“В России есть несколько законов, наказывающих за провалы в ИБ. Часто говорят только о 152-ФЗ. Но это только верхушка айсберга. Ключевое — не размер штрафа, а то, какой закон применит регулятор в конкретной ситуации, и как это определит всё дальнейшее развитие компании, включая репутационные и операционные последствия.”
Три базовых закона: разная философия, разные штрафы
За информационную безопасность в России в первую очередь отвечают три федеральных закона. Каждый из них построен на своей логике, и за нарушение каждого — свои штрафы. Путаница между ними приводит к неверным ожиданиям.
152-ФЗ: штрафы за утечку персcccccccccccccccccccccccсонных данных
Закон «О персональных данных» направлен на защиту прав субъектов данных — физических лиц. Поэтому КоАП (статья 13.11) карает не за «плохую безопасность» в целом, а за конкретные нарушения прав людей: обработку без согласия, невыполнение обязанностей оператора и, что критично, за необеспечение безопасности данных, приведшее к их утечке.
- Для должностных лиц штрафы составляют от 30 до 50 тысяч рублей.
- Для юридических лиц — от 150 тысяч до 1 миллиона рублей. Если нарушение повлекло утечку, штраф может достигать 6 миллионов рублей.
Важный нюанс: Роскомнадзор, надзирающий за исполнением 152-ФЗ, чаще начинает проверки по жалобам граждан или после публикаций об утечках. Штрафы здесь — не главная проблема. Гораздо серьёзнее риск приостановки или запрета деятельности оператора, что фактически парализует бизнес, работающий с данными клиентов.
187-ФЗ: ответственность за платежные системы и инсайдерскую информацию
Закон «О национальной платежной системе» и связанные с ним нормы КоАП (статья 15.38) устанавливают ответственность за нарушения в области защиты инсайдерской информации и информации в платежных системах. Это уже другая категория: защита финансовой стабильности.
Штрафы здесь выше и ориентированы на организации, работающие с финансами:
- На должностных лиц может быть наложен штраф от 30 до 50 тысяч рублей, а в некоторых случаях — дисквалификация.
- Для юридических лиц штрафы стартуют от 500 тысяч рублей и могут доходить до 1 миллиона рублей.
Надзор здесь ведёт Банк России, и его подход более жёсткий, с фокусом на предотвращение системных рисков.
ФСТЭК России и лицензии: ответственность за защиту гостайны и критической инфраструктуры
Это самый сложный и потенциально самый дорогой пласт. ФСТЭК России регулирует не через единый закон, а через систему лицензий, аттестатов соответствия и приказов (например, приказы № 17, 21, 239). Нарушения здесь рассматриваются по статьям КоАП 13.12, 13.13, 13.14, 13.23.
- За деятельность без необходимой лицензии ФСТЭК (например, по разработке средств защиты гостайны) штраф для юрлиц — до 300 тысяч рублей с конфискацией средств.
- За нарушение условий лицензии — штрафы для должностных лиц до 50 тысяч, для юрлиц — до 500 тысяч рублей, возможна приостановка деятельности.
- Но самые серьёзные последствия — за нарушения в сфере защиты государственной тайны (ст. 13.23 КоАП) или требований к безопасности значимых объектов критической информационной инфраструктуры (КИИ). Тут штрафы для организаций могут достигать 1 миллиона рублей, а главное, это влечёт потерю доверия государства как контрагента.
Что дороже штрафа: косвенные и репутационные последствия
Фиксированный платёж по постановлению, это лишь прямое следствие. Настоящая цена несоответствия формируется вокруг него.
- Приостановка деятельности. Роскомнадзор или ФСТЭК могут приостановить обработку персональных данных или лицензируемую деятельность на срок до 90 дней. Для IT-компании, работающей в реальном времени, это равносильно коммерческой смерти.
- Репутационный ущерб. Информация о штрафах и нарушениях, особенно связанных с утечками данных клиентов, становится публичной. Восстановление доверия требует многократно больших инвестиций, чем сам штраф.
- Потеря контрактов. Для работы с государственным сектором и крупными корпорациями часто требуются аттестаты соответствия ФСТЭК или выполнение отраслевых требований. Наличие вступившего в силу постановления о нарушении ставит крест на таких возможностях.
- Увеличение страховых премий. Страховые компании, предлагающие киберстрахование, тщательно анализируют историю нарушений. Прошлые штрафы могут сделать страховку недоступной или неподъёмной по цене.
Как определяют размер штрафа: отягчающие и смягчающие обстоятельства
Регулятор не выставляет счёт автоматически по верхней планке. Административное расследование учитывает обстоятельства, которые могут увеличить или уменьшить наказание.
| Фактор | Влияние на размер штрафа |
|---|---|
| Повторное нарушение | Значительное увеличение (штраф часто назначается по максимальной санкции статьи). |
| Сокрытие факта нарушения или предоставление ложных сведений | Рассматривается как отягчающее обстоятельство, может повлиять на решение о приостановке деятельности. |
| Наличие реального ущерба (утечка данных, сбой системы) | Штраф назначается в повышенном размере, особенно по 152-ФЗ и для объектов КИИ. |
| Добровольное устранение нарушений до вынесения постановления | Может быть признано смягчающим обстоятельством и снизить итоговый штраф. |
| Содействие расследованию | Положительно влияет на позицию регулятора, может смягчить иные меры. |
На практике, компания, которая сразу заявляет об инциденте в Роскомнадзор по 152-ФЗ и активно сотрудничает, часто получает меньший штраф, чем та, о чьей утечке регулятор узнал из СМИ.
Процессуальные особенности: кто, как и зачем проверяет
Механизм наложения штрафа не происходит мгновенно. Это процедура.
- Повод для проверки. Это может быть плановая проверка (включается в ежегодный план), внеплановая (по жалобе, по обращению из других органов, после публикации в СМИ об утечке) или инцидент-ответ (например, уведомление оператора КИИ о кибератаке).
- Административное расследование. Регулятор запрашивает документы, объяснения, может выехать на объект. Цель — установить состав нарушения.
- Составление протокола. Если нарушения найдены, инспектор составляет протокол об административном правонарушении.
- Рассмотрение дела. Дело рассматривает руководитель территориального управления регулятора или суд (для некоторых составов, особенно по ФСТЭК). На этом этапе можно представлять возражения, ходатайства, доказательства устранения нарушений.
- Вынесение постановления. Решение о наложении штрафа или иной меры. Его можно обжаловать в вышестоящий орган или в суд в течение 10 дней.
Ключевой момент для IT-компании — этап расследования. Грамотная правовая и техническая поддержка на этой стадии может изменить исход, превратив серьёзный штраф в предупреждение или минимальное взыскание.
Стратегия вместо паники: что делать, чтобы минимизировать риски
Защита от штрафов — не в изучении таблиц санкций, а в выстроенных процессах.
- Картирование регуляторного поля. Чётко определите, под действие каких законов и требований вы попадаете: только 152-ФЗ, или также 187-ФЗ (если работаете с платежами), или требования ФСТЭК (если создаёте ПО для госсектора или являетесь субъектом КИИ). Это определяет приоритеты.
- Документирование соответствия. Регулятор проверяет не только факт наличия средств защиты, но и документы: политики, приказы, журналы инструктажей, отчёты о проведённых оценках. Отсутствие документа — равносильно отсутствию меры.
- Процедура реагирования на инциденты. Имея утверждённый и отрепетированный план действий при утечке данных или кибератаке, вы сможете быстро выполнить обязанность по уведомлению регулятора и граждан, что будет зачтено как смягчающее обстоятельство.
- Регулярный внутренний аудит. Проактивная проверка собственного соответствия требованиям, например, раз в квартал, позволяет находить и устранять проблемы до визита инспектора.
В конечном счёте, штраф, это индикатор системного сбоя в управлении ИБ. Его получение означает, что где-то ранее не были расставлены приоритеты, не выделены ресурсы или неверно оценены риски. Понимание логики и механизмов работы регуляторов превращает эту область из источника страха в управляемый операционный риск.