Нарушения при защите данных в госсистемах будут караться крупными штрафами

Госдума одобрила поправки, существенно повышающие административные взыскания за несоблюдение правил информационной безопасности в государственных структурах. Речь идёт о тех случаях, когда в системах, содержащих сведения ограниченного доступа или засекреченные материалы, применяются несертифицированные решения либо нарушаются действующие нормы защиты данных.

В документе, сопровождающем инициативу, содержится статистика, подготовленная Национальным координационным центром по компьютерным инцидентам. С начала боевых действий на Украине, указано в пояснении, выросло количество атак, нацеленных на инфраструктуру государственных учреждений. Отмечаются попытки несанкционированного проникновения в закрытые разделы, а также случаи сбоев в работе информационных ресурсов.

По информации, приведённой в пояснении к законопроекту, в период с 2019 по 2024 год Федеральная служба по техническому и экспортному контролю провела масштабные проверки. За нарушения требований по защите данных привлечены к ответственности 93 гражданина, 142 представителя руководства и 80 организаций. При этом, как подчёркивается в документе, доля привлечённых юрлиц и должностных лиц существенно увеличилась: если в 2019-м году наказали 27 человек и 9 компаний, то в 2023-м — уже 42 и 39 соответственно.

Разработчики проекта уверены, что систематическое увеличение количества выявленных нарушений требует жёсткого подхода, в том числе через рост штрафов. Поправки затрагивают статью 13.12 Кодекса об административных правонарушениях, а также изменяют срок, в течение которого возможно назначение наказания — теперь он составляет 12 месяцев вместо прежнего более короткого периода.

• Серьёзные изменения касаются сумм взысканий. За применение в госсистемах незарегистрированных решений — баз данных, программ или технических средств защиты — физическим лицам грозит от 5 тыс. до 10 тыс. рублей (ранее максимум составлял 2.5 тыс.). Должностным лицам — от 10 тыс. до 50 тыс. рублей (прежняя планка — 3 тыс.), а организациям — от 50 тыс. до 100 тыс. рублей (вместо 25 тыс.).
• Если речь идёт о попытке использовать неподтверждённые средства защиты секретных сведений, то наказание усилено ещё больше. Для представителей управленческого звена сумма штрафа может составить до 50 тыс. рублей, а для компаний — до 100 тыс., с обязательной конфискацией применённого оборудования.
• Если нарушения касаются обычной служебной информации, но не секретных данных, то штрафы также выросли кратно. Граждане в таком случае рискуют заплатить от 5 тыс. до 10 тыс. рублей (до этого — максимум 1 тыс.), представители власти — от 10 тыс. до 50 тыс., а юрлица — от 50 тыс. до 100 тыс. рублей.
• Что касается наиболее чувствительной категории — сведений, отнесённых к государственной тайне, — то здесь штрафы варьируются от 10 тыс. до 20 тыс. рублей для физических лиц, от 20 тыс. до 50 тыс. — для должностных, и от 50 тыс. до 100 тыс. — для организаций. По сравнению с действующими значениями, это почти двукратный рост.

Закон принят сразу во втором и третьем чтениях. Как отметили в издании «Парламентская газета», обсуждение проекта прошло в сжатые сроки. Специалисты считают, что усиление ответственности окажет сдерживающий эффект на потенциальных нарушителей и повысит дисциплину в сфере информационной безопасности.

Павел Карасев, бизнес-парнер, компания «Компьютерные технологии«, заявил CISOCLUB: «Как эксперт в области информационной безопасности, я считаю усиление административной ответственности логичным и необходимым шагом. Сегодня киберугрозы — это не гипотетический риск, а реальность, особенно для государственных структур. При этом часто нарушения происходят не из-за злого умысла, а из-за формального подхода к защите информации. Новые штрафы создают стимул не просто выполнять требования «на бумаге», а реально внедрять сертифицированные решения. Особенно важно, что расширены сроки для привлечения к ответственности — это закрывает лазейки, которыми раньше пользовались. Этот закон — не про наказание, а про повышение ответственности на всех уровнях».

Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT: «Предлагаемые изменения — шаг в правильном направлении. На фоне стремительного роста киберугроз и устаревших норм ответственности, усиление контроля за защитой информации выглядит логично. Новый подход охватывает все ключевые категории — от гостайны до персональных данных и платежной информации. Фактически речь идёт о попытке вернуть реальный вес требованиям, которые долгие годы могли оставаться иногда формальностью. Да, меры пока мягче, чем, скажем, за утечку персональных данных, но сама тенденция правильная. Организации должны не просто соблюдать регламенты, а выстраивать полноценную систему защиты. Сертификация — это лишь первый шаг. При этом важно понимать, что сам по себе факт наличия сертификата не является панацеей — он должен сопровождаться грамотной интеграцией и эксплуатацией средств защиты».