В обзоре изменений за март 2025 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Рассмотрим утвержденные Минобрнауки России рекомендации по категорированию объектов КИИ сферы науки.
Роскомнадзор представил проект требований к обезличиванию ПДн и методов обезличивания ПДн.
3. Безопасность финансовых организаций
Рассмотрим новое положение Банка России 851-П, которым заменено положение Банка России 683-П, а также обновленные Методические рекомендации Банка России по оценке выполнения требований к технологическим мерам защиты информации и прикладному ПО АС.
4. Иное
ФСБ России утвердила требования к криптографической защите информации в ГИС. Эксперимент по повышению уровня защищенности ГИС продлен до 31 декабря 2027 года. Официально опубликован закон, в соответствии с которым будет создана ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий. Также планируется провести пилотный проект, в рамках которого будет определена архитектура системы, проведена апробация функционала и иное.
Рассмотрим два новых стандарта, которые введены в действие с 31 марта 2025 года:
ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».
Рассмотрим справку-доклад о ходе работ ТК 362 на 2025 год по состоянию на 27 февраля 2025 года.
Рассмотрим судебную практику в области информационной безопасности за 1 квартал 2025 года.
Критическая информационная инфраструктура
Рекомендации по категорированию объектов КИИ сферы науки
Министерство науки и высшего образования Российской Федерации (далее – РФ) утвердило Методические рекомендации по категорированию объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в сфере науки, которые предназначены для оказания помощи юридическим лицам и индивидуальным предпринимателям, осуществляющим деятельность в сфере науки, а также государственным органам, осуществляющим реализацию государственной политики в сфере науки.
Методические рекомендации включают те же этапы, что и Правила категорирования объектов КИИ РФ, а также перечень показателей критериев значимости объектов КИИ РФ и их значений, (утв. Постановлением Правительства РФ от 08.02.2018 № 127), и содержат ряд приложений, среди которых:
перечень кодов общероссийского классификатора видов экономической деятельности, используемых в сфере науки;
формы протоколов, актов, уведомлений, приказов;
перечень показателей критериев значимости, применимых к объектам КИИ в сфере науки, и обоснование применимости;
порядок расчета показателей критериев значимости;
предложения по проведению оценки возможных последствий в результате возникновения компьютерных инцидентов и иное.
Отметим, что документ носит рекомендательный характер.
Персональные данные
Требования и методы обезличивания ПДн
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) представила для общественного обсуждения проект приказа «Об утверждении требований к обезличиванию персональных данных (далее – ПДн) и методов обезличивания ПДн».
Согласно проекту при обезличивании ПДн оператор должен обеспечить:
определение до начала обезличивания состава ПДн и субъектов, чьи ПДн подлежат обезличиванию;
проведение оценки достаточности выбранного метода обезличивания ПДн для достижения целей обработки обезличенных ПДн с учетом категорий ПДн, субъектов ПДн, правовых оснований обработки;
использование для обезличивания только тех средств, которые обеспечивают безопасность и конфиденциальность ПДн и результатов обезличивания;
исключение совместного хранения массивов ПДн, которые подлежат обезличиванию и получены в результате обезличивания;
учет действий по обезличиванию и операций с ПДн.
Выполнение требований можно обеспечить путем принятия соответствующих внутренних документов и исключения доступа третьих лиц к информации о процедуре проведения обезличивания.
В проекте описаны три метода обезличивания ПДн:
метод введения идентификатора;
метод изменения состава или семантики;
метод перемешивания.
Также в целях исключения связи между атрибутами и субъектами ПДн при применении указанных методов дополнительно может применяться метод преобразования массива данных путем обобщения атрибутов ПДн и установления заданного количества различных их значений (в том числе позволяющий отобразить исходное распределение каждого значения атрибутов ПДн).
Общественное обсуждение проекта завершится 16 апреля 2025 года.
Безопасность финансовых организаций
Новые требования к защите информации в целях противодействия переводов денежных средств без согласия клиента
29 марта 2025 года вступило в силу Положение Центрального банка РФ (далее – Банк России) от 30.01.2025 № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории РФ через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 851-П).
851-П заменяет Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – 683-П) и включает следующие изменения:
в перечень участников банковской деятельности добавлены филиалы иностранных банков;
филиалам иностранных банков с 1 октября 2025 года до 31 декабря 2026 необходимо реализовать минимальный уровень защиты информации;
перечень защищаемой информации дополнен информацией, содержащейся в электронных сообщениях (в том числе составляющей банковскую тайну);
необходимо проводить оценку соответствия при внесении изменений в исходный текст:
прикладного ПО автоматизированных систем (далее – АС) и приложений, которые используются для осуществления банковских операций и прошедших оценку соответствия;
отдельного ПО, реализующего технологию обработки защищаемой информации;
в отношении ПО, распространяемого клиентам и эксплуатируемого на участках приема электронных сообщений через сеть «Интернет», необходимо провести сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю России (далее – ФСТЭК России) или оценку соответствия по требованиям не ниже, чем ОУД4;
кредитные организации и филиалы иностранных банков должны убедиться в том, что действия в целях осуществления банковской операции совершаются клиентом – физическим лицом или представителем клиента, которые были идентифицированы в соответствии с требованиями Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
кредитные организации в случаях, предусмотренных договором об использовании электронного средства платежа, должны уведомлять законных представителей несовершеннолетних клиентов 14 – 18 лет, о переводе без согласия;
определены новые сроки предоставления кредитными организациями и филиалами иностранных банков в Банк России сведений о выявленных инцидентах, о принятых мерах и проведенных мероприятиях по реагированию на выявленный инцидент защиты информации:
№ п/п | Вид сведений | Срок предоставления | |
1. | Сведения о выявлении инцидента защиты информации | В течение 3 часов с момента выявления инцидента защиты информации, и (или) незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в п. 1 851-П | |
2. | Сведения о выявлении незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в п. 1 851-П | ||
3. | Сведения о результатах расследования инцидента защиты информации или незаконного раскрытия банковской тайны и (или) иной защищаемой информации, указанной в п. 1 851-П | В течение 30 дней со дня направления в Банк России сведений о выявлении инцидента защиты информации, или незаконного раскрытия банковской тайны, и (или) иной защищаемой информации, указанной в п. 1 851-П | |
4. | Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 3 и 4 ст. ст. 13.12, если такие действия (бездействие) не содержат уголовно наказуемого деяния | В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта критической информационной инфраструктуры.В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях | |
для системно значимых кредитных организаций, кредитных организаций, значимых на рынке платежных услуг вводятся требования, согласно которым они должны обеспечить возможность использования мобильной версии приложения для приема заявлений с указанием даты регистрации и регистрационного номера заявления о каждом случае совершения операций:
без согласия клиента;
с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием;
а также ряд других изменений.
Оценка выполнения требований к технологическим мерам защиты информации и ПО
Банк России утвердил «Методические рекомендации Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному ПО АС и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации» (утв. 06.03.2025 №3-МР) (далее – 3-МР), которые заменяют действовавшие ранее Методические рекомендации Банка России от 02.11.2022 № 12-МР (далее – 12-МР).
Основные отличия 3-МР от 12-МР:
ссылки на недействующие положения Банка России 747-П, 719‑П заменены на актуальные 802-П и 821-П;
добавлен пункт, согласно которому с даты признания утратившим силу 683-П оценка выполнения требований должна осуществляться в отношении аналогичных требований 851-П;
добавлены:
перечень требований для оператора услуг платежной инфраструктуры, осуществляющего деятельность операционного центра, платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей платежной системы Банка России при обмене электронными сообщениями, а также при осуществлении переводов денежных средств;
перечень требований, установленных положением Банка России от 07.12.2023 № 833‑П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля» в отношении кредитных организаций.
Методика расчета значений показателей оценки выполнения требований осталась без изменений.
Иное
Требования к криптографической защите информации в ГИС
26 марта 2025 года был официально опубликован приказ Федеральной службы безопасности РФ (далее – ФСБ России) от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных систем (далее – ГИС), иных информационных системах (далее – ИС) государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств (далее – СКЗИ, Требования)».
Приказом признаются утратившими силу действовавшие ранее Требования о защите информации, содержащейся в ГИС, с использованием СКЗИ, утвержденные приказом ФСБ России от 24.10.2022 № 524 (далее – Приказ ФСБ России № 524), и утверждаются новые Требования, действие которых распространяется не только на ГИС, но и на иные ИС государственных органов, унитарных предприятий и учреждений, за исключением ИС, обрабатывающих государственную тайну, и ИС Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ и ФСБ России.
В остальном новые Требования повторяют требования Приказа ФСБ России № 524, немного уточняя формулировки. Новые Требования также включают:
случаи, когда информация подлежит защите с использованием СКЗИ, в частности если:
это необходимо в соответствии с законодательством РФ;
осуществляется передача по каналам связи, проходящим за пределами контролируемой зоны;
требуется признание документов, подписанных электронной подписью, равнозначными бумажным документам, подписанным собственноручной подписью;
информация хранится на носителях, используемых средствами вычислительной техники, несанкционированный доступ к которым может быть исключен только с помощью СКЗИ;
меры защиты помещений, в которых размещены или хранятся СКЗИ;
оценку влияния среды функционирования на СКЗИ;
критерии определения минимально допустимого класса СКЗИ.
Приказ вступил в силу 6 апреля 2025 года.
Продление эксперимента по повышению уровня защищенности ГИС
Официально опубликовано постановление Правительства РФ от 26.03.2025 № 372 «О проведении эксперимента по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений».
Эксперимент по повышению уровня защищенности проводится с 1 апреля 2025 года по 31 декабря 2027 года. Также постановлением утверждено Положение о проведении эксперимента, подробнее с ним можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.
Изменения в госконтроле в сфере идентификации и аутентификации
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) предлагает внести ряд изменений в постановление Правительства РФ от 11.04.2023 № 585 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации и признании утратившими силу некоторых актов Правительства РФ».
Согласно изменениям в отношении объектов контроля, отнесенных к категории среднего риска, планируется проводить обязательные профилактические визиты, периодичность проведения которых будет определена Правительством РФ. Согласно действующему документу в отношении таких объектов 1 раз в 2,5 года проводится инспекционный визит, выездная или документарная проверка.
Из постановления планируется исключить положения, касающиеся профилактических визитов, заменив ссылкой на статью 52.2 Профилактический визит по инициативе контролируемого лица Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ».
Общественное обсуждение проекта завершилось 4 апреля 2025 года.
ГИС по противодействию преступлениям, совершаемым с использованием информационных технологий
Официально опубликован Федеральный закон от 01.04.2025 № 41-ФЗ «О создании ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты РФ» (далее – 41-ФЗ), согласно которому создается ГИС в целях предупреждения, выявления и пресечения правонарушений и преступлений, совершаемых с использованием информационных и коммуникационных технологий.
В ГИС противодействия правонарушениям будет храниться информация о лицах, совершивших противоправные действия с использованием сети связи общего пользования, в том числе информация об абонентских номерах, используемых в целях совершения противоправных действий.
В связи с вступлением 41-ФЗ в силу с 1 июня 2025 года Минцифры России подготовило проект постановления Правительства РФ «О реализации пилотного проекта по оперативному взаимодействию и информационному обмену уполномоченных государственных органов и организаций при противодействии правонарушениям, совершаемым с использованием информационно-телекоммуникационных технологий».
В случае принятия проекта с 12 мая 2025 года по 1 марта 2026 года будет реализован пилотный проект, в рамках которого будут проведены:
подготовка предложений по архитектуре ГИС противодействия правонарушениям;
апробация механизмов функционирования системы, взаимодействия с участниками, проверки эффективности выявления и противодействия правонарушениям;
определение категорий данных, необходимых для эффективного противодействия правонарушениям;
выработка форматов представления данных;
выработка и реализация превентивных мер, направленных на борьбу с правонарушениями;
определение сценариев по противодействию правонарушениям и иное.
Общественное обсуждение проекта завершилось 9 апреля 2025 года.
Стандартизация
Защита информации. Формальная модель управления доступом
Официально опубликованы и введены в действие с 31 марта 2025 года:
ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации (далее – СрЗИ), реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».
Стандарты предназначены для разработчиков СрЗИ и могут использоваться при сертификации СрЗИ, реализующих политики управления доступом.
Стандарты регламентируют процессы разработки, описания и верификации формальных моделей доступа СрЗИ с целью уменьшения числа недостатков СрЗИ при проектировании.
При разработке и описании формальной модели доступа рекомендуется:
определить границы моделирования СрЗИ;
определить виды политик управления доступом;
описать формальную модель, определив технологии и средства описания;
доказать выполнение условий безопасность, в том числе при верификации формальной модели.
При верификации рекомендуется:
провести архитектурный анализ СрЗИ и определить модуль безопасности;
выбрать критерии и методы оценки полноты верификации;
разработать спецификации интерфейсов, реализующих политики управления доступом, модуля безопасности;
провести верификацию СрЗИ и модуля безопасности (опционально).
ФСТЭК России
Деятельность ТК 362
ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2025 год по состоянию на 27 февраля 2025 года.
В интересах выполнения плана в декабре были проведены следующие работы:
предложен к утверждению проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
представлен на рассмотрение председателю ТК 362 проект национального стандарта ГОСТ Р «Защита информации. Композиционный анализ ПО. Общие требования»;
организовано голосование по вопросу представления в Федеральное агентство по техническому регулированию и метрологии на утверждение проект национального стандарта ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
дорабатываются:
проект национального стандарта ГОСТ Р «Защита информации. Разработка безопасного ПО. Методика оценки уровня реализации процессов разработки безопасного ПО»;
проект национального стандарта ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования».
Судебная практика
Незаконное получение согласия клиента на обработку его биометрических ПДн
Судебная коллегия Волгоградского городского суда, рассмотрев гражданское дело по апелляционной жалобе Навагина Д. С. и по апелляционной жалобе представителя Акционерного общества «ТБанк» (далее – АО «ТБанк») на решение суда первой инстанции, частично удовлетворила требования сторон.
Ранее Навагин Д.С. с целью входа в личный кабинет перешел на официальный сайт АО «ТБанк», где открылось стартовое окно для идентификации его личности путем введения одноразового четырехзначного пин-кода. В нижней части стартового окна содержалось уведомление/ссылка с названием «Продолжая, вы соглашаетесь на использование Тинькофф Банком биометрических данных». Не оценив риск игнорирования перехода на ссылку с названием «Продолжая, вы соглашаетесь на использование Тинькофф Банком биометрических данных», имея потребность входа в личный кабинет для совершения определенных банковских операций, Навагин Д.С. ввел одноразовый четырехзначный буквенно-числовой пин-код, тем самым осуществив вход в личный кабинет АО «ТБанк» и подтвердив согласие на использование АО «ТБанк» его биометрических ПДн.
Суд первой инстанции:
признал недействительным п. 1.4 раздела «Общие условия открытия, обслуживания и закрытия банковских вкладов» Условий комплексного банковского обслуживания (далее – УКБО), регламентирующий обязанности заключить договор расчетной карты на условиях тарифного плана по выбору банка при заключении клиентом договора вклада;
признал недействительным п. 2.24 раздела «Основные положения» УКБО, регламентирующий безусловное согласие клиента на обработку биометрических ПДн при заключении банковского обслуживания в АО «ТБанк»;
обязал АО «ТБанк» исключить п. 1.4 и п. 2.24 из УКБО;
согласился на недействительность согласия Навагин Д.С. на обработку его биометрических ПДн;
взыскал 2 тыс. руб. морального вреда и 1 тыс. руб. штрафа с АО «ТБанк».
В апелляционной жалобе клиент АО «ТБанк» просил признать, что согласие на обработку биометрических ПДн получено в нарушение положений ст. 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и, следовательно, не имеет юридической силы, то есть недействительно.
АО «ТБанк» требовал отмены решения, утверждая, что права истца не нарушены, согласие оформлено отдельно и аннулировано.
Апелляционный суд оставил решение суда первой инстанции в части признания пунктов 1.4 и 2.24 УКБО недействительными, но отменил обязанность удалить эти пункты из УКБО, сочтя это избыточным в УКБО.
Судебная коллегия суда апелляционной инстанции установила верными выводы суда первой инстанции, что процедура получения согласия на обработку биометрических ПДн, описанная ранее, является недействительна, так как нарушает требования Информационного письма Банка России и Роскомнадзора от 29.07.2021 №№ ИН-06-59/57, 08ЛА-48666 «О согласии заемщиков на обработку их ПДн», а также противоречит ст. 9 152‑ФЗ.
Процедура получения такого согласия для клиента АО «ТБанк»:
не является простой и однозначной;
отображение в нижней части стартового окна уведомления/ссылки с названием «Продолжая, вы соглашаетесь на использование Тинькофф Банком биометрических данных» не содержит прямых сведений о возможности отказа на такое использование;
вводит в заблуждение клиента о предоставлении такого согласия путем обычного входа в мобильное приложение АО «ТБанк».
Штраф за невыполнение требований по локализации ПДн граждан РФ
Судебный участок мирового судьи Таганского района г. Москвы, рассмотрев ряд дел об административных правонарушениях, вынес решение о признании виновными в совершении административных правонарушений по ч. 8 ст. 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП РФ):
Open Culture LLC, являясь оператором ПДн, при сборе ПДн не выполнил обязанности по локализации баз данных, содержащих сведения о российских пользователях сайта Open Culture. Судом был назначен штраф в размере 2 млн. руб.;
Discord Inc, являясь оператором ПДн, при сборе ПДн не выполнил обязанности по локализации баз данных, содержащих сведения о российских пользователях платформы Discord. Судом был назначен штраф в размере 2 млн. руб.;
Coursera Inc, являясь оператором ПДн, при сборе ПДн не выполнил обязанности по локализации баз данных, содержащих сведения о российских пользователях платформы Coursera. Судом был назначен штраф в размере 2 млн. руб.
А также решение о признании виновными в совершении административных правонарушений по ч. 9 ст. 13.11 КоАП РФ:
Spotify AB, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 10 млн. руб.;
Twitch Interactive, Inc, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 13 млн. руб.;
Pinterest, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 12 млн. руб.;
Zoom Video Communications, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 15 млн. руб.;
Snap Inc, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 10 млн. руб.;
Hotels.com, являясь оператором ПДн, при сборе ПДн повторно отказался выполнить обязанности по локализации баз данных, содержащих сведения о российских пользователях. Судом был назначен штраф в размере 6 млн. руб.
Незаконное увольнение работника за передачу ПДн
Первоуральский городской суд принял решение в удовлетворении исковых требований гражданки о восстановлении ее на работе, признании незаконным приказ об увольнении, взыскании оплаты за время вынужденного прогула и компенсации морального вреда к обществу с ограниченной ответственностью «ЗМК-АнтенМед» (далее – ООО «ЗМК-АнтенМед»).
В декабре 2024 года руководством ООО «ЗМК-АнтенМед» было принято решение об увольнении гражданки по пп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса РФ, то есть в связи с однократным грубым нарушением работником трудовых обязанностей – разглашением охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашением ПДн другого работника. Основанием для увольнения явился факт отправки гражданкой рабочих документов на личную электронную почту.
В ходе судебного разбирательства было установлено:
отсутствие со стороны ООО «ЗМК-АнтенМед» надлежащей защиты пересылаемой информации (содержание нескольких вариантов Положения о защите конфиденциальной информации предприятия противоречит друг другу);
отсутствие в организационно-распорядительной документации ООО «ЗМК-АнтенМед» регламентации запрета пересылки информации на личную электронную почту работников;
отсутствие фактов привлечения к дисциплинарной ответственности и наложения взысканий на гражданку ранее;
отсутствие факта передачи гражданкой информации третьим лицам;
отсутствие какого-либо ущерба предприятию в результате отправки документов на личную электронную почту гражданки.
Суд признал увольнение истца незаконным и постановил восстановить гражданку на работе в ранее занимаемой должности и взыскать в ее пользу в счет оплаты вынужденного прогула более 180 тыс. руб., заработную плату за сверхурочную работу более 62 тыс. руб., а также компенсацию морального вреда в размере 100 тыс. руб.
Штраф за разглашение банковской тайны
Лискинский межрайонный суд Воронежской области, рассмотрев уголовное дело в отношении Кристины Фурцевой, вынес решение о признании ее виновной в совершении уголовного правонарушения по ч. 3 ст. 183 Уголовного кодекса (далее – УК) РФ (незаконное разглашение сведений, составляющих банковскую тайну, совершенное из корыстной заинтересованности).
Суд установил, что в период с февраля по июль 2022 года Кристина Фурцева, являясь старшим специалистом отдела досудебного погашения задолженности головного отделения одного из банков, сообщала заинтересованным лицам сведения о клиентах и наличии у них открытых счетов, их состоянии, составляющие банковскую тайну. За незаконные действия Кристина Фурцева получила денежное вознаграждение в размере около 50 тыс. руб.
Судом было назначено наказание в виде штрафа в размере 900 тыс. руб. с лишением права заниматься деятельностью, связанной с доступом к сведениям, составляющим банковскую тайну, сроком на 2 года.
Лишение свободы за неправомерный доступ к компьютерной информации
Советский районный суд г. Астрахани, рассмотрев уголовное дело в отношении гражданина, вынес решение о признании его виновным в совершении уголовного правонарушения по ч. 5 ст. 274.1 УК РФ (неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, совершенный с использованием служебного положения).
В ходе судебного заседания было установлено, что системный администратор Государственного бюджетного учреждения здравоохранения Астраханской области «Центр медицины катастроф и скорой медицинской помощи» за денежное вознаграждение установил на компьютер руководителя ритуального агентства «Дом памяти» специальное ПО, которое предоставляло неправомерный доступ к региональной информационно-аналитической медицинской системе «Промед» для извлечения из нее конфиденциальной информации о ПДн умерших лиц. Указанные преступные действия привели к тому, что у третьих лиц появилась возможность путем удаленного доступа получать и использовать в собственных целях из указанной системы конфиденциальную информацию о ПДн субъектов ПДн.
Судом было назначено наказание в виде лишения свободы сроком на 5 лет с условным исполнением, с сопровождаемым испытательным сроком в 3 года. Также принято решение о конфискации использованной в совершении преступления компьютерной техники.
Привлечение к ответственности за неисполнение требования Роскомнадзора
Мировым судьей судебного участка г. Астрахани вынесены постановления по делам об административных правонарушениях, предусмотренных:
ч. 5 ст. 13.11 КоАП РФ – невыполнение оператором в сроки, установленные законодательством РФ в области ПДн, требования уполномоченного органа по защите прав субъектов ПДн;
ст. 19.7 КоАП РФ – непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимых для осуществления этим органом его законной деятельности о привлечении к административной ответственности операторов, обрабатывающих ПДн.
В ходе проверки исполнения требования выявлено, что общество с ограниченной ответственностью «Мир Улыбок» не исполнило требование Роскомнадзора, а также не предоставило в Роскомнадзор информацию, необходимую для осуществления этим органом его законной деятельности, что послужило поводом к возбуждению дел об административных правонарушениях.
Судом было назначено административное наказание в виде штрафа в размере 50 тыс. руб. и 3 тыс. руб.
Авторы: Любовь Лобачева и Александра Чельдинова, аналитики УЦСБ
