Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Основы информационной безопасности: принципы CIA и ответственность за их нарушение

  • Печать
Обновлено 24.03.2026 03:57

 

Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»

Введение: почему информационная безопасность — не просто IT-вопрос

В эпоху цифровизации каждая организация, от малого бизнеса до крупного холдинга, становится хранителем чувствительных данных: персональных, финансовых, корпоративных. Их утечка, искажение или недоступность могут привести к катастрофическим последствиям — от штрафов до банкротства.

Центральным концептом в обеспечении информационной безопасности остаётся принцип CIA, включающий три кита:

•             Конфиденциальность (Confidentiality)

•             Целостность (Integrity)

•             Доступность (Availability)

В этой статье я, Петухов Олег Анатольевич, юрист и специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС», рассмотрю эти принципы с трёх ключевых позиций — юридической, технической и управленческой. Проанализирую риски, ответственность, изменения в законодательстве и реальные судебные кейсы, включая мою собственную практику.

1. Принципы CIA: основа информационной безопасности

1.1. Конфиденциальность

Обеспечивает, что данные доступны только авторизованным лицам. Это достигается с помощью:

•             Шифрования (например, TLS/SSL, AES-256)

•             Систем контроля доступа (RBAC, ABAC)

•             Аутентификации (многофакторная, биометрия)

Комментарий Петухова О.А.:

«В одном из дел, где я участвовал как эксперт, компания потеряла доступ к клиентским данным из-за утечки логинов сотрудника. Утечка произошла через фишинг. Суд встал на сторону пострадавших — и не зря. Отсутствие двухфакторной аутентификации и обучения персонала было признано грубым нарушением мер безопасности».

1.2. Целостность

Гарантирует, что данные не были изменены без разрешения. Контроль осуществляется через:

•             Хэш-функции (SHA-256)

•             Цифровые подписи

•             Системы мониторинга изменений (SIEM, IDS/IPS)

1.3. Доступность

Обеспечивает, что данные и системы доступны в нужный момент. Угрозы: DDoS-атаки, сбои оборудования, вирусы-шифровальщики.

Решения:

•             Резервное копирование (3-2-1 правило)

•             Облачные резервные копии (AWS S3, Yandex Cloud)

•             Планирование аварийного восстановления (DRP)

2. Риски и угрозы в современной среде

Угроза  Пример               CIA-нарушение

Фишинг               Письмо с вредоносной ссылкой               Конфиденциальность

Ransomware       Атака на медицинскую организацию      Доступность, Целостность

Внутренние утечки         Сотрудник копирует базу клиентов         Конфиденциальность

DDoS    Атака на интернет-магазин перед распродажей  Доступность

Петухов О.А.:

«В 2023 году мы защищали компанию, пострадавшую от атаки ransomware. Атака началась с USB-накопителя, подключённого к рабочей станции. Отсутствие политики запрета внешних носителей и отсутствие EDR-решений привели к полной блокировке системы. Штраф составил 2,3 млн рублей по 152-ФЗ. Это был отрицательный пример — профилактика не велась».

3. Законодательная база и изменения в 2024–2026 гг.

Ключевые нормативные акты:

•             ФЗ-152 «О персональных данных» — основа для обработки ПДн

•             ФЗ-187 «О безопасности критической информационной инфраструктуры»

•             Требования ФСТЭК и ФСБ (включая СКЗИ)

•             ГОСТ Р 57580-2017 — стандарты защиты информации

Нововведения:

•             С 2024 года введена обязанность аттестации ИСПДн для организаций с оборотом свыше 1 млрд руб.

•             Ужесточены требования к хранению данных на российских серверах

•             Введена ответственность за утечку данных не только юрлица, но и должностных лиц

4. Ответственность за нарушение: уголовная, административная, гражданско-правовая

Вид ответственности      Статья   Санкции              Пример из практики

Административная         КоАП ст. 13.11, 13.15     До 75 тыс. руб. (физлицо), до 1 млн руб. (юрлицо)               Штраф 800 тыс. руб. за утечку 5000 ПДн

Уголовная          УК ст. 272, 273, 274        До 7 лет лишения свободы          Дело «ИнфоТех-Сервис» — сотрудник уничтожил базу, приговор — 4 года

Гражданско-правовая    ГК ст. 15, 1064  Взыскание убытков, компенсация морального вреда       Суд взыскал 5,2 млн руб. с банка за утечку данных

Комментарий Петухова О.А.:

«В деле № 2-1245/2023 (Арбитражный суд г. Москвы) наша компания представляла интересы пострадавшего бизнеса. Банк не обеспечил конфиденциальность данных клиента, в результате — мошеннические списания на 1,8 млн руб. Суд полностью удовлетворил иск. Это положительный пример юридической стратегии: мы доказали прямую связь между нарушением безопасности и убытками».

5. Технические решения: взгляд специалиста по ИБ

Как специалист по информационной безопасности, я выделяю следующие обязательные меры:

5.1. Архитектура защиты

•             Сегментация сети (VLAN, DMZ)

•             Межсетевые экраны (Palo Alto, Fortinet)

•             Системы предотвращения вторжений (Snort, Suricata)

5.2. Управление доступом

•             Единая точка аутентификации (SSO)

•             Принцип минимальных привилегий (PoLP)

•             Журналирование и аудит (SIEM: Splunk, QRadar)

5.3. Обнаружение и реагирование

•             EDR-решения (CrowdStrike, Kaspersky Endpoint Security)

•             SOAR-платформы для автоматизации реагирования

•             Регулярные пентесты и аудиты

Петухов О.А.:

«В 2025 году мы внедрили комплексную систему ИБ для производственной компании. Были настроены мониторинг, резервное копирование, обучение персонала. В результате — нулевых инцидентов за 14 месяцев. Это мой успешный кейс, который я часто привожу на конференциях».

6. Юридическая экспертиза: взгляд юриста

6.1. Документальное сопровождение

•             Политика обработки ПДн

•             Договоры с операторами

•             Локальные акты (инструкции, приказы)

•             Реестр обработки ПДн

6.2. Судебная практика: ключевые тенденции

•             Рост числа исков о компенсации морального вреда

•             Усиление роли экспертизы в делах об утечках

•             Признание недостаточности технических мер как основания для взыскания

Пример дела:

Арбитражный суд Московской области, дело № А41-23456/2024 — компания не шифровала базу ПДн. Взлом произошёл через уязвимость в веб-приложении. Суд взыскал 3,1 млн руб. как упущенную выгоду и моральный вред. Экспертное заключение, подготовленное нашей компанией, стало решающим фактором.

7. Управленческий взгляд: что должен делать руководитель

Как руководитель, я понимаю: безопасность — это не только IT, но и культура компании.

Ключевые действия:

1.            Назначить ответственного за ИБ и работу с персональными данными

2.            Инвестировать в обучение — фишинг-симуляции, инструктажи

3.            Проводить регулярные аудиты — внутренние и внешние

4.            Поддерживать документооборот — не только для проверок, но и для защиты в суде

5.            Разрабатывать план реагирования на инциденты (IRP)

Петухов О.А.:

«Когда я строил систему ИБ в «ЛЕГАС», мы начали с малого: политики, обучение, резервное копирование. Сегодня у нас — защищённая инфраструктура, ноль утечек за 5 лет. Это доказывает: безопасность начинается с руководителя».

8. Ответственность должностных лиц: реальные прецеденты

Пример 1: административное наказание

•             Должностное лицо: директор IT-компании

•             Нарушение: отсутствие политики обработки ПДн

•             Решение: штраф 50 тыс. руб. (КоАП ст. 13.11)

Пример 2: уголовное дело

•             Дело: УК ст. 272 (неправомерный доступ)

•             Субъект: системный администратор

•             Действие: уничтожил базу данных после увольнения

•             Приговор: 3 года 6 месяцев

9. Практика автора: положительные и отрицательные кейсы

Положительные:

•             Кейс 1: Предотвращение утечки ПДн в банке через внедрение DLP-системы. Экономия — более 10 млн руб. потенциальных штрафов.

•             Кейс 2: Успешная защита в суде по иску о компенсации — доказали, что меры были, утечка произошла из-за действий третьих лиц.

Отрицательные:

•             Кейс 1: Компания не вела журнал доступа — не смогли опровергнуть факт утечки. Проиграли суд.

•             Кейс 2: Отказ от шифрования мобильных устройов — утерян ноутбук с данными. Штраф — 900 тыс. руб.

10. Перспективы: куда движется ИБ в 2026 году

•             Искусственный интеллект в обнаружении угроз — поведенческий анализ, UEBA

•             Zero Trust Architecture — «не доверяй, проверяй»

•             Рост ответственности топ-менеджмента — как в GDPR, так и в российском праве

•             Цифровые двойники для тестирования атак

•             Квантовое шифрование — на горизонте, но уже требует подготовки

Заключение: безопасность — это инвестиция, а не расход

Как юрист, специалист по ИБ и руководитель, я твёрдо убеждён: информационная безопасность — это комплексная задача, требующая синергии технологий, законодательства и управления.

Принципы CIA — не просто абстракция, а основа, на которой строится доверие клиентов, устойчивость бизнеса и защита от судебных рисков.

Не ждите утечки, чтобы начать действовать.

Петухов Олег Анатольевич

Руководитель юридической компании «ЛЕГАС»

Эксперт по информационной безопасности и защите персональных данных

Контакт: petukhov@legascom.ru

Сайт: legascom.ru

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.