← Типы цифровой криминалистикиЦепочка хранения (chain of … →

Законность доступа и приватность (РФ: 137 УК, 152-ФЗ)

Этот урок объясняет, что делает расследование легальным и какие правовые границы нельзя переступать.

Законность доступа — это наличие прямого права работать с системой и данными: владение, поручение работодателя или клиента, согласие либо предписание уполномоченного органа.

Технические навыки криминалиста бесполезны и опасны без правовой рамки. Одни и те же действия — снять образ диска, прочитать переписку, восстановить удалённое — могут быть законной экспертизой или уголовным преступлением. Разница не в командах, а в том, есть ли у вас право это делать.

Эту мысль стоит закрепить накрепко, потому что она противоречит интуиции технического специалиста. В мире кода критерий простой: «получилось или не получилось». В мире права добавляется второй, главный критерий: «можно или нельзя». Команда отработала идеально, образ снят, улика найдена — и всё это не имеет значения, если у вас не было права прикасаться к этой системе. Более того, безупречно выполненное технически действие при отсутствии основания становится отягчающим обстоятельством, а не оправданием: вы знали, что делаете, и сделали это умело. Поэтому вопрос об основании всегда идёт перед вопросом о технике, а не после.

На каком основании можно работать

  • Собственность. Свои устройства и данные.
  • Поручение организации. Сотрудник ИБ расследует инцидент на корпоративных системах в рамках своих полномочий и внутренних политик, с которыми работники ознакомлены.
  • Договор с клиентом. Внешний DFIR-специалист действует по контракту, с письменно зафиксированным объёмом работ.
  • Согласие владельца. Явное разрешение того, чьи данные и устройство исследуются.
  • Учебные/CTF-образы. Специально подготовленные данные для тренировки.

Обратите внимание на повторяющееся слово: «письменно», «зафиксированы», «ознакомлены». Основание, существующее только в устной форме или «по умолчанию», на практике почти бесполезно — его невозможно предъявить, и оно легко превращается в спор «вы мне разрешали — нет, не разрешал». Поэтому корпоративные политики доводят до сотрудников под подпись, объём работ внешнего специалиста закрепляют в договоре, а согласие владельца берут явно и заранее. Особый случай — корпоративная техника: тот факт, что ноутбук принадлежит компании, как правило, даёт основание расследовать инциденты на нём, но не превращает его в зону, где можно безгранично читать всё личное. Право собственности на устройство и право на тотальный доступ к содержимому — это не одно и то же.

Приватность в России

Даже имея доступ к системе, нельзя бесконтрольно копаться в личной информации людей. Ключевые ориентиры в РФ:

  • Статья 137 УК РФ — нарушение неприкосновенности частной жизни: незаконные сбор и распространение сведений о частной жизни человека без его согласия. Это уголовная статья.
  • 152-ФЗ «О персональных данных» — регулирует обработку персональных данных: законность, цель, минимизацию, безопасность. При расследовании вы почти всегда работаете с ПДн сотрудников и клиентов.
  • Статья 138 УК РФ — тайна переписки, телефонных переговоров и сообщений.
  • Статья 272 УК РФ — неправомерный доступ к компьютерной информации (именно её нарушает несанкционированный «взлом для расследования»).

Стоит понимать логику, которая стоит за этими нормами, а не заучивать номера. Статья 272 охраняет саму неприкосновенность чужих информационных систем: проникновение без права — преступление независимо от ваших намерений, и «я расследовал инцидент» не является оправданием для доступа к системе, которую вам исследовать не поручали. Статьи 137 и 138 защищают человека: его частную жизнь и тайну переписки — то есть ограничивают вас даже там, где доступ к системе у вас законный. 152-ФЗ задаёт правила обращения с персональными данными как с ценным и охраняемым ресурсом. Вместе они описывают две разные границы: одна отделяет «свои/доверенные системы» от чужих (272), вторая внутри доверенной системы отделяет «по делу» от «личного» (137, 138, 152-ФЗ).

Практический вывод: расследование ведут в объёме инцидента, не превращая его в тотальный просмотр личной жизни. Доступ к корпоративным системам должен опираться на политику, с которой работники ознакомлены; обработку ПДн — минимизировать и защищать. «В объёме инцидента» — не формальность, а рабочий фильтр: если расследуете утечку из конкретной базы, вам нужны логи доступа к этой базе, а не личная переписка сотрудника «заодно». Каждое расширение круга просматриваемых данных должно быть обосновано связью с инцидентом, иначе оно становится самостоятельным риском.

Как это выглядит на практике

Вопрос перед действием:
  1. Чья это система/данные?
  2. На каком основании у меня доступ?
  3. Есть ли письменное поручение/политика/согласие?
  4. Не выхожу ли я за объём инцидента?
  5. Как защищены персональные данные в процессе?
Если на любой ответ "не уверен" — остановиться и уточнить.

Этот короткий чек-лист стоит прогонять не один раз в начале, а перед каждым существенным расширением действий. Сняли образ сервера — основание было. Решили «заодно» посмотреть рабочую станцию другого сотрудника — это новое действие, и оно требует нового ответа на все пять вопросов. Привычка останавливаться на «не уверен» и уточнять у руководителя или юриста кажется замедлением, но именно она отличает специалиста, чьи выводы примут, от того, чью работу развалят на первом же вопросе об основании.

Как работает под капотом (правовая логика)

Право доступа определяет допустимость доказательства. Улика, полученная с нарушением закона, может быть признана недопустимой, а сам исследователь — привлечён к ответственности. Поэтому юридическая чистота сбора так же важна, как техническая корректность: «как добыто» влияет на то, можно ли это вообще использовать.

Здесь работает принцип, который в праве образно называют «плодами отравленного дерева»: если источник доказательства порочен, то и всё, что из него выросло, теряет силу. Найдёте вы хоть стопроцентно изобличающую улику — но если получили её, нарушив закон, она может быть отброшена целиком, а вместе с ней и построенные на ней выводы. Это превращает законность не в моральное пожелание, а в практическое условие результативности: расследование, проведённое с нарушениями, способно не просто оказаться бесполезным, но и обернуться ответственностью для самого исследователя и проблемами для заказчика.

Частые ошибки

  • «Я же из ИБ, мне можно всё». Полномочия ограничены политикой и объёмом инцидента, а не должностью.
  • Чтение личной переписки «на всякий случай». Без основания это риск по 137/138 УК.
  • Игнорирование 152-ФЗ. Персональные данные в дампах надо защищать и обрабатывать законно.
  • Самодеятельный «взлом» для расследования. Несанкционированный доступ — это 272 УК, даже с благими целями.
  • Устное «разрешение». Основание, которое нельзя предъявить, на практике не защищает; нужны письменная политика, договор или явное согласие.

Итоги

  • Легальность определяется правом доступа: собственность, поручение, договор, согласие, учебные данные — и предпочтительно в письменной форме.
  • В РФ границы задают 137, 138, 272 УК и 152-ФЗ; приватность нарушать нельзя даже при законном доступе к системе.
  • Расследуют в объёме инцидента, минимизируя и защищая персональные данные.
  • Доказательство, добытое незаконно, может быть отброшено целиком — «как добыто» решает, можно ли это использовать.
Проверьте себя
1. Что в первую очередь делает расследование инцидента легальным?
AИспользование сертифицированных инструментов
BНаличие права доступа: поручение, договор, согласие или собственность
CСкорость реагирования
DСогласование с коллегами
2. Какая статья УК РФ защищает неприкосновенность частной жизни?
AСтатья 158
BСтатья 137
CСтатья 159
DСтатья 105
3. Почему важно ограничивать расследование объёмом инцидента?
AЧтобы быстрее закончить
BЧтобы не выйти за рамки полномочий и не нарушить приватность и 152-ФЗ
CЧтобы сэкономить место на диске
DТак требует любой инструмент