Судебные и досудебные экспертизы по информационной безопасности

1. Царев Евгений
Нормативные экспертизы в области
информационной безопасности

2. Ограничения содержания
• Область применения – Гражданские и Арбитражные
суды;
• Вид экспертизы – нормативно-судебные и
досудебные экспертизы, по вопросам ИТ и ИБ;
• ГПК РФ, АПК РФ, УК РФ содержат значительные
различия в регламентации работы эксперта и
специалиста.

3. План
• Проблематика
• Государственные и негосударственные судебно-
экспертные учреждения
• Эксперт как субъект судебно-экспертной
деятельности
• Варианты привлечения эксперта по ИБ в суд
• Эксперт как представитель стороны по делу
• Заключение эксперта
• Консультация специалиста
• Типичные экспертные ошибки
• Компьютерно-техническая и судебно-нормативная
экспертизы
• Судебная и досудебная экспертизы
• Пример дела (Атака на ДБО)
• 11 правил, которые нужно соблюдать

4. Проблематика
• Ежегодный кратный рост количества судебных дел,
имеющих отношение к информационной безопасности
• Стороны по делу и суд не обладают компетенцией в
области информационной безопасности на уровне
эксперта
• Компьютерно-технических экспертиз недостаточно для
установления всех обстоятельств дела
• Область информационной безопасности крайне
зарегулирована, суды не всегда анализируют
требования регуляторов
• Судам сложно оценить соответствие требованиям
информационной безопасности без пояснений
специалиста или эксперта

5. Государственные и
негосударственные судебно-
экспертные учреждения
Государственные:
• Судебно-экспертные учреждения Министерства
юстиции РФ
• Экспертно-криминалистическая служба МВД России
• Судебно-экспертные учреждения Министерства
обороны, ФСБ, ФТС, МЧС
и др.
Негосударственные:
• АНО «СОДЭКС МГЮА»
и др.

6. Кто может проводить экспертизу?
Экспертиза может проводиться как в государственном
судебно-экспертном учреждении, так и в
негосударственной экспертной организации либо к
экспертизе могут привлекаться лица, обладающие
специальными знаниями.
Постановления Пленума Высшего Арбитражного Суда РФ от
20 декабря 2006 г. No 66 «О некоторых вопросах практики
применения арбитражными судами законодательства об
экспертизе»

7. Эксперт как субъект судебно-
экспертной деятельности
Судебный эксперт - это лицо, обладающее
специальными знаниями, назначенное судом в порядке,
установленном процессуальным законодательством (ст.
79 ГПК РФ, 55 АПК РФ, 57 УПК РФ, 25.9 КоАП РФ) для
производства судебной экспертизы и дачи заключения.

8. Варианты привлечения эксперта
по информационной безопасности
в судебный процесс
• В качестве представителя стороны по делу для
защиты позиции одной из сторон
• В качестве специалиста в судебное заседание для
дачи пояснений суду
• В качестве эксперта:
– Проведение досудебной экспертизы
– Проведение судебно-нормативной экспертизы

9. Привлечение эксперта для
подготовки экспертизы по делу
• Нормативная экспертиза явления самостоятельным
доказательством по делу
• Суд получает ранее неизвестные факты по делу,
подтвержденные экспертом
• Нормативная экспертиза дополняет и корректирует
компьютерно-техническую экспертизу
• Досудебная экспертиза может быть достаточным
основанием не назначать иные экспертизы и
вынести решение по делу
• Выводы судебной экспертизы имеют значительный
вес для суда

10. Назначение судебной
экспертизы
• Суд назначает экспертизу, по собственной
инициативе или инициативе сторон
• Проведение экспертизы может быть поручено
судебно-экспертному учреждению, конкретному
эксперту или нескольким экспертам
• Компетентность судебного эксперта оценивается в
процессе подбора сведущего лица и решения
вопроса о его назначении в качестве судебного
эксперта.

11. Привлечение эксперта судом
• Подготовка информационного письма для суда
• Внесение ДС на депозит суда
• Определение о назначении экспертизы
• Запрос в суд на получение необходимых материалов
• Подготовка заключения
• Предоставление заключения суду
• Участие эксперта в судебном заседании

12. Представительство по делу
Досудебные мероприятия:
• Заключение по инциденту
• Сбор и подтверждение значимых фактов по инциденту
• Анализ договорной работы
• Экспертиза требований законодательства
• Анализ перспектив судебного разбирательства
• Корректное оформление доказательств
• Поддержка юридических подразделений компании
Арбитражный процесс Гражданский процесс

13. Заключение эксперта
• В заключении эксперта должны быть отражены:
– время и место производства судебной экспертизы;
– основания производства судебной экспертизы;
– сведения об органе или о лице, назначивших судебную
экспертизу;
– сведения о судебно-экспертном учреждении, об эксперте
(фамилия, имя, отчество, образование, специальность, стаж
работы, ученая степень и ученое звание, занимаемая
должность), которым поручено производство судебной
экспертизы;
– предупреждение эксперта в соответствии с
законодательством РФ об ответственности за дачу заведомо
ложного заключения;
– вопросы, поставленные перед экспертом или комиссией
экспертов;
– объекты исследований и материалы дела, представленные
эксперту для производства судебной экспертизы;
– сведения об участниках процесса, присутствовавших при
производстве судебной экспертизы;
– содержание и результаты исследований с указанием
примененных методов;
– оценка результатов исследований, обоснование и
формулировка выводов по поставленным вопросам.

14. Заключение эксперта
• Вводная часть:
– номер и наименование дела, по которому назначена
экспертиза;
– краткое описание обстоятельств дела, имеющих отношение
к исследованию;
– сведения об органе и лице, назначившем экспертизу, правовых
– основаниях для назначения экспертизы (постановление или
определение);
– наименование экспертного учреждения, исходные сведения о
лице (или лицах), производившем экспертизу (фамилия, имя,
отчество, образование, экспертная квалификация, ученая
степень, звание, стаж экспертной работы);
– род и вид экспертизы;
– вопросы, выносимые на разрешение эксперт;
– перечисляются поступившие на экспертизу материалы,
способ их доставки;
– подписка об ответственности за дачу заведомо ложного
заключения по ст. 307 УК РФ.

15. Заключение эксперта
• Основная часть:
– вид упаковки представленных на экспертизу объектов, ее
целостность, реквизиты, состояние;
– процесс исследования по стадиям с описанием его методики,
условий применения тех или иных методов;
– описание процесса исследования.
• Выводы:
– ответы на вопросы
• Приложения (в случае необходимости).

16. Консультация специалиста
Специалист:
• участвует в постановке вопросов при назначении
экспертизы;
• участвует при допросе эксперта, подготовившем
заключение;
• дает разъяснения суду на основании имеющихся у
него специальных знаний.

17. Типичные экспертные ошибки
• нарушение экспертом процессуального режима и
процедуры производства экспертизы;
• выход эксперта за пределы своей компетенции;
• выражение экспертной инициативы в
непредусмотренных законом формах;
• самостоятельное собирание материалов и объектов
экспертизы;
• обоснование выводов материалами дела, а не
результатами исследования;
• осуществление несанкционированных судом
(следователем) контактов с заинтересованными
лицами;
• принятие поручения на производство экспертизы и
материалов от неуполномоченных лиц;

18. Типичные экспертные ошибки
• несоблюдение процессуальных требований к
заключению эксперта (в том числе отсутствие в
заключении необходимых по закону реквизитов).
• логические и фактические (предметные) ошибки
• применение «непригодных» методов исследования;
• профессиональная некомпетентность;
• неполноту или односторонность исследования;
• пренебрежение правилами и условиями применения
методик экспертного исследования и технических
средств;
• профессиональные упущения эксперта:
небрежность, неаккуратность, поверхностное
производство исследования, игнорирование тех или
иных свойств объектов или их взаимозависимости.
• логические дефекты умозаключений эксперта;
• дефекты в организации и планировании экспертного
исследования.

19. Компьютерно-техническая и
судебно-нормативная
экспертизы
• Компьютерно-техническая экспертиза исследует
компьютерные средства, электронные носители
информации, информационные системы
• Судебно-нормативная экспертиза изучает исследует
информацию из документов

20. Система Арбитражных судов РФ
• АРБИТРАЖНЫЕ СУДЫ ПЕРВОЙ ИНСТАНЦИИ в
республиках, краях, областях, городах
федерального значения, автономной области,
автономных округах.
• АРБИТРАЖНЫЕ АПЕЛЛЯЦИОННЫЕ СУДЫ
• ФЕДЕРАЛЬНЫЕ АРБИТРАЖНЫЕ СУДЫ ОКРУГОВ
(арбитражные кассационные суды)
• ВЫСШИЙ АРБИТРАЖНЫЙ СУД РФ

21. Привлечение эксперта по информационной
безопасности в качестве представителя
стороны по делу
Эксперт:
• Имеет возможность защищать позицию одной из сторон
• Может скорректировать позицию стороны по делу
• Может найти новые доказательства по делу
• Может провести собственное исследование по делу и приложить
его в качестве пояснения одной из сторон
• Может опросить представителей сторон по делу, а также судебного
эксперта или приглашенного специалиста, если таковые
привлекаются
• Может сформулировать корректные и значимые вопросы к
судебному эксперту

22. Привлечение специалиста в
судебное заседание
• Суд и стороны могут задать эксперту вопросы с
целью подтверждения своей позиции
• Специалист может дать пояснение по
доказательствам имеющимся в деле
• Мнение специалиста имеет значительный вес для
суда
• Специалист несет личную ответственность за свои
показания

23. Преимущество судебно-
нормативной экспертизы
• Качественное и корректное заключение эксперта
может являться главным доказательством по делу
• Оспорить результаты судебно-нормативной
экспертизы крайне сложно

24. Зачем нужна нормативная
экспертиза?
• Стороны по делу, как правило, не обладают компетенцией
в области информационной безопасности и упускают из
рассмотрения значимые доказательства
• Многие требования по информационной безопасности
носят предписывающий характер, их выявление и
предоставление суду может изменить ход процесса
• Вовремя подготовленная нормативная экспертиза может
повлиять на решений одной из сторон заключить мировое
соглашение, отказаться от иска или переформулировать
его

25. Примеры дел
• Экспертиза соответствия требованиям законодательства
и требованиям Центрального банка, Стандарта банка
России по информационной безопасности (СТО БР ИББС),
392-П и пр.;
• Нормативная экспертиза в делах возмещения убытков,
связанных с кражей денежных средств с использованием
систем дистанционного банковского обслуживания;
• Экспертиза Технических заданий и Технических проектов
на соответствие требованиям законодательства,
требованиям ФСБ России и ФСТЭК России;
• Экспертиза соответствия Технического проекта
требованиям Технических заданий в части
информационной безопасности;
• Подготовка экспертизы по общим вопросам
информационной безопасности и защиты информации;

26. Примеры дел
• Экспертиза при обнаружении факта утечки информации,
включая исследование инцидента, уведомление клиентов,
переговоры с государственными и федеральными
регулирующими органами;
• Экспертиза договорной работы с сотрудниками и
контрагентами с целью обеспечения интересов компании в
области информационной безопасности.
• Экспертиза договорной работы с поставщиками
относительно использования информации;
• Оперативная оценка ситуации в случае обнаружения
факта хищения денежных средств с использованием
систем дистанционного банковского обслуживания;

27. Атака на ДБО. Классический
сценарий
• Бухгалтерия Клиента фиксирует переводы
денежных средств на счета «неизвестных»
компаний
• Представитель Клиента пытается связаться с Банком
(телефон, почта)
• Банк блокирует счет Клиента или блокирует доступ
через ДБО
• Через несколько часов после списания, денежные
средства зачисляют на счета «неизвестных»
компаний в другом банке, переводятся на
зарплатный проект или переводятся дальше на
счета других контор.

28. Атака на ДБО. Проблематика
• Если переводы совершены, деньги не были остановл
ены на межбанкинге, или срочно не был заблокиров
ан счет «неизвестной» компании, то вернуть деньги
во внесудебном порядке практически невозможно
• Если будут поданы иски к «неизвестным» компания
м, то они с высокой долей вероятности будут удовле
творены судом, однако фактически истребовать ден
ьги будет невозможно
• «Неофициальный» путь
• Реальный способ вернуть деньги – длительный и сло
жный судебный процесс с Банком

29. Атака на ДБО. На что смотрит
суд?
• Имел ли место факт списания денежных средств?
• По вине кого денежные средства были списаны? Бы
л это Банк, Клиент или третье лицо?
• Важно установить кто нарушил требования договора
между банком и клиентом
– Присутствовало ли вредоносное ПО компьютере Клиента? Како
в функционал данного вредоносного ПО?
– Как появилось вредоносное ПО на компьютере Клиента?
– Если ли вина Клиента?
– Есть ли вина Банка?
• Вина сторон устанавливается по результатам анализ
а обстоятельств дела, технической экспертизы и нор
мативной экспертизы.

30. Атака на ДБО. Ситуация: Атака на
Банк
• Как правило, имеются очевидные нарушения услови
й договора со стороны Банка, например:
– Не произведено информирование Клиента
– Не получено подтверждение от Клиента на проведение транзак
ции (н-р, одноразовый код не отправлялся, ключ ЭП не исполь
зовался)
– Банк не может подтвердить факт получения ПП от Клиента
• Имеются основания для взыскания похищенных сре
дств с банка в порядке ст. ст. 15, 309-310, 393, 863
ГК РФ (иск о взыскании убытков в связи с ненадлеж
ащим выполнением обязательств по договору).

31. Атака на ДБО. Ситуация: Атака на
Клиента
Исходные данные:
• 1) Имел ли место факт списания денежных средств с
о счета клиента через ДБО?
• 2) Формировались ли платежные поручения на АРМ
Клиента?
• 3) Имел ли место факт «нарушения трудовой дисцип
лины» на стороне Клиента?
• 4) Как и в какие сроки Клиент реагировал на инцид
ент? Есть ли процедура?
• 5) Имел ли место факт заражения АРМ Клиента вред
оносным ПО? Как вредоносное ПО попало на АРМ Кл
иента?
• 6) Содержание договора между Клиентом и Банком?
Каково распределение рисков между Банком и Клие
нтом?

32. Атака на ДБО. Ситуация: Атака на
Клиента (Договор)

33. Атака на ДБО. Ситуация: Атака на
Клиента (Практика)
– Перераспределение рисков в пользу Банка практически исклю
чало до 2014 года возможность взыскания с Банка, т.к. отсутст
вовали основания взыскивать деньги с Банка.
– В 2014 году практика была скорректирована.
• Президиум Высшего арбитражного суда в Постановл
ении от 10.06.2014 N 716/14 по делу N А40-143607/
12 (Дело АСВ против МАСТ-БАНК и Банк Империя) с
делал следующие выводы:
Если иное не установлено законом или договором, банк несет ответственность за п
оследствия исполнения поручений, выданных неуполномоченными лицами, и в тех
случаях, когда с использованием предусмотренных банковскими правилами и дого
вором процедур банк не мог установить факта выдачи распоряжения неуполномоч
енными лицами.
• ВАС возлагает на Банк риск незаконного списания д
енежных средств даже в случае, когда, действуя с о
бычной степенью осмотрительности, Банк не мог это
го выявить. ВАС предусмотрел ответственность Банк
а, как профессионального участника рынка, при отс
утствии в договоре, иного условия.

34. Атака на ДБО. Ситуация: Атака на
Клиента (Практика)
Вектор доказывания для Клиента:
– Установление факта противоправных действий (бездействия) Б
анка
– Установление факта убытков
– Установление причинно-следственной связи между действиями
Банка и возникшими убытками.
Должно быть доказано все 3 факта.

35. Атака на ДБО. Экспертизы
• Техническая
– Анализ АРМ Клиента
– Анализ системы ДБО
• Нормативная
– Анализ всей документации, имеющей отношение к делу

36. 11 правил, которые нужно
соблюдать
1. Если суд, так или иначе, касается вопросов
информационной безопасности, в обязательном порядке
привлекайте эксперта по информационной безопасности.
2. Эксперт по информационной безопасности должен иметь
опыт работы в судах.
3. Если в первой инстанции вы не предоставите необходимое
экспертное заключение или не подкрепите свою позицию
словами специалиста в судебном заседании, другой
возможности, скорее всего, уже не будет.

37. 11 правил, которые нужно
соблюдать
4. Если вы или ваши оппоненты ходатайствуете о назначении
судебной экспертизы, вопросы к экспертизе должен
предлагать эксперт по информационной безопасности, а
корректировать их должны юристы.
5. Не пытайтесь повлиять на эксперта или специалиста и не
вмешивайтесь в процесс подготовки заключения.
6. Никогда, никогда, НИКОГДА не работайте с теми
экспертами, на заключение которых можно повлиять.
7. Разделяйте понятия нормативной и технической
экспертизы.

38. 11 правил, которые нужно
соблюдать
8. Привлекайте эксперта по информационной безопасности,
это резко повышает шансы на его благоприятный исход
9. Максимально детализируйте свою позицию. То, что для
вас, очевидно, может быть вовсе неочевидно для судьи.
10. Не стремитесь принести в суд все, что есть.
11. Старайтесь урегулировать спор в досудебном порядке.