Риски CEO, CIO, CISO за нарушения в сфере КИИ и защиты данных
Преамбула
Настоящий документ представляет собой методологическую основу для должностных лиц, ответственных за безопасность информации, с целью:
Структурированного понимания персональной ответственности, устанавливаемой законодательством РФ для должностных лиц субъектов КИИ и операторов персональных данных (УЗ-3 и выше). Формирования практического подхода к управлению личными профессиональными рисками, связанными с исполнением обязанностей в области защиты информации.
Особенностью российского законодательства является перекос ответственности за несоблюдение требований защиты информации в область персональной ответственности должностных лиц, что приводит к дисбалансу прав и ответственности, поскольку решения о финансировании соответствия систем защиты принимается организацией, а ответственность за фактическое несоответствие несут должностные лица вплоть до лишения свободы.
Целевой аудиторией документа являются:
Должностные лица, несущие персональную ответственность за обеспечение безопасности информации: руководители организаций (CEO), руководители и специалисты служб информационной безопасности (CISO), руководители IT-подразделений (CIO). Кандидаты на соответствующие должности. Организации, отнесенные к субъектам критической информационной инфраструктуры (КИИ), а также операторы персональных данных, обрабатывающие данные в объеме, отнесенном к уровню защищенности УЗ-3 и выше согласно постановлению Правительства РФ от 01.11.2012 № 1119.
Данный документ может служить отправной точкой для самооценки должностным лицом своей роли и зоны персональной ответственности, разграничения внутреннего разграничения полномочий между CEO, CISO и CIO, а также инициации и разработки конкретных внутренних процедур и регламентов, направленных на снижение персональных юридических и профессиональных рисков.
Структура ответственности по сценариям
Тексты статей кодексов приведены в конце документа
1. Сценарий
1. Нарушения в области защиты информации были выявлены до возникновения инцидента в области информационной безопасности.
a. Если прокуратура или РКН нашли несоответствие мер защиты ОКИИ или ПД требованиям, то ответственный или причастный к ИБ рискует быть наказан по
i. КоАП ч. 8 ст. 13.11 до 200 000 р. ii. КоАП ч. 1 ст. 13.12 до 50 000 р. iii. УК ст. 293 до 120 000р, до 3-х годовых зарплат, до 3 месяцев ареста.
b. Если проверка выявила занижение категории КИИ, исключение АСУ из категорирования, занижении категории ПД, то ответственный или причастный может быть наказан по
i. УК ст. 292 до 500 000 р., до 4-х лет.
2. Сценарий 2. Нарушения были выявлены следствием в процессе расследования инцидента в области информационной безопасности.
a. Воздействие на ОКИИ, о котором вы обязаны сообщить и следствие выявило нарушения, то ответственный и причастные могут быть привлечены по
i. КоАП ч.14 ст. 13.11 до 600 000 р. ii. УК ч. 3 ст. 274.1 от 3 до 8 лет лишения свободы. iii. УК ст. 293 до 120 000р, до 3-х годовых зарплат, до 3 месяцев ареста.
b. Утечка персональных данных от 100 тыс.
i. УК ч. 3 ст. 274.1 от 3 до 8 лет лишения свободы. ii. УК ст. 293 до 120 000р, до 3-х годовых зарплат, до 3 месяцев ареста.
Основные заблуждения относительно правоприменительной практики
1. Сейчас мало приговоров по этим статьям.
a. Верно. Однако наблюдается устойчивая экспоненциальная динамика роста количества возбужденных дел и вынесенных судебных решений, что свидетельствует об активизации правоприменительной практики.
2. Умысел нужно доказать.
a. Правоприменитель выработал устоявшиеся и принимаемые судами формулировки мотивов, подпадающих под признаки «корыстной или иной личной заинтересованности» (ст. 201 УК РФ) или «иных низменных побуждений». К таковым относятся, в частности:
i. «из чувства ложно понятого служебного долга, солидарности с [ФИО], карьеризма и желания выслужиться перед руководителем» (приговор от 17.03.2020 № 1-286/2020); ii. «преследуя личную заинтересованность, выраженную в карьеризме, желании предотвратить негативную оценку своих профессиональных качеств со стороны руководства» (приговор от 16.05.2022 № 1-182/2022).
3. Тяжелые части статей не применимы.
a. Не верно. Наличие между обвиняемым и работодателем трудовых отношений (трудового договора) и закрепленных в должностной инструкции полномочий по обращению с информацией следственные органы и суды квалифицируют как использование служебного положения. Данный признак является основанием для применения более строгих санкций, предусмотренных частями 2 и 3 соответствующих статей Уголовного кодекса Российской Федерации.
Наиболее часто встречающиеся грубые ошибки при спасении фигурантов
1. Взаимодействие со следствием для смягчения наказания.
Активное сотрудничество с органами предварительного следствия, формально являющееся смягчающим обстоятельством, сопряжено с существенным процессуальным риском. Предоставление информации и доказательств может быть использовано для переквалификации деяния на более тяжкий состав статьи или для установления вины иных лиц. В связи с этим стратегия защиты должна исключать добровольное свидетельствование против себя по уголовному составу в расчете на смягчение административной ответственности, так как данная тактика является процессуально несостоятельной и ведет к ухудшению правового положения. Все контакты со следственными органами должны осуществляться исключительно через адвоката, специализирующегося на делах в сфере информационной безопасности.
2. Отсутствие документированных свидетельств информирования организации о несоответствиях.
Устные доклады первому лицу или иным руководителям о выявленных нарушениях в защите персональных данных или объектов КИИ не создают юридически значимого подтверждения осведомленности организации. Отсутствие письменного запроса на ресурсы для устранения нарушений лишает должностное лицо возможности доказать, что руководство было уведомлено, но не выделило необходимых средств. Единственным надлежащим способом фиксации является направление официальных служебных записок с обязательной регистрацией в службе делопроизводства. В таких документах должны быть четко указаны конкретные нарушения и перечень необходимых мер для приведения состояния защиты в соответствие с законодательством РФ.
3. Отсутствие планов устранения явных и легко выявляемых нарушений.
При выявлении явных нарушений в ходе проверки уполномоченных органов отсутствие формализованного плана по их устранению трактуется как бездействие и отсутствие намерения соблюдать закон. Наличие внутренне утвержденного и визированного «Плана мероприятий по устранению выявленных недостатков» является ключевым доказательством добросовестности организации. Данный документ служит основанием для конструктивного диалога с проверяющими органами, демонстрируя осознание проблем и курс на их планомерное исправление, что может позитивно влиять на вид и меру применяемой ответственности.
4. Использование иностранных средств защиты информации.
Применение иностранного программного обеспечения и оборудования для защиты информации в ряде случаев прямо запрещено нормативными актами, в частности Указом Президента РФ № 250. Нарушение данного запрета при обработке информации ограниченного доступа или в инфраструктуре КИИ создает непреодолимые правовые риски и может являться самостоятельным составом нарушения. Перед внедрением любых средств защиты необходимо проводить анализ их соответствия действующим ограничениям, установленным указами Президента РФ и постановлениями Правительства РФ.
5. Почивания на лаврах успешных проектов по информационной безопасности.
Субъективная уверенность должностных лиц в полноте выполненных мероприятий по защите информации не имеет доказательственной ценности. Рекомендуемым механизмом получения объективной оценки является проведение регулярного независимого аудита системы защиты информации аккредитованной организацией. Результаты такого аудита носят конфиденциальный характер и предназначены исключительно для внутреннего использования с целью совершенствования системы защиты. Предоставление отчета об аудите третьим лицам, включая контролирующие органы, должно осуществляться только при наличии прямого законного требования, поскольку данный документ может содержать информацию, способную спровоцировать внеплановую проверку.
Административная ответственность
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности <…> <…>; на должностных лиц - от ста тысяч до двухсот тысяч рублей; на юридических лиц - от одного миллиона до шести миллионов рублей.
14. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных <..> <…> на должностных лиц - от четырехсот тысяч до шестисот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.
КоАП РФ Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации
1. Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, - влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
Уголовная ответственность
УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.
<…>
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации <…> если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, - наказывается <…>
4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, - наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
УК РФ Статья 293. Халатность
1. Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до трех месяцев.
УК РФ Статья 292. Служебный подлог
1. Служебный подлог, то есть внесение должностным лицом, <…>, в официальные документы заведомо ложных сведений, а равно внесение в указанные документы исправлений, искажающих их действительное содержание <…> - <…>.
2. Те же деяния, повлекшие существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказываются:
штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или • заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Что делать?
1. Немедленно.
1.1. Заручиться поддержкой профильного адвоката по ИБ/ИТ-праву, иметь контакты на случай внезапной проверки.
Необходимо срочно найти адвоката (не просто юриста) с опытом защиты по статьям в области КИИ или ПД. Их сейчас пока очень мало, но это может сэкономить годы жизни. По крайней мере у вас будет телефон, по которому можно будет позвонить и быть уверенным, что вам не откажут. Для пущей уверенности имеет смысл внести адвокатский депозит.
Адвокатский депозит – это модель предварительного юридического обслуживания, своего рода «правовая страховка» или абонемент на экстренную защиту. В рамках такой модели клиент вносит фиксированную сумму, которая, как правило, существенно ниже полной стоимости ведения сложного уголовного дела. Эта предоплата гарантирует, что за ним будет закреплён конкретный адвокат нужной специализации — например, по экономическим или ИТ-преступлениям — на длительный срок, обычно от полугода до года. Главная ценность услуги заключается в гарантии мгновенного реагирования. При возникновении критической ситуации, будь то задержание, обыск или внезапный допрос, адвокат обязуется прибыть на место в течение часа с уже оформленным бессрочным ордером, что является обязательным условием для допуска к следственным действиям. Ключевое преимущество — упреждающая подготовка: клиент заранее знакомится с адвокатом, который анализирует его потенциальные риски, а все необходимые документы готовятся заблаговременно. Это позволяет в момент реальной угрозы не тратить драгоценное время на поиск защиты и согласование условий, а сразу получить квалифицированную помощь. Такая модель даёт клиенту не только практическую защиту в самые критические первые часы взаимодействия со следствием, но и психологическую уверенность, а в долгосрочной перспективе часто оказывается экономически выгоднее, чем экстренный поиск адвоката по завышенным «срочным» тарифам. Важно понимать, что это гражданско-правовой договор об оказании услуг, а не процессуальный залог, и его эффективность напрямую зависит от профессионализма конкретного юриста и условий соглашения.
1.2. Приостановить внедрение любых иностранных средств защиты до анализа соответствия Указу №250 и иным ограничениям.
Данная мера является критически важной для минимизации персональных уголовных рисков должностного лица, ответственного за защиту информации. Её необходимость обусловлена не просто формальным соблюдением регуляторных норм, а прямой связью между использованием иностранного программного обеспечения и оборудования (ПО) и квалификацией действий как преступной халатности или иного правонарушения. Текущая правоприменительная практика и вектор законодательных изменений формируют однозначный тренд: сфера защиты информации становится зоной технологического суверенитета, где иностранные решения рассматриваются не как потенциальный риск, а как прямое нарушение закона.
Во-первых, следует понимать, что регуляторная среда динамично ужесточается. Указ Президента РФ № 250 от 30.03.2022 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» не является финальной точкой, а лишь этапом в последовательном вытеснении иностранных решений из критической инфраструктуры. Законодательная логика ведёт к тому, что в обозримой перспективе для субъектов КИИ и операторов ПДн высоких категорий будет разрешено использовать исключительно российские средства защиты, прошедшие процедуру сертификации в уполномоченных органах (ФСТЭК, ФСБ). Поэтому любое планируемое к внедрению иностранное средство несёт в себе не только технический, но и существенный репутационный и правовой риск скорого юридического устаревания и последующего внепланового дорогостоящего замещения.
Во-вторых, судебная практика, включая реальные приговоры по статьям о халатности (ст. 293 УК РФ), уже содержит прямые формулировки, рассматривающие факт использования иностранного ПО, имеющего доступ в интернет, как создание канала утечки информации для иностранных разведок. Таким образом, следствие и суд могут интерпретировать сам выбор инструмента защиты не как ошибочное бизнес-решение, а как осознанное или грубо небрежное действие, приведшее к «существенному нарушению охраняемых законом интересов общества или государства». В контексте таких дел техническая эффективность средства защиты становится юридически нерелевантной — ключевым фактором является его происхождение и соответствие запретам.
В-третьих, существует принципиальная юридическая позиция регуляторов, которую необходимо принять как данность: использование запрещённого иностранного средства защиты информации приравнивается к полному отсутствию системы защиты на соответствующем объекте. С формальной точки зрения, если средство не соответствует требованиям Указа №250 или постановлений Правительства (например, № 878 для СЗИ КИИ), то оно не может быть учтено при оценке выполнения обязательных требований. Следовательно, должностное лицо, санкционировавшее его применение, подписывается под тем, что соответствующий актив (сервер, сетевой сегмент, база данных) остаётся незащищённым, что является прямым основанием для привлечения к административной (по ст. 13.12 КоАП РФ) или уголовной ответственности.
Практические шаги в рамках данного пункта должны включать:
Издание немедленного распорядительного документа, блокирующего закупки и инсталляцию любых новых иностранных решений в области ИБ до проведения анализа. Проведение инвентаризации уже используемого иностранного защитного ПО и оборудования с классификацией по критичности. Обращение к юридической службе и/или внешним экспертам для проведения детального правового анализа каждого средства на предмет его соответствия действующим запретам и ограничениям, включая не только Указ №250, но и отраслевые приказы и методики. На основе анализа формирование плана замещения несоответствующих средств российскими аналогами, включение данного плана в общую «дорожную карту» соответствия и доведение его до сведения руководства в письменном виде для снятия персональных рисков, связанных с бездействием. Это не вопрос технологического выбора, а императивное требование правовой безопасности самого должностного лица.
1.3. Начать документировать все устные доклады об ИБ-рисках и потребностях в виде официальных служебных записок с регистрацией в канцелярии.
Данное действие является фундаментальным элементом вашей личной правовой защиты. В случае проверки или инцидента ваши устные предупреждения, высказанные на совещаниях или в личных беседах, будут юридически ничтожны. Следствие и суд оперируют исключительно документальными доказательствами. Поэтому ваша стратегическая задача — создать неразрывный, официально зафиксированный бумажный след, который служит неоспоримым доказательством того, что вы, как должностное лицо, добросовестно исполнили свою ключевую обязанность: своевременно и в полном объеме информировали руководство организации о существующих угрозах, выявленных нарушениях и необходимых для их устранения ресурсах.
Первый и обязательный шаг — это отказ от практики исключительно устных докладов. После любого совещания или разговора, где обсуждались критические риски, вы должны оформить служебную записку. В ней следует четко, со ссылками на нормативные акты, указать конкретные выявленные несоответствия, описать возможные последствия и привести перечень необходимых мер с примерной оценкой бюджета и сроков. Этот документ должен быть адресован конкретному руководителю, уполномоченному принимать решения о финансировании и приоритетах. Однако сама по себе созданная вами записка не является доказательством. Ключевой процедурой является ее официальная регистрация в службе делопроизводства (канцелярии) как входящего документа, что присваивает ей юридический статус внутри организации. Штамп с входящим номером и датой является основным доказательством того, что информация была вами передана, а руководство — уведомлено.
Следует быть готовым к организационному сопротивлению. Если служба документооборота отказывается регистрировать ваши внутренние записки, это не должно останавливать процесс. В такой ситуации необходимо использовать альтернативный, но юридически безупречный способ — отправку заказного письма с описью вложения на юридический адрес организации. Почтовое уведомление о вручении, хранящееся у вас, будет являться столь же весомым, а возможно, и более весомым доказательством в суде, чем внутренний журнал регистрации.
Крайне важно избегать использования для этих целей электронной почты, особенно корпоративной. Во-первых, в случае увольнения или блокировки доступа вы мгновенно лишаетесь всех доказательств. Во-вторых, отправка подобной информации, которая может содержать сведения о недостатках защиты, с личной почты даст основание для обвинений вас уже со стороны работодателя в разглашении коммерческой или служебной тайны. Таким образом, бумажный документооборот через канцелярию или почту России является единственным безопасным и доказуемым каналом.
Итоговая цель — создать «досье ответственности», где каждый ваш профессиональный вывод и каждое предупреждение имеют материальное подтверждение в виде официального, зарегистрированного документа. Это смещает правовые риски с вашей персоны на организацию, демонстрируя, что источником проблемы является не бездействие или халатность специалиста, а решения (или бездействие) руководства в вопросах распределения ресурсов. Эта бумажная трассировка является вашим главным аргументом против обвинений в халатности или в нарушении правил эксплуатации средств защиты, так как прямо доказывает факт исполнения вами должностных обязанностей по информированию.
1.4. Начать работу по аудиту текущей ситуации своими силами в первом приближении, оценки отечественных решений по функциональности, стоимости и доступности, а так для оценки требуемых ресурсов для внедрения.
Настоящий анализ предназначен для формирования структурированного алгоритма действий должностного лица (CEO, CIO, CISO), несущего персональную ответственность за безопасность информации, на начальном этапе работы по оценке и минимизации персональных юридических рисков. Действия должны быть направлены на создание документально подтвержденной доказательной базы, демонстрирующей добросовестное исполнение обязанностей и осознанное управление рисками.
Первоначальным этапом является проведение силами внутренних специалистов предварительного аудита (самообследования) текущего состояния системы защиты информации. Целью данного этапа является не получение формального заключения, а выявление очевидных (явных) нарушений обязательных требований, установленных Федеральными законами № 152-ФЗ, № 187-ФЗ, Указом Президента РФ № 250, Приказом ФСТЭК России № 21 и иными нормативными правовыми актами. Объектами обследования должны стать как системы обработки персональных данных уровня защищенности УЗ-3 и выше, так и объекты критической информационной инфраструктуры, в зависимости от статуса организации. Результатом данного этапа должен стать внутренний рабочий документ - «Акт предварительного обследования», фиксирующий выявленные несоответствия. Устное информирование руководства о результатах не имеет юридической силы, в связи с чем последующим обязательным действием является подготовка и направление на имя первого руководителя организации официальной служебной записки. В указанной записке должны быть детально изложены выявленные нарушения, ссылки на нарушаемые нормы права, а также сформулирован обоснованный запрос на выделение кадровых, финансовых и временных ресурсов, необходимых для разработки плана мероприятий по устранению недостатков.
Параллельно с подготовкой служебной записки инициируется этап предварительного анализа рынка отечественных решений в области защиты информации. Анализ должен проводиться по трем ключевым критериям: функциональное соответствие законодательным требованиям, совокупная стоимость владения (закупка, внедрение, сопровождение, обновление) и доступность решений (наличие действующих сертификатов ФСТЭК России, ФСБ России, сроки поставки и внедрения). Результатом данного анализа должен стать сводный отчет, содержащий сравнительную характеристику нескольких вариантов решений для каждой выявленной проблемы. Данный отчет служит основанием для финансово-экономического обоснования будущих затрат и является приложением к служебной записке, демонстрируя техническую и экономическую проработанность запроса на ресурсы.
На основании полученного от руководства ответа (резолюции) на служебную записку осуществляется финальный этап предварительной оценки – расчет требуемых ресурсов для внедрения. В расчет включаются: бюджет на закупку отечественных средств защиты информации и услуги аккредитованных организаций, затраты на рабочее время внутренних специалистов, предполагаемые сроки реализации этапов работ. Ключевым итогом всей последовательности действий является разработка и последующее внутреннее утверждение «Плана мероприятий по устранению выявленных недостатков в системе защиты информации». Наличие данного документа, утвержденного руководством организации, является критически важным доказательством для контролирующих и правоохранительных органов в случае проверки, так как свидетельствует о переходе от бездействия к планомерной деятельности по приведению СЗИ в соответствие с законом, что может быть признано смягчающим обстоятельством и влиять на квалификацию нарушений.
2. В ближайший месяц
2.1. Четко разграничить (или хотя-бы попытаться) и задокументировать зоны ответственности и полномочия между CEO, CIO, CISO во внутренних положениях Предлагаю начать с такой матрицы RACI, и расширить, адаптировать её под себя.
2.2. Оформить результаты самообследования в виде документа «Акт предварительного обследования» и зафиксировать его передачу руководителю. Формирование и документальная фиксация передачи руководителю «Акта предварительного обследования» представляет собой ключевую организационно-распорядительную процедуру, имеющую двойную правовую природу.
Во-первых, данный акт является первичным внутренним документом, удостоверяющим факт проведения должностным лицом активных действий, направленных на исполнение возложенных обязанностей по обеспечению безопасности информации. Его наличие опровергает потенциальные обвинения в бездействии (пассивности), которые могут быть квалифицированы по статье 293 УК РФ и будут является смягчающим обстоятельством по статье 274.1 УК.
Во-вторых, процедура официальной регистрации и передачи акта руководителю служит надлежащим, документально подтверждаемым способом информирования собственника и высшего руководства организации о выявленных рисках и несоответствиях. Это действие формирует критически важную для должностного лица доказательственную базу, подтверждающую, что руководство было уведомлено о существующих нарушениях требований регуляторов и ответственность за принятие решений о выделении ресурсов для устранения выявленных недостатков лежит на руководителе, обладающем соответствующими полномочиями. Отсутствие такого документа, либо его неформальный характер (например, электронная переписка без регистрации), лишает ответственное лицо возможности сослаться на выполнение своей части обязанностей в случае проведения проверки или расследования инцидента. Устные доклады юридической силы не имеют.
Структура и рекомендуемое содержание документа «Акт предварительного обследования состояния системы защиты информации»
Документ должен быть составлен на бланке организации, иметь регистрационный номер в соответствии с правилами делопроизводства.
1. Шапка документа.
Наименование организации. Название документа: «АКТ предварительного обследования состояния системы защиты информации». Регистрационный номер, дата составления, место составления (населенный пункт).
2. Преамбула (констатирующая часть).
Основание для проведения обследования (например: «В целях исполнения требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также в рамках исполнения должностных обязанностей…»). Состав комиссии или фамилия, инициалы, должность лица, проводившего обследование. Период проведения обследования. Объекты обследования (например: «информационная система персональных данных «Кадры», объект критической информационной инфраструктуры «Автоматизированная система управления технологическим процессом №1», «Сетевая инфраструктура головного офиса»). Нормативная база, на соответствие которой проводилось обследование (перечень конкретных законов, указов, приказов регуляторов, например: «…требованиям Приказа ФСТЭК России от 18.02.2013 № 21, Указа Президента РФ № 250…»).
3. Основная часть (констатация фактов).
Раздел «Выявленные несоответствия (нарушения)». Изложение должно быть структурировано по объектам защиты или по группам требований. По каждому пункту указывается:
- Выявленное нарушение (формулировка).
- Нормативный правовой акт, требование которого нарушено (конкретная статья, пункт).
- Краткое описание и констатация факта (что проверено, что установлено).
- Потенциальные риски и последствия (угроза инцидента ИБ, возможность привлечения к ответственности).
Раздел «Области, соответствующие требованиям» (при наличии). Фиксация областей, где нарушений не выявлено, также свидетельствует о системности подхода. Раздел «Предварительные выводы». Общая оценка состояния защиты, вывод о наличии системных нарушений, создающих существенные правовые и операционные риски для организации.
4. Заключительная часть (резолютивная).
Рекомендации: Формулировка о необходимости разработки и утверждения «Плана мероприятий по устранению выявленных нарушений». Предложение: Указание на необходимость выделения ресурсов для проведения детального аудита аккредитованной организацией или для немедленного устранения критических нарушений. Приложения: Ссылка на приложения к акту (при наличии), например, скриншоты, расшифровки настроек, отчеты сканеров.
5. Подписи и отметка о регистрации входящего документа.
Подпись лица, составившего акт, с расшифровкой (ФИО, должность). Отметка службы делопроизводства (канцелярии, секретариата) о регистрации входящего документа с присвоением номера и даты, либо подпись руководителя на втором экземпляре акта с указанием даты получения. Альтернативой, обеспечивающей аналогичную доказательную силу, является направление документа заказным письмом с уведомлением о вручении на юридический адрес организации. Простая электронная почта или передача документа «в руки» без фиксации факта приема не являются надежными доказательствами.
2.3. Организовать для себя и ключевых сотрудников инструктаж о правилах поведения при внеплановых проверках и общении со следственными органами (только через адвоката)
Организация специализированного инструктажа для должностных лиц, несущих персональную ответственность в сфере защиты информации, о порядке поведения при проведении внеплановых проверок и в ходе общения с органами предварительного следствия представляет собой императивную превентивную меру, направленную на нейтрализацию процессуальных рисков. Юридическое обоснование данной необходимости основывается на тезисе о принципиальном разделении компетенций и потенциальном конфликте интересов между должностным лицом и организацией-работодателем.
Внутренняя юридическая служба компании, чья профессиональная экспертиза традиционно сосредоточена в сфере гражданско-правовых, корпоративных и трудовых отношений, как правило, не обладает необходимой специализацией в области уголовно-правовой квалификации составов преступлений, связанных с нарушениями требований защиты информации, а также в специфике административного производства по делам, вытекающим из Федеральных законов № 152-ФЗ и № 187-ФЗ. Более того, процессуальная тактика при производстве следственных действий, включая изъятие цифровых носителей, проведение допросов и оценку допустимости доказательств, требует узкопрофессиональных знаний, выходящих за рамки общей корпоративной практики. Неверная консультация на начальном этапе взаимодействия с правоохранительными органами может иметь необратимые негативные последствия для правового положения фигуранта.
Критически важным аспектом является объективное противоречие интересов организации и персонально ответственного сотрудника в ситуации правового принуждения. Юридическое лицо, действуя через свою службу правового обеспечения, ориентировано на минимизацию финансовых санкций, репутационных потерь и операционных издержек компании в целом. Защита же персональных интересов должностного лица, направленная на предотвращение дисквалификации, крупного административного штрафа или уголовного преследования, не является приоритетной задачей работодателя. В гипотетической ситуации, когда следственные действия создают прямые риски привлечения к ответственности генерального директора (единоличного исполнительного органа), корпоративный интерес к защите иного должностного лица, включая CIO или CISO, может быть полностью нивелирован, поскольку юридическая служба обязана действовать исключительно в интересах компании, что может предполагать тактику, не совместимую с индивидуальной защитой сотрудника.
В этом ключе проведение инструктажа должно быть поручено внешнему адвокату, специализирующемуся на делах в сфере информационной безопасности и информационных технологий. Содержанием такого инструктажа должны стать разъяснения процессуальных статусов (разъяснение разницы между статусами «свидетель», «лицо, в отношении которого осуществляется проверка», «подозреваемый», «обвиняемый». Акцент на том, что любой контакт может привести к изменению статуса), порядка реализации права на защиту, а также выработка единого алгоритма действий. Ключевым правилом, подлежащим неукоснительному усвоению, является принцип полного отказа от каких-либо устных или письменных пояснений, предоставления документов или совершения действий в отношении потенциальных доказательств до консультации с адвокатом и исключительно в его присутствии. Стандартной процессуальной позицией должно стать заявление о готовности сотрудничать в установленных законом рамках после обеспечения возможности связи с защитником. Отдельное внимание должно быть уделено вопросам документального фиксирования возможных нарушений процедуры со стороны проверяющих, что в дальнейшем может быть использовано адвокатом для защиты.
3. Дальнейшие действия
3.1 Заказать независимый аудит ИБ-системы аккредитованной организацией для объективной оценки соответствия. Отчет хранить конфиденциально.
Данная мера выходит за рамки простой проверки и приобретает характер процессуальной гарантии, поскольку внутренняя самодиагностика, проводимая силами собственных специалистов ИТ- и ИБ-подразделений, в силу профессиональной ограниченности и неизбежной субъективности, не способна обеспечить всестороннее и беспристрастное выявление системных нарушений, особенно в части организационно-распорядительного и нормативно-методического обеспечения. Результатом такого аудита должен стать официальный отчет, который выполняет двойную функцию: с одной стороны, он представляет собой исчерпывающий анализ полноты и адекватности уже реализованных мер защиты, а с другой — формирует структурированный перечень недостающих мероприятий с технико-экономическим обоснованием путей их практической реализации.
Целесообразно расширить предмет договора на проведение аудита, включив в него задачу по разработке проектов необходимых внутренних локальных нормативных актов и рабочих регламентов, направленных на устранение выявленных пробелов в организационных мерах защиты информации. Данный подход обеспечивает не только констатацию несоответствий, но и предоставляет готовый инструментарий для их скорейшего устранения, что является весомым доказательством добросовестности и последовательности действий должностного лица, направленных на соблюдение законодательства. Кроме того, аудиторской организации может быть поручена задача по формированию доказательной базы, обосновывающей корректность применения и настройки уже эксплуатируемых средств защиты информации. Такое заключение служит важным аргументом в потенциальных спорах с контролирующими органами, опровергая возможные обвинения в формальном или ненадлежащем использовании технических мер.
Полученный отчет аудиторской организации подлежит строгому конфиденциальному хранению и предназначен исключительно для внутреннего использования в целях совершенствования системы защиты. Его предоставление третьим лицам, включая государственные контролирующие органы, должно осуществляться исключительно при наличии прямого законного основания, такого как официальный запрос в рамках уже возбужденного дела об административном правонарушении или постановления следователя. Добровольное раскрытие полного отчета несет в себе существенные правовые риски, поскольку документ, содержащий детальное описание уязвимостей и недостатков, может быть интерпретирован как неопровержимое доказательство осведомленности руководства о нарушениях и использован для ужесточения квалификации деяний. Таким образом, проведение независимого аудита является не только инструментом повышения безопасности, но и ключевым элементом стратегии управления персональными юридическими рисками, создающим защищенную профессиональным суждением экспертов доказательственную основу для аргументированного диалога с регуляторами и демонстрации должной осмотрительности.
3.2 Разработка политики в области соблюдения требований законодательства в области информационной безопасности.
Данный документ приобретает характер внутреннего нормативного акта, устанавливающего единые подходы, принципы и распределение ответственности в сфере compliance.
В своей сущности политика должна регламентировать полный управленческий цикл, охватывающий этапы планирования защитных мероприятий, их практическую реализацию, а также процедуры регулярной проверки и верификации эффективности принятых мер. В установленных законодательством случаях, например, при обработке персональных данных определенных категорий или эксплуатации объектов критической информационной инфраструктуры, политика обязана предусматривать порядок и условия проведения обязательной сертификации или аттестации соответствующих систем. Такой комплексный подход трансформирует разрозненные действия в управляемый и документированный процесс, что является ключевым доказательством построения системы обеспечения безопасности, а не осуществления отдельных, не связанных между собой мероприятий.
Важнейшим элементом данной политики является институционализация функции проактивного мониторинга и анализа тенденций развития регулирования в сфере информационной безопасности. Политика должна закреплять процедуры заблаговременного выявления проектов нормативных правовых актов, изучения практики правоприменения контролирующих органов и оценки потенциального влияния планируемых изменений на деятельность организации. Это позволяет перейти от реактивной модели, при которой меры принимаются после вступления новых требований в силу и выявления нарушений, к упреждающей, минимизирующей правовые и операционные риски, связанные с необходимостью срочного и затратного перестроения работающих систем защиты.
Наконец, политика должна выполнять интеграционную функцию, синхронизируя цели обеспечения соответствия со стратегическими планами развития бизнеса. В частности, в ней необходимо закрепить механизм обязательного анализа новых проектов компании, информационных систем и технологических процессов на предмет возможного возникновения объектов, подпадающих под более высокий класс защищенности персональных данных или категорию значимости критической информационной инфраструктуры, чем те, на которые рассчитаны текущие развернутые меры. Такой анализ на этапе планирования позволяет обоснованно оценить потребность в дополнительных ресурсах, скорректировать бюджет и сроки реализации проектов, избежав тем самым ситуации, когда введенный в эксплуатацию объект изначально не соответствует законодательным требованиям, что создает непреодолимые правовые риски для ответственных должностных лиц. Таким образом, политика compliance становится не обособленным документом, а активным инструментом управления рисками, встроенным в ключевые бизнес-процессы организации.
В качестве заключения
Настоящий анализ позволяет сделать вывод о том, что в условиях сложившейся правоприменительной практики, делающей акцент на персональной ответственности должностных лиц, спасение от юридических рисков в сфере информационной безопасности является делом рук самих потенциальных фигурантов. Законодательство и контрольные органы возлагают на руководителей и специалистов бремя доказывания добросовестности и должной осмотрительности. Организация, в чьих интересах формально действует сотрудник, не является его процессуальным союзником, а ее внутренние ресурсы — юридические, финансовые, экспертные — не гарантированы для его личной защиты в момент кризиса.
В этой парадигме единственной эффективной стратегией является проактивное построение индивидуальной системы юридической самозащиты. Ее краеугольными камнями должны стать: неукоснительное документирование всех действий и решений, формализация и разграничение ответственности, проведение независимых аудитов, формирование конфиденциальной доказательной базы и заблаговременная организация персональной адвокатской защиты. Каждое из этих действий направлено на создание неопровержимого документального следа, демонстрирующего исполнение обязанностей в пределах предоставленных полномочий и ресурсов.
Таким образом, управление профессиональным риском перестает быть лишь частью должностных функций и становится вопросом личной юридической безопасности. В отсутствие системной защиты со стороны работодателя, должностному лицу надлежит самостоятельно инициировать и внедрять описанные механизмы, превращая их из рекомендаций в обязательную профессиональную практику. В конечном счете, в случае возникновения претензий регуляторов, именно этот созданный заранее массив доказательств станет основным, а зачастую и единственным, аргументом в защиту свободы, репутации и профессионального будущего ответственного лица.