Оборотные штрафы в сфере ИБ: что это и как снизить риски — Контур.Эгида

В этой статье

Оборотные штрафы в сфере ИБ: что это и как снизить риски

29 мая 2025

С 30 мая 2025 года вступает в силу Федеральный закон № 420-ФЗ, который усиливает ответственность юридических лиц, индивидуальных предпринимателей и должностных лиц за нарушение порядка обработки персональных данных. Эти изменения призваны предотвратить массовые утечки информации, ставшие серьезной проблемой в последние годы.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Ответственность за нарушения в области информационной безопасности — система административных, уголовных и гражданско-правовых санкций за несоблюдение требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК и ФСБ. Для бизнеса в РФ это штрафы до 500 000 ₽, приостановление деятельности, дисквалификация руководителей и уголовные дела при тяжких последствиях.

Почему персональные данные интересуют киберпреступников

Персональные данные представляют большую ценность не только для их владельцев, но и для злоумышленников. Использование утекших данных позволяет совершать мошеннические действия, продавать информацию на черном рынке или подрывать репутацию организаций. Компании, пострадавшие от утечек, могут столкнуться с потерей клиентской базы, ухудшением отношений с партнерами и снижением конкурентоспособности.

Основные способы утечек:

  • Уязвимости в программном обеспечении.
  • Действия инсайдеров — сотрудников, имеющих доступ к данным.
  • Социальная инженерия и манипуляции, направленные на получение конфиденциальной информации.

В 2024 году число атак с применением социальной инженерии значительно возросло. Только за третий квартал Центробанк зафиксировал более 20 тысяч подобных случаев.

Кому грозят оборотные штрафы

Под действие новых санкций подпадают:

Операторы персональных данных. В их число входят компании, обрабатывающие данные клиентов, такие как банки, телекоммуникационные компании, интернет-сервисы и другие организации, работающие с персональными данными.

Государственные учреждения и муниципальные органы. Например, образовательные или медицинские организации, администрации регионов и муниципалитетов.

Организации, работающие с критической информационной инфраструктурой (КИИ). Например, предприятия в сферах энергетики, транспорта, здравоохранения и других отраслях, где нарушение информационной безопасности может привести к серьезным последствиям.

Как изменятся оборотные штрафы с 30 мая 2025 года

В течение 2024 года Госдума рассматривала законопроект № 502104-8, который усиливает ответственность за утечки персональных данных. Итогом стало принятие Федерального закона № 420-ФЗ, вступающего в силу в мае 2025 года. Документ вносит значительные поправки в статью 13.11 КоАП РФ.

Основные нововведения:

  1. Введение штрафов за несообщение о факте утечки в Роскомнадзор.
  2. Усиление ответственности за утечки персональных данных, включая введение оборотных штрафов.
Нарушение До 30 мая 2025 года После 30 мая 2025 года
Несообщение об утечке - Юрлица: 1-3 млн руб.,должностные лица: 400-800 тыс.руб.
Подтвержденный факт утечки Юрлица: 60 — 100 тыс.руб. Юрлица: 3-5 млн.руб.
Повторная утечка Юрлица: 100-300 тыс.руб. От 1 до3% от выручки (не менее 20 млн руб)
Утечка биометрических данных - Юрлица: 15-20 млн руб

Дополнительно закон предусматривает снижение штрафа, если компания активно инвестирует в информационную безопасность и соблюдает требования по защите данных.

Кроме этого Федеральный закон № 421-ФЗ добавляет в УК РФ статью 272.1, усиливающую ответственность за незаконные действия с персональными данными.

Основные санкции:

  • Незаконный сбор и хранение данных — штраф до 300 тыс. руб. или лишение свободы до 4 лет.
  • Использование данных несовершеннолетних или биометрической информации — штраф до 700 тыс. руб. или лишение свободы до 5 лет.
  • Организованная преступная деятельность в этой сфере — штраф до 3 млн руб. или лишение свободы до 10 лет.

Как минимизировать риск получения оборотных штрафов

Основная причина утечек — ошибки сотрудников и инсайдерские угрозы. Каждая пятая утечка связана с действиями персонала, сознательными или неумышленными.

Чтобы минимизировать риск получения штрафов, необходимо внедрить комплексную систему защиты данных, включающую:

— анализ рисков и их ранжирование;

— разработка планов реагирования на инциденты;

— регулярные аудиты безопасности;

— разработку внутренних документов по защите информации;

— обучение сотрудников в области информационной безопасности;

— использование технических средств защиты. Например, использование современных технологий шифрования и контроля доступа данных, мониторинг сетевого трафика, защиту от вредоносного ПО и регулярное обновление программного обеспечения.

С чего можно начать уже сейчас

Подать уведомление в РКН. Если уведомление в Роскомнадзор ранее не направлялось, необходимо его подать. В случае если уведомление уже было подано, следует проверить, соответствует ли оно актуальной форме. Проверить очень легко, в новом уведомлении отражают цели обработки, ранее указывали информационные системы.

Проверить соответствует ли согласие на обработку персональных данных новым требованиям. В соответствии с законодательством, необходимо чётко указывать цель сбора данных в новой форме согласия. Для каждой цели нужно оформлять отдельное согласие. Также следует проверить, не запрашивается ли избыточная информация.

Обеспечить неограниченный доступ к Политике (положению) в отношении обработки персональных данных (один из способов это разместить на сайте)

Разместить уведомление на сайте о сборе файлов – cookie, если производится их сбор.

Коротко об оборотных штрафах в вопросах и ответах

Какие штрафы предусмотрены за утечку персональных данных?
Для юрлиц: от 60 000 до 500 000 ₽ по ч. 1–9 ст. 13.11 КоАП; при тяжких последствиях — уголовная ответственность по ст. 137 УК РФ.

Кто несёт ответственность при нарушении ИБ: компания или руководитель?
Оба: юрлицо штрафуется по КоАП, а руководитель может быть дисквалифицирован или привлечён к субсидиарной/уголовной ответственности.

Как быстро нужно уведомить регулятора об инциденте?
Немедленно, но не позднее 24 часов с момента обнаружения инцидента с персональными данными (152-ФЗ) или компьютерного инцидента (187-ФЗ).

Какие документы обязательно иметь для соответствия 152-ФЗ?
Политика обработки ПДн, реестр процессов, приказы о назначении ответственных, модели угроз, акты категорирования (для КИИ), журналы учёта обращений субъектов ПДн.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться