Царев Евгений

Нормативные экспертизы в области

информационной безопасности

Ограничения содержания

• Область применения – Гражданские и Арбитражные суды;

• Вид экспертизы – нормативно-судебные и досудебные экспертизы, по вопросам ИТ и ИБ;

• ГПК РФ, АПК РФ, УК РФ содержат значительные различия в регламентации работы эксперта и специалиста.

План

• Проблематика • Государственные и негосударственные судебно-

экспертные учреждения • Эксперт как субъект судебно-экспертной

деятельности • Варианты привлечения эксперта по ИБ в суд • Эксперт как представитель стороны по делу • Заключение эксперта • Консультация специалиста • Типичные экспертные ошибки • Компьютерно-техническая и судебно-нормативная

экспертизы • Судебная и досудебная экспертизы • Пример дела (Атака на ДБО) • 11 правил, которые нужно соблюдать

Проблематика

• Ежегодный кратный рост количества судебных дел, имеющих отношение к информационной безопасности

• Стороны по делу и суд не обладают компетенцией в области информационной безопасности на уровне эксперта

• Компьютерно-технических экспертиз недостаточно для установления всех обстоятельств дела

• Область информационной безопасности крайне зарегулирована, суды не всегда анализируют требования регуляторов

• Судам сложно оценить соответствие требованиям информационной безопасности без пояснений специалиста или эксперта

Государственные и

негосударственные судебно-

экспертные учреждения Государственные: • Судебно-экспертные учреждения Министерства

юстиции РФ • Экспертно-криминалистическая служба МВД России • Судебно-экспертные учреждения Министерства

обороны, ФСБ, ФТС, МЧС и др. Негосударственные: • АНО «СОДЭКС МГЮА» и др.

Кто может проводить экспертизу?

Экспертиза может проводиться как в государственном судебно-экспертном учреждении, так и в негосударственной экспертной организации либо к экспертизе могут привлекаться лица, обладающие специальными знаниями.

Постановления Пленума Высшего Арбитражного Суда РФ от 20 декабря 2006 г. No 66 «О некоторых вопросах практики применения арбитражными судами законодательства об

экспертизе»

Эксперт как субъект судебно-экспертной деятельности

Судебный эксперт - это лицо, обладающее специальными знаниями, назначенное судом в порядке, установленном процессуальным законодательством (ст. 79 ГПК РФ, 55 АПК РФ, 57 УПК РФ, 25.9 КоАП РФ) для производства судебной экспертизы и дачи заключения.

Варианты привлечения эксперта

по информационной безопасности

в судебный процесс • В качестве представителя стороны по делу для

защиты позиции одной из сторон • В качестве специалиста в судебное заседание для

дачи пояснений суду • В качестве эксперта:

– Проведение досудебной экспертизы – Проведение судебно-нормативной экспертизы

Привлечение эксперта для

подготовки экспертизы по делу

• Нормативная экспертиза явления самостоятельным доказательством по делу

• Суд получает ранее неизвестные факты по делу, подтвержденные экспертом

• Нормативная экспертиза дополняет и корректирует компьютерно-техническую экспертизу

• Досудебная экспертиза может быть достаточным основанием не назначать иные экспертизы и вынести решение по делу

• Выводы судебной экспертизы имеют значительный вес для суда

Назначение судебной экспертизы

• Суд назначает экспертизу, по собственной инициативе или инициативе сторон

• Проведение экспертизы может быть поручено судебно-экспертному учреждению, конкретному эксперту или нескольким экспертам

• Компетентность судебного эксперта оценивается в процессе подбора сведущего лица и решения вопроса о его назначении в качестве судебного эксперта.

Привлечение эксперта судом

• Подготовка информационного письма для суда

• Внесение ДС на депозит суда

• Определение о назначении экспертизы

• Запрос в суд на получение необходимых материалов

• Подготовка заключения

• Предоставление заключения суду

• Участие эксперта в судебном заседании

Представительство по делу

Досудебные мероприятия:

• Заключение по инциденту

• Сбор и подтверждение значимых фактов по инциденту

• Анализ договорной работы

• Экспертиза требований законодательства

• Анализ перспектив судебного разбирательства

• Корректное оформление доказательств

• Поддержка юридических подразделений компании

Арбитражный процесс Гражданский процесс

Заключение эксперта

• В заключении эксперта должны быть отражены: – время и место производства судебной экспертизы; – основания производства судебной экспертизы; – сведения об органе или о лице, назначивших судебную

экспертизу; – сведения о судебно-экспертном учреждении, об эксперте

(фамилия, имя, отчество, образование, специальность, стаж работы, ученая степень и ученое звание, занимаемая должность), которым поручено производство судебной экспертизы;

– предупреждение эксперта в соответствии с законодательством РФ об ответственности за дачу заведомо ложного заключения;

– вопросы, поставленные перед экспертом или комиссией экспертов;

– объекты исследований и материалы дела, представленные эксперту для производства судебной экспертизы;

– сведения об участниках процесса, присутствовавших при производстве судебной экспертизы;

– содержание и результаты исследований с указанием примененных методов;

– оценка результатов исследований, обоснование и формулировка выводов по поставленным вопросам.

Заключение эксперта

• Вводная часть: – номер и наименование дела, по которому назначена

экспертиза; – краткое описание обстоятельств дела, имеющих отношение

к исследованию; – сведения об органе и лице, назначившем экспертизу, правовых – основаниях для назначения экспертизы (постановление или

определение); – наименование экспертного учреждения, исходные сведения о

лице (или лицах), производившем экспертизу (фамилия, имя, отчество, образование, экспертная квалификация, ученая степень, звание, стаж экспертной работы);

– род и вид экспертизы; – вопросы, выносимые на разрешение эксперт; – перечисляются поступившие на экспертизу материалы,

способ их доставки; – подписка об ответственности за дачу заведомо ложного

заключения по ст. 307 УК РФ.

Заключение эксперта

• Основная часть: – вид упаковки представленных на экспертизу объектов, ее

целостность, реквизиты, состояние; – процесс исследования по стадиям с описанием его методики,

условий применения тех или иных методов; – описание процесса исследования.

• Выводы: – ответы на вопросы

• Приложения (в случае необходимости).

Консультация специалиста

Специалист: • участвует в постановке вопросов при назначении

экспертизы; • участвует при допросе эксперта, подготовившем

заключение; • дает разъяснения суду на основании имеющихся у

него специальных знаний.

Типичные экспертные ошибки

• нарушение экспертом процессуального режима и процедуры производства экспертизы;

• выход эксперта за пределы своей компетенции; • выражение экспертной инициативы в

непредусмотренных законом формах; • самостоятельное собирание материалов и объектов

экспертизы; • обоснование выводов материалами дела, а не

результатами исследования; • осуществление несанкционированных судом

(следователем) контактов с заинтересованными лицами;

• принятие поручения на производство экспертизы и материалов от неуполномоченных лиц;

Типичные экспертные ошибки

• несоблюдение процессуальных требований к заключению эксперта (в том числе отсутствие в заключении необходимых по закону реквизитов).

• логические и фактические (предметные) ошибки • применение «непригодных» методов исследования; • профессиональная некомпетентность; • неполноту или односторонность исследования; • пренебрежение правилами и условиями применения

методик экспертного исследования и технических средств;

• профессиональные упущения эксперта: небрежность, неаккуратность, поверхностное производство исследования, игнорирование тех или иных свойств объектов или их взаимозависимости.

• логические дефекты умозаключений эксперта; • дефекты в организации и планировании экспертного

исследования.

Компьютерно-техническая и судебно-нормативная экспертизы

• Компьютерно-техническая экспертиза исследует компьютерные средства, электронные носители информации, информационные системы

• Судебно-нормативная экспертиза изучает исследует информацию из документов

Система Арбитражных судов РФ

• АРБИТРАЖНЫЕ СУДЫ ПЕРВОЙ ИНСТАНЦИИ в республиках, краях, областях, городах федерального значения, автономной области, автономных округах.

• АРБИТРАЖНЫЕ АПЕЛЛЯЦИОННЫЕ СУДЫ • ФЕДЕРАЛЬНЫЕ АРБИТРАЖНЫЕ СУДЫ ОКРУГОВ

(арбитражные кассационные суды) • ВЫСШИЙ АРБИТРАЖНЫЙ СУД РФ

Привлечение эксперта по информационной

безопасности в качестве представителя

стороны по делу

Эксперт: • Имеет возможность защищать позицию одной из сторон • Может скорректировать позицию стороны по делу • Может найти новые доказательства по делу • Может провести собственное исследование по делу и приложить

его в качестве пояснения одной из сторон • Может опросить представителей сторон по делу, а также судебного

эксперта или приглашенного специалиста, если таковые привлекаются

• Может сформулировать корректные и значимые вопросы к судебному эксперту

Привлечение специалиста в

судебное заседание

• Суд и стороны могут задать эксперту вопросы с целью подтверждения своей позиции

• Специалист может дать пояснение по доказательствам имеющимся в деле

• Мнение специалиста имеет значительный вес для суда

• Специалист несет личную ответственность за свои показания

Преимущество судебно-

нормативной экспертизы • Качественное и корректное заключение эксперта

может являться главным доказательством по делу • Оспорить результаты судебно-нормативной

экспертизы крайне сложно

Зачем нужна нормативная

экспертиза? • Стороны по делу, как правило, не обладают компетенцией

в области информационной безопасности и упускают из рассмотрения значимые доказательства

• Многие требования по информационной безопасности носят предписывающий характер, их выявление и предоставление суду может изменить ход процесса

• Вовремя подготовленная нормативная экспертиза может повлиять на решений одной из сторон заключить мировое соглашение, отказаться от иска или переформулировать его

Примеры дел

• Экспертиза соответствия требованиям законодательства и требованиям Центрального банка, Стандарта банка России по информационной безопасности (СТО БР ИББС), 392-П и пр.;

• Нормативная экспертиза в делах возмещения убытков, связанных с кражей денежных средств с использованием систем дистанционного банковского обслуживания;

• Экспертиза Технических заданий и Технических проектов на соответствие требованиям законодательства, требованиям ФСБ России и ФСТЭК России;

• Экспертиза соответствия Технического проекта требованиям Технических заданий в части информационной безопасности;

• Подготовка экспертизы по общим вопросам информационной безопасности и защиты информации;

Примеры дел

• Экспертиза при обнаружении факта утечки информации, включая исследование инцидента, уведомление клиентов, переговоры с государственными и федеральными регулирующими органами;

• Экспертиза договорной работы с сотрудниками и контрагентами с целью обеспечения интересов компании в области информационной безопасности.

• Экспертиза договорной работы с поставщиками относительно использования информации;

• Оперативная оценка ситуации в случае обнаружения факта хищения денежных средств с использованием систем дистанционного банковского обслуживания;

Атака на ДБО. Классический

сценарий

• Бухгалтерия Клиента фиксирует переводы денежных средств на счета «неизвестных» компаний

• Представитель Клиента пытается связаться с Банком (телефон, почта)

• Банк блокирует счет Клиента или блокирует доступ через ДБО

• Через несколько часов после списания, денежные средства зачисляют на счета «неизвестных» компаний в другом банке, переводятся на зарплатный проект или переводятся дальше на счета других контор.

Атака на ДБО. Проблематика

• Если переводы совершены, деньги не были остановлены на межбанкинге, или срочно не был заблокирован счет «неизвестной» компании, то вернуть деньги во внесудебном порядке практически невозможно

• Если будут поданы иски к «неизвестным» компаниям, то они с высокой долей вероятности будут удовлетворены судом, однако фактически истребовать деньги будет невозможно

• «Неофициальный» путь • Реальный способ вернуть деньги – длительный и сло

жный судебный процесс с Банком

Атака на ДБО. На что смотрит

суд?

• Имел ли место факт списания денежных средств? • По вине кого денежные средства были списаны? Бы

л это Банк, Клиент или третье лицо? • Важно установить кто нарушил требования договора

между банком и клиентом – Присутствовало ли вредоносное ПО компьютере Клиента? Како

в функционал данного вредоносного ПО? – Как появилось вредоносное ПО на компьютере Клиента? – Если ли вина Клиента? – Есть ли вина Банка?

• Вина сторон устанавливается по результатам анализа обстоятельств дела, технической экспертизы и нормативной экспертизы.

Атака на ДБО. Ситуация: Атака на

Банк

• Как правило, имеются очевидные нарушения условий договора со стороны Банка, например: – Не произведено информирование Клиента – Не получено подтверждение от Клиента на проведение транзак

ции (н-р, одноразовый код не отправлялся, ключ ЭП не использовался)

– Банк не может подтвердить факт получения ПП от Клиента

• Имеются основания для взыскания похищенных средств с банка в порядке ст. ст. 15, 309-310, 393, 863 ГК РФ (иск о взыскании убытков в связи с ненадлежащим выполнением обязательств по договору).

Атака на ДБО. Ситуация: Атака на

Клиента

Исходные данные: • 1) Имел ли место факт списания денежных средств с

о счета клиента через ДБО? • 2) Формировались ли платежные поручения на АРМ

Клиента? • 3) Имел ли место факт «нарушения трудовой дисцип

лины» на стороне Клиента? • 4) Как и в какие сроки Клиент реагировал на инцид

ент? Есть ли процедура? • 5) Имел ли место факт заражения АРМ Клиента вред

оносным ПО? Как вредоносное ПО попало на АРМ Клиента?

• 6) Содержание договора между Клиентом и Банком? Каково распределение рисков между Банком и Клиентом?

Атака на ДБО. Ситуация: Атака на

Клиента (Договор)

Атака на ДБО. Ситуация: Атака на

Клиента (Практика)

– Перераспределение рисков в пользу Банка практически исключало до 2014 года возможность взыскания с Банка, т.к. отсутствовали основания взыскивать деньги с Банка.

– В 2014 году практика была скорректирована.

• Президиум Высшего арбитражного суда в Постановлении от 10.06.2014 N 716/14 по делу N А40-143607/12 (Дело АСВ против МАСТ-БАНК и Банк Империя) сделал следующие выводы:

Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

• ВАС возлагает на Банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, Банк не мог этого выявить. ВАС предусмотрел ответственность Банка, как профессионального участника рынка, при отсутствии в договоре, иного условия.

Атака на ДБО. Ситуация: Атака на

Клиента (Практика)

Вектор доказывания для Клиента: – Установление факта противоправных действий (бездействия) Б

анка – Установление факта убытков – Установление причинно-следственной связи между действиями

Банка и возникшими убытками.

Должно быть доказано все 3 факта.

Атака на ДБО. Экспертизы

• Техническая – Анализ АРМ Клиента – Анализ системы ДБО

• Нормативная – Анализ всей документации, имеющей отношение к делу

11 правил, которые нужно

соблюдать

1. Если суд, так или иначе, касается вопросов информационной безопасности, в обязательном порядке привлекайте эксперта по информационной безопасности.

2. Эксперт по информационной безопасности должен иметь опыт работы в судах.

3. Если в первой инстанции вы не предоставите необходимое экспертное заключение или не подкрепите свою позицию словами специалиста в судебном заседании, другой возможности, скорее всего, уже не будет.

11 правил, которые нужно

соблюдать

4. Если вы или ваши оппоненты ходатайствуете о назначении судебной экспертизы, вопросы к экспертизе должен предлагать эксперт по информационной безопасности, а корректировать их должны юристы.

5. Не пытайтесь повлиять на эксперта или специалиста и не вмешивайтесь в процесс подготовки заключения.

6. Никогда, никогда, НИКОГДА не работайте с теми экспертами, на заключение которых можно повлиять.

7. Разделяйте понятия нормативной и технической экспертизы.

11 правил, которые нужно

соблюдать

8. Привлекайте эксперта по информационной безопасности, это резко повышает шансы на его благоприятный исход

9. Максимально детализируйте свою позицию. То, что для вас, очевидно, может быть вовсе неочевидно для судьи.

10. Не стремитесь принести в суд все, что есть.

11. Старайтесь урегулировать спор в досудебном порядке.