Нарушения информационной безопасности: правила, ответственность, профилактика
Сегодня всего одно нарушение информационной безопасности может стоить бизнесу репутации, клиентов и, конечно, огромных денег. В этой статье мы разберем, какие штрафы ожидают компании, если они не соблюдают установленные законодательством правила защиты данных.
Майские поправки к КоАП значительно увеличили штрафы за использование несертифицированных средств защиты информации, информационных систем, баз и банков данных. Для организаций — с 20-25 тысяч до 50-100 тысяч рублей. При повторных нарушениях требований предусмотрены оборотные штрафы.
Также увеличили и срок давности привлечения к административной ответственности — с 60 календарных дней до 1 года.
При этом поправки — не в новинку для российских компаний. Ужесточение регуляторного контроля в области защиты данных уже было в ноябре 2024 года. Можно смело утверждать, что законодательство в области защиты информации будет ужесточаться и дальше.
Что считается нарушением ИБ?
Согласно ГОСТу Р 53114-2008, ИБ-нарушение — любое намеренное или случайное действие, которое может причинить ущерб информационной системе организации.
Нарушителями могут быть как внешние пользователи — хакеры, целые киберкриминальные группировки, конкуренты, так и внутренние — партнеры, подрядчики и, конечно, сотрудники компании.
Самые распространенные нарушения — кибератаки, хищение или несанкционированное изменение информации. И, как показывает практика, до 95% ИБ-нарушений будут так или иначе связаны с действиями персонала организации.
Наибольшее число внутренних нарушений приходится на инсайдеров и просто нелояльных сотрудников. Даже в самой сплоченной команде всегда может найтись человек, который будет сотрудничать с конкурентами или хакерами.
И вот здесь очень важно подчеркнуть: нарушения бывают как намеренными, так и случайными. Сотрудники могут по ошибке отправить охраняемые документы не тем адресатам, подключиться к незащищенной Wi-Fi, передать данные для авторизации от корпоративных сервисов, перейти по фишинговой ссылке, оставить включенный компьютер без присмотра и просто потерять носитель — телефон, папку, ноутбук.
Это значит, немаловажно обеспечивать защиту данных как от внешних, так и от внутренних нарушителей. SIEM-системы, IDS/IPS, межсетевые экраны, платформы для анализа уязвимостей — все эти средства важны, но они не оправдают вложенных денег, если ваш сотрудник сам передаст данные третьим лицам, случайно или намеренно.
Типовые нарушения и примеры из практики
В практике Falcongaze уже на этапе пилотных запусков DLP SecureTower на 30 дней удавалось выявлять:
- попытку хищения коммерчески ценной информации, стоимость которой оценивалась в 310 000 долларов США;
- попытки похитить клиентские базы;
- факты передачи входящих лидов конкурентам.
Нарушение требований информационной безопасности может повлечь ответственность и, конечно, огромные штрафы.
Нормативные требования и регламенты
В Российской Федерации вопросы информационной безопасности урегулированы в следующих нормативно-правовых актах.
Федеральные законы
| Номер закона | Описание |
|---|---|
| ФЗ № 152 от 27.07.2006 | Регулирует вопросы, связанные со сбором, хранением и обработкой ПДн |
| ФЗ № 149 от 27.07.2006 | Регулирует право на поиск, получение, передачу, производство и распространение информации, использование информационных технологий, защиту данных от несанкционированного доступа |
| ФЗ № 63 от 06.04.2011 | Устанавливает правила использования электронной подписи |
| ФЗ № 98 от 29.07.2004 | Устанавливает правила защиты коммерческой тайны |
Указы Президента РФ
| Нормативный акт | Описание |
|---|---|
| Указ Президента РФ от 06.03.1997 № 188 | Утверждает перечень сведений конфиденциального характера |
| Указ Президента РФ от 05.12.2016 № 646 | Утверждает Доктрину информационной безопасности РФ |
| Указ Президента РФ от 22.05.2015 № 260 | Регулирует некоторые вопросы информационной безопасности РФ |
Постановления Правительства РФ
| Нормативный акт | Описание |
|---|---|
| Постановление Правительства РФ от 15.09.2008 № 687 | Утверждает Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации |
| Постановление Правительства РФ от 01.11.2012 № 1119 | Описывает требования к защите ПДн при их обработке в информационных системах ПДн |
| Постановление Правительства РФ от 21.03.2012 № 211 | Описывает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами |
| Постановление Правительства РФ от 26.06.1995 № 608 | Регулирует вопросы сертификации средств защиты информации |
Приказ ФАПСИ РФ
| Нормативный акт | Описание |
|---|---|
| Приказ ФАПСИ РФ от 13 июня 2001 г. № 152 | Содержит требования к организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих гостайну |
Приказы ФСТЭК РФ
| Нормативный акт | Описание |
|---|---|
| Приказ ФСТЭК РФ от 18.02.2013 № 21 | Утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах |
| Приказ ФСТЭК РФ от 11.02.2013 № 17 | Утверждает требования к защите информации, не составляющей гостайну, содержащейся в государственных информационных системах |
| Приказ ФСТЭК РФ от от 11.04.2025 № 117 | Утверждает требования к защите информации, не составляющей гостайну, содержащейся в государственных информационных системах (вступит в силу 1 марта 2026 года и заменит Приказ № 17) |
Приказы ФСБ РФ
| Нормативный акт | Описание |
|---|---|
| Приказ ФСБ РФ от 10 июля 2014 г. № 378 | Утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах с использованием средств криптографической защиты информации |
| Приказ ФСБ РФ и ФСТЭК РФ от 31.08.2010 № 416/489 | Описывает требования к защите информации, содержащейся в информационных системах общего пользования |
Ответственность и штрафы
УК РФ Статья 272
Неправомерный доступ к охраняемой информации, который повлек уничтожение, блокирование, модификацию либо копирование компьютерной информации, наказывается штрафом до 200 тысяч рублей или в размере заработной платы или иного дохода за период до 18 месяцев, либо исправительными работами на срок до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.
То же деяние, причинившее крупный ущерб или совершенное из корысти, наказывается штрафом до 300 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 2 лет, либо исправительными работами от 1 года до 2 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.
Деяния, совершенные группой лиц по предварительному сговору или группой либо лицом с использованием своего служебного положения, наказываются штрафом до 500 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные, либо ограничением свободы до 4 лет, либо принудительными работами либо лишением свободы на срок до 5 лет.
Если деяния повлекли тяжкие последствия или создали угрозу их наступления, они наказываются лишением свободы на срок до 7 лет.
УК РФ Статья 274
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом до 500 000 рублей или в размере заработной платы или иного дохода за период до 18 месяцев, либо исправительными работами на срок от 6 месяцев до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.
Деяние, которое повлекло тяжкие последствия или создало угрозу их наступления, может повлечь принудительные работы на срок до 5 лет либо лишение свободы на тот же срок.
КоАП Статья 13.11
Для организаций предусмотрены такие штрафы:
| Нарушение | Размер штрафа |
|---|---|
| Действия или бездействие, повлекшие неправомерную передачу ПДн от 1000 до 10 000 субъектов данных или 10 000 до 100 000 идентификаторов | От 3 до 5 млн рублей |
| Действия или бездействие, повлекшие неправомерную передачу ПДн от 10 000 до 100 000 субъектов данных или 100 000 до 1 000 000 идентификаторов | От 5 до 10 млн рублей |
| Действия или бездействие, повлекшие неправомерную передачу ПДн от 100 000 субъектов данных свыше 1 000 000 идентификаторов | От 10 до 15 млн рублей |
| Действия или бездействие, повлекшие неправомерную передачу ПДн специальных категорий | От 10 до 15 млн рублей |
| Действия или бездействие, повлекшие неправомерную передачу ПДн, включая биометрические данные | От 10 до 20 млн рублей |
| При повторных нарушениях | От 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ, услуг за календарный год |
КоАП РФ Статья 13.12
| Нарушение | Ответственность |
|---|---|
| Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации | До 20 тысяч рублей |
| Использование несертифицированных средств защиты информации | До 100 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой |
| Использование несертифицированных средств, предназначенных для защиты информации, составляющей гостайну | До 100 тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой |
| Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации | До 25 тысяч рублей или административное приостановление деятельности на срок до 90 суток |
| Нарушение требований о защите информации, установленных ФЗ и принятыми в соответствии с ними иными нормативными правовыми актами РФ | До 100 тысяч рублей |
Управление нарушениями: обнаружение и реагирование
Всего одна утечка ПДн или другой конфиденциальной информации сегодня может подвести организацию под банкротство, а ее руководителей — под уголовную статью.
Поэтому лучшая практика — выявлять и ликвидировать нарушения до того, как они перерастут в серьезные ИБ-инциденты, принесут ущерб компании и повлекут за собой штрафы и санкции от регуляторов.
Оптимально начать с аудита информационных активов, организации зрелой системы защиты данных и внедрения средств мониторинга информационной безопасности.
Более того, в отдельных случаях использование ИБ-средств является смягчающим обстоятельством. При этом реализованные меры должны быть выполнены лицензиатами ФСТЭК России и/или ФСБ России. Годовой объем затрат должен составлять не менее 0,1% от совокупной выручки оператора. В качестве примера таких вложений можно привести закупку сертифицированных средств защиты информации, включая DLP-системы, а также проведение аудитов информационной безопасности.
Заключение
Оборотные штрафы за утечки персональных граждан, расходы на ликвидацию последствий ИБ-инцидентов, выплаты компенсаций, судебные издержки — все это огромные деньги. И лучше направить их на создание устойчивой системы защиты данных, внедрение инноваций и обучение персонала.
.jpg)
.jpg)
