Закон ужесточен: за нарушения в защите информации теперь придется платить больше

23 мая 2025 года вступил в силу федеральный закон № 104-ФЗ, который повышает административную ответственность за нарушение установленных требований к защите информации. Изменения затронули статью 13.12 КоАП РФ — и теперь штрафы увеличены от 2,5 до 25 раз. Особенно ощутимыми они станут для организаций, которые до сих пор работают с несертифицированными средствами защиты информации (СЗИ) или нарушают базовые требования регуляторов.

Какие штрафы?

Максимальный штраф может составить до 100 тысяч рублей за факт нарушения, причем в ряде случаев применяется конфискация несертифицированных СЗИ. Однако если нарушения носят системный характер или выявлены в разное время, возможна квалификация по нескольким статьям КоАП или повторное назначение штрафа.

Также изменился срок давности привлечения к ответственности — теперь он увеличен с 60 дней до одного года. Это означает, что организации могут быть оштрафованы даже за нарушения, выявленные спустя несколько месяцев после их совершения. Такой шаг со стороны государства выглядит логичным, по данным ФСТЭК России, более 73% нарушений, выявленных в ходе проверок с 2022 по 2024 годы, связаны с отсутствием технических мер защиты или критическими недоработками в существующих ИБ-системах. Более того, 40% обследованных информационных систем содержат уязвимости, которые могут быть использованы злоумышленниками с минимальными техническими навыками. Наличие таких слабых мест в госсекторе давно вызывает беспокойство у регуляторов, особенно на фоне роста количества инцидентов с несанкционированным доступом к данным в условиях текущей геополитической обстановки.

На кого направлено?

Поправки распространяются на все организации, осуществляющие обработку конфиденциальной информации - то есть сведений, доступ к которым ограничен федеральным законодательством. Изменения затрагивают различные сферы, от государственных информационных систем до коммерческих организаций, обрабатывающих персональные данные или эксплуатирующих объекты критической информационной инфраструктуры (КИИ). Любое применение СЗИ, подлежащих обязательной сертификации, требует не только технического соответствия, но и корректного документального сопровождения. Если в организации нет понимания, какие системы подпадают под регулирование, как оформлены модели угроз, а техническая документация не актуализировались годами — это уже повод для риска.

Как подготовиться?

«Для минимизации последствий мы рекомендуем организациям в ближайшее время провести инвентаризацию используемых информационных систем и средств защиты, проанализировать соблюдение требований законодательства и актуализировать всю техническую и организационную документацию. Как показывает практика, наибольшую опасность представляют "слепые зоны" в системах защиты - незадокументированные или неучтенные элементы инфраструктуры, которые формально выпадают из зоны контроля службы ИБ, но при этом обрабатывают критически важные данные. А также систематический разрыв между документально закрепленными процедурами и реальной практикой их применения, когда формальное наличие сертифицированных решений не гарантирует их фактического использования в рабочих процессах», — объяснила Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.

Команда iTPROTECT помогает заказчикам пройти этот путь без стресса и формализма. В частности, проводим проверку используемых СЗИ и документации (например, технические паспорта, сертификаты, формуляры и пр.), выдаем рекомендации по изменениям, подбираем недостающие или требующие замены решения, которые не только соответствуют требованиям ФСТЭК и ФСБ России, но и по-настоящему работают на безопасность. Новые штрафы — это сигнал, что регуляторы перешли от рекомендаций к действиям. И если вы до сих пор не уверены в состоянии своих ИБ-систем, сейчас самое время заняться этим предметно.

Если нужна консультация или хотите обсудить, как адаптироваться к новым требованиям — напишите нам, мы готовы помочь.