Информационная безопасность (ИБ) обретает всё более значимую роль в корпоративной среде. Неудовлетворительное выполнение требований законодательства приводит к крупным штрафам, репутационным потерям и даже уголовной ответственности.
С 30 мая 2025 года вступили новые нормы по персональным данным, и во многих компаниях усилили контроль. Рассмотрим, как соблюдать нормативное регулирование ИБ и не допустить нарушений.
| По итогам 2024 года Роскомнадзор зафиксировал более сотни утечек баз данных, что затронуло сотни миллионов записей. Аналитики прогнозируют рост числа кибератак на 200 % в 2025 году и увеличение ещё на 50 % ежегодно. Только за первые восемь месяцев 2024 года было составлено несколько десятков административных протоколов, взысканная сумма за нарушения превысила 2,5 млн ₽. |
Источники: Forbes. Роскомнадзор зафиксировал 135 утечек баз данных в 2024 году. PT Security. Актуальные киберугрозы: прогноз на 2025 годBuh.ru. Штрафы за персональные данные с 30 мая 2025 года.
Нормативное регулирование информационной безопасности
Фундамент строится на законах — 152-ФЗ («О персональных данных»), 187-ФЗ («О безопасности критической информационной инфраструктуры»), а также 149-ФЗ («Об информации»). Регуляторы — Роскомнадзор, ФСТЭК, ФСБ — контролируют обработку ПД, локализацию серверов, уведомления и защиту инфраструктуры.
152-ФЗ «О персональных данных»: ключевые требования
Федеральный закон № 152-ФЗ регулирует работу с персональными данными граждан. Он требует, чтобы организации обрабатывали сведения только на законных основаниях и преимущественно с согласия субъекта. Отдельно закреплено обязательство защищать информацию от несанкционированного доступа техническими и организационными методами.
Особое значение имеет локализация: сведения россиян должны храниться на серверах, расположенных в пределах страны.
Кроме того, компании обязаны уведомлять Роскомнадзор о начале обработки и обо всех фактах утечки в течение суток. Игнорирование этих норм влечёт серьёзные санкции, включая крупные штрафы и ограничения деятельности.
187-ФЗ «О безопасности критической информационной инфраструктуры»: ключевые требования
Закон № 187-ФЗ направлен на охрану критически важных отраслей — энергетики, транспорта, финансов, здравоохранения, связи. Владельцы систем обязаны классифицировать объекты, определять уровень значимости и передавать сведения в ФСТЭК. На этой основе формируются требования по защите: аудит, внедрение сертифицированных решений, создание подразделений реагирования.
Организации, относящиеся к КИИ, должны немедленно информировать государственные органы о кибератаках и инцидентах.
За несоблюдение предусмотрена административная и даже уголовная ответственность. Руководители несут персональную обязанность за выполнение всех предписаний, а нарушение может привести не только к штрафным санкциям, но и к потере лицензий.
Организационные меры защиты информации
- Политика безопасности компании — закрепляет цели, обязанности сотрудников, порядок работы.
- Регламент доступа сотрудников — определяет права пользователей, исключает избыточные привилегии, защищает критическую информацию.
- Контроль учетных записей — фиксация создания, изменения, удаления логинов и паролей для аудита.
- Журналирование операций — ведение логов действий пользователей, выявление нарушений, подозрительной активности.
- План реагирования инцидентов — сценарии действий при утечках, сбоях, кибератаках, уведомление регуляторов, восстановление систем.
- Аттестация персонала — проверка знаний сотрудников о правилах при приёме на работу, далее периодически.
- Обучение работников — тренинги, инструкции, практические занятия, снижение ошибок, человеческого фактора.
- Проверка подрядчиков — контроль соблюдения правил внешними партнёрами, закрепление требований договором.
«Участившиеся инциденты, связанные с компрометацией паролей и других цифровых идентификаторов, поднимают важный правовой вопрос: насколько эффективно бизнес защищает информацию, составляющую коммерческую тайну, персональные данные и другие критически важные активы? В условиях цифровизации и растущего числа киберугроз обеспечение информационной безопасности — не просто технологический вызов, но и зона правовой ответственности» — Игорь Баранов, адвокат Адвокатской палаты города Москвы (CISOCLUB).
Правовые аспекты защиты персональных данных
Защита персональных данных регулируется федеральным законодательством, устанавливает обязанности операторов, ответственность за нарушения, а также права субъектов информации. Компании обязаны обеспечивать конфиденциальность, целостность, доступность сведений, применять технические средства, контролировать доступ сотрудников. Несоблюдение требований может привести к административным, гражданским и уголовным последствиям.
Операторы должны уведомлять регуляторов о начале обработки информации, фиксировать утечки, внедрять внутренние процедуры аудита, проводить обучение персонала. Закон предусматривает санкции за игнорирование правил, отсутствие согласия субъектов, нарушение сроков хранения информации. Корпоративные практики compliance помогают минимизировать риски и демонстрируют соответствие законодательству.
Операторы отвечают за корректную обработку и уведомление Роскомнадзора в течение 24 часов при утечке. С 30 мая 2025 года штрафы выросли: от 30–300 тыс. ₽ за неуведомление и до 15 млн ₽ за утечку, включая оборотные штрафы до 3 % выручки.
Ответственность за нарушения
| Вид | Закон | Меры воздействия |
| Административная | КоАП РФ, ст. 13.11 | До 15 млн ₽, ограничения деятельности, предписания регуляторов |
| Уголовная | УК РФ, ст. 272.1 | До 700 тыс ₽, исправительные работы, лишение свободы до 5–6 лет |
| Гражданско-правовая | ГК РФ | Компенсация пострадавшим, возмещение убытков, восстановление репутации |
| Дисциплинарная | Внутренние правила | Замечания, выговоры, увольнение сотрудников за нарушения внутренней политики ИБ |
| Корпоративная | Локальные нормативные акты | Приостановка доступа, отзыв прав, внутренний аудит, контроль выполнения предписаний |
Compliance в информационной безопасности
Compliance — это системный подход к выполнению правил и стандартов. Этапы внедрения:
- Анализ нормативных требований — изучение федеральных законов, регуляторных актов, внутренних процедур компании.
- Аудит текущего состояния — выявление пробелов, слабых мест, несоответствий существующих процессов.
- Разработка локальных нормативных актов — создание правил, инструкций, регламентов для сотрудников и подрядчиков.
- Обучение сотрудников — проведение тренингов, инструктажей, разъяснение обязанностей, ответственности.
- Внутренний контроль, аудит — регулярная проверка выполнения правил, анализ эффективности мер, корректировка процессов.
Compliance формирует дисциплину, защищает компанию от штрафных санкций, повышает прозрачность работы и обеспечивает системную ИБ.
Разработка локальных нормативных актов по ИБ
Разработка локальных нормативных актов предполагает формализацию внутренних правил, инструкций и регламентов для защиты. Такие документы устанавливают порядок доступа к системам, процедуры реагирования на инциденты, обязанности сотрудников и подрядчиков, требования к хранению и обработке информации. Локальные акты помогают обеспечить соответствие законодательству, минимизируют риски утечек, упрощают контроль, а также формируют культуру ответственности внутри организации и служат доказательной базой при проверках со стороны регуляторов.
История успеха
Дмитрий З., руководитель отдела ИБ в крупной технологической компании, создал комплексную систему защиты. Он внедрил локальные нормативные акты, настроил контроль доступа и организовал регулярные тренинги для сотрудников. Через год компания не только снизила количество инцидентов до нуля, но и получила сертификат соответствия международным стандартам.
Заключение
Современное законодательство предусматривает серьёзную ответственность, однако системный подход помогает избежать штрафов и сохранить деловую репутацию.
Соблюдение нормативного регулирования информационной безопасности — ответственный процесс, требующий внедрения compliance, контроля и обучения. Организационные меры защиты и разработка локальных актов минимизируют риски.
