Как наказать сотрудника за нарушение кибербезопасности

Ответственность за нарушение закона о персональных данных

Лицам, нарушившим требования Закона № 152-ФЗ, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная.

Предупреждение или административный штраф:

• для граждан в размере от 100 до 300 руб.;
• для должностных лиц – от 300 до 500 руб.;
• для юрлиц – от 3000 до 5000 руб.

• для граждан – в размере от 2000 до 6000 руб.;
• для должностных лиц – от 10 тыс. до 20 тыс. руб.;
• для юрлиц — от 60 тыс. до 100 тыс. руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 4000 до 12 000 руб.;
• для должностных лиц – от 20 тыс. до 50 тыс1 руб.;
• для ИП – от 50 тыс. до 100 тыс. руб.;
• для юрлиц – от 100 тыс. до 300 тыс. руб.

• для граждан в размере от 6000 до 10 000 руб.;
• для должностных лиц – от 20 тыс. до 40 тыс. руб.;
• для юрлиц – от 30 тыс. до 150 тыс. руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 10 тыс. до 20 тыс. руб.;
• для должностных лиц – от 40 тыс. до 100 тыс. руб.;
• для ИП – от 100 тыс. до 300 тыс. руб.;
• для юрлиц – от 300 тыс. до 500 тыс. руб.

• для граждан в размере от 1500 до 3000 руб.;
• для должностных лиц – от 6000 до 12 000 руб.;
• для ИП – от 10 тыс. до 20 тыс. руб.;
• для юрлиц – от 30 тыс. до 60 тыс. руб.

• для граждан – в размере от 2000 до 4000 руб.;
• для должностных лиц – от 8000 до 12 000 руб.;
• для ИП – от 20 тыс. до 30 тыс. руб.;
• для юрлиц – от 40 тыс. до 80 тыс. руб.

• для граждан в размере от 2000 до 4000 руб.;
• для должностных лиц – от 8000 до 20 000 руб.;
• для ИП – от 20 тыс. до 40 тыс. руб.;
• для юрлиц – от 50 тыс. до 90 тыс. руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 20 тыс. до 30 тыс. руб.;
• для должностных лиц – от 30 тыс. до 50 тыс. руб.;
• для ИП – от 50 тыс. до 100 тыс. руб.;
• для юрлиц – от 300 тыс. до 500 тыс. руб.

• для граждан в размере от 1500 до 4000 руб.;
• для должностных лиц – от 8000 до 20 000 руб.;
• для ИП – от 20 тыс. до 40 тыс. руб.;
• для юрлиц – от 50 тыс. до 100 тыс. руб.

Административный штраф для должностных лиц в размере от 6000 до 12 000 руб.

• для граждан в размере от 30 тыс. до 50 тыс. руб.;
• для должностных лиц – от 100 тыс. до 200 тыс. руб.;
• для юрлиц – от 1 млн до 6 млн руб.

За повторное совершение данного административного правонарушения, административный штраф:

• для граждан в размере от 50 тыс. до 100 тыс. руб.;
• для должностных лиц – от 500 тыс. до 800 тыс. руб.;
• для юрлиц – от 6 млн до 18 млн руб.

• Нарушение правил защиты информации (Статья 13.12 КоАП РФ);
• Незаконная деятельность в области защиты информации (Статья 13.13 КоАП РФ);
• Разглашение информации с ограниченным доступом (Статья 13.14 КоАП РФ).

• Незаконное использование документов для образования (создания, реорганизации) юридического лица (Статья 173.2 УК РФ);
• Разглашение тайны усыновления (удочерения) (Статья 155 УК РФ);
• Нарушение неприкосновенности частной жизни (Статья 137 УК РФ).

Последняя актуализация: 23 июня 2023 г.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2023. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС» (ИНН 7718013048, ОГРН 1027700495745). Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.

Разработчик ЭПС Система ГАРАНТ – ООО «НПП «Гарант-Сервис-Университет»

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Как наказать сотрудника за нарушение кибербезопасности

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

1.1 — 1.2. Утратили силу. — Федеральный закон от 29.12.2022 N 572-ФЗ.

(см. текст в предыдущей редакции)

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

4. Провайдер хостинга, оператор связи и владелец сайта в сети «Интернет» не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона.

(часть 4 введена Федеральным законом от 02.07.2013 N 187-ФЗ; в ред. Федерального закона от 24.11.2014 N 364-ФЗ)

(см. текст в предыдущей редакции)

5. Лица, права и законные интересы которых были нарушены владельцем социальной сети в результате неисполнения им требований, установленных в статье 10.6 настоящего Федерального закона, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Что поможет компании защититься от кибератак

У любой компании есть персональные данные, секреты производства, деньги. Чтобы их получить, хакеры используют кибератаки. Самый простой способ «взломать» организацию — через аккаунты и устройства работников.

• Письма-ловушки. 80% от всех кибератак. Отправляют письмо, которое может заинтересовать сотрудника. В нем ссылка на сайт, где крадут данные, или вредоносный файл.
• Бесплатные ресурсы. Работник устанавливает программы с интернета или скачивает игры и фильмы, а вместе с ними вирусы.
• Публичный вайфай. Взламывают Wi-Fi в магазинах, отелях. Сотрудник подключается к сети. Злоумышленник копирует всю информацию.
• «Потерянные» носители. В коворкинге, офисе оставляют флешку. Сотрудник находит и вставляет в компьютер. Под заманчивым названием скрывается файл с вредоносным ПО.

Рабочий стол взломанного ПК. В файлах README. txt — сумма выкупа и номер кошелька взломщика. Нет гарантии, что после оплаты данные расшифруют

При утечке данных страдают репутация, бизнес-процессы и добавляется штраф до 500 000 ₽. В среднем от кибератаки малый бизнес теряет — 2 000 000 ₽, крупный — 50 000 000 ₽. Часть компаний не может восполнить ущерб и закрывается.

Обучаем сотрудников навыкам кибербезопасности

Сотрудников обязаны обучать компании, которые работают в стратегически важных областях, например, в науке, транспорте, связи. Для остальных это дело выбора. Но дешевле защититься от будущих атак, а не бороться с последствиями.

С чего начать

Руководитель выделяет бюджет, назначает ответственных и группы для занятий. Обучают всех сотрудников, которые имеют доступ к компьютерам и конфиденциальной информации. Если средств мало, защищают топ-менеджмент, финансистов, IT-службу.

Взять на себя обучение могут специалисты из айти или ИБ отделов, а также кадровики. В маленьких компаниях — системный администратор или любой человек, который разбирается в компьютерах.

Чему учить

Сотрудники должны понимать, какие данные закрытые и как с ними обращаться. Они изучают «Политику по информационной безопасности». В ней прописано, что для компании является конфиденциальной информацией: это могут быть научные разработки, списки поставщиков, персональные данные. В документе указана ответственность за их разглашение.
«Политику ИБ» дополняют положения и пошаговые инструкции, например, по работе в компьютерной сети компании. С частью документов сотрудники знакомятся под подпись.
Чтобы предотвратить взломы, нужно знать каналы утечки информации и порядок действий при угрозах. Дополнительный материал зависит от группы учеников.

Программа обучения от StopPhish. Есть уроки для всех и для отдельных специалистов

Как заниматься

Для уроков покупают онлайн-курсы, которые работают на сервере компании или в облаке. Занятия проводят не реже 2 раз в месяц, по 10–15 минут. План уроков настраивают с помощью обучающей платформы.

Сотрудники смотрят слайды, проходят тесты и отражают учебные атаки. Большую часть времени занимает практика, приближенная к реальной жизни. Например, ученикам рассылают письма-ловушки. Результаты видны в отчетах.

Пример учебной атаки от компании StopPhish. В письме — неправильный адрес отправителя и поддельная ссылка. 99,5 % сотрудников перешли по ней, 12% — оставили рабочий логин и пароль.

«Двоечникам» назначают повторение материала. Уже через пару недель в 2–6 раз снижается количество сотрудников, которые попадаются на учебные атаки. Весь курс занимает от двух недель до квартала. Чтобы закрепить навыки, нужны ежемесячные проверки и напоминания в течение года, иначе правила ИБ забывают.

Сколько стоят курсы

Цена зависит от количества учеников и услуг. В расширенный тариф могут входить доработка программы под риски компании и требования проверяющих органов, большее количество учебных атак, руководство обучением.
У многих поставщиков нет единого прайса. Они рассчитывают стоимость тарифа индивидуально для каждой компании. Для примера цен рассмотрим несколько программ из реестра отечественного ПО.

Перечисленные курсы по обучению навыкам кибербезопасности — с доступными ценами. Кроме этих поставщиков, основными можно считать Phishman и «Лабораторию Касперского», но они по карману только крупным компаниям.

Как сэкономить

Обучайте сотрудников, у которых больший доступ к данным. Берите базовый тариф и уточняйте условия. Некоторые компании делают скидки, если часть услуг не нужна. Используйте бесплатные программы.

Как убедить сотрудников соблюдать правила

Часто работники забывают правила ИБ или игнорируют их. Исправить поведение помогут несколько шагов.

Начните с руководства

Недостаточно поддерживать проект на словах. Всем руководителям от высшего до линейного уровня нужно обучаться и соблюдать правила ИБ.

Упрощайте

Правила соблюдают, когда они понятны. Документы по ИБ — не методички на сто страниц. Сотруднику дают короткие инструкции и объясняют содержание. Требования не должны быть избыточными. Например, не стоит менять пароли каждую неделю, если достаточно одного раза в месяц. Удобно, когда правила не нужно где-то искать: подойдут памятки на рабочем месте, плакаты.

Используйте кнут и пряник

Поощрения более эффективны, но полностью отказаться от наказаний нельзя, поскольку речь идет о рисках для бизнеса. Еще при подписании документов сотрудник понимает, что за нарушение ждет штраф и другие меры.

Награды применяют чаще. Это премии, сертификаты на продукцию компании и почетные звания. Чтобы выбрать вариант, нужно знать мотивацию сотрудника. Для кого-то похвала от значимых лиц важнее денег. При вручении учитывают результаты учебы, соблюдение инструкций и помощь в выявлении угроз.

Укрепляйте доверие

Главный результат обучения — умение определять опасные письма и прочие виды кибератак и сообщать о них в отдел ИБ. Бывает, сотрудники умалчивают об инцидентах, так как боятся наказаний.

Ответственность за нарушения работы с персональными данными в 2023 году

Антон Артемов

• Что изменилось в 2023 г.
• За что предусмотрена ответственность
• Штрафы за нарушения
• Коротко

Что изменилось в 2023 г.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

Оцените все возможности онлайн-бухгалтерии бесплатно

За что предусмотрена ответственность

Чаще всего штрафуют за:

• незаконную обработку данных;
• разглашение данных;
• нарушение правил обработки;
• передачу данных без разрешения или с нарушениями;
• недостаточную защиту информации;
• невыполнение требований РКН;
• другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

• На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
• На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
• На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
• На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
• На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
• компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

• должностное лицо — 20 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
• компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

• должностное лицо — 40 000 ₽ – 100 000 ₽;
• ИП — 100 000 ₽ – 300 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

• должностное лицо — 6000 ₽ – 12 000 ₽;
• ИП — 10 000 ₽ – 20 000 ₽;
• компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

• должностное лицо — 8000₽ – 12 000 ₽;
• ИП — 20 000 ₽ – 30 000 ₽;
• компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

• должностное лицо — 8 000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

• должностное лицо — 30 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

• должностное лицо — 8000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

• должностное лицо — 100 000 ₽ – 200 000 ₽.;
• компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

• должностное лицо — 500 000 ₽ – 800 000 ₽;
• компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

• должностное лицо или ИП — 300 ₽ – 500 ₽;
• компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 2000 ₽ – 4000 ₽;
• компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 5000₽ – 10 000 ₽;
• компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
• компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

• должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
• компания — 10 000 ₽ – 20 000 ₽.

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Коротко

С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.

РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.

Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.

Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.

За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на 23.06.2023

Масочный режим в 2022 году: как предпринимателю избежать штрафа

Мораторий на проверки бизнеса продлили на 2023 год

Новые правила проверок по правам потребителей

Рассылка для бизнеса

Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компании СКБ Контур