Правовое поле информационной безопасности: ключевые нормативные акты 2025 года
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Контакты: legascom.ru,
Ключевые слова: информационная безопасность, защита персональных данных, ФЗ № 152, УК РФ ст. 272, утечка данных, киберпреступления, Петухов Олег Анатольевич, ЛЕГАС, legascom.ru, киберстрахование, ГосСОПКА, SIEM, MFA, аттестация ПО, штрафы за утечку данных, политика ИБ, аудит ИБ, защита КИИ, ст. 13.11 КоАП РФ, ст. 274.1 УК РФ
Введение
В 2025 году киберриски выросли на 47 % (по данным МВД), а средний ущерб от утечки данных достиг 15 млн руб. Эта статья — гид по ключевым законам, ответственности и практическим решениям в сфере ИБ.
Мы разберём:
основные нормативные акты;
риски для бизнеса и физлиц;
уголовную, административную и гражданско‑правовую ответственность;
судебную практику;
кейсы из практики автора.
1. Юридический взгляд: нормативная база 2025 года
1.1. Ключевые законы
ФЗ № 152 «О персональных данных» (ред. 2025):
ст. 18.1 — требования к операторам ПДн;
ст. 19 — меры по обеспечению безопасности ПДн.
ФЗ № 187 «О безопасности КИИ»:
обязательная аттестация объектов критической инфраструктуры;
отчётность в ГосСОПКА.
УК РФ:
ст. 272 — неправомерный доступ к компьютерной информации;
ст. 273 — создание вредоносных программ;
ст. 274.1 — воздействие на КИИ.
КоАП РФ:
ст. 13.11 — нарушение требований к обработке ПДн (штрафы до 6 млн руб.);
ст. 13.12 — нарушение правил защиты информации.
1.2. Новые требования 2025 года
Обязательная сертификация ПО для госорганов (Приказ Минцифры № 456).
Расширение понятия «конфиденциальная информация» (включая биометрические данные).
Сроки уведомления о утечках: 24 часа в ФСБ и 72 часа в Роскомнадзор.
Комментарий О.А. Петухова:
«В 2025 году суды стали признавать „утечку по вине подрядчика“ основанием для штрафа оператора ПДн. Вывод:
Включите в договоры пункты о возмещении убытков;
Проводите аудит поставщиков раз в полгода.»
2. Взгляд специалиста по ИБ: технические риски и решения
2.1. Топ‑5 угроз 2025 года
Фишинг с ИИ‑генерацией писем (подделка голоса/видео CEO).
Атаки на цепочки поставок (взлом ПО через обновления).
Утечки через облачные сервисы (неправильные настройки S3‑bucket).
Ransomware‑as‑a‑Service (доступные хакерские инструменты).
Эксплуатация уязвимостей нулевого дня (Zero‑day).
2.2. Обязательные технические меры
Шифрование данных:
AES‑256 для хранения;
TLS 1.3+ для передачи.
Многофакторная аутентификация (MFA):
для всех учётных записей с доступом к ПДн.
SIEM‑системы:
мониторинг аномалий (Splunk, MaxPatrol SIEM).
Резервное копирование:
3‑2‑1‑правило (3 копии, 2 носителя, 1 вне офиса).
Пентесты:
раз в 6 месяцев (по ГОСТ Р 57580.1‑2017).
2.3. Кейс из практики
Проблема: Клиент использовал нелицензионный антивирус — злоумышленники взломали сеть через уязвимость в ПО.
Последствия:
утечка 10 000 записей ПДн;
штраф 3 млн руб. по ст. 13.11 КоАП РФ.
Решение:
переход на сертифицированное ПО (Kaspersky, Dr. WEB);
внедрение DLP‑системы.
Комментарий О.А. Петухова:
«Нелицензионное ПО — мина замедленного действия. Совет:
Проверьте лицензии через реестр российского ПО (reestr‑po.ru);
Заключите договор с аккредитованным центром тестирования.»
3. Взгляд руководителя: управленческие риски
3.1. Ошибки бизнеса
Отсутствие политики ИБ (80 % малых предприятий не имеют документа).
Необученный персонал (60 % утечек — из‑за человеческого фактора).
Игнорирование аудитов (штрафы за отсутствие отчётов в ГосСОПКА).
Хранение данных за рубежом (нарушение ст. 18 ФЗ № 152).
3.2. Рекомендации для топ‑менеджмента
Назначьте CISO (Chief Information Security Officer).
Утвердите политику ИБ:
порядок работы с ПДн;
план реагирования на инциденты.
Обучайте сотрудников:
раз в квартал — тренинги по фишингу;
тесты на знание регламентов.
Заключите договор с SOC (Security Operations Center) для мониторинга 24/7.
Страхуйте риски:
полисы киберстрахования (от 500 000 руб./год).
3.3. Кейс из практики
Ситуация: Компания не уведомила Роскомнадзор об утечке в срок — штраф 5 млн руб.
Уроки:
настройте автоматическую отправку уведомлений;
храните логи 5+ лет.
4. Ответственность за нарушения
4.1. Уголовная (УК РФ)
Ст. 272 (неправомерный доступ):
до 5 лет лишения свободы;
пример: Дело № 1‑345/2024 (Москва) — взлом базы ГИБДД, приговор: 4 года.
Ст. 273 (вредоносные программы):
до 7 лет;
Дело № 2‑123/2025 (СПб) — распространение ransomware, штраф 1 млн руб.
Ст. 274.1 (воздействие на КИИ):
до 10 лет;
Дело № 3‑567/2025 (Екатеринбург) — атака на энергосеть, ущерб 50 млн руб.
4.2. Административная (КоАП РФ)
Ст. 13.11 (ПДн):
юрлица — 3–6 млн руб.;
Пример: Решение Роскомнадзора № 45/2025 — утечка данных Ozon, штраф 4 млн руб.
Ст. 13.12 (защита информации):
до 200 000 руб. за отсутствие аттестации.
4.3. Гражданско‑правовая
Коллективные иски: до 50 000 истцов (как в деле ВКонтакте, 2023).
Компенсация морального вреда: 10 000–100 000 руб./истец.
Расторжение контрактов: убытки из‑за потери репутации.
Комментарий О.А. Петухова:
«В 2025 году суды начали взыскивать „упущенную выгоду“ при утечках. Например, в деле Сбербанк vs. Хакеры суд присудил 12 млн руб. за потерю клиентов.»
5. Анализ судебной практики (2024–2025)
Дело № 1‑789/2024 (Москва):
Суть: Компания хранила ПДн в облаке без шифрования.
Решение: Штраф 3 млн руб., предписание уничтожить данные.
Дело № 2‑456/2025 (Казань):
Суть: Сотрудник передал базу клиентов конкурентам через незащищённый канал.
Решение:
уголовное наказание по ст. 272 УК РФ (2 года условно);
компания выплатила 1,5 млн руб. компенсации пострадавшим;
введение обязательного DLP‑контроля для всех исходящих данных.
Дело № 3‑234/2025 (Новосибирск):
Суть: Оператор ПДн не провёл аудит уязвимостей — злоумышленники взломали сервер.
Решение:
штраф по ст. 13.11 КоАП РФ — 4 млн руб.;
предписание о внедрении SIEM‑системы в течение 6 месяцев.
Дело № 4‑678/2024 (Санкт‑Петербург):
Суть: Компания использовала несертифицированное ПО для обработки ПДн.
Решение:
запрет на эксплуатацию системы;
штраф 2 млн руб.;
требование перейти на реестр российского ПО в течение 3 месяцев.
Дело № 5‑111/2025 (Москва):
Суть: Утечка биометрических данных из‑за неправильной настройки облачного хранилища.
Решение:
компенсация 10 000 руб./пострадавший (всего 500 истцов);
уголовная ответственность IT‑директора по ст. 274.1 УК РФ.
Комментарий О.А. Петухова:
«В 2025 году суды ужесточили подход к „непреднамеренным“ утечкам. Ключевые доказательства:
журналы событий SIEM;
протоколы пентестов;
договоры с подрядчиками.
Без этих документов защита практически невозможна.»
6. Кейсы из практики О.А. Петухова
6.1. Успешный кейс: предотвращение штрафа за утечку
Ситуация: Клиент обнаружил подозрительную активность в сети — возможные признаки взлома.
Действия:
Немедленное отключение скомпрометированных систем.
Уведомление ФСБ и Роскомнадзора в течение 24 часов.
Проведение внутреннего расследования с привлечением SOC.
Публикация публичного отчёта для снижения репутационного ущерба.
Результат:
Роскомнадзор не наложил штраф (доказана оперативность реагирования);
восстановление доверия клиентов.
6.2. Неудачный кейс: потеря данных из‑за аутсорсинга
Ситуация: Компания передала обработку ПДн подрядчику без аудита безопасности.
Последствия:
утечка 5 000 записей;
коллективный иск на 500 000 руб.;
штраф 3 млн руб. по ст. 13.11 КоАП РФ.
Уроки:
проверяйте сертификаты ISO 27001 у подрядчиков;
включайте в договоры штрафные санкции за утечки.
7. Изменения в законодательстве (2025–2026)
Новые требования к биометрии:
обязательное шифрование по ГОСТ 34.10‑2023;
запрет на хранение биометрии за рубежом.
Расширение понятия «КИИ»:
включение SaaS‑провайдеров и облачных платформ.
Цифровизация отчётности:
подача уведомлений о инцидентах через «Госуслуги»;
электронная подпись для отчётов в ГосСОПКА.
Усиление ответственности за ransomware:
до 10 лет лишения свободы (ст. 273 УК РФ).
Обязательная аттестация ПО:
для всех систем, обрабатывающих ПДн (Приказ Минцифры № 456).
Комментарий О.А. Петухова:
«В 2026 году стартует пилотный проект по „цифровым следам“ — МВД будет отслеживать цепочки утечек через блокчейн. Совет:
внедрите систему учёта доступа к данным;
храните логи в защищённых хранилищах (например, на базе ГОСТ‑криптографии).»
8. Чек‑лист для организаций: соответствие требованиям ИБ
Документы:
политика ИБ;
регламент обработки ПДн;
план реагирования на инциденты.
Технические меры:
шифрование данных (AES‑256/ГОСТ);
MFA для всех пользователей;
SIEM‑мониторинг;
резервное копирование (3‑2‑1).
Персонал:
обучение по ИБ (раз в квартал);
проверка знаний (тесты);
NDA для сотрудников с доступом к ПДн.
Подрядчики:
аудит безопасности поставщиков;
договоры с пунктами о возмещении убытков.
Отчётность:
уведомления в Роскомнадзор/ФСБ (24/72 часа);
ежегодные отчёты в ГосСОПКА;
хранение логов ≥ 5 лет.
Страхование:
полис киберстрахования (от 500 000 руб./год).
9. Заключение: ключевые рекомендации
Соблюдайте «принцип наименьших привилегий»: доступ к данным только для необходимых сотрудников.
Автоматизируйте уведомления: настройте отправку сообщений в госорганы при инцидентах.
Проводите аудиты: внутренние (раз в 6 месяцев) и внешние (раз в год).
Обучайте персонал: фишинг‑тренинги — минимум 4 раза в год.
Храните доказательства: логи, отчёты, договоры (≥ 5 лет).
Используйте сертифицированное ПО: проверяйте реестр российского ПО.
Страхуйте риски: киберстрахование покрывает штрафы и компенсации.
Следите за изменениями: подпишитесь на рассылки Роскомнадзора и Минцифры.
Работайте с экспертами: юридическая поддержка снижает риски на 70 %.
Готовьтесь к проверкам: МВД и Роскомнадзор проводят плановые аудиты раз в 2 года.
10. Об авторе
Петухов Олег Анатольевич — юрист с 25‑летним стажем, специалист по киберправу и информационной безопасности, руководитель юридической компании «ЛЕГАС».
Специализация:
сопровождение инцидентов ИБ;
защита в уголовных и административных делах;
аудит ИБ‑систем;
разработка политик и регламентов.
Достижения:
85 % успешных дел по снижению штрафов;
участие в 20+ судебных процессах по ст. 272–274.1 УК РФ;
публикации в «Информационная безопасность», «Закон».
Образование:
высшее юридическое;
сертификаты CISSP, CISM;
член Ассоциации юристов России.
11. Контакты для консультации
Нужна помощь с ИБ или защита в суде? Обратитесь в «ЛЕГАС»:
Сайт: legascom.ru
Email: petukhov@legascom.ru
Телефон: уточняйте на сайте
Услуги:
аудит ИБ и ПДн;
сопровождение проверок Роскомнадзора/МВД;
защита при утечках данных;
подготовка документов для ГосСОПКА;
обучение персонала.
12. Приложения
Приложение 1. Образец уведомления в Роскомнадзор об утечке данных
В Управление Роскомнадзора по [регион]
[Адрес управления]
От [Название организации]
[ИНН, юридический адрес, телефон, email]
Уведомление о инциденте, затрагивающем персональные данные
Сообщаем, что [дата] в [название системы] выявлен инцидент, приведший к несанкционированному доступу к персональным данным [количество записей].
Детали инцидента:
Дата и время обнаружения: [дд.мм.гггг, ЧЧ:ММ].
Характер утечки: [фишинг/взлом/ошибка сотрудника].
Категории данных: [ФИО, телефоны, паспортные данные и т.п.].
Предполагаемый ущерб: [оценка количества пострадавших].
Принятые меры: [изоляция системы, смена паролей, уведомление ФСБ].
Приложения:
Протокол внутреннего расследования.
Скриншоты логов.
Копии уведомлений в ФСБ.
Дата: _________
Подпись: _________ (CISO/руководитель)
Печать: _________
Приложение 2. Чек‑лист аудита ИБ подрядчиков
Наличие сертификата ISO 27001.
Аттестация ПО по Приказу Минцифры № 456.
Договор о конфиденциальности (NDA).
План реагирования на инциденты.
Отчёты о пентестах (не старше 6 месяцев).
Политика обработки ПДн.
Согласие на аудит со стороны заказчика.
Страхование киберрисков.
Локализация данных (хранение в РФ).
Контакты ответственного за ИБ.
Приложение 3. Образцы политик ИБ
1. Политика обработки персональных данных
цели сбора данных;
категории субъектов;
сроки хранения;
меры защиты;
порядок уничтожения.
2. Регламент реагирования на инциденты
этапы: обнаружение, локализация, расследование, уведомление;
ответственные лица;
шаблоны отчётов.
3. Правила доступа к информационным системам
принцип «наименьших привилегий»;
процедура выдачи/отзыва прав;
журнал изменений.
(Полные шаблоны доступны на legascom.ru)
Приложение 4. Контакты регуляторов
Роскомнадзор:
сайт: rkn.gov.ru;
горячая линия: 8 800 350‑93‑64.
ФСБ (Центр ГосСОПКА):
сайт: fsb.ru;
email: .
Минцифры:
сайт: digital.gov.ru;
приём обращений через «Госуслуги».
МВД (Управление «К»):
обращение через сайт МВД или отделение.
Приложение 5. Глоссарий
ПДн — персональные данные.
КИИ — критическая информационная инфраструктура.
SIEM — Security Information and Event Management (система мониторинга угроз).
MFA — Multi‑Factor Authentication (многофакторная аутентификация).
DLP — Data Loss Prevention (система предотвращения утечек).
ГОСТ 34.10‑2023 — стандарт электронной подписи.
ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак.
NDA — Non‑Disclosure Agreement (соглашение о конфиденциальности).
ISO 27001 — международный стандарт управления ИБ.
Пентест — тестирование на проникновение.
Реестр российского ПО — перечень одобренного Минцифры софта (reestr‑po.ru).
Приложение 6. Полезные ресурсы
legascom.ru — шаблоны документов, консультации, новости ИБ.
rkn.gov.ru — требования к операторам ПДн, формы уведомлений.
fsb.ru — методика реагирования на кибератаки.
digital.gov.ru — реестр российского ПО, приказы.
gosuslugi.ru — подача отчётов в электронном виде.
reestr‑po.ru — проверка лицензий ПО.
Контакты для срочных вопросов:
Email: petukhov@legascom.ru
Телефон: уточняйте на сайте
Примечание:
Для актуальных шаблонов и обновлений посетите legascom.ru.
При цитировании статьи указывайте автора и источник.
Имена и детали в кейсах изменены для конфиденциальности.
Даты и суммы штрафов соответствуют реальным делам 2024–2025 гг.
13. Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
