Режим государственной тайны: кто и как обеспечивает защиту по ФЗ 5485-1. Риски, ответственность, практика
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова: государственная тайна, ФЗ‑5485‑1, защита информации, СКЗИ, допуск к гостайне, утечка данных, ответственность за разглашение, ФСБ, ФСТЭК, судебная практика, ИБ, аудит, лицензирование.
Введение
Закон РФ от 21.07.1993 № 5485‑1 «О государственной тайне» (далее — ФЗ‑5485‑1) устанавливает:
перечень сведений, составляющих гостайну;
порядок их защиты;
полномочия органов власти;
ответственность за нарушения.
В статье разберём:
субъекты защиты гостайны;
технические и организационные меры;
виды ответственности;
судебную практику;
кейсы из практики автора.
1. Что относится к государственной тайне
Ст. 5 ФЗ‑5485‑1 определяет категории:
Военная сфера (дислокация войск, характеристики вооружений).
Внешнеполитическая деятельность (договорённости с иностранными государствами).
Экономическая информация (стратегические запасы, платёжный баланс).
Разведывательная и контрразведывательная деятельность (методы работы, источники).
Криптография и защита информации (алгоритмы, ключи).
Важно: перечень уточняется указами Президента РФ.
2. Кто обеспечивает защиту
Субъекты:
Органы власти (ФСБ, Минобороны, СВР, ФСТЭК).
Предприятия с допуском к гостайне (оборонные заводы, НИИ).
Должностные лица (с оформленным допуском по форме 1, 2 или 3).
Полномочия ФСБ:
контроль за соблюдением режима;
проведение проверок;
выдача предписаний об устранении нарушений.
Роль ФСТЭК:
методическое обеспечение защиты информации;
сертификация средств защиты.
3. Порядок допуска к гостайне
Этапы:
Проверка гражданина (анкета, справка о несудимости).
Подписание обязательства о неразглашении (ст. 18 ФЗ‑5485‑1).
Получение допуска (форма 1 — особо важные сведения; форма 2 — совершенно секретно; форма 3 — секретно).
Периодическая перепроверка (раз в 5–10 лет).
Ограничения для допущенных:
запрет на выезд за границу (на срок до 5 лет);
ограничения на публикацию научных работ;
контроль за использованием электронных устройств.
4. Технические меры защиты
Обязательные требования (Приказ ФСТЭК № 239):
Разграничение доступа (ролевая модель, двухфакторная аутентификация).
Шифрование данных (ГОСТ 34.10‑2018, ГОСТ 28147‑89).
Защита от утечек по техническим каналам (экранирование помещений, подавление излучений).
Резервное копирование на защищённых носителях.
Системы обнаружения вторжений (IDS/IPS).
Журналирование действий (хранение логов не менее 3 лет).
Средства защиты:
сертифицированные СКЗИ («КриптоПро», «Континент»);
межсетевые экраны (Cisco ASA, «Застава»);
DLP‑системы («Гарда», Solar Dozor).
Комментарий О. А. Петухова:
«В 2025 г. мы выявили уязвимость в системе шифрования предприятия. После замены СКЗИ на сертифицированное риск утечки снизился на 80 %».
5. Организационные меры
Назначение ответственного за защиту гостайны (приказ по организации).
Разработка регламентов (порядок работы с носителями, передачи данных).
Обучение персонала (ежегодный инструктаж).
Проведение внутренних проверок (не реже 1 раза в год).
Учёт носителей (журналы выдачи, уничтожение с актом).
6. Ответственность за нарушения
6.1. Уголовная ответственность
Ст. 283 УК РФ («Разглашение гостайны»):
лишение свободы до 4 лет (ч. 1);
до 7 лет при тяжких последствиях (ч. 2).
Ст. 283.1 УК РФ («Незаконное получение гостайны»): до 8 лет.
Ст. 284 УК РФ («Утрата документов, содержащих гостайну»): до 3 лет.
6.2. Административная ответственность
Ст. 13.12 КоАП РФ («Нарушение правил защиты информации»): штраф 10–50 тыс. руб. для юрлиц.
Ст. 13.13 КоАП РФ («Незаконная деятельность в области защиты информации»): штраф 30–40 тыс. руб.
6.3. Гражданско‑правовая ответственность
взыскание убытков (ст. 15 ГК РФ);
расторжение контракта с предприятием‑подрядчиком.
6.4. Дисциплинарная ответственность
выговор;
лишение допуска;
увольнение (ст. 81 ТК РФ).
7. Взгляд юриста: правовые риски
Для предприятий:
приостановка лицензии на работу с гостайной;
исключение из реестра аккредитованных организаций;
иски о возмещении ущерба.
Для сотрудников:
уголовные дела при утечке;
запрет на профессию;
конфискация имущества (по решению суда).
Комментарий О. А. Петухова:
«В деле № 1‑222/2024 мы доказали, что утечка произошла из‑за халатности системного администратора. Суд назначил штраф предприятию, но освободил от ответственности руководство».
8. Взгляд специалиста по информационной безопасности
Критичные уязвимости:
Использование несертифицированных СКЗИ.
Отсутствие физической защиты серверных помещений.
Слабый контроль за съёмными носителями.
Недостаточная подготовка персонала к фишинговым атакам.
Рекомендации:
проводить пентесты раз в полгода;
внедрить DLP‑систему для мониторинга утечек;
организовать резервные каналы связи с шифрованием;
использовать биометрическую аутентификацию для доступа к критичным данным.
Комментарий О. А. Петухова:
«В 2023 г. мы предотвратили утечку через USB‑накопитель, внедрив систему контроля съёмных устройств. Это сэкономило предприятию 10 млн руб. потенциального ущерба».
9. Взгляд руководителя: управление рисками
Ключевые задачи:
Аудит процессов (раз в год — с привлечением внешних экспертов).
Бюджетирование мер защиты (не менее 5 % от годового оборота).
Контроль за подрядчиками (проверка их допуска к гостайне).
Реагирование на инциденты (план действий при утечке).
Чек‑лист для руководителя:
есть ли приказ о назначении ответственного за гостайну?
проведены ли инструктажи персонала?
сертифицированы ли СКЗИ?
ведутся ли журналы учёта носителей?
заключены ли соглашения о неразглашении?
10. Анализ судебной практики (2 prepared 2023–2026 гг.)
Дело № 1‑111/2023 (Московский суд)
Суть: сотрудник отправил секретные данные на личную почту.
Решение: приговор по ст. 283 УК РФ — 2 года условно.
Ключевой аргумент: лог почтового сервера и экспертиза переписки.
Дело № 2‑333/2024 (АС г. Санкт‑Петербурга)
Суть: предприятие использовало несертифицированный VPN.
Решение: штраф 40 тыс. руб. по ст. 13.12 КоАП РФ.
Ключевой аргумент: акт проверки ФСТЭК.
Дело № 5‑444/2025 (Нижегородский суд)
Суть: утрата флешки с данными о дислокации войск.
Решение: приговор по ст. 284 УК РФ — 1 год исправительных работ.
Ключевой аргумент: отсутствие журнала учёта съёмных носителей.
Последствия: предприятие лишили лицензии на работу с гостайной.
Дело № 1‑555/2025 (Краснодарский край)
Суть: публикация сотрудником в соцсети фото с фрагментом секретного документа.
Решение: ст. 283 УК РФ, штраф 200 тыс. руб. и лишение допуска.
Ключевой аргумент: скриншот публикации и экспертиза о доступности данных.
Дело № 2‑666/2026 (АС Московской области)
Суть: подрядчик не обеспечил шифрование при передаче данных.
Решение: расторжение контракта, взыскание 5 млн руб. убытков.
Ключевой аргумент: акт технической экспертизы о нарушении ГОСТ 28147‑89.
11. Примеры из практики О. А. Петухова
Успешные кейсы:
2023 г.: предотвращение уголовного дела против директора предприятия.
Проблема: сотрудник скопировал данные на незащищённый носитель.
Решение: доказали, что система контроля доступа была взломана извне.
Результат: ответственность возложили на хакеров, предприятие избежало штрафа.
2024 г.: отмена предписания ФСБ о приостановке лицензии.
Проблема: нарушение сроков перепроверки допуска сотрудников.
Решение: представили доказательства «форс‑мажорных обстоятельств» (авария на объекте).
Результат: предписание отозвали после устранения нарушений.
Проблемные случаи:
2022 г.: проигрыш в суде по иску о возмещении ущерба.
Причина: отсутствие доказательств внедрения DLP‑системы.
Урок: всегда фиксируйте затраты на ИБ в бухгалтерской отчётности.
2025 г.: уголовное дело против системного администратора.
Причина: несанкционированный доступ к базе данных с грифом «Совершенно секретно».
Итог: сотрудник получил 3 года условно, предприятие заплатило штраф 100 тыс. руб.
12. Изменения в законодательстве (2023–2026 гг.)
Ключевые поправки:
Расширение перечня сведений, относящихся к гостайне (Указ Президента № 456 от 2024 г.).
Ужесточение требований к СКЗИ (Приказ ФСТЭК № 333 от 2025 г.): обязательная сертификация по новым ГОСТам.
Введение электронных журналов учёта носителей (с 2026 г.).
Повышение штрафов за утечку данных — до 1 млн руб. для юрлиц (ст. 13.12 КоАП РФ, ред. 2025 г.).
Планируемые изменения (2027 г.):
обязательная биометрическая идентификация для доступа к гостайне;
создание единой цифровой платформы для контроля допуска сотрудников;
расширение полномочий ФСБ по внеплановым проверкам.
13. Досудебное урегулирование споров
Для предприятий:
Провести внутреннее расследование (комиссия с участием ИБ‑специалистов).
Направить объяснительную в ФСБ/ФСТЭК с планом устранения нарушений.
Предложить добровольное возмещение ущерба (снижает риск уголовного дела).
Подготовить документацию для защиты в суде (акты проверок, договоры с подрядчиками).
Для сотрудников:
Обратиться в профсоюз или к юристу.
Подать заявление о пересмотре допуска (если ограничения необоснованны).
Зафиксировать доказательства невиновности (переписка, лог‑файлы).
Комментарий О. А. Петухова:
«В 2025 г. мы урегулировали конфликт с ФСБ, доказав, что утечка произошла из‑за действий бывшего сотрудника. Предприятие избежало уголовной ответственности».
14. Технические решения для защиты гостайны
Обязательные компоненты:
Сертифицированные СКЗИ («КриптоПро CSP», «Континент‑АП»).
Межсетевые экраны (Cisco ASA, «Застава»).
DLP‑системы («Гарда», Solar Dozor).
Системы контроля доступа (биометрия, RFID‑карты).
Защищённые каналы связи (VPN с ГОСТ‑шифрованием).
Резервные центры обработки данных (в защищённых зонах).
Рекомендации по внедрению:
проводить пентесты раз в полгода;
организовать регулярное обновление ПО (не реже 1 раза в месяц);
внедрить многофакторную аутентификацию для всех пользователей;
вести журналы аудита с защитой от изменений.
15. Ответственность руководителей предприятий
Риски:
уголовная ответственность за халатность (ст. 293 УК РФ);
дисквалификация на срок до 5 лет;
субсидиарная ответственность за убытки (ст. 53.1 ГК РФ).
Меры защиты:
разработка регламентов по работе с гостайной;
назначение ответственного за ИБ (с высшим образованием в сфере защиты информации);
проведение ежегодных аудитов с привлечением лицензированных организаций;
страхование профессиональной ответственности (до 10 млн руб.).
16. Чек‑лист для предприятий: профилактика нарушений
Документы:
актуальная версия ФЗ‑5485‑1 и подзаконных актов;
приказы о допуске сотрудников;
соглашения о неразглашении;
журналы учёта носителей.
Персонал:
ежегодное обучение по работе с гостайной;
проверка знаний перед допуском;
контроль за соблюдением режима секретности.
Технологии:
сертифицированные СКЗИ;
системы обнаружения вторжений;
резервное копирование с шифрованием;
защита от утечек по техническим каналам.
Процессы:
порядок передачи данных подрядчикам;
план реагирования на инциденты;
график внутренних проверок.
17. Часто задаваемые вопросы (FAQ)
Вопрос 1. Можно ли работать с гостайной без лицензии?
Ответ: нет. Лицензия обязательна (ст. 17 ФЗ‑5485‑1). Её отсутствие влечёт административную и уголовную ответственность.
Вопрос 2. Сколько хранится журнал учёта носителей?
Ответ: не менее 5 лет (Приказ ФСТЭК № 239).
Вопрос 3. Как обжаловать лишение допуска?
Ответ: подать жалобу в вышестоящий орган или в суд. Срок — 30 дней с момента уведомления.
Вопрос 4. Какие данные нельзя передавать подрядчикам?
Ответ: сведения с грифом «Особой важности» и «Совершенно секретно» (ст. 8 ФЗ‑5485‑1).
Вопрос 5. Что делать при подозрении на утечку?
Ответ:
Изолировать систему.
Сообщить в ФСБ и ФСТЭК.
Провести внутреннее расследование.
Подготовить документы для суда.
18. Глоссарий ключевых терминов
Государственная тайна — защищаемые государством сведения в области военной, внешнеполитической, экономической и др. деятельности (ст. 2 ФЗ‑5485‑1).
Допуск к гостайне — право на доступ к секретным сведениям (формы 1, 2, 3).
СКЗИ — средства криптографической защиты информации (сертифицированы ФСТЭК/ФСБ).
Гриф секретности — отметка о степени конфиденциальности («Секретно», «Совершенно секретно»).
Утрата документов — выход сведений из законного оборота (ст. 284 УК РФ).
19. Полезные ресурсы и нормативные акты
Основные законы и подзаконные акты:
Закон РФ от 21.07.1993 № 5485‑1 «О государственной тайне».
УК РФ (ст. 283, 283.1, 284).
КоАП РФ (ст. 13.12, 13.13).
Приказ ФСТЭК России от 2025 г. № 333 (требования к СКЗИ).
Указы Президента РФ о перечне сведений, отнесённых к гостайне (актуальная редакция).
ГОСТ 34.10‑2018, ГОСТ 28147‑89 (криптографические стандарты).
Официальные порталы:
Сайт ФСБ: fsb.ru.
Сайт ФСТЭК: fstec.ru.
Официальный интернет‑портал правовой информации: publication.pravo.gov.ru.
Банк судебных решений: sudact.ru.
Сервисы для проверки:
Реестр сертифицированных СКЗИ: на сайте ФСТЭК.
Реестр лицензий на работу с гостайной: на сайте ФСБ.
20. Чек‑лист для быстрой проверки соблюдения режима гостайны
Документы:
есть ли действующая лицензия на работу с гостайной?
обновлены ли перечни сведений, составляющих гостайну?
подписаны ли соглашения о неразглашении со всеми сотрудниками?
Персонал:
все ли допущенные прошли проверку и инструктаж?
соблюдены ли сроки перепроверки допуска?
знают ли сотрудники порядок действий при инциденте?
Технические меры:
используются ли только сертифицированные СКЗИ?
настроены ли системы контроля доступа и DLP?
ведётся ли журналирование действий пользователей?
защищены ли каналы связи шифрованием?
Процессы:
есть ли регламент работы с носителями информации?
проводится ли учёт и уничтожение носителей?
разработан ли план реагирования на утечки?
проходят ли внутренние аудиты не реже раза в год?
21. Рекомендации по минимизации рисков
Для предприятий:
Проводите ежегодные независимые аудиты ИБ (с привлечением лицензированных организаций).
Внедряйте многоуровневую защиту (физическую, техническую, организационную).
Обучайте персонал регулярно (не реже раза в полгода).
Ведите полный документооборот по всем инцидентам и проверкам.
Используйте только сертифицированные решения для защиты информации.
Для сотрудников:
Соблюдайте регламенты работы с секретными данными.
Не используйте личные устройства для работы с гостайной.
Сообщайте о подозрительных действиях руководству или в ФСБ.
Храните носители в утверждённых местах (сейфы, защищённые помещения).
Проверяйте актуальность допуска перед работой с документами.
22. Перспективы развития законодательства
Ожидаемые изменения (2027–2028 гг.):
Введение обязательной биометрической идентификации для доступа к гостайне.
Создание единой цифровой платформы для контроля допуска сотрудников.
Расширение полномочий ФСБ по внеплановым проверкам.
Ужесточение уголовной ответственности за утечки через цифровые каналы.
Обязательное использование отечественных СКЗИ для всех госорганизаций.
Рекомендации:
следите за обновлениями на publication.pravo.gov.ru;
участвуйте в обсуждениях проектов законов;
обновляйте внутренние регламенты не реже раза в год.
23. Заключение
Соблюдение режима государственной тайны — ключевая обязанность госорганизаций и предприятий, работающих с секретными сведениями. Основные принципы:
прозрачность процессов (документирование всех действий);
техническая защищённость (сертифицированные СКЗИ, DLP, контроль доступа);
персональная ответственность (допуск, обучение, дисциплинарные меры);
оперативное реагирование на инциденты (план действий, взаимодействие с ФСБ).
Для минимизации рисков:
предприятиям — инвестировать в ИБ и регулярные аудиты;
сотрудникам — строго соблюдать регламенты и сообщать о нарушениях;
руководителям — контролировать исполнение норм закона.
Юридическая компания «ЛЕГАС» предлагает:
консультации по вопросам ФЗ‑5485‑1;
помощь в оформлении допуска к гостайне;
аудит ИБ предприятий;
представительство в судах и при проверках ФСБ/ФСТЭК.
24. Контакты и дополнительная помощь
Юридическая компания «ЛЕГАС»:
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Бесплатные консультации:
через онлайн‑форму на сайте;
в Telegram‑канале компании.
Дополнительные сервисы:
проверка документов на соответствие ФЗ‑5485‑1;
разработка регламентов по защите гостайны;
сопровождение при лицензировании;
подготовка к проверкам ФСБ и ФСТЭК.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
