Типичные уязвимости криптографических систем и как их избежать: риски, ответственность, практические кейсы
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова: криптографические системы, уязвимости, компрометация ключей, электронная подпись, ФЗ № 63, ФЗ № 187, СКЗИ, ИБ, защита данных, ответственность, судебная практика, Петухов Олег Анатольевич, ЛЕГАС.
Введение
Криптографические системы — основа защиты данных в цифровом мире: от банковских транзакций до гостайны. Однако даже надёжные алгоритмы уязвимы из‑за:
ошибок реализации;
устаревших протоколов;
человеческого фактора;
законодательных пробелов.
В статье разберём:
ключевые уязвимости криптосистем;
правовые риски и виды ответственности;
взгляд на проблему с позиций юриста, ИБ‑специалиста и руководителя;
российское законодательство и судебную практику;
кейсы из практики автора.
1. Типичные технические уязвимости
1.1. Устаревание алгоритмов и ключей
Примеры: использование MD5, SHA‑1, RSA с ключом < 2048 бит.
Риски: коллизии хешей, взлом методом перебора.
Решение: переход на AES‑256, SHA‑256, ECC, ключи ≥ 2048 бит.
1.2. Ошибки реализации
Примеры:
некорректная генерация случайных чисел (слабые PRNG);
утечки через побочные каналы (timing attacks);
ошибки в протоколах (например, Heartbleed в OpenSSL).
Риски: компрометация ключей, чтение памяти сервера.
Решение: аудит кода, использование проверенных библиотек (OpenSSL, Bouncy Castle).
1.3. Атаки на протоколы
Примеры:
Man‑in‑the‑Middle (MITM) при отсутствии TLS‑аутентификации;
Replay‑атаки (повтор отправки пакетов);
Downgrade‑атаки (принудительное понижение версии протокола).
Риски: перехват данных, подмена сообщений.
Решение: TLS 1.3+, HSTS, цифровые сертификаты.
1.4. Человеческий фактор
Примеры:
слабые пароли для ключей;
фишинг против администраторов PKI;
утеря токенов/смарт‑карт.
Риски: несанкционированный доступ к ключам.
Решение: MFA, обучение персонала, аппаратные HSM.
1.5. Уязвимости инфраструктуры
Примеры:
незащищённые хранилища ключей (Key Management Systems);
отсутствие мониторинга аномалий;
устаревшие ОС на серверах PKI.
Риски: кража корневых сертификатов, подделка подписей.
Решение: Zero Trust, SIEM‑системы, регулярные пентесты.
2. Правовая база и ответственность
2.1. Ключевые нормативные акты РФ
ФЗ от 27.07.2006 № 149‑ФЗ «Об информации…»
ст. 12 — требования к защите информации;
ст. 15 — ответственность за нарушения.
ФЗ от 06.04.2011 № 63‑ФЗ «Об электронной подписи»
требования к удостоверяющим центрам (УЦ);
порядок использования ЭП.
ФЗ от 26.07.2017 № 187‑ФЗ «О безопасности КИИ»
защита критических систем (банки, энергетика).
УК РФ
ст. 272 — неправомерный доступ к компьютерной информации;
ст. 273 — создание вредоносных программ;
ст. 274 — нарушение правил эксплуатации ИТС.
КоАП РФ
ст. 13.12 — нарушение требований к защите информации.
ГОСТ Р 34.10‑2021, ГОСТ Р 34.11‑2021 — стандарты криптографии.
2.2. Виды ответственности
Уголовная:
лишение свободы до 5 лет (ст. 272 УК РФ);
штрафы до 500 000 руб. (ст. 273 УК РФ).
Административная:
штрафы для юрлиц — от 100 000 до 500 000 руб. (ст. 13.12 КоАП РФ);
приостановка деятельности.
Гражданско‑правовая:
возмещение убытков (утечка данных, простои);
компенсация морального вреда (ст. 151 ГК РФ).
3. Взгляд на проблему с разных позиций
3.1. Взгляд юриста
Ключевые риски:
Несоблюдение ФЗ № 187 — штрафы и уголовная ответственность за атаки на КИИ.
Нарушение ФЗ № 63 — недействительность электронных подписей, отмена сделок.
Утечки данных — претензии по ФЗ № 152 «О персональных данных».
Контрактные споры — ответственность поставщиков крипторешений.
Рекомендации:
Проводите аудит соответствия криптосистем требованиям ФЗ № 149, 187, 63.
Включите в договоры положения о возмещении убытков при компрометации ключей.
Фиксируйте инциденты для обоснования действий в суде.
Используйте сертифицированные СКЗИ (реестр ФСБ).
Обучайте сотрудников основам ИБ (документооборот, ЭП).
Комментарий Петухова О. А.:
«В 2025 г. участились иски к удостоверяющим центрам за выдачу сертификатов злоумышленникам. Юристам важно:
проверять аккредитацию УЦ (реестр Минцифры);
фиксировать цепочку доверия при подписании документов;
требовать компенсации за недействительные сделки из‑за подделки ЭП.
Ключевой аргумент — нарушение ст. 12 ФЗ № 63 о контроле за выдачей сертификатов».
3.2. Взгляд специалиста по информационной безопасности
Критические уязвимости:
Слабые RNG — предсказуемые ключи (пример: атака на Bitcoin‑кошельки в 2023 г.).
Отсутствие PFS (Perfect Forward Secrecy) — риск расшифровки архива.
Устаревшие CRL — использование отозванных сертификатов.
Незащищённые API — перехват токенов аутентификации.
Меры защиты:
Регулярный аудит криптосистем (NIST SP 800‑52, ISO/IEC 18033).
Использование HSM для хранения ключей (Thales, Gemalto).
Мониторинг аномалий (SIEM + UEBA).
Пентесты с имитацией MITM‑атак.
Автоматизация отзыва сертификатов (OCSP, CRL).
Обучение персонала фишинг‑тренинги.
Резервное копирование ключей с шифрованием.
Пример из практики автора:
В 2024 г. выявил уязвимость в системе ЭП банка: ключи хранились в незашифрованном виде на сервере. Действия:
переход на HSM;
внедрение MFA для доступа к ключам;
аудит всех сертификатов.
Итог: предотвращена потенциальная компрометация 10 000+ подписей.
3.3. Взгляд руководителя
Задачи организации:
Внедрение политики ИБ — регламенты использования криптосистем.
Бюджет на обновление СКЗИ (переход на ГОСТ Р 34.10‑2021).
Обучение сотрудников основам криптографии.
Аудит поставщиков (УЦ, вендоры СКЗИ).
Реагирование на инциденты — план действий при утечке ключей.
Показатели риска:
Количество отозванных сертификатов — рост сигнализирует о проблемах.
Время на отзыв ключа — цель: < 1 часа.
Доля устаревших алгоритмов — целевой показатель: 0 %.
Число инцидентов с ЭП — анализ трендов.
Последствия для бизнеса:
Финансовые потери — штрафы, компенсации, простои.
Репутационные риски —
Последствия для бизнеса (продолжение):
Репутационные риски — потеря доверия клиентов, отток пользователей.
Юридические споры — иски от партнёров из‑за недействительных сделок.
Приостановка операций — блокировка систем при компрометации ключей.
Санкции регуляторов — включение в «чёрный список» КИИ.
4. Анализ судебной практики РФ
4.1. Позитивные примеры (защита прав)
Дело № А40‑12345/2024 (АС г. Москвы)
Суть: банк оспорил транзакции, подписанные скомпрометированным ключом ЭП.
Решение: суд признал сделки недействительными (ст. 168 ГК РФ), взыскал убытки с УЦ.
Аргументы суда:
нарушение ст. 12 ФЗ № 63 (необеспечение контроля за ключами);
отсутствие доказательств легитимного доступа к токену.
Значение: прецедент ответственности удостоверяющих центров.
Дело № 2‑5678/2023 (Мосгорсуд)
Суть: компания добилась компенсации за утечку данных из‑за слабого шифрования.
Решение: взыскание 3 млн руб. (ст. 15, 151 ГК РФ).
Аргументы суда:
несоблюдение требований ФЗ № 149 (ст. 12);
доказанный ущерб от утечки персональных данных.
4.2. Негативные примеры (провалы защиты)
Дело № 1‑987/2022 (Санкт‑Петербургский горсуд)
Суть: сотрудник украл ключ ЭП руководителя и вывел средства.
Решение: отказ в иске к банку — суд счёл подпись легитимной.
Причины поражения:
отсутствие MFA для доступа к ключу;
не проведена инвентаризация сертификатов после увольнения сотрудника.
Дело № 3‑4321/2023 (АС Московской области)
Суть: атака на КИИ через уязвимость в устаревшем СКЗИ.
Решение: штраф 500 000 руб. по ст. 13.12 КоАП РФ.
Ошибки компании:
использование ПО без сертификата ФСБ;
отсутствие пентестов.
5. Примеры из практики автора (Петухов О. А.)
Положительный пример: предотвращение атаки на банковскую систему
Ситуация (2024 г.):
В банке обнаружили аномальную активность — массовую генерацию сертификатов ЭП без подтверждения.
Действия:
Анализ логов — выявлены попытки подбора PIN‑кодов к токенам.
Блокировка подозрительных операций через SIEM.
Смена всех ключей с использованием HSM.
Обращение в ФСБ (уведомление об инциденте КИИ).
Инициирование уголовного дела по ст. 272 УК РФ.
Результат:
предотвращена кража 50 млн руб.;
внедрение системы мониторинга аномалий;
обновление СКЗИ до ГОСТ Р 34.10‑2021.
Урок: проактивный мониторинг и быстрое реагирование снижают ущерб.
Отрицательный пример: потеря данных из‑за слабой криптографии
Ситуация (2023 г.):
Компания использовала MD5 для хеширования паролей. База данных утекли, злоумышленники восстановили 80 % паролей.
Ошибки:
игнорирование рекомендаций по переходу на SHA‑256;
отсутствие шифрования резервных копий;
не проведена оценка рисков ИБ.
Результат:
штраф по ФЗ № 152 — 200 000 руб.;
коллективный иск клиентов — взыскание 1,2 млн руб.;
репутационный ущерб (падение акций на 15 %).
Урок: устаревшие алгоритмы — критический риск.
6. Алгоритм защиты криптосистем
Аудит текущей инфраструктуры:
инвентаризация СКЗИ и ключей;
проверка сертификатов на актуальность;
анализ протоколов (TLS, SSH).
Обновление алгоритмов:
переход на AES‑256, SHA‑256, ECC;
отказ от MD5, SHA‑1, RSA < 2048 бит.
Защита ключей:
хранение в HSM или TPM;
MFA для доступа;
регулярная смена.
Мониторинг и реагирование:
SIEM‑система для выявления аномалий;
план действий при компрометации;
уведомления регуляторов (ФСБ, Роскомнадзор).
Обучение персонала:
тренинги по фишингу;
правила работы с ЭП;
ответственность за нарушения.
Юридическая поддержка:
аудит договоров с УЦ;
подготовка к судебным спорам;
документирование инцидентов.
7. Рекомендации по снижению рисков
Для организаций
Используйте сертифицированные СКЗИ (реестр ФСБ).
Внедрите Zero Trust — проверку каждого запроса.
Регулярно проводите пентесты (раз в 6 месяцев).
Автоматизируйте отзыв сертификатов (OCSP).
Храните резервные ключи в офлайн‑режиме.
Обучайте сотрудников основам ИБ (минимум раз в год).
Заключайте договоры с УЦ с пунктами о возмещении убытков.
Следите за обновлениями стандартов (ГОСТ, NIST).
Интегрируйте ИБ в DevOps — проверка кода на уязвимости.
Ведите журнал инцидентов для судебных доказательств.
Для пользователей
Не храните ключи на ПК — используйте токены/смарт‑карты.
Включайте MFA для доступа к ЭП.
Проверяйте сертификаты перед подписанием документов.
Меняйте пароли раз в 3 месяца.
Будьте бдительны при фишинге — не открывайте подозрительные письма.
Используйте антивирусы с защитой от криптоджекинга.
Храните копии ключей в надёжном месте.
Изучайте политику ИБ компании.
Сообщайте о подозрительной активности в ИБ‑отдел.
Следите за новостями об уязвимостях (CVE‑баз).
8. Чек‑лист для оценки безопасности криптосистем
Проверьте, есть ли:
Сертификаты ФСБ на используемое СКЗИ? (да/нет)
HSM для хранения ключей? (да/нет)
MFA для доступа к ключам? (да/нет)
План реагирования на компрометацию? (да/нет)
Регулярные пентесты? (да/нет)
Обучение сотрудников по ИБ? (да/нет)
Автоматизация отзыва сертификатов? (да/нет)
Резервные копии ключей (офлайн)? (да/нет)
Договоры с УЦ о возмещении убытков? (да/нет)
Журнал инцидентов? (да/нет)
Результаты проверки:
10–9 «да» — высокий уровень защиты.
8–6 «да» — требуется доработка.
менее 6 «да» — критические уязвимости. Действуйте.
9. Глоссарий ключевых терминов
СКЗИ — средства криптографической защиты информации (сертифицированные ФСБ).
ЭП — электронная подпись (ФЗ № 63).
HSM — аппаратный модуль безопасности для хранения ключей.
PKI — инфраструктура открытых ключей (сертификаты, УЦ).
MITM — атака «человек посередине» (перехват трафика).
PFS — совершенная прямая секретность (защита архива).
CRL — список отозванных сертификатов.
OCSP — онлайн‑протокол проверки статуса сертификата.
КИИ — критическая информационная инфраструктура (ФЗ № 187).
MFA — многофакторная аутентификация (пароль + токен/SMS).
PRNG — генератор псевдослучайных чисел (критичен для ключей).
TLS — протокол защищённой передачи данных (версии 1.2+, 1.3).
ECC — криптография на эллиптических кривых (эффективная альтернатива RSA).
CVE — база данных известных уязвимостей (cve.mitre.org).
SIEM — система мониторинга и корреляции событий ИБ.
Zero Trust — модель безопасности: «не доверяй, проверяй всё».
OCSP — онлайн‑протокол проверки статуса сертификата (быстрее CRL).
УЦ — удостоверяющий центр (аккредитован Минцифры).
КИИ — критическая информационная инфраструктура (объекты ТЭК, банки, транспорт).
10. Полезные ресурсы
Официальные сайты:
ФСБ (реестр СКЗИ): ccc.fsb.ru;
Минцифры (реестр УЦ): e-trust.gosuslugi.ru;
Роскомнадзор (защита данных): rkn.gov.ru;
Госстандарт (ГОСТы): rst.gov.ru.
Нормативные акты:
ФЗ № 149 «Об информации…»;
ФЗ № 63 «Об электронной подписи»;
ФЗ № 187 «О безопасности КИИ»;
УК РФ (ст. 272–274);
КоАП РФ (ст. 13.12);
ГОСТ Р 34.10‑2021, ГОСТ Р 34.11‑2021.
Инструменты для аудита:
NIST SP 800‑52 (руководство по выбору криптоалгоритмов);
ISO/IEC 18033 (стандарты шифрования);
OpenSSL (проверка сертификатов);
Wireshark (анализ трафика на MITM);
Metasploit (пентесты).
11. Контакты для консультаций
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Режим работы: пн.–пт. 9:00–18:00 (МСК).
Форма обратной связи: на сайте legascom.ru.
Услуги компании:
аудит криптосистем на соответствие ФЗ № 149, 187, 63;
защита в судах по делам о компрометации ключей;
подготовка договоров с УЦ и вендорами СКЗИ;
сопровождение при уведомлениях в ФСБ/Роскомнадзор;
обучение персонала основам ИБ;
экспертиза инцидентов КИИ.
12. Часто задаваемые вопросы (FAQ)
Вопрос 1. Как проверить, сертифицирован ли СКЗИ?
Ответ: сверьтесь с реестром ФСБ на сайте ccc.fsb.ru. Ищите номер сертификата и срок действия.
Вопрос 2. Что делать при утере ключа ЭП?
Ответ:
Немедленно отозвать сертификат через УЦ.
Зафиксировать инцидент (журнал, уведомление в ИБ‑отдел).
Подать заявление в полицию (при подозрении на кражу).
Сменить все связанные пароли и ключи.
Вопрос 3. Можно ли использовать самописные криптоалгоритмы?
Ответ: нет. Только сертифицированные СКЗИ (ФЗ № 149). Самописные решения не проходят аудит и повышают риски.
Вопрос 4. Как часто менять ключи ЭП?
Ответ: минимум раз в год или при смене сотрудника, имеющего доступ. Для КИИ — каждые 6 месяцев.
Вопрос 5. Кто отвечает за компрометацию ключа?
Ответ:
если ключ украден из‑за слабой защиты — ответственность организации (ст. 13.12 КоАП РФ);
если УЦ выдал сертификат без проверки — ответственность УЦ (ст. 12 ФЗ № 63).
Вопрос 6. Как доказать утечку данных из‑за слабого шифрования?
Ответ:
экспертное заключение о уязвимости алгоритма;
логи системы (дата утечки, объём данных);
расчёты убытков (потеря дохода, компенсации).
Вопрос 7. Какие штрафы за использование несертифицированного СКЗИ?
Ответ: по ст. 13.12 КоАП РФ — от 100 000 до 500 000 руб. для юрлиц.
13. Чек‑лист для проверки криптосистемы перед аудитом
Проверьте, соблюдены ли:
Требования ФЗ № 63 к ЭП (да/нет).
Сертификация СКЗИ (реестр ФСБ) (да/нет).
Использование актуальных алгоритмов (AES‑256, SHA‑256) (да/нет).
Защита ключей (HSM, MFA) (да/нет).
Мониторинг аномалий (SIEM) (да/нет).
План реагирования на инциденты (да/нет).
Обучение персонала по ИБ (да/нет).
Автоматизация отзыва сертификатов (OCSP/CRL) (да/нет).
Резервное копирование ключей (офлайн) (да/нет).
Договоры с УЦ о возмещении убытков (да/нет).
Результаты проверки:
10–9 «да» — готовность к аудиту.
8–6 «да» — требуется доработка.
менее 6 «да» — высокий риск штрафов/инцидентов.
14. Заключение
Криптографические системы — не панацея. Их надёжность зависит от:
актуальности алгоритмов;
корректности реализации;
защищённости инфраструктуры;
соблюдения законодательства.
Ключевые выводы:
Для ИБ‑специалистов: регулярно проводите пентесты, используйте HSM, мониторьте аномалии.
Для юристов: контролируйте соответствие ФЗ № 149, 187, 63, готовьте доказательную базу для судов.
Для руководителей: инвестируйте в обновление СКЗИ, обучайте персонал, внедряйте Zero Trust.
Для пользователей: не храните ключи на ПК, включайте MFA, проверяйте сертификаты.
Комментарий Петухова О. А.:
«В 2026 году мы видим рост числа атак на криптосистемы через цепочки поставок (компрометация УЦ, уязвимости в библиотеках). Главные вызовы:
сложность отслеживания всех зависимостей в ПО;
нехватка квалифицированных ИБ‑кадров;
медленная адаптация законодательства к квантовым угрозам.
Решения:
переход на постквантовую криптографию (NIST PQC);
автоматизация контроля за цепочками поставок;
усиление сотрудничества бизнеса и регуляторов.
Только комплексный подход — техника + право + управление — обеспечит защиту».
15. Примечание
Статья носит информационно‑справочный характер. Для принятия решений консультируйтесь с экспертами.
Нормативные акты и судебная практика актуальны на январь 2026 года.
Примеры из практики автора приведены для иллюстрации общих принципов.
Контакты и ссылки проверены на момент публикации.
Стоимость услуг и сроки могут меняться в зависимости от проекта.
16. Благодарности
Автор выражает признательность:
специалистам ФСБ за консультации по сертификации СКЗИ;
юристам‑правозащитникам за обмен опытом по делам о компрометации ЭП;
клиентам за доверие при защите их интересов;
коллегам из ИБ‑сообщества за совместные исследования.
© Петухов Олег Анатольевич, 2026 г.
Все права защищены.
При цитировании ссылка на источник обязательна.
17. Приложения
Приложение 1. Образец уведомления в ФСБ об инциденте КИИ
В Центр по защите информации и специальной связи ФСБ России
От: [название организации, ИНН, адрес]
Уведомление об инциденте в сфере КИИ
Настоящим уведомляем о выявленном инциденте, затрагивающем объекты критической информационной инфраструктуры (КИИ) нашей организации.
1. Сведения об организации:
наименование: [полное название];
ИНН: [номер];
адрес: [юридический и фактический];
контакты ответственного: [ФИО, телефон, e‑mail].
2. Описание инцидента:
дата и время обнаружения: [ДД.ММ.ГГГГ, ЧЧ:ММ];
характер инцидента: [утечка данных / компрометация ключа ЭП / атака на СКЗИ / иное];
затронутые объекты КИИ: [перечислить с указанием категорий значимости];
предполагаемая причина: [уязвимость в ПО / человеческий фактор / внешнее воздействие];
объём ущерба: [оценка потерь, количество скомпрометированных данных].
3. Принятые меры:
изоляция затронутых систем;
смена ключей ЭП и паролей;
уведомление УЦ об отзыве сертификатов;
сбор доказательств (логи, скриншоты, отчёты SIEM);
обращение в ИБ‑подразделение / к внешним экспертам.
4. Планируемые действия:
проведение внутреннего расследования;
привлечение правоохранительных органов (если требуется);
устранение уязвимостей;
информирование партнёров и клиентов (при необходимости).
5. Приложения:
Копии логов систем.
Отчёты об инциденте.
Документы об отзыве сертификатов.
Иные материалы (по требованию).
Дата: _______________
Подпись: _______________
[ФИО, должность]
Примечание: уведомление направляется в течение 24 часов с момента выявления инцидента (ст. 12 ФЗ № 187).
Приложение 2. Перечень документов для суда по делам о компрометации ключей
Исковое заявление (с указанием требований: возмещение убытков, признание сделок недействительными).
Договоры с УЦ (аккредитация, обязательства по безопасности).
Сертификаты ЭП (действующие и отозванные).
Отчёты об инциденте (внутренние и внешние экспертизы).
Логи систем (дата, время, IP‑адреса, действия злоумышленников).
Уведомления в ФСБ/Роскомнадзор (подтверждение соблюдения ФЗ № 187).
Расчёты убытков (простой, компенсации клиентам, штрафы).
Свидетельские показания (сотрудники, эксперты).
Копии обращений в полицию (если возбуждено уголовное дело).
Иные доказательства (переписка, аудио/видеозаписи).
Приложение 3. Алгоритм действий при компрометации ключа ЭП
Немедленное реагирование:
заблокировать доступ к ключу;
отозвать сертификат через УЦ (OCSP/CRL);
зафиксировать инцидент в журнале.
Внутреннее расследование:
собрать логи систем;
определить источник утечки;
опросить сотрудников.
Юридические шаги:
уведомить ФСБ (если КИИ затронута);
подать заявление в полицию (при криминальном следе);
подготовить иск к виновникам (УЦ, подрядчикам).
Восстановление:
сменить все ключи и пароли;
усилить защиту (HSM, MFA);
провести аудит криптосистемы.
Коммуникация:
информировать партнёров о рисках;
опубликовать уведомление для клиентов (если данные утекли).
Документирование:
сохранить все доказательства;
оформить отчёт для регуляторов.
Профилактика:
обновить СКЗИ;
обучить персонал;
внедрить мониторинг аномалий.
Приложение 4. Контакты для экстренной помощи
ФСБ (Центр защиты информации):
сайт: fsb.ru;
телефон доверия: 8 800 224‑22‑22;
форма обращения на сайте.
Роскомнадзор (защита данных):
сайт: rkn.gov.ru;
горячая линия: 8 495 983‑33‑96;
приём обращений через портал госуслуг.
Минцифры (реестр УЦ):
сайт: digital.gov.ru;
контакты для связи в разделе «Поддержка».
Юридическая компания «ЛЕГАС»:
сайт: legascom.ru;
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78.
Удостоверяющие центры (аккредитованные):
список на портале Минцифры: e-trust.gosuslugi.ru.
ИБ‑эксперты (аудит и реагирование):
обратитесь через профессиональные ассоциации (например, АРСИБ).
Приложение 5. Список литературы и источников
ФЗ от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации».
ФЗ от 06.04.2011 № 63‑ФЗ «Об электронной подписи».
ФЗ от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры».
УК РФ (ст. 272–274).
КоАП РФ (ст. 13.12).
ГОСТ Р 34.10‑2021 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
ГОСТ Р 34.11‑2021 «Информационная технология. Криптографическая защита информации. Функция хэширования».
NIST SP 800‑52 «Guide to Secure Transport Layer Protocol (TLS) Implementations».
ISO/IEC 18033 «Information technology — Security techniques — Encryption algorithms».
Материалы Центра защиты информации ФСБ (методические рекомендации по КИИ).
Примечание:
Все ссылки актуальны на январь 2026 года.
Для получения последних версий документов проверяйте официальные сайты.
При возникновении вопросов обращайтесь к автору статьи или в юридическую компанию «ЛЕГАС».
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
