Как ИБ-директору не сесть в тюрьму

21
12 минут
Как ИБ-директору не сесть в тюрьму

© «Директор по безопасности», №10-2025. Октябрь 2025


Вячеслав Кудрич, информационные системы Юга

Сегодня я хотел бы обсудить один принципиальный момент в защите информации. Реальный случай, участником которого мне довелось стать, отлично его иллюстрирует. Прежде чем перейти к сути, позвольте объяснить, почему эта история имеет принципиальное значение — как для бизнеса в целом, так и для каждого сотрудника в частности. От того, насколько серьезно мы относимся к информационной безопасности, зависят не только репутация и стабильность компании, но и личная ответственность и благополучие каждого из нас.

Все компании, в той или иной степени, уделяют внимание защите своих конфиденциальных данных — от коммерческой тайны до персональных данных (ПДн). Причем расстановка приоритетов может быть разной: где-то ПДн стоят на первом месте, а где-то — наоборот, коммерческая тайна или внутренние процессы. Всё зависит от специфики бизнеса, его масштаба и реальных рисков.

Подходы к защите информации тоже сильно различаются. Одни компании заявляют: «Мы защищаем всю информацию без исключения». Другие - с наивной уверенностью полагают: «Нам нечего бояться, нас никто не будет взламывать, так как мы никому не интересны». Между этими крайностями - целый спектр стратегий, от продуманных и системных до поверхностных и реактивных.

Когда речь заходит о защите информации, большинство сразу фокусируется на персональных данных — и не без причины. Санкции за их утечку стали ощутимо жёстче. Изменения в КоАП РФ не просто увеличили штрафы — теперь они могут достигать миллионов рублей, а в некоторых случаях даже рассчитываются как оборотный штраф, то есть привязаны к выручке компании. Это уже не просто административное взыскание — это прямой удар по бизнесу.

Однако многие упускают из виду ещё один, не менее важный аспект: возможность привлечения ответственного лица в компании к уголовной ответственности.

Федеральным законом от 30.11.2024 №421-ФЗ в Уголовный кодекс введена статья 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения». Эта норма, прежде всего, нацелена на борьбу с сервисами и платформами, предлагающими так называемые «пробивы» персональных данных. Результаты правоприменения данной статьи все сотрудники служб безопасности ощутили на себе, когда различные телеграм-боты прекратили свою работу.

Однако большинство руководителей компаний и организаций, чья деятельность относится к критической информационной инфраструктуре (КИИ), до сих пор либо забывают, либо сознательно игнорируют требования отечественного законодательства — несмотря на то, что ключевые нормы действуют уже с 2017 года.

Я говорю о Федеральном законе от 26 июля 2017 года № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Именно этим законом в УК РФ была введена статья 274.1 - «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Если ваша организация входит в перечень субъектов КИИ — вы уже не просто «бизнес», вы - элемент национальной безопасности.

Имея большой опыт противодействия преступлениям в сфере высоких технологий, хотелось бы обратить внимание на данную статью Уголовного кодекса. Это не просто формальность и не «бумажная» норма права.  Если части 1 и 2 этой статьи в первую очередь направлены против внешних злоумышленников - хакеров, тех, кто пытается проникнуть в ИТ-системы КИИ, то часть 3 адресована вовнутрь компании. Она прямо касается лица, ответственного за обеспечение информационной безопасности: руководителя, специалиста по ИБ, ИТ-директора или любого другого сотрудника, на которого возложены соответствующие обязанности, а если такого лица нет, то ответственность будет нести руководитель компании.

Если они допустят нарушение требований защиты КИИ, и это повлечёт угрозу её функционированию или создаст условия для реализации кибератаки – уголовная ответственность.

Часть 3 статьи 274.1 УК РФ - уголовная ответственность не за взлом, а за халатность и звучит она так: «Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации».

На первый взгляд - сухая юридическая формулировка. На деле - прямая угроза уголовного преследования для специалиста по информационной безопасности.

Эта норма не наказывает за атаку извне. Она наказывает за внутреннюю небрежность — за то, что вы, как ответственное лицо, не обеспечили должный уровень защиты, не соблюли регламенты, проигнорировали требования или допустили эксплуатацию систем с известными уязвимостями.

А санкция? Вполне реальная: «…принудительные работы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо лишение свободы на срок до шести лет - с аналогичным запретом или без него».

В эпоху, когда кибербезопасность стала вопросом национальной безопасности, уголовный кодекс перестал быть «для хакеров». Теперь он — и для тех, кто должен был их остановить, но не сделал этого. Часть 3 статьи 274.1 УК РФ — это не просто статья закона. Это призыв к действию для каждого специалиста ИБ, работающего с КИИ.


Теперь — о ситуации

Компания, являющаяся субъектом КИИ, находится в поиске сотрудника, который «возьмет на себя» вопросы информационной безопасности. В его обязанности — провести мероприятия по защите информации, привести в порядок организационно-распорядительную документацию, выстроить процессы и, в целом, «быть за всё ответственным».

В качестве «команды» — штатный системный администратор уровня «поменять картридж» и «вытащить застрявшую бумагу», а также «более опытный» сисадмин, работающий удаленно по договору ГПХ.

Бюджет фонда оплаты труда, примерно соответствует зарплате начинающего менеджера розничного магазина по продаже алкоголя в одной из федеральных сетей. На вопрос о планируемом бюджете на ИБ, сроках его выделения, возможности проведения тестов, пилотов или хотя бы минимальной модернизации защиты ИСПДн и АСУ ТП — получен ответ, достойный анналов:

«У нас есть антивирус (уровня Avast), сотрудники ставят пароли на свои компьютеры… и вообще — мы никому не интересны. Нас взламывать не будут».

Да, в компании приняты некоторые меры по защите информации, но они связаны с использованием иностранных open-source решений, эксплуатация которых действующим законодательством значительно ограничена, а для КИИ – запрещена.

Когда было вежливо замечено, что в случае информационного инцидента, необходимо не позднее 3 часов уведомлять надзорные органы (НКЦКИ и ФСБ через ГосСОПКА), далее провести  внутреннее расследование, а для этого необходимы базовые технические средства – которое осталось без ответа…А на ироническое замечание, что такие условия работодателя, для нового сотрудника вводят режим работы из старого анекдота – «год работаем, шесть сидим», руководитель организации предложил увеличить фонд оплаты труда на 10%...

Это не гипотетический пример. Это — реальность, с которой сталкиваются специалисты по ИБ в организациях, формально относящихся к КИИ. Когда закон говорит об уголовной ответственности, а работодатель — об «Avast и паролях». Когда требования ФСТЭК и ФСБ сталкиваются с отсутствием бюджета, а уровень оплаты труда – на уровне менеджера сетевого магазина.

И да — именно в таких условиях часть 3 статьи 274.1 УК РФ становится не абстракцией, а личной перспективой для того самого «нового сотрудника», который «всё сделает».

Когда я столкнулся с этой историей, я задумался…Эмоции переполняли… Потому что за этой, казалось бы, абсурдной ситуацией скрывается не просто непрофессионализм или безграмотность. За ней - системная проблема, которая повторяется в организациях по всей стране. Особенно в тех, кто формально числится в реестре субъектов КИИ, но живёт по принципу «авось пронесёт».

Мы все прекрасно знаем, что информационная безопасность – это не «плюшка» для ИТ-департамента. Это не «лишняя бумажка» для проверки. Это – основа устойчивости бизнеса, гарантия его выживания в условиях цифровой войны, кибершпионажа и гибридных атак. И когда руководитель компании говорит: «У нас Avast и пароли», - он не просто демонстрирует свою техническую неграмотность. Он создает угрозу работоспособности своей компании - и, что ещё страшнее, личный приговор своему сотруднику по ИБ, который рано или поздно окажется под следствием.

Потому что закон – не игрушка. Статья 274.1 УК РФ - не «для галочки». Часть 3 этой статьи написана не для хакеров. Она написана для того, кто сидит за столом, получает зарплату «менеджера алкогольного магазина», но при этом несёт ответственность за безопасность систем, от которых зависит функционирование целой отрасли. Электроэнергетики, транспорта, связи, здравоохранения - неважно. Если вы в КИИ - вы в зоне повышенной юридической ответственности.

И тут возникает закономерный вопрос: а как, собственно, выполнять требования, если ресурсов нет? Если бюджета - ноль? Если технических средств - минимум? Если команда - один человек с картриджами?

Ответ простой, но неприятный: никак.

Нельзя обеспечить безопасность КИИ на уровне «Avast и личных паролей». Нельзя выполнить требования ФСТЭК, ФСБ и Минцифры, если на это не выделены ни деньги, ни время, ни компетенции. Нельзя провести внутреннее расследование инцидента, если нет журналов аудита, систем SIEM, DLP, IDS/IPS — или хотя бы их аналогов. Нельзя уложиться в 3 часа на уведомление ГосСОПКИ, если нет ни процессов, ни ответственных, ни инструментов.

А ведь требования - не прихоть чиновников. Они - результат анализа реальных инцидентов, реальных угроз, реальных потерь. Методические рекомендации ФСТЭК - это не «бумага для отчётов». Это - пошаговые инструкции по выживанию. Профильные комиссии министерств – не «формальные совещания». Это – площадки, где обсуждаются угрозы, которые уже реализовались в других организациях, и которые вот-вот могут прийти к вам.

И если вы думаете, что «вас не тронут», потому что «вы маленькие» или «вы не в центре внимания», вы глубоко ошибаетесь. Киберпреступники не выбирают жертв по размеру выручки. Они выбирают по уровню уязвимости. А контролирующие органы – по уровню нарушений. И если вы не соответствуете требованиям, вы станете примером. Не положительным.

Главный вопрос в этой ситуации вовсе не в объеме бюджета на оплату труда. И даже не в отсутствии средств на развитие или модернизацию систем защиты информации. Главный вопрос – в отношении работодателя к работнику.
В его непонимании того, что такой подход – поверхностный, экономный, «авось пронесёт» — способен обернуться серьезными последствиями.

Не для абстрактной «компании», а для реального бизнеса, с его репутацией, контрактами и штрафами. И, что еще важнее, для конкретного человека. Для того самого сотрудника, которому поручили «всё сделать», но не дали ни ресурсов, ни поддержки, ни даже базового понимания со стороны руководства.

вп.png

Что же делать?

Первое - перестать врать себе. Перестать думать, что «ничего не случится». Перестать надеяться, что «обойдет стороной». Угроза - реальна. Ответственность - персональная. Последствия - уголовные.

Второе - требовать ресурсы. Не «просить», не «намекать», а именно требовать - от руководства, от собственников, от совета директоров. Потому что безопасность - это не расходы. Это - инвестиции в устойчивость. В репутацию. В контракты и лицензии. В право на существование. Представьте: вы тратите 5 миллионов на защиту — и избегаете штрафа в 50 миллионов, потери контракта, остановки производства или уголовного дела. Где логика? Не обязательно деньги выделять по принципу «все и сейчас», но бюджетировать процесс ИБ и потом их получать – да!

Третье - строить процессы, а не патчить дыры. Не пытаться «всё сделать вчера», а выстраивать поэтапную программу соответствия. Начать с классификации активов. Потом - с анализа угроз. Затем - с внедрения минимально необходимых средств защиты. Потом - с обучения персонала. Потом - с тестирования. Потом - с аудита. Это не «разовое мероприятие». Это - постоянный цикл. И он требует финансирования. Каждый год. Каждый квартал. Каждый месяц.

Четвёртое - работать с документами. Да, это скучно. Да, это муторно. Но именно документы - ваша защита в суде, на проверке, при расследовании. Положения, регламенты, инструкции, журналы, акты - всё это не «бюрократия». Это - доказательства вашей добросовестности. Если вы всё сделали по регламенту - вы можете доказать, что не виновны. Если регламента нет - вы виновны по умолчанию.

Пятое - не бояться говорить «нет». Если вам предлагают «сделать безопасность за 10 тысяч в месяц» - скажите «нет». Если вам говорят «авось пронесёт» - скажите «нет». Если вам предлагают подписать акт соответствия, когда вы знаете, что ничего не соответствует - скажите «нет». Потому что ваша подпись - это не просто подпись. Это - признание личной ответственности. И если что-то пойдёт не так - именно вы будете объяснять следователю, почему подписали некорректный документ.

И, наконец - помнить, что вы не один. Есть профессиональное сообщество. Есть конференции. Есть стандарты. Есть методики. Есть опыт коллег. Есть открытые чаты, форумы, Telegram-каналы. Не стесняйтесь спрашивать. Не стесняйтесь делиться. Не стесняйтесь учиться. Потому что в сфере ИБ - знание спасает не только карьеру, но и свободу.

Пусть история с «менеджером алкогольного магазина» останется анекдотом. Пусть она станет кейсом на тренинге. Пусть она будет примером того, как не надо делать. Но не допустите, чтобы она стала вашей реальностью. Потому что в мире, где каждый клик может стоить миллиона, а ошибка - свободы, - нет права на иллюзии.

Безопасность - не роскошь.

Безопасность - не опция.

Безопасность - это обязанность.

И она начинается с бюджета.

И заканчивается - личной ответственностью.

Если вы сейчас читаете это и узнаете похожую ситуацию - не ждите инцидента. Не ждите проверки. Не ждите повестки. Начните действовать сегодня. Потому что завтра может быть уже поздно.


Оформите подписку на издания ИД «Советник» .

Оформление подписки на наши издания в редакции на любой период с предоставлением полного пакета документов для бухгалтерии:

- по тел.: +7(977) 953-20-53, +7(499) 404-21-71 

- e-mail: podpiska@sec-company.ru

При оформлении годовой подписки - Вы уже сейчас сможете читать вышедшие номера за все года в формате "Доступ к электронным журналам".