Несанкционированный доступ к информационной системе: комментарий к Постановлению № 2905 от 2024 года

Постановление № 2905 от 23 октября 2024 года предлагает важные разъяснения по вопросам несанкционированного доступа к информационным или телематическим системам, рассматривая вопрос о мерах безопасности, необходимых для их защиты. Эта тема особенно актуальна, учитывая экспоненциальный рост киберпреступности и растущую потребность в защите конфиденциальных данных.

Фабула дела и правовой контекст

В указанном постановлении Суд рассмотрел дело, в котором обвиняемый, Д. Г., был обвинен в несанкционированном доступе к информационной системе, а именно к системе Galileo, предназначенной для сотрудников Агентства внутренней информации и безопасности (AISI). Суд подтвердил, что для квалификации преступления важны не только технические меры безопасности, но и меры организационного характера.

• Технические меры безопасности: контроль доступа, межсетевые экраны, шифрование.
• Меры организационного характера: внутренние регламенты, обучение персонала, процедуры доступа.
• Решение Суда: система Galileo была защищена адекватными мерами, соответствующими ее назначению.

Утвержденный правовой принцип

Несанкционированный доступ к информационной или телематической системе - Меры безопасности, обеспечивающие защиту системы - Меры организационного характера - Квалификация преступления - Наличие - Фабула дела. Для квалификации преступления несанкционированного доступа к информационной или телематической системе, защита системы может быть обеспечена также мерами организационного характера, которые регулируют порядок доступа, разрешая его исключительно уполномоченным лицам для определенных целей или для достижения корпоративных задач. (Применяя этот принцип, Суд счел систему Galileo, хотя и используемую для поиска в открытых источниках, но предназначенную для сотрудников AISI для выполнения задач Агентства, правомерно квалифицированной как информационная или телематическая система, защищенная мерами безопасности).

Таким образом, Суд подтвердил, что защита информационной системы может быть обеспечена также посредством организационных мер. Это имеет решающее значение, особенно для компаний и организаций, обрабатывающих конфиденциальные данные. Организационные меры должны быть четкими и хорошо определенными, устанавливая, кто может получить доступ к какой информации и при каких обстоятельствах.

Заключение

Постановление № 2905 от 2024 года представляет собой важный шаг вперед в понимании мер, необходимых для защиты информационных систем. Кассационный суд разъяснил, что недостаточно только внедрять технические решения, но также важно принимать организационные процедуры, способные обеспечить контролируемый и безопасный доступ. Следовательно, осведомленность и обучение персонала являются ключевыми элементами для предотвращения преступления несанкционированного доступа, делая организации более устойчивыми к киберугрозам.