Последствия нарушения правил информационной безопасности

Административная ответственность

За утечку персональных данных. Ст. 13.11 КоАП предусмотрены самые серьезные санкции. Штрафы для ИП и компаний начинаются от 3 миллионов рублей (например, за утечку данных 1000-10000 человек) и могут достигать 15 миллионов рублей за масштабные инциденты или утечку специальных категорий данных. Повторное нарушение может привести к штрафу, исчисляемому в процентах от выручки, — до 3%, но не менее 20-25 млн рублей.

За нарушения при работе с государственной тайной. Работа с информацией, составляющей гостайну, регулируется строже. Нарушение лицензионных условий ( ч. 3 ст. 13.12 КоАП ) грозит штрафом до 25 000 рублей для юрлица. Использование несертифицированных средств защиты такой информации ( ч. 4 ст. 13.12 КоАП ) — штрафом для компании до 100 000 рублей с конфискацией.

За использование неподходящих средств защиты. Согласно статье 13.12 КоАП , применение несертифицированных информационных систем и средств защиты информации, если для них требуется обязательная сертификация, является нарушением и может повлечь штраф для компании - от 50 000 до 100 000 рублей с возможной конфискацией несертифицированных средств.

Несоблюдение требований законодательства в области информационной безопасности ведет к существенным штрафам по КоАП . Ответственность несут как юрлица, так и ИП:

Дисциплинарная ответственность

Ответственность сотрудников за нарушение информационной безопасности начинается с дисциплинарных мер: замечания, выговора или увольнения. Конкретную меру выбирает работодатель, но она должна быть соразмерна проступку.

Привлечь сотрудника к такой ответственности за нарушение ИБ можно только при одновременном соблюдении условий:

1. Наличие утвержденных и доведенных до сотрудника правил. Все регламенты информационной безопасности (инструкции, политики) должны быть оформлены как локальные нормативные акты. Сотрудник обязан быть ознакомлен с ними под подпись при приеме на работу или при обновлении документов. Без этого доказать его вину практически невозможно.

2. Совершение конкретного нарушения. Действие или бездействие должно быть доказано. Примеры:

пересылка конфиденциальных данных через личный мессенджер вопреки прямому запрету в инструкции.

установка не поддерживаемого программного обеспечения, приведшая к заражению сети.

разглашение пароля коллеге или передача учетных данных третьим лицам.

умышленное отключение средств защиты информации.

3. Соблюдение процедуры привлечения. Работодатель обязан затребовать у сотрудника письменное объяснение. На основе докладной записки о нарушении и при отсутствии уважительных причин издается приказ о применении взыскания.