных

1 Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 18.03.2019) «Об информации, информационных технологиях и о защите

информации» // СЗ РФ. 2006. №31 (1 ч.). ст. 3448. 2 См. к примеру Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений

конфиденциального характера». // СЗ РФ. 1997. №10. ст. 1127. 3 Крюков С. Р. Виды тайн по законодательству Российской Федерации // Государственная власть и местное самоуправление. 2019.

№ 2. С. 46-50. 4 Данные Консультант Плюс.

5 Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных» // СЗ РФ. 2006, № 31 (1 ч.), ст. 3451.

6 Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 18.04.2018) «О коммерческой тайне». // СЗ РФ. 2004. № 32. ст. 3283.

5

правонарушениях (ст. ст. 7.12, 7.31.1, 13.14, 13.15, 17.13). Речь при этом идет о таких

видах информации ограниченного доступа, как: тайна изобретения, тайна

усыновления, тайна следствия и пр.

Примеры неоднозначного толкования терминов «информационного»

законодательства можно встретить в УК РФ, — в отличие от закона «Об информации»,

уголовный закон понимает под «неправомерным доступом» необходимое условие для

наступления последствий в виде уничтожения, блокирования, модификации,

копирования компьютерной информации (в законе «Об информации»

неправомерный доступ7 является видом неправомерного действия, наряду

с уничтожением, блокированием, модификацией и пр.).

Во избежание излишних споров о понятиях, для целей настоящего исследования

авторы предлагают использовать термин «утечка информации» для описания

объективного факта утраты контроля над информацией ограниченного доступа ее

обладателем. Данное определение (термин) отсутствует в действующем

законодательстве РФ, но имеется в национальных стандартах8 (ГОСТ Р 53114-2008),

и в данном исследовании, по мнению авторов, утечку информации предлагается

понимать как единое негативное последствие деяний, предусмотренных ТК РФ,

особенными частями КоАП и УК РФ.

Перечень противоправных деяний, влекущих утечку, легко выводится из закона. Это:

1. неправомерный доступ к информации и последствия такого доступа —

ознакомление, копирование, блокирование, уничтожение, модификация;9

2. злоупотребление доступом, то есть неправомерное использование информации

ограниченного доступа в случае, когда такое использование не является

разглашением10, а также в случаях, когда действия легитимного пользователя

были направлены на неправомерное использование либо привели

к негативным последствиям в виде уничтожения, модификации, блокирования,

копирования информации;

7 Отметим, что привычный специалистам по ИБ термин «несанкционированный доступ» в законодательстве РФ практически не

используется (исключение, например, ст. 13.11 КоАП РФ). 8 В национальных стандартах термин «разглашение» входит в состав термина «утечка информации».

9 В судебной практике под неправомерным понимают доступ к охраняемой информации лица, не имеющего права на получение

и работу с такой информацией (см. «Методические рекомендации по осуществлению прокурорского надзора за исполнением

законов при расследовании преступлений в сфере компьютерной информации» (утв. Генпрокуратурой России) // СПС

Консультант Плюс), а также доступ лиц, обладающих правом на работу с охраняемой информацией, если их действия повлекли

модификацию, блокирование, уничтожение информации // см. «Комментарий к Уголовному кодексу Российской Федерации. В 4

т. Особенная часть. Раздел IX» (постатейный) том 3. (отв. ред. В. М. Лебедев) «Юрайт», 2017 // СПС Консультант Плюс. 10

В данном исследовании термин «разглашение» употребляется без учета правовой позиции КС РФ, которой предусмотрено, что

отправка гражданином на свой (личный) адрес электронной почты не принадлежащей ему информации создает условия для ее

дальнейшего неконтролируемого распространения. Высказывая данную позицию, КС РФ фактически уклонился от разрешения

вопроса, образуют ли указанные действия разглашение. Однако последующая судебная практика восприняла эту позицию

именно в том смысле, что действия лица, благодаря которым обладатель информации ограниченного доступа утрачивает

контроль над ней, могут быть квалифицированы как разглашение. Доказывать факт, что информация стала известна третьему

лицу, не требуется. См. Постановление Конституционного Суда РФ от 26.10.2017 № 25-П по жалобе А. И. Сушкова. // СПС

Консультант Плюс.

6

3. разглашение, то есть действие или бездействие, в результате которых

информация стала известна третьим лицам. Представляется, что термином

«разглашение» охватываются в том числе неправомерные предоставление,

распространение информации.

В рамках данного исследования все перечисленные термины понимаются буквально,

без учета принятых в судебной практике толкований, значительно расширяющих

изначальный смысл каждого понятия. Так, под неправомерным доступом авторы

исследования подразумевают доступ к информации субъекта, не наделенного

соответствующим правом (не являющегося обладателем информации, без согласия

обладателя информации); под разглашением — передачу (распространение)

информации определенному лицу (неопределенному кругу лиц) также без согласия

обладателя информации.

Важно отметить, что для настоящего исследования все перечисленные деяния в целом

представляют собой нарушение правил обращения с информацией ограниченного

доступа, установленных законодательством (включая подзаконные акты) и локальными

нормативными актами, и могут рассматриваться как способ совершения некоторого

единого правонарушения (нарушения действующего законодательства),

с неизбежностью влекущего утечку информации. Совершение такого правонарушения

(одним или несколькими указанными способами) является основанием для

наступления уголовной, административной, дисциплинарной, в отдельных случаях

гражданско-правовой ответственности11.

Положения об ответственности сконструированы в законе по принципу исключения

частного из общего. Самой общей нормой, предусматривающей ответственность

за разглашение информации ограниченного доступа, является ст. 13.14 КоАП. Этим же

законом закреплена ответственность за нарушения законодательства о защите ПДн

(применительно к теме утечек ПДн — ч. 6 ст. 13.1112), неправомерное использование

инсайдерской информации (ст. 15.21), перечень статей о разглашении см. выше,

а также ст. 13.12 за нарушение правил защиты информации (например, лицензиат

обязан соблюдать требования по защите информации, о сохранении её

конфиденциальности и т.д.), «антиинсайдерские» ст. ст. 15.30 и 15.35.

В рамках трудового законодательства ответственность за деяния, повлекшие утечку

информации, предусмотрена пп. в п. 6 ч. 1 ст. 81 и ст. 90 ТК РФ.

В уголовном законе ответственность за указанные правонарушения (с поправкой

на специфику охраняемых объектов и последствий деяния) предусмотрена ст. ст. 137,

138, 147, 155, 183, 272, 274, 274.1, 275, 276, 283, 284, 310, 311, 320 УК РФ.

11

Вопрос о соотношении гражданско-правовой и дисциплинарной ответственности работников организаций, спровоцировавших

утечку информации, в рамках данного исследования не представляется возможным рассмотреть в силу объемности и

исключительно правового характера указанного вопроса. 12

Примечательно, что новая редакция ст. 13.11 предусматривает ответственность оператора ПДн только за «бумажную» утечку, т.

е. за неправомерный доступ к ПДн, обрабатываемых без использования средств автоматизации.

7

С учетом предложенного понимания терминов, предметом данного исследования

будут решения судов РФ, рассмотревших в 2018 году в рамках гражданского,

административного и уголовного судопроизводства дела о преступлениях

и правонарушениях, повлекших утечку информации ограниченного доступа.

Для лучшего понимания отчета широким кругом читателей информацию, контроль

над которой был утрачен обладателем, мы будем называть скомпрометированной.

Тогда такое событие, как утрата контроля над информацией под воздействием

нарушителя, описывается термином «компрометация» или утечка информации

(данных).

Настоящее исследование призвано выявить основные и наиболее очевидные

проблемы правоприменения в области защиты информации. Результаты исследования

будут интересны специалистам в области информационной и экономической

безопасности, журналистам, собственникам и высшему менеджменту компаний,

которые оперируют информацией ограниченного доступа (коммерческая, банковская,

налоговая тайна), иными ценными информационными активами.

8

Методология

Исследование проводится на основе собственной базы данных судебных решений,

отобранных по перечисленным выше составам преступлений и правонарушений.

В базу включены решения российских судов всех уровней, принятые в 2018 году

по делам о преступлениях и правонарушениях, повлекших утечку информации.

В ходе наполнения базы каждый случай классифицирован по ряду критериев:

по субъекту13 (отношение к обладателю информации — сотрудник, руководитель),

по мотиву (месть, корысть) и способу (неправомерный доступ, злоупотребление

доступом и пр.), по обладателю информации (отрасль, тип организации), по объекту

посягательства14 (государственная, коммерческая тайна, ПДн и пр.), по каналу утечки

информации, по вектору воздействия на охраняемый объект, по виду назначенного

наказания, по виду судопроизводства, по размеру причиненного ущерба.

Вопрос о репрезентативности собранной базы довольно непрост. Дело в том, что

на практике основную часть деяний, повлекших утечку информации, составляют

административные правонарушения. Например, по данным Роскомнадзора15, только

в 2018 году ведомство получило 39 335 обращений от граждан по тематике защиты

персональных данных. Количество случаев, когда по результатам проверки

ведомством выявлены нарушения в области защиты ПДн, ежегодно составляет

2–3 тыс. При этом, по данным судебного департамента по составам, включающим

нарушения в области защиты ПДн, за 2018 год судами рассмотрено 2003 дела.16

Более детальная статистика возможна для уголовных дел, но и здесь под уже

перечисленные составы подпадают не только случаи компрометации информации, но

и сопутствующие правонарушения. Так, составы о госизмене и шпионаже (ст. ст. 275,

276 УК), не всегда подразумевают, что сведения, составляющие государственную тайну,

были собраны и переданы — госизмена возможна в форме оказания какой-либо

помощи, а в качестве шпионажа могут быть квалифицированы действия

по собиранию практически любой (в том числе неограниченного доступа)

информации.

Неправомерный доступ к информации часто квалифицируют как способ совершения

иных преступлений — мошенничества, кражи денежных средств с использованием

пластиковых карт и пр., что не всегда позволяет выделить в судебной статистике дела

об утечках данных, отделить их от массива дел о хищениях. К примеру, суд может

посчитать, что мошеннические действия сотрудника банка не образуют совокупность

13

Авторы классифицируют утечки по виновнику (субъекту, источнику) инцидента. Наряду с внутренними нарушителями, в данную

классификацию попадает внешний нарушитель. 14

В данном исследовании объектом посягательства предлагается считать информацию. Т. е. авторы не придерживаются

терминологии уголовного права, где объектом принято считать общественные отношения или благо, а информация считалась

бы предметом посягательства. 15

Итоги работы с обращениями граждан в Роскомнадзоре в 2018 году. // http://www.rkn.gov.ru/. 16

Сводные статистические сведения о деятельности федеральных судов общей юрисдикции и мировых судей за 2018 год. //

http://www.cdep.ru/.

9

составов о мошенничестве и о неправомерном доступе. Как результат,

в перечисленные выше составы УК такое дело не попадет.

Также, в отличие от системы арбитражных судов, суды общей юрисдикции до сих пор

не сформировали единого общедоступного каталога судебных актов.

Все это делает отбор исследуемых объектов (конкретных дел) в значительной мере

затруднительным. Примерное соотношение статистики дел, рассмотренных судами

в 2018 году, и дел, ставших объектами исследования, представлено в таблице.

Рассмотрено

судом17 Внесено в базу %

137 УК 127 7 5,5%

138 УК 41 6 14,3%

147 УК 1 0

155 УК 3 0

183 УК 22 11 50%

272 УК 50 34 68%

273 УК В контексте данного исследования не рассматривалась

274 УК 0 0

274.1 УК 0 0

275 УК 4 0

276 УК 4 0

283 УК 36 0

284 УК 0 0

310 УК 0 0

311 УК 0 0

320 УК 1 0

7.12 КоАП 1112

7.31.1 КоАП 0

13.11; 13.11.1; 13.12 ч. 2, 4, 5; 13.13;

13.14 КоАП 2003 4 0,2%

13.15 КоАП 591

15.21; 15.30; 15.35 ч. 1, 4 КоАП 3 0

17.13 КоАП 10

пп. в п. 6 ч. 1 ст. 81 и ст. 90 ТК РФ - 22

Иные составы 15

17

Совокупная статистика по трем отчетам департамента: № 10-а «Отчет о числе осужденных по всем составам преступлений

Уголовного кодекса Российской Федерации», № 1-АП «Отчет о работе судов общей юрисдикции по рассмотрению дел

об административных правонарушениях», № 2 «Отчет о работе судов общей юрисдикции о рассмотрении гражданских,

административных дел по первой инстанции». // http://www.cdep.ru/.

10

Представляется, однако, что имеющейся в распоряжении исследователей выборки

(более 50% дел по наиболее значимым составам преступлений и правонарушений)

достаточно для формирования общей картины особенностей правоприменения

в области утечек информации. Следует учитывать, что дела об утечках информации

для правоприменителя являются «проходными», типичными. Практика по таким делам

не отличается серьезными отклонениями. В этом смысле даже на выборке, не

отвечающей строгим требованиям репрезентативности, вполне допустимо говорить

об общих для конкретной сферы правоприменения проблемных моментах.

Персональные данные нарушителей и наименования пострадавших компаний

из текста исследования исключены.

В ходе исследования объекты (отдельные судебные акты) категорированы таким

образом, чтобы можно было сравнить получившиеся результаты с результатами других

исследований Аналитического центра — сохранена система типов данных в целом

и по отдельным разрезам. При формировании диаграмм из выборки исключены

объекты, классифицированные по основному критерию разреза

как неопределенные18.

18

Например, разрез по виновнику утечки не содержит утечек, для которых тип виновника не удалось определить.

11

Результаты исследования

Наибольшее количество дел об утечках информации, разрешенных судами в 2018 году,

рассматривалось по правилам уголовного судопроизводства (69,1%). Чуть более

четверти случаев рассмотрены в рамках гражданских дел.

Рисунок 1. Распределение утечек по видам судопроизводства, 2018 г.

В 83% случаев решения судов не содержат сведений о размере ущерба, который был

причинен обладателям информации. В остальных случаях размер ущерба,

установленный судом, как правило, не превышал 100 тыс. рублей.

Дважды ущерб, связанный с утечкой информации, превысил 10 млн рублей. В первом

случае речь шла о масштабном мошенничестве путем модификации ПО банкоматов.19

Во втором — о взыскании ущерба, связанного с незаконным получением сведений,

составляющих коммерческую тайну (суд принимал решение на основании ранее

вынесенного приговора в отношении бывших сотрудников по ст. 183 УК).20

Примерно половина дел, рассмотренных по правилам уголовного судопроизводства,

характеризуется отсутствием легитимного (правомерного, санкционированного)

доступа правонарушителя к информации, которая в ходе утечки была

скомпрометирована. Для «гражданских» дел типична иная картина — лишь в одном

случае из 25 исследованных дел нарушитель не имел легитимного доступа.

19

Приговор Автозаводского районного суда г. Тольятти Самарской области от 27 июня 2018 года по делу № 1-452/2018. 20

Решение Промышленного районного суда г. Ставрополь от 14 июня 2018 года по делу № 2-1266/18.

Ни одно из исследованных дел не содержит указания на балансовую стоимость

скомпрометированной информации — в случае, когда ущерб обладателю

информации все же был установлен, суд опирался на экспертную оценку.

12

В целом в 58,5% случаев утечки информации нарушитель обладал всеми правами

доступа к защищаемому объекту, в 36,3% случаев доступ был неправомерным.

Как указано выше, весь спектр возможных правонарушений авторы исследования

свели к трем типам. Получение неправомерного доступа зафиксировано в 16%

случаев, злоупотребление имеющимся легитимным доступом либо использование

информации, полученной путем неправомерного доступа, наблюдалось в 59,5% дел.

Остальные 24,5% пришлись на разглашение информации.

Рисунок 2. Распределение утечек по типам правонарушений, 2018 г.

Типичным примером злоупотребления доступом, т. е. неправомерного использования

информации ограниченного доступа, можно считать различные мошеннические

действия сотрудников салонов связи, направленные на получение незаконного дохода

путем «монетизации» информации о клиентах сотовых операторов.

sudact.ru: ФИО, являясь специалистом офиса обслуживания и продаж ПАО «…»,

находилась на своем рабочем месте. В соответствии со спецификой своей

работы, ФИО знала, что на лицевых счетах абонентов (SIM-карт) ПАО «…»

находятся принадлежащие ПАО «…» денежные средства, которые можно

похитить, предварительно осуществив перевыпуск SIM-карт абонентов

путем … доступа к информационным ресурсам ПАО «…», то есть, заменив SIM-

карту действующего абонента на не активированную SIM-карту,

находившуюся в офисе продаж, и, используя перевыпущенную SIM-карту,

получить возможность доступа к денежным средствам, находящимся

на лицевом счете абонента.

По такой же схеме, то есть с использованием легитимного доступа, действуют

сотрудники банков, оформляя кредиты действующим клиентам без их согласия

по заведомо подложным заявкам, осуществляя иные выплаты.

sudact.ru: ФИО, находясь на своем рабочем месте, без ведома клиента О. и в её

отсутствие, используя … программное обеспечение сначала осуществила

зачисление компенсации в сумме 7 669 рублей 94 копейки на счёт, открытый

на имя последней, собственноручно подделав подпись от имени О. в заявлении

13

на получение компенсации, банковском ордере на зачисление компенсации,

а затем провела с этого счёта расходную операцию на сумму 7 669 рублей 94

копейки, подделав подпись от имени О. в расходном кассовом ордере,

в результате чего сняла со счета О. денежные средства в сумме 7 669 рублей

94 копейки, и в тот же день изъяла из кассы дополнительного офиса денежные

средства в сумме 7 669 рублей 94 копейки, похитив тем самым вверенные ей

денежные средства путём присвоения, после чего распорядилась ими по своему

усмотрению.

Только в 34,5% случаев злоупотребление доступом наблюдалось со стороны

нелегитимных пользователей. В остальных случаях правонарушители осознанно

использовали информацию ограниченного доступа, с которой знакомились

на законных основаниях (как правило, при исполнении служебных обязанностей).

71,1% утечек, ставших предметом рассмотрения судов в 2018 году, связаны

с неправомерными действиями сотрудников коммерческих и некоммерческих

организаций. 20% утечек стали следствием активности внешних злоумышленников.

Утечки, спровоцированные действиями бывших сотрудников, составили 6,7%.

Рисунок 3. Распределение утечек по виновнику, 2018 г.

Категория внешних злоумышленников в данном распределении в основном

представлена лицами, осуществившими неправомерный доступ к личной информации

своих знакомых (домашних пользователей), что повлекло модификацию,

блокирование, уничтожение такой информации.

sudact.ru: ФИО стер всю имеющуюся на мобильном устройстве Потерпевшей

№2 охраняемую законом компьютерную информацию, то есть привел

компьютерную информацию в памяти мобильного телефона в непригодное

для использования состояние, а именно: личные фотографии не менее 1000

штук, личные видеозаписи не менее 20 штук, личные контакты не менее 75

штук, личную переписку не менее 20 диалогов, а также полностью

заблокировал работу ее устройства с целью последующего совершения

вымогательства денежных средств за его разблокировку.

14

Действия подрядчиков и бывших сотрудников зачастую мотивированы желанием

«насолить» заказчику или работодателю. Используя знания об информационной

системе бывшего работодателя или заказчика, сохранившиеся права доступа,

нарушители проникают в информационную систему, копируют доступную

информацию, удаляют с жестких дисков максимально возможное количество данных.

sudact.ru: ФИО на основании трудового договора № от 01.03.2015 года работал

в ООО «…». После увольнения, имея умысел, направленный на неправомерный

доступ к охраняемой законом информации, действуя на почве неприязненных

отношений к руководителю ФИО, зная логин и пароль электронной почты..,

ввел их для получения доступа к электронному почтовому ящику указанной

почты, принадлежащей легальному пользователю - ООО «…», осуществил

неправомерный доступ к содержимому электронного почтового ящика

электронной почты ... После чего…, осуществил неправомерный вход

в административный раздел управления электронной почтой ..... на сервисе .....,

изменил пароль для осуществления доступа к регистрационной учетной

записи…, внес изменения в регистрационные данные: изменил логин и пароль,

данные о пользователе, секретный вопрос и ответ, таким образом, для

правомерного пользователя доступ к указанному почтовому ящику был

заблокирован, а информация с учетной записи стала полностью

подконтрольна и использовалась ФИО по его усмотрению.

При этом мотив мести не является превалирующим. В 83,6% от всего количества дел

(в 73,9% уголовных дел) нарушители руководствовались корыстным мотивом.

Рисунок 4. Распределение утечек по мотиву, 2018 г.

Сравнительно невелика доля случаев, когда органы предварительного следствия и/или

уголовный суд не посчитали нужным устанавливать мотив.

sudact.ru: Как пояснила в судебном заседании ФИО, она лишь хотела

ознакомиться с Правилами внутреннего трудового распорядка ООО «…»,

15

и хотела их сфотографировать. По ее мнению, ПВТР не содержат какой-либо

секретной информации, и отстранять ее от работы только за то, что она

желала ознакомиться с ПВТР путем фотографирования, незаконно.

Иные мотивы, кроме совершения правонарушений из мести или корыстной

заинтересованности, можно отнести к экзотическим — такие мотивы встречаются

сравнительно редко.

sudact.ru: ФИО осуществил неправомерный доступ к охраняемой

компьютерной информации, хранящейся в базе данных серверов ПАО «…»,

из иной личной заинтересованности, выразившейся в улучшении своих

статистических показателей и выполнении плана компании, в связи, с чем им

была заменена сим-карта по указанному абонентскому номеру. Тем самым,

действия ФИО повлекли модификацию компьютерной информации

в автоматической биллинговой системе ПАО «…».

О наиболее распространенном способе незаконного использования клиентской

информации сотрудниками салонов связи сказано выше. Кроме того, те же сотрудники

салонов не стесняются продавать клиентскую информацию (детализации соединений,

состояние счетов), оказывать незаконные услуги по перевыпуску SIM-карт, продаже

«красивых» номеров.

Отдельная большая проблема — мошеннические действия сотрудников салонов связи

с банковскими продуктами (к примеру, карты «Кукуруза»), злоупотребления

работников кредитных учреждений при оформлении кредитов и проведении

платежей.

sudact.ru: ФИО, будучи директором магазина ООО «…», осуществлявшего в том

числе оформление микрозаймов в МФО, приискала находящееся в свободном

доступе изображение паспорта гражданина Российской Федерации, направила

в МФО собственноручно изготовленное и подделанное ей заявление от имени

владельца паспорта, где были указаны его анкетные данные и паспортные

данные, о предоставлении микрозайма в сумме 15000 рублей. Затем ФИО

перевела на свое имя и свой расчетный счет денежные средства в размере

15000 рублей, оформленные в качестве микрозайма, тем самым, похитив их

(указанные денежные средства) и впоследствии распорядившись ими по своему

усмотрению.

Примечательно, что ни одному сотруднику сотовых операторов и салонов связи,

кредитных учреждений, злоупотребившему доступом и использовавшему

информацию клиентов для личного обогащения, не назначено наказание,

связанное с реальным лишением свободы.

16

В случае, если фабула обвинения ограничивалась неправомерным доступом

к информации (только 272 УК), уголовное дело чаще всего прекращалось судебным

штрафом или за примирением сторон. Если же сторона обвинения усматривала

в действиях злоумышленника совокупность 272 УК и иных статей уголовного закона

(разглашение коммерческой и иной тайны, хищение), суд назначал нарушителю

исправительные или обязательные работы, условное лишение свободы.

Так сотруднице одного из сотовых операторов за систематическое

разглашение данных (53 эпизода) суд назначил наказание в виде лишения

свободы на 1 год 4 месяцев условно.21

В другом случае за хищение более 1 млн рублей с карты клиента злоумышленники

получили по 6 лет лишения свободы, также условно.22 Кстати, в рамках гражданского

судопроизводства по иску потерпевшего к оператору связи, чьи сотрудники

совершили хищение, суд отказал в удовлетворении исковых требований, пояснив:

sudact.ru: держатель карты, согласившись с получением услуг посредством

системы «Мобильный банк» через сеть Интернет осознает, что сеть

Интернет не является безопасным каналом связи, и, соответственно, несет

финансовые риски и риски нарушения конфиденциальности, связанные

с возможной компрометацией информации при её передаче через сеть

Интернет. Материальный ущерб истцу причинен не по причине

ненадлежащего оказания ответчиком банковских услуг, а вследствие

противоправных действий третьих лиц.

Из материалов дела следует, что сотрудники оператора связи перевыпустили SIM-

карту потерпевшего, воспользовались его отсутствием и перевели денежные средства

с его карты. Однако, как указывается в приведенном решении, «доказательств

виновных действий сотрудников ответчиков, а также совершения преступления

виновными лицами в результате нарушения прав потребителя со стороны ответчиков

не имеется».

Общая картина назначенных наказаний, применения иных мер (в том числе мер

ответственности по ТК РФ и КоАП) представлена на графике.

21

Приговор Пролетарского районного суда г. Саранска от 01 июня 2018 года по делу № 1-78/2018. 22

Решение Набережночелнинского городского суда Республики Татарстан от 12 февраля 2018 года по делу № 2-242/2018.

17

Рисунок 5. Распределение утечек по строгости наказания, 2018 г.

Представляется, что относительно свободный доступ к клиентской информации,

имеющийся у сотрудников сотового ретейла и сотовых операторов, наряду

с мягкостью назначаемого наказания «провоцирует» персонал организаций

указанного сегмента на неправомерные действия. То же можно сказать о сотрудниках

финансово-кредитной сферы, подразделений почтовых операторов, иных

организаций, связанных с обслуживанием движения денежных средств.

sudact.ru: ФИО, являясь оператором связи 1 класса отделения почтовой связи…,

из корыстной заинтересованности, используя свое служебное положение,

решила при помощи автоматизированной информационной системы

«Срочные безадресные переводы», установленной в ее персональном

компьютере, осуществить неправомерный доступ к компьютерной

информации, составляющей коммерческую тайну, без согласия получателей

использовать сведения, которые стали ей известны по работе и составляют

18

коммерческую тайну, и похищать денежные средства с не обналиченных

денежных переводов путем модификации компьютерной информации.

И если вопрос о необходимости ужесточения наказания с позиции криминологии

является спорным, то необходимость реорганизации процессов контроля доступа

к клиентской информации кажется очевидной.

В целом на финансовые организации и высокотехнологичные компании23 (в том числе

на операторов сотовой связи, сотовый ретейл) приходится 12,1% и 32,3% случаев

утечек информации, рассмотренных судами, то есть чуть менее половины от всех

зарегистрированных случаев. Отметим, что в исследуемой выборке представлена вся

большая четверка операторов сотовой связи, системообразующие банки,

национальный почтовый оператор.

23

К высокотехнологичным мы относим организации, специализирующиеся в области высоких технологий — компании сегмента

ИТ, телеком, сотового ретейла.

Существенная доля «примитивных» злоупотреблений в сотовом ретейле, клиентских

офисах банков — прямое следствие низких зарплат рядового персонала, недостатка

культуры обращения с информацией ограниченного доступа и, без сомнения,

недостатков в работе служб информационной безопасности.

19

Рисунок 6. Распределение утечек по отраслям, 2018 г.

Также значимой является доля промышленных и транспортных организаций – 14,1%.

Отраслевая специфика для указанных сегментов проявляется и в типах информации

ограниченного доступа (различных «тайнах»), подвергшихся компрометации

в результате утечек. Очевидно, что в случае медицинских организаций чаще всего

страдает врачебная тайна, в случае сотовых операторов и сотового ретейла — тайна

связи.

Но если для банков и высокотехнологичных компаний доля дел, рассмотренных по

правилам уголовного судопроизводства, составляет 66% и 96% соответственно, то

для организаций промышленного сегмента ситуация практически обратная — здесь

71% исследованных случаев утечек приходится на гражданские дела. Преобладание

«гражданских» дел характерно и для остальных сегментов.

20

Универсальными типами скомпрометированной информации для всех отраслей

можно считать персональные данные и сведения, составляющие коммерческую тайну.

Эти виды информации ожидаемо преобладают в распределении утечек по типу

данных.

Рисунок 7. Распределение утечек по типу скомпрометированных данных 2018 г.

Безусловно положительным моментом следует признать наличие в выборке дел

о взыскании организациями материального ущерба с действующих и бывших

сотрудников за утечку коммерческой тайны, ноу-хау.

Количество таких дел пока невелико, однако сам факт разрешения конфликта

с сотрудниками (как правило, привилегированными), не в рамках уголовного,

а в рамках гражданского судопроизводства внушает определенный оптимизм.

sudact.ru: После увольнения из АО «…», ФИО, действуя умышленно, в интересах

китайской компании «…», являющейся конкурентом АО «…», с перспективой

дальнейшего трудоустройства в указанную компанию и извлечения

финансовой выгоды, принял решение о совершении преступления, связанного

с незаконным собиранием и разглашением сведений, составляющих

коммерческую тайну АО «…», а именно сведений о технологии изготовления

внешних и внутренних керамических теплоизоляционных экранов установки

выращивания монокристаллического сапфира.

Во-первых, гражданское судопроизводство представляет собой более

цивилизованный способ разрешения конфликта, чем попытка «посадки» сотрудника.

Во-вторых, российские суды, как выясняется, готовы разрешать подобные дела,

21

опираясь в том числе на денежную оценку скомпрометированной информации, входя

в тонкости организации процессов создания, обработки, защиты сведений,

составляющих коммерческую тайну.

Конечно, все это возможно в случае действительной (а не иллюзорной) ценности

скомпрометированных данных — как правило, это чертежи перспективных изделий,

результаты научно-исследовательских работ и прочие нематериальные активы,

владелец которых получает заметное конкурентное преимущество на рынке.

И наоборот, из обработанных в ходе исследования материалов можно сделать вывод,

что когда сотрудник перед увольнением «выносит» не особенно ценную информацию,

например, базу данных клиентов, о которых и так знают все конкуренты, то

пострадавшие компании склонны прибегать к уголовному преследованию,24

тем самым прозрачно «намекая» персоналу на недопустимость

и наказуемость нарушения правил обращения с информацией ограниченного

доступа.

Применительно к делам об утечке сведений, составляющих коммерческую тайну,

имеется ряд особенностей, которые необходимо учесть. Так, апелляционный суд

Свердловской области, поддерживая решение нижестоящего суда, прямо заявил, что

«отсутствие на информации грифа «коммерческая тайна» с учетом

принятых ответчиком мер в целях установления режима коммерческой

тайны, не лишает ее статуса ограниченной в пользовании информации»25.

Суд посчитал, что для установления режима коммерческой тайны, в организации

достаточно следующего: наличие перечня информации, составляющей коммерческую

тайну, установление ограничения доступа к ней путем определения порядка

обращения с этой информацией и контроля за соблюдением такого порядка;

ознакомление работников с перечнем такой информации (фактически, меры 1-4,

указанные в ч. 1 ст. 10 закона «О коммерческой тайне»).

Можно предположить с уверенностью, что учет лиц, получивших доступ

к коммерческой тайне, в эпоху цифровых технологий презюмируется — каждое

действие пользователя в информационной системе регистрируется. Сам пользователь

при этом идентифицируется, как минимум, по логину/паролю.

Фактически судебной практикой, вопреки императивной норме закона, наличие

грифа «коммерческая тайна» на носителях информации не признается

обязательным — достаточно, чтобы обладатель выполнил набор надлежащих

(по оценке суда) действий для защиты информации.

В отдельных случаях обладателю предлагается обосновать, что информация

действительно соответствует признакам сведений, составляющих коммерческую тайну.

24

Приговор Канавинского районного суда г. Н.Новгорода от 06 июня 2018 года по делу № 1-283/2018. 25

Апелляционное определение Свердловского областного суда от 02.10.2018 по делу № 33-17667/2018

22

Простого утверждения об этом недостаточно — сторона должна представить

доказательства.

«…доказательств в подтверждение того факта, что переданная …

информация содержала реальные показатели производственно-хозяйственной

и финансово-экономической деятельности компании, составляющие

в соответствии с локальными нормативными актами ответчика

коммерческую тайну, в материалы дела не представлено. С учетом

изложенного суд пришел к обоснованному выводу о недоказанности

ответчиком факта совершения истцом действий по разглашению

информации, составляющей коммерческую тайну».26

В отдельных делах суд принимал в качестве доказательства экспертное заключение

о степени конфиденциальности скомпрометированной информации.27

В целом, судебная практика по делам об утечках информации складывается

скорее в пользу обладателей информации.

О толковании термина «разглашение» в рамках гражданского судопроизводства уже

упоминалось. В соответствии с правовой позицией КС, «отправка работником на

личный адрес электронной почты не принадлежащей ему конфиденциальной

информации создает условия для ее дальнейшего неконтролируемого

распространения»28. Суды, за некоторым исключением29, при рассмотрении

подобных дел уже традиционно добавляют, что отправка «создает условия для

дальнейшего неконтролируемого распространения (информации), достаточные для

применения работодателем пп. в п. 6 ч. 1 ст. 81 ТК РФ»30, т. е. для увольнения

работника за разглашение охраняемой законом тайны.

Причем это касается не только уголовных31 (в данном деле скриншоты экранов

приобщены к материалам дела в числе прочих доказательств), но и гражданских дел.32

26

Апелляционное определение Свердловского областного суда от 02.10.2018 по делу № 33-17667/2018. 27

Приговор Фрунзенского районного суда г. Владивостока от 21 сентября 2018 по делу № 1-318/2018. 28

Постановление Конституционного Суда РФ от 26.10.2017 N 25-П по жалобе А. И. Сушкова. 29

Апелляционное определение Новгородского областного суда от 25.07.2018 по делу № 33-1732/2018. 30

Апелляционное определение Московского городского суда от 16.10.2018 по делу № 33-40175/2018. 31

Апелляционное определение Костромского областного суда от 6 марта 2018 по делу № 22-165/2018.

Судебная практика неоднозначно, но последовательно признает результат работы

средств защиты информации (средств контроля - DLP-систем и решений со схожим

функционалом) в качестве доказательств неправомерных действий нарушителей в

информационных системах.

23

«Лояльность» судов в приобщении сведений из систем защиты информации

в качестве доказательств легко объяснима — подавляющее большинство

рассмотренных случаев компрометации информации связано с данными,

представленными в цифровом виде (базы данных клиентов, выгрузки детализаций,

чертежи в CAD-системах и т. д.). Цифровая эпоха требует цифровых

доказательств.

Не случайно в 61,5% дел об утечках информации речь шла о доступе, предоставлении,

разглашении информации по сетевому каналу.

Второй по популярности канал — электронная почта (14,3% случаев), — где

информация также передается в цифровом виде. На утечки через бумажные

документы приходятся скромные 5,5% (в том числе распечатки из ИС).

Рисунок 8. Распределение утечек по каналам, 2018 г.

Еще одним значимым каналом компрометации данных являются мобильные

устройства. Пользователи фотографируют бумажные документы, экран рабочего

монитора, отправляют фотографии и файлы с помощью мессенджеров и облачных

сервисов.

32

Апелляционное определение Московского городского суда от 30.05.2018 № 33-23467/2018.

24

sudact.ru: ФИО незаконно получил сведения о дате и времени телефонных

соединений, номерах исходящих и входящих соединений абонента сотовой

связи ПАО «…» ФИО4, по зарегистрированному на его имя абонентскому

номеру №, то есть незаконно собрал конфиденциальную информацию

абонента ФИО4, содержащую тайну его телефонных переговоров, без его

согласия и не имея судебного решения на получение указанных сведений. ФИО

сохранял на персональном компьютере, находящемся на рабочем месте

полученные сведения, а затем копировал указанный файл на облачный сервис.

После чего, ФИО в отсутствие соответствующего согласия передал, то есть

распространил электронную ссылку, обеспечивающую доступ к незаконно

собранной информации о персональных данных ФИО4, содержащую тайну его

телефонных переговоров неустановленному лицу - пользователю мессенджера,

посредством использования указанного мессенджера.

Иные каналы в распределении представлены слабо и интересны в качестве

иллюстраций того, как еще в современном мире компрометируется информация:

sudact.ru: ФИО обвиняется в том, что он, действуя из корыстной заинтересованности,

совершил неправомерный доступ к охраняемой законом компьютерной информации,

содержащейся в электронной памяти в приборе учета электрической энергии,

повлекший ее модификацию, а также нарушение работы прибора учета электрической

энергии.

25

Заключение и выводы

Правоприменительную практику по делам об утечках информации в целом можно

охарактеризовать как единообразную и предсказуемую. При разрешении дел суды, как

правило, принимают сторону обладателей информации, особенно в гражданском

судопроизводстве — по делам об увольнении сотрудников за разглашение

охраняемых законом сведений.

При этом стоит отметить отсутствие гармонизации между регулятивным

и охранительным законодательством. Охранительные законы не успевают

за динамичными изменениями в области информационных технологий, в силу чего

правоприменитель вынужден компенсировать недостатки имеющихся норм за счет их

толкования (на уровне Конституционного и Верховного судов).

Чаще всего дела об утечках данных рассматриваются по правилам уголовного

судопроизводства. Причина этого кроется в особенностях двух наиболее ликвидных

типов информации, подвергающихся компрометации — это финансовая информация

и персональные данные. Очевидно, что утечка такой информации негативно

отражается не только на обладателях информации, но и на гражданах — клиентах

банков и сотовых операторов. Следствие — большое количество уголовных дел

по заявлениям пострадавших граждан или по результатам мероприятий, направленных

на выявление случаев «продажи» сведений об абонентах, детализаций звонков и пр.

Другая причина — относительная «дешевизна» уголовного судопроизводства для

пострадавшего обладателя информации в сравнении с гражданским

судопроизводством, преюдициальный характер решения по уголовному делу,

на основании которого обладатель информации может взыскать убытки с причинителя

в гражданском суде.

В рамках гражданского производства чаще всего рассматриваются дела, когда утечка

данных наносит ущерб только и исключительно обладателю информации — как

правило, дела об увольнении нарушителей. Здесь интересен важный момент —

зафиксировано несколько случаев, когда суд в таких делах принимал в качестве

доказательств экспертные заключения с оценкой скомпрометированной информации.

То есть расчет ущерба основывался на ценности утекших данных.

К сожалению, не зафиксировано ни одного случая, когда такая оценка базировалась на

балансовой стоимости информации. Это означает, что российские компании

до момента утечки даже примерно не знают, сколько стоит значимая информация.

В большинстве рассмотренных дел причиной утечки были сотрудники компаний,

обладающие правомерным доступом к информации. При этом нарушения, связанные

с неправомерным использованием информации, такие сотрудники совершали

под влиянием корыстных мотивов. Подобная ситуация открывает большие

перспективы для использования технологий поведенческого анализа — к примеру,

26

установив, что сотрудник склонен к совершению противоправных действий, служба

безопасности может ограничить его доступ к защищаемой информации.

Анализ наиболее типичных сценариев утечки информации показывает, что большую

часть противоправных действий сотрудников можно было бы предотвратить

с помощью сочетания организационных и технических мер, включающих в себя,

например, запрет мобильных устройств с фото(видео)камерой на рабочих местах,

применение личных (или недоверенных) облачных сервисов и личной электронной

почты, а также контроль соблюдения этих правил путем применения

автоматизированных средств контроля..

Представляется, что основной причиной большого количества утечек информации

является вовсе не отсутствие средств защиты данных, а неумение использовать уже

имеющиеся инструменты, неприменение очевидных организационных мер в сфере

безопасности и средств контроля защищенности. В частности, нежелание работать над

повышением культуры обращения с информацией на всех уровнях – от топ-

менеджмента до рядовых сотрудников, непонимание или нежелание понять, что

сотрудники не являются продолжением или приложением к информационным

системам, а потому склонны к деструктивным действиям под влиянием негативных

эмоций на фоне низких зарплат, отсутствия карьерных перспектив.

Проблема утечек информации, как представляется авторам исследования, имеет

в большей степени социальную основу, нежели техническую. По крайней мере, если

говорить о наиболее типичных сценариях российских утечек. Как минимум, следует

учитывать, что продавец салона связи, сотрудник банка, оператор почтового

отделения за одно незаконное действие может получить вознаграждение,

сопоставимое с весомой долей его заработной платы. Например, за детализацию

месячной активности абонента сотовой компании можно на черном рынке получить

10-15 тысяч рублей, а то и больше. И это в условиях, когда средняя зарплата такого

сотрудника зачастую не превышает 30 тысяч рублей в месяц. Безусловно, это не

оправдывает их деструктивные действия в глазах закона.

Следует ожидать, что умышленные утечки, другие нарушения правил обращения

с защищаемой информацией со стороны сотрудников будут и далее иметь место.

Добиться их снижения в каждой конкретной организации возможно путем решения

ряда социальных проблем сотрудников и внедрения системы менеджмента

информационной безопасности, мер (систем) контроля соблюдения требований ИБ.

27

Мониторинг утечек на сайте InfoWatch

На сайте Аналитического центра InfoWatch регулярно публикуются отчеты по утечкам

информации и самые громкие инциденты с комментариями экспертов InfoWatch.

Следите за новостями утечек, новыми отчетами, аналитическими и популярными

статьями на наших каналах:

Почтовая рассылка

Facebook

Telegram

Аналитический центр InfoWatch

www.infowatch.ru/analytics

28

Сокращения

98-ФЗ Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне»

АС Автоматизированная система

ГОСТ Государственный (национальный) стандарт

ИБ Информационная безопасность

ИС Информационная система

ГК РФ Гражданский кодекс Российской Федерации от 30 ноября 1994 года N 51-

ФЗ

КоАП

РФ

Кодекс Российской Федерации об административных правонарушениях

от 30.12.2001 г. от 195-ФЗ

КС Конституционный суд Российской Федерации

НПД Неправомерный доступ

НСД Несанкционированный доступ

ПДн Персональные данные

ПО Программное обеспечение

ТК РФ Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ

УК РФ Уголовный кодекс Российской Федерации от 13.06.2009 г. № 63-ФЗ

29

Глоссарий

Атака – см. компьютерная атака, сетевая атака, вторжение.

Вторжение (атака) – действие, целью которого является осуществление

несанкционированного доступа к информационным ресурсам [Методический

документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня сети

четвертого класса защиты. ИТ.СОВ.С4.ПЗ. Утвержден ФСТЭК России. 3 февраля 2012 г.].

Вектор воздействия – критерий классификации в отношении действий лиц,

спровоцировавших утечку (в рамках данного отчетов InfoWatch).

Различаются действия внешних нарушителей (злоумышленников) (хакеров и других

лиц) – внешние атаки, направленные против компании, воздействующие на веб-

ресурсы, информационную инфраструктуру, носители корпоративной информации

с целью компрометации информации, и действия внутренних нарушителей,

(сотрудники компании и подрядчики, получившие права доступа к ресурсам

компании) атакующих системы защиты изнутри (нелегитимный доступ к закрытым

ресурсам, неправомерные действия с инсайдерской информацией и проч.).

Внешняя атака – атака, совершенная внешним нарушителем.

Внутренний нарушитель – см. Нарушитель информационной безопасности

организации (нарушитель).

Внешний нарушитель – см. Нарушитель информационной безопасности организации

(нарушитель).

Деструктивные действия сотрудников – в рамках данного отчета об утечках

информации аналитики InfoWatch к таким действиям относят действия сотрудников,

повлекшие компрометацию информации ограниченного доступа: использование

информации ограниченного доступа в личных целях, в том числе сопряженное

с мошенничеством; нелегитимный доступ к информации (превышение прав доступа).

Защита информации от утечки – защита информации, направленная

на предотвращение неконтролируемого распространения защищаемой информации

в результате ее разглашения и несанкционированного доступа к ней, а также

на исключение (затруднение) получения защищаемой информации (иностранными]

разведками и другими заинтересованными субъектами [ГОСТ Р 50922-2006, статья

2.3.2].

Примечание – Заинтересованными субъектами могут быть: государство, юридическое

лицо, группа физических лиц, отдельное физическое лицо.

Инцидент – см. инцидент безопасности, инцидент информационной безопасности,

компьютерный инцидент.

Инцидент безопасности (Security incident) – неблагоприятное событие в системе или

сети, а также угроза такого события.

30

Примечание – Иногда используется термин ≪несостоявшийся инцидент≫

для описания события, которое могло обернуться инцидентом при несколько других

обстоятельствах [ГОСТ 56205-2014, статья 3.2.106]

Инцидент информационной безопасности – любое непредвиденное или

нежелательное событие, которое может нарушить деятельность или информационную

безопасность [ГОСТ Р 53114-2008, статья 3.2.7. ГОСТ Р ИСО/МЭК 27001-2006, статья 3.6].

Примечание – Инцидентами информационной безопасности являются:

утрата услуг, оборудования или устройств;

системные сбои или перегрузки;

ошибки пользователей;

несоблюдение политики или рекомендаций по ИБ;

нарушение физических мер защиты;

неконтролируемые изменения систем;

сбои программного обеспечения и отказы технических средств;

нарушение правил доступа.

Канал утечки информации – способ утечки информации; предполагает сценарий,

в результате выполнения которого потерян контроль над информацией, нарушена ее

конфиденциальность.

На данный момент аналитики InfoWatch выделяют 8 самостоятельных каналов

утечки (далее - классификаторы):

«Оборудование (сервер, СХД, ноутбук, ПК)», – компрометация информации

в ходе обслуживания, в результате кражи или потери оборудования.

«Мобильные устройства» – утечка информации вследствие нелегитимного

использования мобильного устройства/кражи мобильного устройства

(смартфоны, планшеты). Использование данных устройств рассматривается

в рамках парадигмы BYOD.

«Съемные носители» – потеря/кража съемных носителей (CD, USB, карты памяти

и др.).

«Сеть (сетевой канал)» – утечка через браузер (отправка данных через веб-

интерфейс в личную почту, формы ввода в браузере), нелегитимное

использование внутренних ресурсов сети, FTP, облачных сервисов,

нелегитимная публикация информации на веб-сервисе.

«Электронная почта» – утечка данных через корпоративную электронную почту.

«Бумажные документы» – утечка информации вследствие неправильного

хранения/утилизации бумажной документации, через печатающие устройства

(отправка на печать и кража/вынос конфиденциальной информации на бумаге).

«IM –сервисы мгновенных сообщений» - утечка информации при передаче ее

голосом, в текстовом виде, а также через видео - при использовании

мессенджеров.

«Не определено» - категория, используемая в случае, когда сообщение

об инциденте в СМИ не позволяет точно определить канал утечки.

31

Компьютерная атака – целенаправленное воздействие программных и (или)

программно-аппаратных средств на объекты критической информационной

инфраструктуры, сети электросвязи, используемые для организации взаимодействия

таких объектов, в целях нарушения и (или) прекращения их функционирования и (или)

создания угрозы безопасности обрабатываемой такими объектами информации

[Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической

информационной инфраструктуры Российской Федерации»].

Компьютерный инцидент – факт нарушения и (или) прекращения функционирования

объекта критической информационной инфраструктуры, сети электросвязи,

используемой для организации взаимодействия таких объектов, и (или) нарушения

безопасности обрабатываемой таким объектом информации, в том числе

произошедший в результате компьютерной атаки [Федеральный закон от 26.07.2017 N

187-ФЗ «О безопасности критической информационной инфраструктуры Российской

Федерации»].

Конфиденциальность информации – обязательное для выполнения лицом,

получившим доступ к определенной информации, требование не передавать такую

информацию третьим лицам без согласия ее обладателя [Федеральный закон

«Об информации, информационных технологиях и о защите информации» № 149-ФЗ,

п.7 ст.2].

Конфиденциальная информация – сведения конфиденциального характера,

в соответствии с Указом Президента РФ от 6 марта 1997 г. №188.

В данном отчете (исследовании) авторы относят к таким сведениям

информацию, доступ к которой осуществляется строго ограниченным и известным

кругом лиц с условием, что информация не будет передана третьим лицам без

согласия владельца информации. Помимо персональных данных, это платежная

информация, коммерческие секреты и ноу-хау, а также государственные и военные

секреты. В некоторых случаях при анализе полученных сведений определить тип

конфиденциальной информации не представляется возможным, поэтому она

относится в категории «не определено».

Нарушитель информационной безопасности организации (нарушитель) –

физическое лицо или логический объект, случайно или преднамеренно совершивший

действие, следствием которого является нарушение информационной безопасности

организации [ГОСТ Р 53114-2008, статья 3.3.5].

В БДУ ФСТЭК России bdu.fstec.ru приведены следующие виды нарушителей/

источников угроз:

внутренний нарушитель (потенциал низкий, средний, высокий);

внешний нарушитель (потенциал низкий, средний, высокий).

В данном отчете (исследовании) к категории «нарушитель» авторы относят лицо,

которое по ошибке или осознанно (с умыслом – злоумышленник) совершило

определенные запрещенные действия, повлекшие утечку информации.

32

InfoWatch различает два вида нарушителей – «внешний нарушитель»

и «внутренний нарушитель», а также шесть категорий нарушителей:

Внешний нарушитель – Хакер/неизвестное лицо: взломщики компьютерных

сетей, в том числе представляющие организованную киберпреступность;

владельцы хакерского инструментация (библиотек); взломщики, действующие

в политических и социальных целях, - хактивисты; сотрудники иностранных

разведок и армий; похитители оборудования с конфиденциальной

информацией.

Рядовой сотрудник.

Топ-менеджер (руководитель).

Системный администратор.

Подрядчик: сторонние исполнители работ по заказу компании, партнеры

и внештатные сотрудники.

Бывший сотрудник.

В рамках исследования топ-менеджеров, системных администраторов, а в отдельных

случаях и подрядчиков авторы включают в категорию привилегированных

пользователей, то есть пользователей, наделенных повышенными правами доступа

к информации. Как правило, действия таких пользователей в информационной

системе службами информационной безопасности контролируются слабо либо

не контролируются.

Иных пользователей корпоративной информационной системы (рядовых сотрудников)

авторы относят к непривилегированным, обычным пользователям.

Неправомерный доступ – см. несанкционированный доступ.

Несанкционированный доступ – доступ к информации или к ресурсам

автоматизированной информационной системы, осуществляемый с нарушением

установленных прав и (или) правил доступа [ГОСТ Р 53114-2008, статья 3.3.6].

Примечания:

1. Несанкционированный доступ может быть осуществлен преднамеренно или

непреднамеренно.

2. Права и правила доступа к информации и ресурсам информационной системы

устанавливаются для процессов обработки информации, обслуживания

автоматизированной информационной системы, изменения программных,

технических и информационных ресурсов, а также получения информации

о них.

В данном отчете (исследовании) авторы используют также словосочетание

«нелегитимный доступ».

Несанкционированное воздействие на информацию – воздействие

на защищаемую информацию с нарушением установленных прав и (или) правил

доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию

33

доступа к информации, а также к утрате, уничтожению или сбою функционирования

носителя информации [ГОСТ Р 50922-2006, статья 2.6.6]

Правонарушение – неправомерное поведение, запрещенное законом под угрозой

наступления ответственности общественно вредное или опасное деяние.

Выделяют: преступление (в рамках УК РФ и УПК РФ), административное

правонарушение (в рамках КОАП РФ), налоговое правонарушение (в рамках НК РФ).

В данном отчете (исследовании) авторы используют понятие «правонарушение»

как родовое (общее) по отношению к преступлению и административному

правонарушению.

Привилегированный пользователь – к таким пользователям InfoWatch относит

категории лиц, имеющие расширенные права доступа в информационные системы,

полномочия по изменению конфигураций и назначения прав администраторов

другим пользователям. К привилегированным пользователям относятся руководители

различного уровня, системные администраторы, в некоторых случаях подрядчики

и другие категории.

Разглашение информации – несанкционированное доведение защищаемой

информации до лиц, не имеющих права доступа к этой информации [ГОСТ Р 53114-

2008, статья 3.3.11].

Разглашение информации, составляющей коммерческую тайну, – действие или

бездействие, в результате которых информация, составляющая коммерческую тайну,

в любой возможной форме (устной, письменной, иной форме, в том числе

с использованием технических средств) становится известной третьим лицам без

согласия обладателя такой информации либо вопреки трудовому или гражданско-

правовому договору [98-ФЗ «О коммерческой тайне» п.9 ст.3]

Событие: Возникновение или наличие определенной совокупности обстоятельств

[ГОСТ Р 53114-2008, статья 3.2.8].

Примечания:

1. Характер, вероятность и последствия события могут быть не полностью

известны.

2. Событие может возникать один или несколько раз.

3. Вероятность, связанная с событием, может быть оценена.

4. Событие может состоять из невозникновения одного или нескольких

обстоятельств.

5. Непредсказуемое событие иногда называют «инцидентом».

6. Событие, при котором не происходит никаких потерь, иногда называют

предпосылкой к происшествию [инциденту], опасным состоянием, опасным

стечением обстоятельств и т.д.

Утечка информации – неконтролируемое распространение защищаемой

информации в результате ее разглашения, несанкционированного доступа

34

к информации и получения защищаемой информации иностранными разведками

[ГОСТ Р 53114-2008, статья 3.3.10].

В данном отчете (исследовании) InfoWatch к категории «утечка информации»

относится событие, когда в результате умышленных или неумышленных

действий внутреннего или внешнего нарушителя обладатель информации

ограниченного доступа (компания) утрачивает контроль над этой информацией.

Умышленная (злонамеренная) утечка информации – InfoWatch понимает под ней

такую утечку, когда пользователь, работающий с информацией ограниченного

доступа, предполагал возможные негативные последствия своих действий, осознавал

их противоправный характер, был предупрежден об ответственности и действовал

из корыстных побуждений, преследуя личную выгоду, или руководствовался иными

мотивами (месть, зависть, личная неприязнь и т.д.). При этом в результате таких

действий контроль над информацией со стороны ее обладателя был утрачен. При этом

неважно, повлекли ли действия пользователя негативные последствия

в действительности, равно как и то, понесла ли компания убытки, связанные

с действиями пользователя. Также к умышленным утечкам относятся все утечки,

спровоцированные хакерскими атаками или физическим доступом извне к носителям

информации ограниченного доступа, принадлежащей компании.

Неумышленная (случайная) утечка информации – под такой утечкой InfoWatch

понимает ту, когда пользователь не предполагал наступления возможных негативных

последствий своих действий, не преследовал личной выгоды и не руководствовался

иными мотивами. При этом не важно, имели ли действия пользователя негативные

последствия в действительности, равно как и то, понесла ли компания убытки,

связанные с действиями пользователя.