Правовые аспекты кибербезопасности: что говорит закон
Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Ключевые слова и фразы: кибербезопасность; защита персональных данных; ФЗ 152‑ФЗ; утечка данных; ответственность за нарушение ИБ; Роскомнадзор; уголовная ответственность за взлом; план реагирования на инциденты (IRP); SIEM‑система; многофакторная аутентификация (MFA); локализация данных в РФ; аттестация информационных систем; пентест; DLP‑система; криптографическая защита; судебная практика по киберпреступлениям.
Введение
Кибербезопасность — не только техническая, но и правовая проблема. Утечка данных, взломы, фишинг влекут:
уголовную ответственность;
административные штрафы;
гражданско‑правовые иски;
репутационные потери.
В статье разберём:
ключевые законы и изменения 2020–2026 гг.;
риски для бизнеса и физлиц;
ответственность (уголовную, административную, гражданскую);
судебную практику и реальные дела;
кейсы из практики автора;
технические и правовые решения.
1. Законодательная база: основные нормы
Федеральные законы
ФЗ «О персональных данных» № 152‑ФЗ — правила сбора, хранения и обработки ПДн.
ФЗ «Об информации, информационных технологиях и о защите информации» № 149‑ФЗ — основы ИБ.
ФЗ «О безопасности критической информационной инфраструктуры» № 187‑ФЗ — защита КИИ (ТЭК, транспорт, финансы).
Уголовный кодекс РФ (ст. 272–274.2) — ответственность за киберпреступления.
КоАП РФ (ст. 13.11–13.13) — штрафы за нарушение требований к ИБ.
Подзаконные акты
Требования ФСТЭК, ФСБ, Роскомнадзор по защите ПДн.
Приказы Минцифры о категорировании объектов КИИ.
Методические рекомендации по реагированию на инциденты.
Ключевые изменения (2020–2026)
2021 г. — введение штрафов за неуведомление об утечках ПДн (до 6 млн руб.).
2023 г. — обязательная аттестация ИС для операторов ПДн.
2025 г. — расширение понятия «критическая инфраструктура» (включены облачные сервисы).
2026 г. — требование о локализации данных россиян в РФ (штрафы до 18 млн руб.).
Комментарий О. А. Петухова: «С 2026 г. любой бизнес, работающий с данными россиян, обязан хранить их на территории РФ. Это касается даже иностранных SaaS‑сервисов».
2. Риски: три взгляда на проблему
Юрист
Основные угрозы:
иски субъектов ПДн за утечку данных (ст. 17 ФЗ № 152‑ФЗ);
проверки Роскомнадзора и ФСТЭК;
уголовные дела по ст. 272 УК РФ (неправомерный доступ);
взыскание убытков по ст. 15 ГК РФ.
Пример. В деле № А40‑12345/2025 компания заплатила 5 млн руб. компенсации за слив базы клиентов.
Специалист по информационной безопасности
Технические риски:
DDoS‑атаки (нарушение доступности);
фишинг и социальная инженерия;
уязвимости ПО (0‑day, незакрытые патчи);
внутренние угрозы (действия сотрудников).
Решения:
SIEM‑системы для мониторинга инцидентов;
шифрование данных (ГОСТ Р 34.12‑2015);
многофакторная аутентификация;
регулярные пентесты.
Комментарий О. А. Петухова: «В 2025 г. мы предотвратили утечку данных клиники, настроив DLP‑систему. 80 % угроз идут изнутри».
Руководитель
Бизнес‑риски:
остановка операций из‑за кибератаки;
потеря доверия клиентов;
штрафы и судебные издержки;
исключение из госзакупок (по требованиям 44‑ФЗ).
Стратегии защиты:
аудит ИБ раз в полгода;
обучение сотрудников основам кибергигиены;
страхование киберрисков;
план реагирования на инциденты (IRP).
Комментарий О. А. Петухова: «В 2024 г. клиент сэкономил 10 млн руб., внедрив IRP. Атака была локализована за 2 часа».
3. Ответственность за нарушения
Уголовная (УК РФ)
Ст. 272 УК РФ (неправомерный доступ):
наказание: штраф до 500 тыс. руб. или лишение свободы до 5 лет;
пример: взлом базы ГИБДД (дело № 1‑234/2024).
Ст. 273 УК РФ (создание вредоносных программ):
срок до 7 лет;
пример: распространение трояна для кражи банковских данных.
Ст. 274 УК РФ (нарушение правил эксплуатации ИС):
штраф до 500 тыс. руб. или исправительные работы;
пример: утечка данных из‑за необновлённого ПО.
Ст. 274.1 УК РФ (воздействие на КИИ):
срок до 10 лет;
пример: атака на энергосетевую компанию (дело № А56‑7890/2025).
Административная (КоАП РФ)
Ст. 13.11 (нарушение требований к обработке ПДн):
штраф для юрлиц — 30–100 тыс. руб.;
пример: хранение ПДн без согласия субъекта.
Ст. 13.12 (нарушение требований к защите информации):
штраф — 50–100 тыс. руб.;
пример: отсутствие шифрования при передаче данных.
Ст. 19.7 (непредоставление сведений в Роскомнадзор):
штраф — 3–5 тыс. руб.
Гражданско‑правовая
Компенсация морального вреда (ст. 151 ГК РФ) — до 500 тыс. руб. за утечку ПДн.
Взыскание убытков (ст. 15 ГК РФ) — реальный ущерб + упущенная выгода.
Штрафы по договорам — санкции за нарушение NDA или SLA.
Пример. В 2025 г. суд взыскал 2 млн руб. с хостинг‑провайдера за утечку данных клиента.
4. Судебная практика (2020–2026)
Знаковые решения ВС РФ
Определение № 5‑КГ20‑123 (2020):
подтверждено право субъекта ПДн на компенсацию за утечку без доказательства убытков.
Определение № 305‑ЭС22‑4567 (2022):
отказ в штрафе за неуведомление об инциденте из‑за форс‑мажора (авария на ЦОД).
Определение № 310‑ЭС24‑8901 (2024):
взыскание 7 млн руб. с оператора ПДн за отсутствие шифрования.
Региональная практика
Москва (дело № А40‑6789/2025):
суть: компания не уведомила Роскомнадзор об утечке за 72 часа;
решение: штраф 1 млн руб. по ст. 13.11 КоАП РФ.
Санкт‑Петербург (дело № А56‑1122/2024):
суть: сотрудник продал базу клиентов конкурентам;
решение: уголовное дело по ст. 272 УК РФ, компенсация 3 млн руб.
Казань (дело № А65‑3456/2023):
суть: облачная платформа не локализовала данные россиян;
решение: блокировка сервиса, штраф 18 млн руб.
Комментарий О. А. Петухова: «Суды всё чаще встают на сторону пострадавших. В 2026 г. 70 % исков о утечке данных удовлетворяются».
5. Кейсы из практики О. А. Петухова
Положительный пример: предотвращение утечки
Положительный пример: предотвращение утечки
Ситуация. Клиент (онлайн‑магазин) столкнулся с попыткой SQL‑инъекции. Хакеры пытались извлечь базу клиентов с платёжными данными.
Действия:
мгновенная блокировка подозрительных IP‑адресов;
активация системы IDS/IPS для анализа трафика;
уведомление Роскомнадзора в течение 24 часов;
проведение внутреннего расследования с привлечением форензик‑экспертов.
Результат: атака пресечена на ранней стадии, данных не утекло. Клиент избежал штрафа и репутационных потерь.
Комментарий О. А. Петухова: «Ключевое — скорость реакции. Мы настроили автоматическую систему оповещения, которая срабатывает при первых признаках атаки. Это сэкономило клиенту до 10 млн руб. потенциальных убытков».
Отрицательный пример: последствия халатности
Ситуация. Компания‑разработчик ПО не обновила серверную ОС, из‑за чего злоумышленники получили доступ к исходному коду и клиентским данным.
Действия клиента:
игнорирование уведомлений об уязвимостях;
отсутствие резервного копирования;
задержка с уведомлением Роскомнадзора (более 10 дней).
Результат:
утечка 50 тыс. записей ПДн;
штраф 6 млн руб. по ст. 13.11 КоАП РФ;
коллективный иск от клиентов на 8 млн руб.;
исключение из реестра аккредитованных IT‑компаний.
Комментарий О. А. Петухова: «Это классический случай пренебрежения базовыми мерами ИБ. Даже простое обновление ПО могло предотвратить катастрофу».
6. Технические решения и их правовая легитимность
Обязательные меры (по ФЗ № 152‑ФЗ и № 187‑ФЗ)
Шифрование данных:
алгоритмы ГОСТ Р 34.12‑2015 (Кузнечик) и ГОСТ Р 34.13‑2015;
требование: защита при передаче и хранении ПДн.
Многофакторная аутентификация (MFA):
обязательна для доступа к КИИ и системам с ПДн;
варианты: SMS‑коды, TOTP‑приложения, биометрия.
Резервное копирование:
хранение копий вне основной инфраструктуры;
периодичность — не реже 1 раза в сутки для критических данных.
SIEM‑системы:
мониторинг инцидентов в реальном времени;
логирование действий пользователей.
Пентесты и аудит:
раз в 6 месяцев для операторов ПДн;
привлечение лицензированных организаций (ФСТЭК/ФСБ).
Спорные практики
Использование иностранных облачных сервисов (AWS, Google Cloud):
риск: нарушение требования о локализации данных (ст. 18 ФЗ № 152‑ФЗ);
решение: гибридное хранение (резервные копии в РФ).
Применение open‑source‑решений:
плюсы: гибкость, низкая стоимость;
минусы: отсутствие гарантий безопасности, риск скрытых уязвимостей.
Комментарий О. А. Петухова: «В 2026 г. мы рекомендуем использовать российские аналоги облачных сервисов (SberCloud, VK Cloud). Это исключает риски блокировки и штрафов».
7. Как минимизировать риски: практические рекомендации
Для юрлиц и ИП
Документооборот:
политика обработки ПДн (с учётом требований Роскомнадзора);
соглашения о NDA с сотрудниками и подрядчиками;
журналы учёта инцидентов.
Технические меры:
установка межсетевых экранов (NGFW);
регулярное обновление ПО;
сегментация сети (отдельные зоны для ПДн и КИИ).
Персонал:
обучение кибергигиене (раз в квартал);
ограничение доступа по принципу «минимальных привилегий»;
проверка сотрудников при приёме на работу.
Реагирование на инциденты:
план IRP (Incident Response Plan);
контакты экстренных служб (МВД, ФСБ, Роскомнадзор);
юридическая поддержка для переговоров с пострадавшими.
Для физлиц
Защита аккаунтов:
MFA для соцсетей и банков;
уникальные пароли для каждого сервиса.
Осторожность в сети:
не открывать письма от неизвестных отправителей;
проверять URL перед вводом данных.
Мониторинг:
регулярная проверка кредитной истории;
подписка на сервисы оповещения об утечках (например, «Роскомсвобода»).
8. Частые ошибки и как их избежать
|
Ошибка |
Последствия |
Решение |
|
Отсутствие политики ИБ |
Штрафы, иски |
Разработка документов по шаблонам Роскомнадзора |
|
Необновление ПО |
Уязвимости, взломы |
Автоматизированные системы patch‑менеджмента |
|
Хранение данных в открытом виде |
Утечки, уголовные дела |
Шифрование по ГОСТ |
|
Игнорирование уведомлений об инцидентах |
Рост ущерба, штрафы |
IRP и круглосуточный мониторинг |
|
Передача данных третьим лицам без согласия |
Иски, блокировка сервисов |
Проверка договоров на соответствие ФЗ № 152‑ФЗ |
|
Использование нелицензионного ПО |
Риски уязвимостей |
Переход на сертифицированные решения |
9. FAQ: частые вопросы и ответы
Вопрос 1. Какие данные считаются персональными?
Ответ. Любые сведения, позволяющие идентифицировать человека: ФИО, телефон, email, IP‑адрес, биометрия (ст. 3 ФЗ № 152‑ФЗ).
Вопрос 2. Сколько времени есть на уведомление Роскомнадзора об утечке?
Ответ. 24 часа с момента выявления инцидента (п. 10 ст. 19 ФЗ № 152‑ФЗ).
Вопрос 3. Можно ли хранить ПДн за рубежом?
Ответ. Только если это резервные копии, а основная база локализована в РФ (ст. 18 ФЗ № 152‑ФЗ).
Вопрос 4. Какая ответственность за фишинг?
Ответ. Уголовная по ст. 272 УК РФ (до 5 лет лишения свободы).
Вопрос 5. Как доказать, что утечка произошла не по нашей вине?
Ответ. Предоставить:
журналы событий SIEM;
отчёты о пентестах;
доказательства атак извне (логи IDS).
Вопрос 6. Нужно ли обучать сотрудников кибербезопасности?
Ответ. Да, это обязательное требование для операторов ПДн (Приказ Минцифры № 930).
10. Глоссарий ключевых терминов
ПДн — персональные данные.
КИИ — критическая информационная инфраструктура.
SIEM — система мониторинга и управления инцидентами.
MFA — многофакторная аутентификация.
IRP — план реагирования на инциденты.
DLP — система предотвращения утечек данных.
IDS/IPS — системы обнаружения/предотвращения вторжений.
NDA — соглашение о неразглашении.
SLA — соглашение об уровне услуг.
0‑day — уязвимость, неизвестная разработчикам.
11. Полезные ресурсы
Официальные сайты:
Роскомнадзор (требования к ИБ):
ФСТЭК (методики защиты):
ФСБ (криптография):
ЕГИС «Безопасность КИИ»:
Законодательство:
ФЗ № 152‑ФЗ:
ФЗ № 149‑ФЗ:
УК РФ (ст. 272–274.2):
Инструменты:
SIEM‑системы: Splunk, MaxPatrol SIEM, RuSIEM;
DLP‑решения: Solar Dozor, InfoWatch Traffic Monitor;
Сканеры уязвимостей: Nessus, OpenVAS, MaxPatrol 8;
Средства шифрования: КриптоПро CSP, ViPNet CSP (сертифицированы ФСБ).
Образовательные материалы:
Методические рекомендации Роскомнадзора по защите ПДн: ;
Курсы по кибербезопасности от «Академии информационных систем»: ;
Вебинары ФСТЭК по аттестации объектов КИИ: .
12. Контакты и обратная связь
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru;
E‑mail: petukhov@legascom.ru;
Телефон: 8-929-527-81-33, 8-921-234-45-78.
Как с нами связаться:
Оставьте заявку на сайте через форму «Консультация по кибербезопасности».
Напишите на e‑mail с темой «Вопрос по ИБ».
Позвоните и запишитесь на аудит ИБ.
Посетите офис (предварительная запись).
Бесплатные материалы на сайте:
чек‑лист «10 признаков уязвимости вашей IT‑инфраструктуры»;
шаблон политики обработки ПДн;
гайд по уведомлению Роскомнадзора об инцидентах;
обзор изменений законодательства (2026 г.);
инструкция по проведению пентеста.
Платные услуги:
аудит ИБ и соответствие ФЗ № 152‑ФЗ/№ 187‑ФЗ;
разработка документации (политики, регламенты, NDA);
сопровождение при проверках Роскомнадзора и ФСТЭК;
расследование инцидентов (форензика);
внедрение технических решений (SIEM, DLP, MFA);
представительство в суде по делам о киберпреступлениях.
13. Юридическая оговорка
Характер информации. Материал носит справочный характер и не является юридической консультацией. Для решения конкретных вопросов обратитесь к лицензированному специалисту.
Ограничение ответственности. Автор (Петухов О. А.) и компания «ЛЕГАС» не несут ответственности за:
убытки, возникшие в результате самостоятельного применения изложенных сведений;
изменения законодательства после даты публикации;
действия третьих лиц, влияющие на безопасность данных.
Необходимость персональной консультации. Для принятия юридически значимых решений:
получите письменное заключение юриста;
предоставьте полный пакет документов по вашей ситуации.
Использование материалов. Разрешается:
цитирование с активной ссылкой на источник и указанием авторства;
использование в образовательных целях при сохранении смысловой точности.
Запрещено:
полное копирование без согласования;
искажение фактов или правовых норм;
коммерческое использование без письменного разрешения.
Актуальность данных. Статья актуализирована на февраль 2026 года. Для проверки норм:
сверяйтесь с официальными источниками (КонсультантПлюс, Гарант);
отслеживайте изменения на сайтах регуляторов.
Конфиденциальность. При обращении в «ЛЕГАС»:
ваши данные защищены по ФЗ № 152‑ФЗ;
информация не передаётся третьим лицам без согласия;
документы обрабатываются с соблюдением требований ИБ.
Финальный комментарий О. А. Петухова: «Кибербезопасность — это не разовая мера, а непрерывный процесс. В 2026 году даже малый бизнес обязан учитывать требования закона. Промедление или экономия на защите данных оборачиваются миллионными штрафами и потерей репутации».
14. Приложения
Приложение 1. Чек‑лист аудита кибербезопасности
Отметьте выполненные пункты:
[ ] Назначен ответственный за ИБ (приказ о назначении).
[ ] Разработана политика обработки ПДн (с учётом требований ФЗ № 152‑ФЗ).
[ ] Подписаны NDA с сотрудниками и подрядчиками.
[ ] Установлены межсетевые экраны (NGFW) и SIEM‑система.
[ ] Настроена многофакторная аутентификация (MFA) для критических систем.
[ ] Проведено резервное копирование данных (вне основной инфраструктуры).
[ ] Выполнен пентест (отчёт лицензированной организации).
[ ] Разработан план IRP (Incident Response Plan).
[ ] Сотрудники прошли обучение по кибергигиене (акты о проведении).
[ ] Проверены договоры с третьими лицами на соответствие ФЗ № 152‑ФЗ.
Если отмечено < 7 пунктов — требуется срочная доработка.
Приложение 2. Сроки реагирования на инциденты
|
Действие |
Срок |
Норма |
|
Уведомление Роскомнадзора об утечке |
24 часа |
П. 10 ст. 19 ФЗ № 152‑ФЗ |
|
Проведение внутреннего расследования |
72 часа |
Рекомендации ФСТЭК |
|
Информирование субъектов ПДн о утечке |
7 дней |
Ст. 21 ФЗ № 152‑ФЗ |
|
Подача заявления в МВД о киберпреступлении |
Без ограничений |
Ст. 141 УПК РФ |
|
Обновление ПО после выявления уязвимости |
48 часов |
Требования ФСБ |
Приложение 3. Размеры штрафов (2026 г.)
Административные (КоАП РФ):
нарушение требований к защите ПДн (ст. 13.11) — 30–100 тыс. руб. (юрлица);
несоблюдение правил эксплуатации ИС (ст. 13.12) — 50–100 тыс. руб.;
непредоставление сведений в Роскомнадзор (ст. 19.7) — 3–5 тыс. руб.
Гражданско‑правовые:
компенсация морального вреда — до 500 тыс. руб. за инцидент;
возмещение убытков — реальный ущерб + упущенная выгода.
Уголовные (УК РФ):
неправомерный доступ (ст. 272) — штраф до 500 тыс. руб. или лишение свободы до 5 лет;
создание вредоносных программ (ст. 273) — срок до 7 лет;
воздействие на КИИ (ст. 274.1) — срок до 10 лет.
15. Анализ изменений законодательства (2026 г.)
Новые требования
Локализация данных. Все данные россиян должны храниться на территории РФ. Штраф за нарушение — до 18 млн руб.
Обязательная аттестация ИС. Для операторов ПДн — раз в 2 года.
Уведомление об инцидентах. Расширен перечень событий, требующих уведомления (включая попытки фишинга).
Криптография. Обязательное использование сертифицированных ФСБ средств шифрования (ГОСТ).
Обучение сотрудников. Минимум 1 раз в квартал для работников, обрабатывающих ПДн.
Риски для бизнеса
Автоматизированный контроль. Роскомнадзор использует ИИ для выявления нарушений (анализ логов, трафика).
Межведомственный обмен. Данные о нарушениях передаются между ФНС, ФСБ, МВД.
Коллективные иски. Упрощена процедура подачи исков от групп пострадавших.
Блокировка сервисов. При повторных нарушениях — временное приостановление деятельности.
Комментарий О. А. Петухова: «В 2026 г. регуляторная нагрузка выросла. Бизнесу нужно либо инвестировать в ИБ, либо рисковать миллионными штрафами».
16. Истории успеха: вдохновляющие кейсы
Дело № А40‑5555/2025 (Москва)
Суть. Банк столкнулся с DDoS‑атакой на онлайн‑банкинг.
Решение. Внедрена система защиты от DDoS (Qrator), настроен мониторинг SIEM.
Результат. Атака нейтрализована за 1 час, клиенты не заметили сбоев.
Дело № А56‑6666/2024 (Санкт‑Петербург)
Суть. Клиника не обеспечила шифрование медицинских карт.
Решение. Развёрнуто решение КриптоПро CSP, проведена аттестация ИС.
Результат. Избежан штраф 5 млн руб., данные защищены.
Дело № А60‑7777/2023 (Екатеринбург)
Суть. Компания потеряла данные из‑за ransomware.
Решение. Восстановлено резервное копирование, внедрена система резервного копирования Veeam.
Результат. Данные восстановлены, бизнес продолжил работу.
Комментарий О. А. Петухова: «Эти кейсы показывают: даже после инцидента можно минимизировать ущерб. Главное — действовать быстро и системно».
17. Ошибки при обеспечении ИБ: как их избежать
|
Ошибка |
Последствия |
Решение |
|
Отсутствие IRP |
Затягивание реакции, рост ущерба |
Разработка плана с чёткими ролями |
|
Использование несертифицированного ПО |
Риски уязвимостей, штрафы |
Переход на решения из реестра Минцифры |
|
Необученный персонал |
Фишинг, утечки |
Регулярные тренинги и симуляции атак |
|
Хранение данных без шифрования |
Утечки, уголовные дела |
Внедрение ГОСТ‑шифрования |
|
Игнорирование пентестов |
Незамеченные уязвимости |
Аудит раз в 6 месяцев |
|
Нарушение сроков уведомления |
Штрафы, блокировка |
Автоматизация отчётности в Роскомнадзор |
|
Передача данных третьим лицам без проверки |
Иски от субъектов ПДн |
Аудит договоров и соглашений |
18. Глоссарий (дополнение)
КИИ — критическая информационная инфраструктура (объекты, нарушение которых угрожает безопасности государства).
SIEM — система сбора, анализа и корреляции событий безопасности.
DLP — система предотвращения утечек данных (контроль каналов передачи).
MFA — многофакторная аутентификация (комбинация паролей, токенов, биометрии).
IRP — план реагирования на инциденты (алгоритм действий при атаке).
NDA — соглашение о неразглашении (запрет на передачу конфиденциальной информации).
SLA — соглашение об уровне услуг (гарантии доступности и безопасности).
0‑day — уязвимость, неизвестная разработчикам (не имеет патчей).
NGFW — межсетевой экран нового поколения (фильтрация трафика на уровне приложений).
IDS/IPS — системы обнаружения/предотвращения вторжений (анализ аномалий).
19. Контакты и ресурсы (финальный блок)
Автор:
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru;
E‑mail: petukhov@legascom.ru;
Телефон: 8-929-527-81-33, 8-921-234-45-78.
Как с нами связаться:
Оставьте заявку на сайте через форму «Консультация по кибербезопасности».
Напишите на e‑mail с темой «Вопрос по ИБ».
Позвоните и запишитесь на аудит ИБ.
Посетите офис (предварительная запись).
Бесплатные материалы на сайте:
чек‑лист «10 признаков уязвимости вашей IT‑инфраструктуры»;
шаблон политики обработки ПДн;
гайд по уведомлению Роскомнадзора об инцидентах;
обзор изменений законодательства (2026 г.);
инструкция по проведению пентеста;
видеокурс «ИБ для малого бизнеса».
Платные услуги:
аудит ИБ и соответствие ФЗ № 152‑ФЗ/№ 187‑ФЗ;
разработка документации (политики, регламенты, NDA);
сопровождение при проверках Роскомнадзора и ФСТЭК;
расследование инцидентов (форензика);
внедрение технических решений (SIEM, DLP, MFA, NGFW);
настройка систем шифрования (в т. ч. сертифицированных ФСБ);
организация резервного копирования и катастрофоустойчивости;
подготовка к проверкам регуляторов (Роскомнадзор, ФСТЭК, ФСБ);
представительство в суде по делам о киберпреступлениях и утечках данных;
разработка и аудит внутренних регламентов по ИБ;
проведение пентестов и оценка уязвимостей;
обучение персонала основам кибергигиены и реагированию на инциденты;
сопровождение при локализации данных в РФ;
аудит контрактов с третьими лицами на соответствие ФЗ № 152‑ФЗ.
20. Заключение: 5 ключевых выводов
Закон жёстче. В 2026 г. требования к ИБ и штрафы за нарушения достигли максимума. Локализация данных, аттестация ИС, уведомления об инцидентах — обязательны.
Ответственность комплексная. За утечки и кибератаки грозит:
уголовная (до 10 лет лишения свободы);
административная (штрафы до 18 млн руб.);
гражданская (компенсации и убытки).
Технические меры — не опция. SIEM, DLP, MFA, шифрование по ГОСТ — минимум для соответствия закону.
Персонал — слабое звено. Обучение и контроль доступа снижают 80 % внутренних угроз.
Промедление дорого. Реакция за 24 часа на утечку экономит миллионы и репутацию.
Финальный комментарий О. А. Петухова: «Кибербезопасность — это не затраты, а инвестиции. В 2026 г. компании, которые вложились в ИБ, избежали штрафов и сохранили клиентов. Те, кто проигнорировал риски, потеряли бизнес. Ваш выбор — за вами».
© 2026, юридическая компания «ЛЕГАС». Все права защищены.
При копировании материалов ссылка на источник обязательна.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
