Добавить в корзинуПозвонить
Найти в Дзене
Журнал «Информационная безопасность»
1192 подписчика

Киберинцидент как юридический факт

20
8 мин
Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай. Автор: Константин Саматов, эксперт BISA (Ассоциация по защите деловой информации), член ICSA (Международная ассоциация корпоративной безопасности), член Ассоциации судебных экспертов В праве точность формулировок определяет применимую норму закона. Давайте выстроим иерархию указанных выше понятий. Инцидент информационной безопасности [1] – это одно или несколько нежелательных или неожиданных событий информационной безопасности, которые с высокой степенью вероятности могут привести к компрометации в бизнес-процессах и создают угрозы для ИБ. Например, уничтожение или повреждение документов – это инцидент ИБ
Оглавление

Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай.

Автор: Константин Саматов, эксперт BISA (Ассоциация по защите деловой информации), член ICSA (Международная ассоциация корпоративной безопасности), член Ассоциации судебных экспертов

Терминологическая матрешка: инцидент, компьютерный инцидент, киберинцидент

В праве точность формулировок определяет применимую норму закона. Давайте выстроим иерархию указанных выше понятий.

Инцидент (родовое понятие)

Инцидент информационной безопасности [1] – это одно или несколько нежелательных или неожиданных событий информационной безопасности, которые с высокой степенью вероятности могут привести к компрометации в бизнес-процессах и создают угрозы для ИБ. Например, уничтожение или повреждение документов – это инцидент ИБ, но не обязательно компьютерный.

Компьютерный инцидент (законодательное определение)

Это понятие закреплено в Федеральном законе от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры". Под компьютерным инцидентом понимается факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.

Данное понятие также пересекается с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" где не дается определения, но прописано, что обеспечение безопасности персональных данных достигается, в частности, обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

Киберинцидент (доктринальное понятие)

Термин "кибер" подчеркивает среду – киберпространство.

Каждый киберинцидент является компьютерным инцидентом, если он затрагивает материальную инфраструктуру. Однако термин "киберинцидент" нередко используется шире, включая в себя и информационные атаки (дезинформация, когнитивные воздействия), которые могут не нарушать работу инфраструктуры, но наносить ущерб репутации или безопасности.

Термин "киберинцидент" в российском законодательстве не используется. Он подходит для общения между специалистами ИБ и популярных информационных материалов. Поэтому я крайне не рекомендую использовать его в нормативной документации организации. Следует также учитывать эту особенность и при общении с юристами.

Что такое юридический факт?

Чтобы понять, как киберинцидент (здесь и далее по тексту термин будет применяться в значении "компьютерный инцидент") вписывается в правовую систему, начнем с основ.

Юридический факт – это реальное событие или действие, которое влечет правовые последствия.

Киберинцидент как юридический факт может выступать в двух ипостасях.

Событие: произошло независимо от воли владельца системы, например, массовый сбой сервиса или перегрев серверов в дата-центре из-за аномальной жары.

Действие: целенаправленная атака хакера (правонарушение) или ошибка администратора (дисциплинарный проступок).

В теории права юридический факт всегда связан с нормами законодательства: без них событие остается просто фактом жизни. Применительно к информационной сфере можно проиллюстрировать это следующими примерами: подпись электронного документа – юридический факт, создающий обязательства; утечка данных – факт, влекущий определенные последствия или ответственность.

Важно отметить, что не каждый инцидент требует наличия вреда (ущерба) для квалификации в качестве юридического факта. В теории права, равно как и в правоприменительной практике, различают формальные и материальные составы правонарушений. Формальный состав предполагает ответственность за само действие, без необходимости доказывания ущерба. Например, ст. 272 УК РФ – неправомерный доступ к компьютерной информации – достаточно факта доступа. Материальный состав требует наступления последствий, таких как вред или ущерб. Например, ст. 274 УК РФ – нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб. Таким образом, киберинцидент может стать юридическим фактом даже при отсутствии вреда (ущерба).

Последствия киберинцидента зависят от вида: гражданско-правовые – компенсации по ГК РФ; административные – штрафы; уголовные – лишение свободы. Для формальных составов ответственность наступает без ущерба, что упрощает квалификацию, но требует тщательной фиксации факта.

В 2025 г. законодательство об ответственности за киберинциденты претерпело серьезные изменения. Теперь факт киберинцидента может быть связан с риском банкротства компании. Конечно же речь идет об оборотных штрафах, которые в случае наложения на средний и мелкий бизнес могут существенно повлиять на результаты финансово-хозяйственной деятельности компании.

Почему разваливаются расследования киберинцидентов?

В профессиональной среде существует устойчивый миф: если атака очевидна, значит виновный будет найден и наказан. На практике всё наоборот – подавляющее большинство киберинцидентов, даже в случае заинтересованности организации, никогда не заканчивается судебным решением. Причина почти всегда одна и та же: событие произошло, но юридически доказано не было.

С точки зрения права мало установить факт атаки. Необходимо доказать, что:

  • событие действительно имело место,
  • оно произошло в конкретное время,
  • действия совершил конкретный субъект,
  • именно эти действия привели к последствиям,
  • доказательства получены допустимым способом.

Именно последний пункт чаще всего разрушает расследование.

Типичные действия службы ИБ после обнаружения атаки (события ИБ):

  • удаляют вредоносные файлы,
  • блокируют учетные записи,
  • перезапускают сервисы,
  • восстанавливают систему из резервной копии.

Инфраструктура спасена, бизнес доволен, инцидент закрыт.

Но в правовом смысле произошло следующее – доказательства уничтожены самой пострадавшей стороной:

  • невозможно провести компьютерно-техническую экспертизу,
  • невозможно установить способ проникновения,
  • невозможно доказать причинно-следственную связь,
  • невозможно доказать вину конкретного лица.

А, значит, нет состава правонарушения.

Таким образом, большинство киберинцидентов не раскрываются из-за некорректной фиксации доказательств в процессе реагирования и расследования.

В любой организации в процессе реагирования на киберинциедент одновременно существуют три цели:

  1. Цель подразделения ИТ – восстановить работу.
  2. Цель подразделения ИБ – остановить атаку.
  3. Цель юридического отдела – доказать факт нарушения.

Проблема в том, что эти цели противоречат друг другу:

  • Чем быстрее восстанавливается система – тем меньше остается доказательств.
  • Чем тщательнее фиксируются доказательства – тем дольше простой.
  • Юридически корректное реагирование всегда замедляет восстановление сервиса.

Поэтому киберинцидент – не только техническое, но и управленческое решение.

Руководство (в т.ч. при участии подразделения ИБ) должно заранее определить приоритет:

  • немедленное восстановление,
  • расследование,
  • уголовное преследование,
  • страховое возмещение.

Без этого решения служба ИБ оказывается в ситуации, когда любое действие потенциально ошибочно.

Рекомендации для ИБ-подразделений

Для того чтобы киберинцидент правильно отработал в правовом поле, необходимо:

  • Создать положение (регламент) об инцидентах: юридически закрепить, что является инцидентом в конкретной организации с учетом требований действующего законодательства и стандартов.
  • Синхронизировать регламенты: технический план реагирования должен содержать шаги по юридической фиксации (подключение юридической службы, уведомление регулятора).

Когда инцидент зафиксирован, действия службы ИБ должны быть строго регламентированы, чтобы минимизировать юридические последствия.

Фиксация времени обнаружения – отправная точка для всех сроков давности:

  • Уведомление в адрес НКЦКИ: для значимых объектов КИИ – в течение 3 часов, для иных объектов КИИ – в течение 24 часов.
  • Уведомление в адрес Роскомнадзора: в течение 24 часов при утечке персональных данных.
  • Внутреннее расследование: 72 часа, чтобы предоставить регулятору результаты первичного расследования.

Чтобы цифровые следы стали доказательствами, они должны обладать ключевым свойством – неизменностью. В праве важен не сам файл журнала событий (лога), а возможность доказать, что он существовал в конкретный момент времени и не изменялся после обнаружения.

Для этого используется принцип цепочки хранения доказательств – это документированная история существования цифрового артефакта от момента обнаружения до представления в суде.

Фиксируется:

  • кто обнаружил инцидент;
  • где именно он обнаружен (узел, IP, система);
  • точное время (с указанием источника синхронизации);
  • кто производил копирование;
  • каким инструментом;
  • контрольные суммы;
  • где хранится оригинал;
  • кто имел доступ.

Если это правило нарушено, то доказательство становится недопустимым независимо от его содержания.

В заключении еще раз обратим внимание, что компьютерный инцидент в организации – это одновременно техническое событие и юридически значимое обстоятельство. От того, как именно компания реагирует в первые часы, зависит не только восстановление работы, но и возможность доказать факт нарушения, привлечь виновных к ответственности, получить страховую выплату или избежать штрафа регулятора.

Поэтому процедуры реагирования должны учитывать не только остановку атаки и восстановление сервисов, но и сохранение доказательств: фиксацию времени, неизменность логов, корректное уведомление регуляторов и участие юридической службы с момента обнаружения.

Такой подход не усложняет работу службы ИБ, а заранее определяет приоритеты: какие действия допустимы сразу, а какие – только после фиксации. В результате инцидент становится управляемым процессом с прогнозируемыми правовыми последствиями.

  1. ГОСТ Р ИСО/МЭК 27000–2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология.

Гаджеты и электроника
5,73 млн интересуются