Журнал "Системы Безопасности" № 2‘2025

S E C U R I T Y A N D I T M A N A G E M E N T 27 мых объектов Кии. Штраф для юрлиц от 50 тыс. до 100 тыс. руб. l нарушение требований к обеспечению без- опасности этих объектов. Штраф для юрлиц от 50 тыс. до 100 тыс. руб. Штраф для должностных лиц по таким наруше- ниям составит от 10 тыс. до 50 тыс. руб. Срок давности привлечения к ответственности за все эти нарушения составит один год. Уголовная ответственность, связанная с КИИ Уголовная ответственность за несоблюдение законодательных норм, касающихся Кии, наступает в соответствии со ст. 274.1 п. 1–4 Уголовного кодекса РФ ("неправомерное воз- действие на критическую информационную инфраструктуру Российской Федерации"): l Создание, распространение и (или) исполь- зование компьютерных программ либо иной компьютерной информации, заведомо пред- назначенных для неправомерного воздей- ствия на Кии. l неправомерный доступ к охраняемой компью- терной информации, содержащейся в Кии. l нарушение правил эксплуатации средств хране- ния, обработки или передачи охраняемой ком- пьютерной информации, содержащейся в Кии. Если нанесен вред Кии, виновный наказывает- ся принудительными работами на срок до пяти лет со штрафом до 1 млн руб. Обработка персональных данных Обработкой персональных данных считаются любые действия или операции, которые прово- дятся с ними, в том числе сбор, систематизация, хранение, уточнение, использование, распро- странение, удаление. Основные документы, регулирующие эту деятельность: l Федеральный закон от 27.07.2006 № 152-Фз "О персональных данных"; l постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требо- ваний к защите персональных данных при их обработке в информационных системах пер- сональных данных"; l приказ Федеральной службы по техниче- скому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Соста- ва и содержания организационных и тех- нических мер по обеспечению безопасно- сти персональных данных при их обработ- ке в информационных системах персо- нальных данных"; l Федеральный закон от 27.07.2006 № 149-Фз "Об информации, информационных техноло- гиях и о защите информации". в документе прописан запрет на бесконечное хранение лич- ных данных: после достижения целей обработ- ки Пдн их нужно удалить или обезличить. злоумышленники стремятся использовать Пдн для противоправных действий, из которых они извлекают выгоду. для подкрепления внимания к этой проблеме учрежден международный день защиты персональных данных, который отмечается ежегодно 28 января. Лицо, ответственное за организацию обработки ПДн в соответствии со ст. 22.1. 152-Фз "О персо- нальных данных" в организации назначается лицо, ответственное за организацию обработ- ки персональных данных. Этот сотрудник получает указания непосредственно от испол- нительного органа организации, являющейся оператором, и подотчетен ему. Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому для выполнения функ- ций по обработке персональных данных подойдет любой квалифицированный работ- ник – специалист отдела кадров, бухгалтер, секретарь. Сотрудник, ответственный за обработку персо- нальных данных, обязан: l контролировать, как работодатель и сотруд- ники соблюдают закон о персональных дан- ных, в том числе требования к их защите; www.secuteck.ru апрель – май 2025 СПЕЦПРОЕКТ АнТиТЕРРОР. БЕзОПАСнОСТь мЕСТ С мАССОвым ПРЕБывАниЕм людЕй Таблица 5. Ответственность оператора, связанная с ПДн Неправомерные действия Штраф Обработка ПДн в случаях, не предусмотренных законодательством РФ, либо нецелевая обработка (ч. 1 ст. 13.11) От 150 тыс. до 300 тыс. руб. За повторное нарушение – от 300 тыс. до 500 тыс. руб. Невыполнение обязанности по направлению уведомления в Роскомнад- зор о намерении осуществлять обработку ПДн (ч. 10 ст. 13.11) От 100 тыс. до 300 тыс. руб. Невыполнение или несвоевременное выполнение обязанности по уведом- лению Роскомнадзора в случае утечки ПДн (ч. 11 ст. 13.11), повлекшей нарушение прав субъектов персональных данных От 1 млн до 3 млн руб. Утечка ПДн от 1 тыс. до 10 тыс. субъектов персональных данных и (или) от 10 тыс. до 100 тыс. идентификаторов, если действия (бездействие) опера- тора не содержат признаков уголовно наказуемого деяния (ч. 12 ст. 13.11) От 3 млн до 5 млн руб. Утечка ПДн от 10 тыс. до 100 тыс. субъектов персональных данных и (или) от 100 тыс. до 1 млн идентификаторов, если действия (бездействие) опе- ратора не содержат признаков уголовно наказуемого деяния (ч. 13 ст. 13.11) От 5 млн до 10 млн руб. Утечка ПДн более 100 тыс. субъектов персональных данных и (или) более 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч. 14 ст. 13.11) От 10 млн до 15 млн руб. Повторная утечка (ч. 15 ст. 13.11) От 20 млн до 500 млн руб. Утечка ПДн специальной категории (ч. 16 ст. 13.11) От 10 млн до 15 млн руб. Утечка биометрических ПДн (ч. 17 ст. 13.11) От 15 млн до 20 млн руб. Утечка биометрических ПДн и ПДн специальной категории, если оператор уже привлекался к ответственности по частям 12–17, 18 ст. 13.11 От 1 до 3% совокупного раз- мера суммы выручки за предшествующий год либо размера собственных средств кредитной органи- зации на дату совершения правонарушения, от 25 млн до 500 млн руб. Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных Уровни защищен- ности персональных данных 4 3 2 1 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + + + + ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных + + ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов + + + + ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации + + + + ИАФ.5 Защита обратной связи при вводе аутентификационной информации + + + + ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) + + + + Таблица 4. Определение мер защиты по уровню защищенности