ФСТЭК России: ведомство переходит от предупреждений к наказанию за нарушения информационной безопасности

Представители федеральной службы по техническому и экспортному контролю (ФСТЭК) предупредили российские компании о том, что ведомство переходит от предупреждений к решительным действиям за нарушения в сфере информационной безопасности. Теперь должностные и юридические лица будут нести административную ответственность за все выявленные кибернарушения. Об этом было заявлено на SOC Forum 2025 в ходе Российской недели кибербезопасности.

Основные нарушения

На SOC Forum 2025 состоялось специальное мероприятие - «Диалог с регуляторами: ответы на актуальные вопросы от ФСТЭК России и НКЦКИ». По оценкам начальника управления ФСТЭК Елены Торбенко, за 10 месяцев 2025 года по результатам государственного контроля выявлено более 1,1 тыс нарушений в сфере информационной безопасности со стороны российских предприятий.

Она привела семь основных типов нарушений, выявленных в ходе проверок. Это, во-первых, несоответствие фактического состава значимых объектов критической информационной инфраструктуры (КИИ) сведениям, включенным в реестр таких объектов. Во-вторых, отсутствие контроля за действиями организаций-подрядчиков, которым разрешен доступ к программному обеспечению (ПО) и программным аппаратным комплексам (ПАК) значимых объектов КИИ. В-третьих, непроведение мероприятий по выявлению и анализу уязвимостей на значимых объектах КИИ, наличие уязвимого ПО на значимых объектах.

Кроме того, по данным ФСТЭК, в ходе проведенных проверок выяснилось, что на предприятиях отсутствуют компенсирующие меры, которые обеспечивают блокировку угроз безопасности информации. Также проверяющие выявили отсутствие обновления программных баз и факты администрирования с рабочих мест, которые находятся в корпоративных сетях, имеющих выход в интернет без реализованных мер обеспечения безопасности. Наконец, применение компаниями средств защиты информации (СЗИ) из недружественных стран.

«Применение средств защиты информации, страна происхождения которых является недружественной, запрещено указом № 256 от 2022 года. Запрет вступил в силу с 1 января 2025 года. До конца 2024 года контролирующие органы ограничивались устными рекомендациями и письменными уведомлениями о необходимости замены оборудования, поскольку процесс требует значительных временных и финансовых ресурсов, включая проверку совместимости новых средств защиты с существующими промышленными системами. Давайте говорить честно, с мая 2022 года прошло 3,5 года. Вполне можно было подумать о том, как это реализовать», - сказала Елена Торбенко.

В этой связи она призвала компании «в кратчайшие сроки» обеспечить выполнение требований указа президента России № 256.

«Раньше мы шли навстречу, выявляя в ходе проверок какие-то компенсационные нестыковки. Те, что связаны с нарушением законодательства. Мы ругались, обсуждали с прокуратурой и другими органами [варианты отсрочек], давали сроки на исправление. Теперь за все выявленные нарушения будут применяться меры административной ответственности. Например, приниматься решения об административной ответственности должностных и юридических лиц. Время для снижения ответственности и игры в то, что кто-то не смог или не успел, не осталось», - подчеркнула Елена Торбенко.

Не сажать, но штрафовать

По словам представителя ФСТЭК с 2022 года количество атак на объекты критической инфраструктуры увеличивается, в том числе, количество успешных атак. Потому что, по словам Елены Торбенко, это один из основных элементов, "когда красиво на бумаге, но пусто в реальности».

В частности, по её словам, с января по октябрь 2025 году прирост объема рассматриваемых сведений об объектах КИИ вырос более чем на 35%. По итогам проверок предприятиям было направлено более 2 тыс требований о выполнении законодательства в области объектов КИИ. Кроме того, было составлено более 500 протоколов об административных правонарушениях: 425 дел по статье № 13.12.1 (нарушение требований в области обеспечения безопасности КИИ) и 79 дел по статье №19.7.15 (непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ). За этот период в ходе государственного контроля было проверено более 700 объектов КИИ. 

«Почему не обновляются антивирусные базы? Или почему не соблюдается парольная политика? Я для себя сделала вывод: специалисты по безопасности - это физические тела. А по закону физики, любое тело стремится к покою. Поэтому задача руководителей, заставлять, пинать этих специалистов, побуждая выполнять эти требования. В организациях безопасность теперь находится в зоне ответственности менеджера, управленца, которые организуют и контролируют процессы по управлению системой безопасности», - подчеркнула представитель ФСТЭК.

Елена Торбенко добавила, что в настоящее время готовятся изменения законодательства, которые обяжут подрядчиков предприятий, связанных с объектами КИИ, также выполнять требования по обеспечению безопасности на таких объектах заказчика. «В результате предприятия смогут прописывать такие требования в договорах с подрядчиками. Пока нет обязанностей, то нет и ответственности. Я против уголовного преследования, не нужно сажать, но персональную ответственность за нарушения законодательства в сфере кибербезопасности ужесточать нужно», - подчеркнула Елена Торбенко.