Расследование инцидентов информационной безопасности.
Проанализируем ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности". В связи с этим автором применяется метод сравнительного правового анализа.
В результате выявлено противоречие норм ГОСТ Р 18044-2007 Уголовному кодексу РФ, Уголовно-процессуальному кодексу Российской Федерации и Федеральному закону "О государственной судебно-экспертной деятельности в Российской Федерации".
Например, в ГОСТ Р ИСО/МЭК ТО 18044-2007 приведена неверная квалификация неправомерных действий правонарушителей в результате несанкционированного доступа к информационным системам. В данном нормативном акте предлагается квалификация содеянного как мошенничество, кража и вандализм. Тогда как в соответствии с Уголовным кодексом Российской Федерации квалификацию следует производить по ст. ст. 272, 273, 274 УК РФ. Выводы автора подтверждаются ссылками на материалы следственной практики.
Более того, в исследуемом нормативном акте на сотрудников ГРИИБ неправомерно возложены процессуальные функции должностных лиц правоохранительных органов, осуществляющих досудебное производство по уголовным делам. Кроме того, в данном нормативном акте сотрудники ГРИИБ неправомерно допускаются к экспертной деятельности.
Следовательно, противоречия в действующем российском законодательстве должны быть устранены. В результате проведенных исследований вносятся предложения нормативного изменения содержания ГОСТ Р 18044-2007. Кроме того, автором обращается внимание на необходимость осуществления перевода оригинальных международных правовых актов переводчиками, имеющими правовую компетенцию. Перевод оригинальных международных актов необходимо подвергать комплексной правовой экспертизе специалистов различных отраслей права.
В научной литературе акцентируется внимание на том, что "появление нового комплекса угроз нарушения информационной безопасности - киберугроз требует существенной коррекции ряда положений принятых в России директивных документов..." [1, с. 47].
Необходимость совершенствования законодательства Российской Федерации об информационной безопасности продиктована Концепцией коллективной безопасности государств - участников Договора о коллективной безопасности 1992 г., основанной на универсальных и региональных международных правовых актах.
"Концепция коллективной безопасности государств - участников Договора о коллективной безопасности представляет собой совокупность взглядов этих государств на предотвращение и устранение угрозы миру, совместную защиту от агрессии, обеспечение их суверенитета и территориальной целостности. В качестве источников военной опасности в Концепции коллективной безопасности ОДКБ указаны попытки вмешательства извне во внутренние дела государств, попытки дестабилизации их внутриполитической обстановки, международный терроризм, политика шантажа. Сегодня подобные угрозы во многом реализуются через информационную сферу. Военная, оборонная и информационная безопасность тесно взаимосвязаны, информационные технологии уже стали одним из важнейших политико-экономических и военных ресурсов. В формате ОДКБ существует согласие относительно того, что под информационной безопасностью понимается состояние защищенности личности, общества, государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве" [2, с. 11].
Задача поставлена верно. Редакция некоторых ведомственных нормативных актов России противоречит федеральным законам. Объектом исследований является национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК ТО 18044-2007 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности" (утв. Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2007 N 513-ст) [5]. Текст нормативного акта подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management".
Правовым источником создания ГОСТ Р ИСО/МЭК ТО 18044-2007 являлся ISO/IEC 18044:2004, пересмотренный в ISO/IEC 27035: 2011, который обеспечивает структурный и плановый подход к обнаружению, оценке и оповещению об информационном инциденте информационной безопасности, дальнейшему реагированию и управлению инцидентами информационной безопасности; а также на основе выявления НСД, его оценки совершенствования управления уязвимостей информационной безопасности и управления инцидентами, что приводит к повышению уровня информационной безопасности.
В русскоязычных аутентических переводах международных актов возникают проблемы лингвистического и правового характера. Отсутствие правовой компетенции у переводчиков и недостатки правовой экспертизы ведомственных актов приводят к неточностям в правовых формулировках, что осложняет правоприменительную деятельность.
Так, в п. 8.5.5 ГОСТ Р ИСО/МЭК ТО 18044-2007 говорится об обязанности сотрудников ГРИИБ "провести правовую экспертизу в целях доказательства значительного инцидента ИБ". Сотрудники ГРИИБ - это штатные сотрудники организации, где произошел инцидент ИБ. При этом названным ГОСТ Р регламентируется применять при проведении правовой экспертизы "следственные методы и средства". "Каждое действие правовой экспертизы должно быть документировано, включая предоставление соответствующих фотографий. Составление отчетов об анализе результатов аудита, проверку журналов восстановления данных. Квалификация лица или лиц, проводившего(-их) проверку, должна быть документирована, так же как результаты квалификационного тестирования. Необходимо также документировать любую другую информацию, способную продемонстрировать объективность и логический характер правовой экспертизы... Средства правовой экспертизы, основанные на применении ИТ, должны точно соответствовать правовым нормам с целью исключения возможности оспаривания этого соответствия в судебном порядке, и в то же время в них должны считываться все текущие изменения в технологиях. В физической среде ГРИИБ необходимо создавать необходимые условия, гарантирующие неоспоримость обработки свидетельств... Со временем, несомненно, возникает необходимость разработки требований к анализу свидетельств в контексте разнообразия инцидентов ИБ, включая мошенничество, кражу и акты вандализма" [5].
Из вышеприведенного текста несложно заметить, что на несоответствие ГОСТ Р 18044-2007 федеральному уголовному законодательству обращают внимание даже лица, не имеющие юридической квалификации, поскольку акты вандализма не имеют никакого отношения к посягательствам на информационную безопасность объекта.
"Под объектом информационно-коммуникационной инфраструктуры представляется обоснованным понимать совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения функционирования такого объекта, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, а также персонала, который осуществляет их эксплуатацию" [3, с. 18].
"Современные вызовы и угрозы предопределяют обеспечение информационной безопасности важной стратегической задачей государства, интересы которого предполагают реализацию механизмов защиты от внутренних и внешних угроз различных объектов информационно-коммуникационной инфраструктуры" [4, с. 28].
Прежде всего следует отметить, что деятельность ГРИИБ по сбору доказательств НСД и нанесенного ущерба должна соответствовать требованиям федерального уголовно-процессуального законодательства, поскольку доказательства должны быть допустимы для суда. Для того чтобы экспертное заключение было допустимым доказательством, нужно, чтобы экспертиза проводилась в соответствии с Федеральным законом от 31.05.2001 N 73-ФЗ (ред. от 25.11.2013) "О государственной судебно-экспертной деятельности в Российской Федерации" государственными судебно-экспертными учреждениями. Государственные судебно-экспертные учреждения являются специализированными учреждениями федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, которые созданы для обеспечения исполнения полномочий судов, судей, органов дознания, лиц, производящих дознание, следователей посредством организации и производства судебной экспертизы. Деятельность государственных судебно-экспертных учреждений по организации и производству судебной экспертизы регулируется Федеральным законом N 73-ФЗ, процессуальным законодательством Российской Федерации и осуществляется в соответствии с нормативными правовыми актами соответствующих федеральных органов исполнительной власти [6, ст. 11]. Следовательно, правовая экспертиза - это функция соответствующих органов государственной власти, которая регламентируется императивными нормативными правилами.
Что касается квалификационных требований к лицам, проводящим экспертную деятельность, то в России также существуют установленные законодательные требования.
Государственным судебным экспертом является аттестованный работник государственного судебно-экспертного учреждения, производящий судебную экспертизу в порядке исполнения своих должностных обязанностей [6, ст. 12]. Должность эксперта в государственных судебно-экспертных учреждениях может занимать гражданин Российской Федерации, имеющий высшее образование и получивший дополнительное профессиональное образование по конкретной экспертной специальности в порядке, установленном нормативными правовыми актами соответствующих федеральных органов исполнительной власти. Должность эксперта в экспертных подразделениях федерального органа исполнительной власти в области внутренних дел может также занимать гражданин Российской Федерации, имеющий среднее профессиональное образование в области судебной экспертизы. Определение уровня квалификации экспертов и аттестация их на право самостоятельного производства судебной экспертизы осуществляются экспертно-квалификационными комиссиями в порядке, установленном нормативными правовыми актами соответствующих федеральных органов исполнительной власти. Уровень квалификации экспертов подлежит пересмотру указанными комиссиями каждые пять лет [6, ст. 13].
Назначается экспертиза органами досудебного или судебного следствия в соответствии с УПК РФ. Основаниями производства судебной экспертизы в государственном судебно-экспертном учреждении являются определение суда, постановления судьи или лица, производящего дознание, или следователя [6, ст. 19].
Руководитель государственного судебно-экспертного учреждения обязан на основании полученного от органов дознания, следствия или суда постановления или определения о назначении судебной экспертизы поручить ее производство конкретному эксперту или комиссии экспертов данного учреждения, которые обладают специальными знаниями в объеме, требуемом для ответов на поставленные вопросы. Эксперт обязан принять к производству порученную ему руководителем соответствующего государственного судебно-экспертного учреждения судебную экспертизу, провести полное исследование представленных ему объектов и материалов дела, дать обоснованное и объективное заключение по поставленным перед ним вопросам, составить мотивированное письменное экспертное заключение или письменное сообщение о невозможности дать заключение и направить его в орган или лицу, которые назначили судебную экспертизу.
В соответствии со ст. 80 УПК РФ эксперт дает заключение в письменном виде, в котором раскрываются содержание исследования и выводы по вопросам, поставленным перед экспертом лицом, ведущим производство по уголовному делу.
Для проведения экспертизы эксперт наделен широкими полномочиями, а также кругом обязанностей и перечнем ограничений.
Федеральным законодательством предусмотрены случаи, когда государственному судебно-экспертному учреждению не может быть поручено производство судебной экспертизы, а в случаях, когда указанное производство начато, оно немедленно прекращается. Процедура производится, если установлены обстоятельства, подтверждающие заинтересованность в исходе дела руководителя данного учреждения. Эксперт подлежит отводу от участия в производстве судебной экспертизы, а если она ему поручена, обязан немедленно прекратить ее производство при наличии оснований, предусмотренных процессуальным законодательством Российской Федерации [6, ст. 18]. В ст. ст. 61 и 70 УПК РФ имеется перечень случаев отвода эксперта. В соответствии с ч. 1 ст. 69 УПК РФ решение об отводе эксперта принимают дознаватель, следователь или судья.
В УПК РФ дано определение недопустимых доказательств. Это доказательства, полученные с нарушением требований УПК РФ. Недопустимые доказательства не имеют юридической силы и не могут быть положены в основу обвинения, а также использоваться для доказывания любого из обстоятельств, подлежащих доказыванию [7, ст. ст. 75, 73, ч. ч. 2, 3, 4 ст. 88].
В ГОСТ Р регламентируется проведение проверки "следственными методами" лицами, не имеющими процессуального статуса. Следственные действия закрепляются процессуальными способами, а именно составлением протоколов следственных действий, которые допускаются в качестве доказательств, если они соответствуют требованиям, установленным УПК РФ [7, ст. 83]. Протокол следственного действия составляется в ходе следственного действия или непосредственно после него [7, ч. 1 ст. 166].
В случаях НСД для осмотра помещения и производства выемки необходимых документов и вещественных доказательств предусмотрен судебный порядок получения разрешения на производство следственных действий [7, ст. ст. 29, 165]. Следователь с согласия руководителя следственного органа, а дознаватель с согласия прокурора возбуждают перед судом ходатайство о производстве следственного действия, о чем суд выносит постановление. Например, о производстве обыска и выемки в жилище (в широком смысле - помещения), производстве выемки предметов и документов, содержащих государственную или иную охраняемую федеральным законом тайну, а также предметов и документов, содержащих информацию о вкладах и счетах граждан в банках и иных кредитных организациях, о наложении ареста на корреспонденцию, разрешении на ее осмотр и выемку в учреждениях связи, о контроле и записи телефонных и иных переговоров, о получении информации о соединениях между абонентами и (или) абонентскими устройствами [7, п. п. 4, 5, 6, 7, 8, 11, 12 ст. 29].
В случае когда осмотр жилища, производство выемки, производство личного осмотра не терпят отлагательств, то указанные следственные действия могут быть произведены на основании постановления следователя или дознавателя без получения судебного решения. В этом случае следователь или дознаватель в течение 24 часов с момента начала производства следственного действия уведомляет судью и прокурора о производстве следственного действия. К уведомлению прилагаются копия постановления о производстве следственного действия и копия протокола. Получив процессуальные документы, судья выносит постановление о законности или незаконности проведенных следственных действий или следственного действия [7, п. 5 ст. 165].
Иные документы допускаются в качестве доказательств, если изложенные в них сведения имеют значение для установления обстоятельств, подлежащих доказыванию. Документы могут содержать сведения как в письменном, так и в ином виде. К ним могут относиться материалы фото- и киносъемки, аудио- и видеозаписи и иные носители информации в порядке, установленном ст. 86 УПК РФ. В ч. 1 ст. 86 УПК РФ говорится, что собирание доказательств осуществляется в ходе уголовного судопроизводства дознавателем, следователем, прокурором и судом путем производства следственных и иных процессуальных действий, предусмотренных УПК РФ.
Даже небольшой перечень процессуальных норм свидетельствует об обязанности ГРИИБ сохранить имеющиеся документальные и вещественные доказательства в неприкосновенном виде в целях помощи следствию для раскрытия преступления.
В отделах "К" органов МВД России проходят службу высококвалифицированные специалисты, обладающие не только хорошим знанием уголовного и уголовно-процессуального законодательства, но также профессиональной компетенцией в области информационных технологий. В компетенцию данных органов входит раскрытие уголовных деликтов, теперь именуемых киберпреступностью.
Квалификация содеянного как преступления - это процессуальная обязанность стороны обвинения в уголовном процессе. Квалификация содержится в обвинительном акте (дознание) или обвинительном заключении (следствие). Признает лицо виновным в совершении преступления суд - компетентный независимый государственный орган, подчиняющийся только закону.
Правосудие должно осуществляться в соответствии с законом. В ГОСТ Р 18044-2007 содержится ошибочная квалификация таких киберпреступлений, как мошенничество, хищение и вандализм. В главе 28 Уголовного кодекса Российской Федерации содержатся преступления в сфере компьютерной информации [8, ст. ст. 272, 273, 274].
"Так, статья 272 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Впервые в уголовном законодательстве Российской Федерации Федеральным законом от 07.12.2011 N 420-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации" в примечании к ст. 272 УК РФ дано понятие компьютерной информации как предмета преступления, к которому теперь относятся сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи" [9, с. 1 - 3].
Неправомерным считается доступ к конфиденциальной информации или информации, составляющей государственную тайну, лица, не обладающего необходимыми полномочиями (без согласия собственника или его законного представителя), при условии обеспечения специальных средств ее защиты.
Статья 273 УК РФ предусматривает уголовную ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Диспозиция ст. 274 УК РФ имеет бланкетный характер. "Предметом преступления, предусмотренного ст. 274 УК РФ, являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное оборудование. Данная норма отсылает к официально утвержденным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой законом компьютерной информации, информационно-телекоммуникационными сетями в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует... Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности. В ней говорится о нарушении правил, которое может повлечь уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, то есть такие же последствия, что и при неправомерном доступе к компьютерной информации, создании, использовании и распространении вредоносных программ для ЭВМ. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах" [9, с. 1 - 3].
Из приведенного текста следует, что основной деятельностью ГРИИБ является создание локальных нормативных инструкций, устанавливающих порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. В ГОСТ Р 18044-2007 данный вид работы разъясняется в разделе 7: этап "Планирование и подготовка".
На этапе "Использование" основная задача ГРИИБ - сохранить следы преступления, обеспечить сохранность улик и вещественных доказательств совершения компьютерного преступления.
Поэтому в случае любого инцидента первыми действиями руководителя ИБ и ГРИИБ должно быть незамедлительное сообщение в органы МВД о произошедшем и обеспечение неприкосновенности места совершения преступления и улик, изобличающих преступников. Только полицейские, имеющие специальную подготовку, могут оперативно распознать ситуацию и предпринять оперативные меры по горячим следам. Тем более что в следственной практике чаще всего встречаются сложные уголовно-правовые отношения, влекущие квалификацию по совокупности преступлений, например, Архангельск, уголовное дело N 30 по обвинению Г. в совершении преступлений, предусмотренных ч. 3 ст. 30 и ч. 2 ст. 272, ч. 2 ст. 272, ч. 1 ст. 273, ч. 4 ст. 33 и ч. 1 ст. 273, ч. 4 ст. 150, ч. ч. 1 и 2 ст. 165 УК РФ, П. - в совершении преступлений, предусмотренных ч. 2 ст. 272 и ч. 1 ст. 273 УК РФ (создание программы типа "троянский конь" и при помощи ее неправомерный доступ к компьютерам через сеть Интернет) [10].
В случае отсутствия события преступления или состава преступления компетентными должностными лицами правоохранительных органов будет вынесено постановление об отказе в возбуждении уголовного дела [7, ст. 24].
Каждый специалист на объекте должен выполнять служебные задания в соответствии с полученной и подтвержденной им квалификацией в границах, установленных федеральным законодательством.
ГОСТ Р и локальные нормативные акты по информационной безопасности должны разрабатываться совместно со специалистами ведомственной принадлежности и юристами. В этом случае правовая экспертиза принесет несомненную пользу.
Содержание ГОСТ Р ИСО/МЭК ТО 18044-2007 необходимо привести в соответствие с Уголовным кодексом Российской Федерации, Уголовно-процессуальным кодексом Российской Федерации и Федеральным законом от 31.05.2001 N 73-ФЗ (ред. от 25.11.2013) "О государственной судебно-экспертной деятельности в Российской Федерации".
Перевод международного правового источника, в соответствии с которым принимается российский нормативный ведомственный акт, должен осуществляться филологами, обладающими правовой компетенцией. Впоследствии нормативный ведомственный акт должен проходить комплексную правовую экспертизу специалистами различной отраслевой принадлежности.
