Юридическая ответственность по 152-ФЗ и 187-ФЗ: не только за инциденты

от

«Ключевая ошибка многих специалистов по безопасности — полагать, что угроза всегда приходит извне. На самом деле, куда чаще компанию обрушивают внутренние юридические риски: неправильно оформленные документы, нарушения в работе с ПДн, формальное, но не фактическое выполнение требований регуляторов. 152-ФЗ и 187-ФЗ, это не просто списки требований, это основание для уголовного дела, миллионных штрафов и дисквалификации руководства. Здесь разбираем, как наступает ответственность в реальности, а не в теории.»

За что наступает ответственность: не только «взлом»

В бытовом представлении нарушения в сфере ИБ, это хакерские атаки и утечки данных из-за внешнего вмешательства. Юридическая реальность намного шире. Регуляторы в первую очередь смотрят на соблюдение установленных процедур и требований законодательства. Основанием для привлечения к ответственности чаще всего становится не сам факт инцидента, а выявленные нарушения в процессе его предотвращения, выявления или реагирования. Это принципиальный момент.

Ключевые сферы нарушений, ведущие к санкциям, включают:

  • Нарушение порядка обработки персональных данных (ПДн) по 152-ФЗ. Сюда входит обработка без согласия субъекта ПДн, некорректное определение целей обработки, отсутствие опубликованной политики конфиденциальности, неисполнение обязанностей оператора.
  • Несоблюдение требований к защите критической информационной инфраструктуры (КИИ) по 187-ФЗ. Например, непроведение категорирования объектов КИИ, отсутствие системы безопасности или плана её модернизации, неисполнение предписаний ФСТЭК.
  • Невыполнение требований регулятора. Это отдельный состав. Игнорирование предписаний Роскомнадзора или ФСТЭК об устранении нарушений, непредставление информации, отказ в допуске для проведения проверки.
  • Нарушения в области технической защиты информации, составляющей государственную тайну или иную охраняемую законом тайну. Регулируется отдельными законами и ведомственными актами.

ответственность может наступить даже при отсутствии реального инцидента — достаточно выявленного факта несоблюдения установленных правил игры.

Три основные формы юридической ответственности

Ответственность за нарушения в сфере ИБ неоднородна. Она делится на несколько самостоятельных форм, которые могут применяться как по отдельности, так и совокупно. Это зависит от тяжести нарушения, его последствий и субъекта (юридическое лицо, должностное лицо, гражданин).

Административная ответственность

Наиболее распространённая форма. Применяется по Кодексу об административных правонарушениях (КоАП РФ) и характеризуется наложением денежных штрафов. Штрафы для юридических лиц могут быть весьма значительными и исчисляются сотнями тысяч, а в некоторых случаях миллионами рублей.

  • За нарушения в области ПДн (ст. 13.11 КоАП РФ). Составы детализированы: обработка ПДн в случаях, не предусмотренных законом; обработка без согласия; невыполнение обязанностей по обезличиванию или по обеспечению безопасности; непредоставление информации субъекту ПДн. Штрафы для компаний — до 300 тыс. руб., а при повторном нарушении — до 500 тыс. руб.
  • За нарушения требований в области КИИ (ст. 13.13.1, 13.13.2 КоАП РФ). Непроведение категорирования, несоблюдение требований по безопасности, непредставление информации. Штрафы для юридических лиц здесь достигают 500 тыс. руб., для должностных лиц — до 50 тыс. руб. с возможностью дисквалификации.
  • За непредставление информации или воспрепятствование проверке (ст. 19.4.1, 19.7 КоАП РФ). Менее специфичные, но часто применяемые статьи.

Преимущество административного порядка для регулятора — относительная простота процедуры. Решение принимает должностное лицо (например, инспектор Роскомнадзора) на основе протокола об административном правонарушении.

Гражданско-правовая ответственность

Эта форма возникает, когда нарушение ИБ причинило вред конкретному лицу (физическому или юридическому). Пострадавший вправе требовать возмещения убытков или компенсации морального вреда через суд. Это отдельный, параллельный административному, процесс.

Классический пример — утечка базы данных клиентов. Субъекты ПДн, чьи данные оказались в открытом доступе, могут подать иск к компании-оператору. Им нужно будет доказать факт нарушения, причинную связь и размер убытков (например, расходы на смену документов, услуги юристов). На практике чаще взыскивают компенсацию морального вреда, размер которой определяет суд.

Важный нюанс: даже если компания заплатила штраф по КоАП, это не освобождает её от обязанности возместить вред пострадавшим. Санкции суммируются.

Уголовная ответственность

Самая серьёзная форма, наступающая за деяния, квалифицированные как преступления. Регулируется Уголовным кодексом РФ (УК РФ). Ключевое отличие — субъектом здесь является физическое лицо (должностное лицо, рядовой сотрудник), а не организация. Хотя компания может понести репутационный удар, к уголовной ответственности её привлечь нельзя.

  • Неправомерный доступ к компьютерной информации (ст. 272 УК РФ). Если доступ привёл к уничтожению, блокированию, модификации или копированию информации. Наказание варьируется от штрафа до лишения свободы.
  • Создание, использование и распространение вредоносных программ (ст. 273 УК РФ).
  • Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации либо информационно-телекоммуникационных сетей (ст. 274 УК РФ). Эта статья часто применяется к системным администраторам и руководителям, чьи действия (или бездействие) привели к тяжким последствиям. Например, отказ от установки необходимых обновлений безопасности, повлекший масштабный сбой или утечку.
  • Отказ в предоставлении информации (ст. 140 УК РФ) или Воспрепятствование законной профессиональной деятельности журналиста (ст. 144 УК РФ) — могут применяться в специфических контекстах, связанных с ИБ.

Для возбуждения уголовного дела требуется установить состав преступления, включая вину в форме умысла или неосторожности. Уголовное преследование обычно инициируется при наступлении значительного материального ущерба или иных тяжких последствий.

Кто отвечает: распределение ответственности внутри компании

Внутри организации бремя ответственности распределяется между тремя основными субъектами.

Субъект Тип ответственности За что обычно привлекают
Юридическое лицо (организация) Административная (штрафы), гражданско-правовая (возмещение убытков) Общее несоблюдение требований закона как оператора ПДн или субъекта КИИ. Действия её сотрудников в рамках трудовых обязанностей.
Должностное лицо (руководитель, начальник отдела ИБ, ответственный за обработку ПДн) Административная (штраф, дисквалификация), уголовная Необеспечение выполнения требований законодательства, издание неправомерных распоряжений, бездействие, повлёкшее нарушения. Например, директор, подписавший положение о безопасности, но не выделивший бюджет на его реализацию.
Гражданин (сотрудник, технический специалист) Административная, уголовная, дисциплинарная Конкретные противоправные действия: умышленная установка вредоносного ПО, нарушение правил эксплуатации систем, приведшее к инциденту, разглашение конфиденциальной информации.

Частая ошибка руководства — полагать, что назначив ответственного за ИБ или ПДн приказом, они полностью перекладывают на него риски. На деле, если назначенный сотрудник не обладает реальными полномочиями и ресурсами для выполнения задач, к ответственности будут привлечены и он (за неисполнение обязанностей), и вышестоящий руководитель (за ненадлежащую организацию работы).

Как происходит привлечение: от проверки до суда

Процесс редко бывает мгновенным. Он следует определённому алгоритму, который полезно понимать для построения защиты.

  1. Плановая или внеплановая проверка. Регулятор (Роскомнадзор, ФСТЭК, ФСБ) прибывает с проверкой. Основанием может быть истечение трёх лет с государственной регистрации юридического лица (плановая) или поступление жалобы, информация об инциденте (внеплановая).
  2. Выявление нарушений. В ходе проверки изучаются документы (политики, приказы, журналы), проводится интервью с сотрудниками, могут выполняться инструментальные проверки систем.
  3. Составление акта и предписания. Если нарушения найдены, проверяющие составляют акт и выдают предписание об их устранении в установленный срок. Это ещё не санкция, а возможность всё исправить.
  4. Возбуждение дела об административном правонарушении. Если нарушения не устранены, либо они носят грубый характер, составляется протокол по соответствующей статье КоАП.
  5. Рассмотрение дела и вынесение постановления. Дело рассматривает руководитель территориального органа регулятора или судья (если предусмотрено законом). Выносится постановление о назначении штрафа или иного наказания.
  6. Гражданский иск или уголовное дело. Эти процессы инициируются отдельно пострадавшими лицами или правоохранительными органами и могут идти параллельно с административным.

Стратегически важный этап — работа с предписанием. Его грамотное и документально подтверждённое исполнение часто позволяет избежать дальнейших штрафов.

Профилактика: что снижает риски привлечения к ответственности

Полностью исключить риск проверок нельзя, но можно выстроить работу так, чтобы даже при их проведении не было формальных оснований для санкций.

  • Документооборот, соответствующий реальным процессам. Политика безопасности, приказы о назначении ответственных, регламенты обработки ПДн не должны быть формальными «бумажками». Они должны описывать то, что действительно делается в компании, и регулярно актуализироваться.
  • Реальное, а не «галочное» выполнение требований. Если по закону требуется применение средств защиты информации (СЗИ), они должны быть не только куплены и установлены, но и корректно настроены, а их эксплуатация — задокументирована. ФСТЭК проверяет не наличие сертификатов на полке, а журналы событий и настройки правил.
  • Обучение сотрудников с фиксацией факта. Проведённые инструктажи по ИБ и обработке ПДн должны подтверждаться подписанными листами ознакомления. Это снимает ответственность с организации в случае нарушений по незнанию со стороны рядового сотрудника.
  • Система внутреннего контроля и аудита. Периодические самообследования на соответствие требованиям 152-ФЗ и 187-ФЗ позволяют выявить и устранить слабые места до визита регулятора.
  • Юридическое сопровождение. Взаимодействие с регуляторами, ответы на запросы, составление документов лучше доверить специалистам, понимающим не только букву закона, но и практику его применения.

Главный принцип: для регулятора документированное действие равно совершённому действию. Если в документах есть пробел, считается, что требуемая работа не выполнялась.

Оставьте комментарий