Ю.И. Ляпунов и А.В. Пушкин к таким тяжким последствиям относят: причинение смерти или тяжкого вреда здоровью хотя бы одному человеку, причинение средней тяжести вреда здоровью двум и более лицам, массовое причинение легкого вреда здоровью людей, наступление экологических катастроф, транспортных и производственных аварий, повлекших длительную остановку транспорта или производственного процесса, дезорганизацию работы конкретного юридического лица, причинение крупного материального ущерба и т.п.[80]
Специфика квалифицированного состава преступления заключается в том, что оно совершается с двумя формами вины, то есть характеризуется умыслом относительно факта создания, использования или распространения вредоносной программы для ЭВМ и неосторожностью (легкомыслием либо небрежностью) относительно наступления тяжких последствий. Это означает, что причинение тяжких последствий не охватывается умыслом виновного, однако он предвидит возможность их наступления, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит, хотя должен был и мог предвидеть возможность наступления тяжких последствий.
Статья 274 УК РФ устанавливает уголовную ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред или повлекло по неосторожности тяжкие последствия.
Среди преступлений, предусмотренных гл. 28 УК РФ, данное преступление является наименее распространенным. Так, по данным ГИЦ МВД России, в 2001 г. в Российской Федерации не было зарегистрировано ни одного факта нарушения правил эксплуатации ЭВМ, их системы или сети, в 2002 г. - одно преступление, в 2003 г. - ни одного, в 2004 г, их количество поставило 44, а по итогам 2005 г. число фактов нарушения правил эксплуатации ЭВМ впервые преодолело отметку 100[81].
Недостаточно разработана и уголовно-правовая характеристика рассматриваемого преступления.
Уголовный закон (ст. 274 УК РФ) не дает определения нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, он раскрывает лишь его последствия: уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Таким образом, диспозиция ст. 274 носит бланкетный (отсылочный) характер. Представляется, что в этом состоит один из недостатков действующего уголовного законодательства в области защиты компьютерной информации.
Родовым объектом нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети является совокупность общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Видовым объектом посягательства выступает совокупность общественных отношений в части правомерного и безопасного использования компьютерной информации и информационных ресурсов. Непосредственным объектом анализируемого преступления являются общественные отношения в сфере соблюдения установленных правил, обеспечивающих нормальную эксплуатацию ЭВМ, системы ЭВМ или их сети[82]. Дополнительный объект нарушения правил эксплуатации ЭВМ, их системы или сети факультативен. Его наличие зависит от вида вреда, причиненного правам и законным интересам потерпевшего. Дополнительным объектом может, например, выступать право собственности, авторское право, право на неприкосновенность частной жизни, личную и семейную тайну, общественные отношения по охране окружающей среды, внешняя безопасность Российской Федерации и др.
В диспозиции ст. 274 УК РФ содержится прямое указание на предмет преступного посягательства. Им является компьютерная информация.
Думается, что текст ст. 274 УК РФ содержит серьезный недостаток, заключающийся в отсутствии возможности привлечения лица к уголовной ответственности за нарушение правил обращения с машинными носителями информации, повлекшее предусмотренные диспозицией статьи последствия.
Объективная сторона преступного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети состоит из общественно опасного деяния в виде действия или бездействия, наступивших последствий этого деяния, а также причинной связи между ними.
Действия или бездействия, составляющие объективную сторону состава рассматриваемого преступления выражаются в нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети. Под такими правилами понимаются, во-первых, гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы[83], во-вторых, техническая документация на приобретаемые компьютеры, в-третьих, конкретные, принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка, в-четвертых, требования по сертификации компьютерных сетей и оборудования, в-пятых - должностные инструкции конкретных сотрудников, в-шестых, правила пользования компьютерными сетям.
Положение о сертификации средств защиты информации, утвержденное постановлением Правительства РФ от 26 июня 1995 г. № 608, устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. В соответствии с ним технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
Системы сертификации (то есть совокупность участников сертификации, осуществляющих ее по установленным правилам) создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации.
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет межведомственная комиссия по защите государственной тайны (далее именуется - межведомственная комиссия). В каждой системе сертификации разрабатываются и согласовываются с межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.
Изготовители: производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены. Изготовители должны иметь лицензию на соответствующий вид деятельности.
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации. Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.