В обзоре изменений за июнь 2026 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Рассмотрим официально опубликованные отраслевые особенности категорирования объектов КИИ в области оборонной промышленности.
2. Финансовые организации
Разберем методические рекомендации Банка России по обеспечению ИБ при разработке и применении ИИ на финансовом рынке.
3. Иное
Рассмотрим официально опубликованный Федеральный закон о технологической платформе создания, развития и эксплуатации ИС.
Изучим методические рекомендации Минцифры России к ИТ-инфраструктуре для размещения ИС органов исполнительной власти и органов местного самоуправления.
Рассмотрим новую административную ответственность за нарушения в сфере авторизации пользователей и применения рекомендательных технологий.
4. ФСТЭК России
Разберем методику выявления уязвимостей и недекларированных возможностей в ПО.
Рассмотрим официально опубликованные изменения в порядок аттестации объектов информатизации по требованиям защиты информации.
Рассмотрим справку-доклад о ходе работ по плану ТК 362 по состоянию на 26 июня 2026 года.
Приведем список обновленных перечней и реестров ФСТЭК России.
5. Судебная практика
Рассмотрим судебную практику в области ИБ за 2 квартал 2026 года.
Критическая информационная инфраструктура
Отраслевые особенности категорирования объектов КИИ в области оборонной промышленности
29 июня официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 27.06.2026 № 796 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ) РФ в области оборонной промышленности».
Документ устанавливает порядок категорирования объектов КИИ (информационных систем (далее – ИС), информационно-телекоммуникационных сетей, автоматизированных систем управления), функционирующих в области оборонной промышленности.
Особенности процедуры категорирования:
- по окончании присвоения объектам КИИ категории значимости субъект КИИ направляет копии протоколов заседаний комиссии по категорированию и актов категорирования объектов КИИ в ФГУП «НПП «Гамма» (согласно Приказу Министерства промышленности и торговли РФ от 14.11.2025 № 5620 «Об определении организации, привлекаемой Министерством промышленности и торговли РФ к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127»);
- при обнаружении зависимости одного объекта КИИ от другого (в том числе принадлежащего иному субъекту КИИ), такому объекту КИИ присваивается категория значимости с наивысшим значением;
- пересмотр установленных категорий значимости проводится в случае изменения сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, но не реже:
o 1 раза в год – для объектов, в отношении которых принято решение об отсутствии необходимости присвоения категории;
o 1 раза в 2 года – для объектов 3 категории значимости;
o 1 раза в 3 года – для объектов 2 категории значимости;
o 1 раза в 5 лет – для объектов 1 категории значимости.
Отраслевые признаки значимости объектов КИИ:
- использование объекта КИИ в поставке товаров, выполнении работ, оказании услуг по договорам или контрактам в рамках государственного оборонного заказа (далее – ГОЗ);
- использование объекта КИИ в поставке товаров, выполнении работ, оказании услуг субъектами КИИ по договорам или контрактам, контроль качества и приемка результатов которых сопровождается военными представительствами Министерства обороны РФ;
- обеспечение функционирования объектом КИИ опасного производственного объекта (далее – ОПО), имеющего декларацию промышленной безопасности ОПО в соответствии с Федеральным законом от 21.07.1997 № 116-ФЗ «О промышленной безопасности ОПО».
Оценка показателей критериев значимости объектов КИИ, утвержденных постановлением Правительства от 08.02.2018 № 127 «Об утверждении правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» (далее – перечень критериев значимости), проводится с учетом отраслевой специфики.
Для целей категорирования применяются позиции 1 – 4, 6 – 13.1 показателей из перечня критериев значимости.
| Номер показателя |
Условия применения показателя | При расчете значения показателя учитывается | Особые условия применения показателя |
|
1 |
Всеми субъектами КИИ
| Осмотр объекта, опрос персонала, анализ паспорта безопасности ОПО, декларации промышленной безопасности, проектной и эксплуатационной документации; прогнозирование ущерба жизни и здоровью людей на основе моделирования последствий компьютерного инцидента; анализ планов по предупреждению чрезвычайных ситуаций природного и техногенного характера и статистических данных по нештатным ситуациям; определение опасных факторов, безопасных зон, количества людей в зоне поражения и числа потенциальных потребителей. | - |
| 2 |
Всеми субъектами КИИ
| Оценка наихудшего сценария возможных негативных последствий на территории, на которой возможно нарушение обеспечения жизнедеятельности населения |
Принимается решение о категории:
|
| 3 | - | - | Порядок расчета определяется отраслевыми особенностями категорирования объектов КИИ РФ в сфере транспорта |
| 4 «а» | Всеми субъектами КИИ |
Количество абонентов (физических и юридических лиц), с которыми заключены договоры об оказании услуг связи с использованием объекта КИИ. При оказании нескольких услуг связи расчет ведется раздельно по каждой услуге. Категория значимости присваивается по совокупности значений показателя, полученных применительно к каждой услуге | Порядок расчета определяется отраслевыми особенностями категорирования объектов КИИ РФ в сфере связи |
| 4 «б» |
Субъектами КИИ – участниками закупок при наличии действующих контрактов на услуги связи, государственных, муниципальных контрактов на услуги связи или договоров услуг связи с Центральным банком РФ (далее – Банк России)
| Уровень и количество органов государственной власти (организаций), перечисленных в значениях показателя, для которых могут быть нарушены или недоступны услуги связи | |
| 6 | Субъектами КИИ, объекты которых задействованы в обеспечении функционирования государственного органа или организации, созданной на основании федерального закона | Оценка контрактов, выполняемых с использованием объекта КИИ. Экспертный анализ контрактов и принятие решения о категории значимости | - |
| 7 | Субъектами КИИ, объекты которых используются при проведении переговоров или подписании планируемого к заключению международного договора РФ | Оценка контрактов, выполняемых с использованием объекта КИИ. Экспертный анализ контрактов и принятие решения о категории в зависимости от уровня международного договора. | - |
| 8 | Всеми субъектами КИИ |
Расчет по формуле
U 8=U у8/R год *100%, где: U у8 – ущерб субъекту КИИ от компьютерного инцидента; R год – усредненный объем годового дохода за прошедший 5 –летний период | Количество потерпевших определяется на основе декларации промышленной безопасности либо экспертным методом |
| 9 | Всеми субъектами КИИ |
Расчет по формуле
U 9=U у9/N уср * 100%, где: U у9 – снижение выплат (отчислений) в федеральный бюджет; N ycp – усредненный прогнозируемый годовой доход федерального бюджета за 3 года | Масштаб ущерба оценивается относительно прогнозируемого дохода федерального бюджета |
| 10 – 10.7 | Всеми субъектами | Расчет значений показателя установлен по формулам согласно отраслевыми особенностями категорирования объектов КИИ РФ в банковской сфере и иных сферах финансового рынка | Порядок расчета определяется отраслевыми особенностями категорирования объектов КИИ РФ в банковской сфере и иных сферах финансового рынка |
| 11 | Субъектами КИИ имеющими ОПО | Оценка наихудшего сценария возможных негативных последствий на территориях субъектов РФ (муниципальных образований), на которых окружающая среда может подвергнуться вредным воздействиям, которые могут произойти вследствие компьютерного инцидента |
Принимается решение о категории:
|
| 12 | Субъектами КИИ, имеющими пункты управления (ситуационные центры) | Оценка контрактов, выполняемых с использованием объекта КИИ для обеспечения работоспособности и штатного (резервного) функционирования пункта управления. Решение о категории принимается в зависимости от уровня (значимости) пункта управления | - |
| 13 | Субъектами КИИ – головными исполнителями, исполнителями и соисполнителями ГОЗ |
Расчет по формуле для субпозиции «а» (снижение объемов):
V = (1-(V max-V инц)/V ГОЗ) * 100%, где: V max - максимальный объем продукции, поставляемой в рамках выполнения ГОЗ; V инц - объем продукции, поставляемой в рамках выполнения ГОЗ; V ГОЗ - полный объем требуемой по ГОЗ продукции (работ, услуг).
Расчет по формуле для субпозиции «б» (увеличение времени изготовления продукции):
T= (1-(t норм/t ненорм)) *100%, Где: t норм – штатное время выполнения операций на объекте КИИ для выпуска единицы продукции (работ, услуг) по ГОЗ. Определяется по техдокументации или статистике за последние 3 года t ненорм – время выполнения тех же операций альтернативным способом из-за компьютерного инцидента на КИИ либо с учетом времени на восстановление системы | При полной остановке производства без возможности альтернативной замены расчет показателя не производится |
| 13.1 | Субъектами КИИ – участниками кооперации головного исполнителя по ГОЗ | Оценка контрактов, выполняемых с использованием объекта КИИ для производства товаров (работ, услуг) по ГОЗ. Решение о категории принимается в зависимости от статуса субъекта КИИ в кооперации головного исполнителя по ГОЗ | - |
Финансовые организации
Методические рекомендации Банка России по обеспечению ИБ при разработке и применении ИИ на финансовом рынке
16 июня Банк России опубликовал методические рекомендации от 16.06.2026 № 3-МР «По обеспечению информационной безопасности (далее – ИБ) при разработке и применении искусственного интеллекта (далее – ИИ) на финансовом рынке».
Документ разработан в целях обеспечения единства подходов кредитных организаций, иностранных банков, некредитных финансовых организаций, лиц, оказывающих профессиональные услуги на финансовом рынке, субъектов национальной платежной системы (далее – организации) к реализации принципа безопасности, надежности и эффективности в части обеспечения ИБ при разработке и применении ИИ на финансовом рынке в соответствии с Кодексом этики в сфере разработки и применения ИИ на финансовом рынке.
Документ содержит рекомендации по:
- минимизации рисков, связанных с нарушением ИБ и операционной надежности при разработке и применении ИИ;
- разработке модели угроз безопасности информации системы ИИ и определении состава и содержания мер защиты системы ИИ;
- разработке политики обеспечения ИБ при разработке и применении ИИ;
- обеспечению ИБ при использовании сервисов ИИ поставщиков услуг и (или) компонентов технологий ИИ с открытым исходным кодом.
Введены определения для галлюцинаций ИИ, дрейфа данных и других понятий.
Организациям рекомендуется:
- учитывать возможные способы реализации угроз безопасности информации, специфичные для технологий ИИ, в частности атак с использованием фаззинга, модификации алгоритма обучения и иными
- для определения возможных сценариев реализации угроз безопасности информации, специфичных для технологий ИИ, организациям рекомендуется использовать, в частности, тактики и соответствующие им техники, указанные в документе;
- определять в проектной и эксплуатационной документации сведения о реализации мер защиты систем ИИ, а также проводить оценку эффективности реализованных мер защиты;
- разработать внутренние документы, предусматривающие порядок контроля за реализацией требований политики обеспечения ИБ при разработке и применении ИИ, в том числе аудита;
- реализовать валидацию результатов операций, выполненных ИИ в автоматическом режиме, человеком с возможностью изменения таких результатов, в случае использования ИИ для выполнения операций в автоматическом режиме в критически важных процессах (например, в платежных процессах, процессах учетных систем), когда риски ИБ ИИ оценены организацией как высокие;
- разработать модель угроз безопасности информации системы ИИ согласно методике оценки угроз безопасности информации Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) от 05.02.2021 и учитывать:
o результаты оценки рисков ИБ ИИ;
o этапы разработки и применения ИИ (подготовка данных, разработка модели ИИ, обучение и тестирование модели ИИ, функционирование модели ИИ);
o возможные угрозы безопасности информации, специфичные для технологий ИИ;
o актуальность как внешнего, так и внутреннего нарушителя;
o структурно-функциональные характеристики системы ИИ в информационной инфраструктуре организации;
o угрозы безопасности информации, возможные для информационной инфраструктуры организации, на базе которой функционирует система ИИ.
- разрабатывать собственные методики оценки доверия в отношении безопасности данных, моделей ИИ поставщиков услуг и (или) компонентов технологий ИИ с открытым исходным кодом и иное.
Иное
Технологическая платформа создания, развития и эксплуатации ИС
10 июня официально опубликован Федеральный закон от 10.06.2026 № 166‑ФЗ «О технологической платформе создания, развития и эксплуатации ИС».
Документ устанавливает организационно-правовые основы создания, развития и эксплуатации государственных, муниципальных и иных ИС на технологической платформе, а также иного технологического обеспечения деятельности участников технологической платформы.
Участниками технологической платформы могут быть:
- органы государственной власти РФ и субъектов РФ, иные государственные органы, органы публичной власти федеральных территорий, органы местного самоуправления, органы управления государственными внебюджетными фондами;
- иные лица, уполномоченные в соответствии с нормативными правовыми актами на осуществление мероприятий по созданию, развитию и эксплуатации ИС,
- коммерческие и некоммерческие организации, в отношении которых правительственной комиссией принято решение о допуске таких организаций в качестве участников технологической платформы.
Обязанности участников технологической платформы:
- использовать компоненты платформы в соответствии с законодательством об информации, о персональных данных (далее – ПДн), а в случае создания значимых объектов КИИ – также с законодательством о безопасности КИИ;
- проводить во взаимодействии с Министерством цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) оценку экономической и (или) технологической целесообразности создания и развития ИС на технологической платформе;
- обеспечивать в пределах своих полномочий реализацию мер по защите информации;
- обеспечивать в порядке, установленном Федеральной службы безопасности РФ, взаимодействие ИС на технологической платформе с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Федеральный закон вступает в силу с 1 сентября 2027 года.
Со дня его вступления в силу, единая цифровая платформа «ГосТех», считается технологической платформой, предусмотренной данным федеральным законом.
Методические рекомендации Минцифры России к ИТ-инфраструктуре для размещения ИС органов исполнительной власти и органов местного самоуправления
4 июня Минцифры России утвердило приказ от 04.06.2026 № 508 «Об утверждении Методических рекомендаций по обеспечению соблюдения требований к информационно-телекоммуникационной инфраструктуре, в том числе облачной, для размещения ИС органов исполнительной власти и органов местного самоуправления».
Рекомендации разработаны с целью обеспечения потребности органов исполнительной власти и органов местного самоуправления (далее - потребители) в защищенной инфраструктуре с учетом требований по использованию импортозамещенного аппаратного и программного обеспечения (далее – ПО) в целях унификации подхода к ее созданию и управлению.
Документом предусмотрены рекомендации:
- общие к инфраструктуре:
o инфраструктура должна функционировать в непрерывном круглосуточном режиме;
o необходимо создавать инфраструктуру на выделенных ресурсах, используемых только для обеспечения деятельности органов власти – не допускать использования общих ресурсов с иными заказчиками и иное.
- к составу и организации инфраструктуры:
o для создания инфраструктуры используется оборудование, включенное в единый реестр российской радиоэлектронной продукции;
o архитектурные решения не должны ограничивать выбор платформ виртуализации, операционных систем, систем резервного копирования, средств мониторинга и средств защиты информации (далее – СрЗИ) и иное.
- к условиям и параметрам функционирования инфраструктуры:
o класс защищенности и уровень защищенности информации инфраструктуры не может быть ниже класса защищенности и уровня защищенности информации размещаемых ИС потребителей;
o для катастрофоустойчивости потребителем должен создаваться дублирующий контур инфраструктуры с репликацией данных;
o для инфраструктуры, на которой размещаются ИС, являющиеся значимыми объектами КИИ, потребителем должны быть реализованы соответствующие меры по обеспечению безопасности объекта согласно требованиям приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» и иное.
- по оптимизации создания и использования инфраструктуры:
o необходимо поэтапное развертывание ресурсов под контуры разработки, тестирования, предпродуктивный и продуктивный контур;
o для минимизации расходов на эксплуатацию инфраструктуры следует использовать облачные платформы и иное.
Административная ответственность за нарушения в сфере авторизации пользователей и применения рекомендательных технологий
26 июня официально опубликован Федеральный закон от 26.06.2026 № 199‑ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях (далее – КоАП РФ)».
Документ вносит изменения в КоАП РФ, в том числе дополняет его новыми статьями 13.55 и 13.56, устанавливающими административную ответственность за нарушения в сфере авторизации пользователей и применения рекомендательных технологий.
Статья 13.55 КоАП РФ устанавливает ответственность за неисполнение владельцем сайта и (или) страницы сайта в сети «Интернет», ИС или программы для электронных вычислительных машин, осуществляющим деятельность на территории РФ, обязанности по проведению авторизации пользователей, находящихся на территории РФ, одним из способов, предусмотренных ч. 10 ст. 8 Федерального закона от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации».
Статья 13.56 КоАП РФ устанавливает для владельцев информационных ресурсов, на которых применяются рекомендательные технологии, ответственность (в виде штрафа) за неисполнение требований к их применению, а именно:
- применение рекомендательных технологий, которые нарушают права и законные интересы граждан и организаций, а равно их применение в целях предоставления информации с нарушением законодательства РФ;
- предоставление информации с применением рекомендательных технологий без информирования пользователей сети "Интернет" о применении на данном информационном ресурсе рекомендательных технологий;
- неразмещение на информационном ресурсе, на котором применяются рекомендательные технологии, документа, устанавливающего правила применения рекомендательных технологий, и (или) адреса электронной почты для направления владельцу такого информресурса юридически значимых сообщений, фамилии и инициалов (для физического лица) или наименования (для юридического лица) владельца такого информационного ресурса;
- неисполнение владельцем информационного ресурса, на котором применяются рекомендательные технологии, требования Федеральной службы по надзору в сфере связи, информационных технологий (далее – ИТ) и массовых коммуникаций (далее – Роскомнадзор) о прекращении предоставления информации с применением рекомендательных технологий.
Размер штрафа по ст. 13.55 КоАП РФ, ч.1, 2 и 3 ст. 13.56 КоАП РФ составляет:
- для граждан от 10 000 до 20 000 руб.;
- для должностных лиц – от 30 000 до 50 000 руб.;
- для юридических лиц – от 500 000 до 700 000 руб.
Размер штрафа по ч.5 ст. 13.56 КоАП РФ составляет:
- для граждан от 20 000 до 40 000 руб.;
- для должностных лиц – от 600 000 до 100 000 руб.;
- для юридических лиц – от 1 000 000 до 1 400 000 руб.
За повторное совершение данных правонарушений предусмотрены увеличенные размеры штрафов.
Закон вступил в силу с 7 июля 2026 года.
ФСТЭК России
Методика выявления уязвимостей и недекларированных возможностей в ПО
4 июня ФСТЭК России опубликовала информационное сообщение от 28.05.2026 № 240/24/3693 об утверждении методического документа от 12.05.2026 «Методика выявления уязвимостей и недекларированных возможностей в ПО» (далее – Методика).
Методика устанавливает порядок проведения исследований по выявлению уязвимостей и недекларированных возможностей в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности ИТ, утвержденными приказом ФСТЭК России от 02.06.2020 № 76 (далее –Требования доверия), в ПО СрЗИ (далее – объект оценки), за исключением исходного программного кода программируемых логических интегральных микросхем.
В связи с утверждением Методики положения методического документа «Методика выявления уязвимостей и недекларированных возможностей в ПО», утвержденного ФСТЭК России 25.12.2020, не применяются.
Разработчикам рекомендуется использовать положения Методики для организации внутренних процессов жизненного цикла ПО в соответствии с ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования» (далее – ГОСТ Р 56939-2024).
Методика ориентирована на проведение исследований, выполняемых испытательными лабораториями и разработчиками в рамках:
- сертификационных испытаний программных, программно-аппаратных СрЗИ и защищенных программных, программно-технических средств;
- внесения изменений в ранее сертифицированные средства.
Методика устанавливает 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый. Требования к уровню контроля объекта оценки предъявляются в соответствии с Требованиями доверия.
Для проведения исследований разработчик объекта оценки предоставляет необходимую информацию об объекте оценки, в том числе:
- исходный код, сборочную среду и систему сборки;
- результаты выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024;
- дистрибутив и иные сопутствующие материалы.
Исследования объекта оценки включают 3 основных этапа:
- подготовку к проведению исследований:
o анализ документации и иных исходных данных;
o подготовка исследовательского стенда.
- проведение исследований:
o анализ архитектуры;
o статический анализ исходных кодов;
o динамический анализ;
o экспертиза кода.
- оформление результатов исследований:
o составление протокола исследований в соответствии с Положением о системе сертификации СрЗИ, утвержденным приказом ФСТЭК России от 03.04.2018 № 55;
o направление разработчиком объекта оценки в банк данных угроз безопасности информации ФСТЭК России сведений об уязвимостях объекта оценки и его компонентов.
Изменения порядка аттестации объектов информатизации по требованиям защиты информации
25 июня официально опубликован приказ ФСТЭК России от 27.02.2026 № 60 «О внесении изменений в Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержденный приказом ФСТЭК России от 29.04.2021 № 77».
Подробнее с документом можно ознакомиться в обзоре за январь 2026 года Аналитического центра УЦСБ.
Ключевые отличия официально опубликованной версии документа от проекта:
- исключено требование о мониторинге безопасности на конечных устройствах с применением сертифицированных СрЗИ при аттестации объекта информатизации на основе результатов испытаний выделенного набора сегментов;
- любая инфраструктура, а не только центров обработки данных, используемая для цифровой трансформации государственного управления, будет подлежать обязательной аттестации на соответствие требованиям по защите информации по классу защищенности не ниже класса защищенности объекта информатизации;
- определены обязательные методы (функциональное тестирование и анализ уязвимостей) для дополнительных аттестационных испытаний при развитии (модернизации) объекта информатизации и установлены требования к отчету (протоколу) по результатам таких испытаний;
- в случае повышения класса защищенности (уровня защищенности, категории значимости) объекта информатизации будет необходима его повторная аттестация.
Начало действия документа – 1 сентября 2026 года.
Отмечаем, что общество с ограниченной ответственностью «Уральский центр систем безопасности» (ООО «УЦСБ») успешно реализует проекты по анализу защищенности и аттестации объектов информатизации на соответствие требованиям о защите информации, а также обладает необходимыми лицензиями на оказание данных услуг.
Деятельность ТК 362 в июне 2026 года
30 июня ФСТЭК России на своем официальном сайте опубликовала Справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2026 год по состоянию на 26 июня 2026 года.
В интересах выполнения плана были проведены следующие работы:
- председателю ТК 362 представлены предложения в проект программы национальной стандартизации на 2027 год по ТК 362 и пояснительная записка к ним;
- на рассмотрение в организации-члены ТК 362 направлены:
o первая редакция проекта национального стандарта ГОСТ Р 58940 «Обмен данными для учета электроэнергии. Требования к протоколам обмена информацией между компонентами интеллектуальной системы учета и приборами учета»;
o окончательная редакция проекта национального стандарта ГОСТ Р ИСО/МЭК 27006-1 «ИБ, кибербезопасность и защита конфиденциальности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ. Часть 1. Общие положения».
- ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре». Проект представлен в ТК 362 для принятия решения об организации его публичного обсуждения;
- проводятся работы по заключению договора на издательское редактирование и подготовку к утверждению проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости идентификации и аутентификации»;
- дорабатываются проекты национальных стандартов:
o ГОСТ Р «Защита информации. Разработка безопасного ПО. Среда разработки безопасного ПО. Общие требования». Плановый срок представления проекта национального стандарта в ТК 362 – ноябрь 2026 года;
o ГОСТ Р «Защита информации. Безопасность интегральных схем. Общие положения». Плановый срок представления проекта национального стандарта в ТК 362 – июль 2026 года;
o ГОСТ Р «Защита информации. Методика оценки уровня реализации процессов разработки безопасного ПО». Ожидаемый срок представления проекта национального стандарта в ТК 362 – июль 2026 года.
Обновление перечней и реестров ФСТЭК России
На сайте ФСТЭК России размещены обновленные перечни и реестры:
- реестр лицензий на деятельность по технической защите конфиденциальной информации (далее – ТЗКИ);
- реестр лицензий на деятельность по разработке и производству СрЗИ;
- государственный реестр сертифицированных СрЗИ;
- перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;
- перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;
- реестр аккредитованных ФСТЭК России органов по сертификации;
- реестр аккредитованных ФСТЭК России испытательных лабораторий;
- перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
- перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
- перечень сертификатов соответствия процессов безопасной разработки ПО.
ООО «УЦСБ» имеет лицензию ФСТЭК России на:
- деятельность по разработке и (или) производству СрЗИ (№Л050-00107-00/00579687 от 08 октября 2007 года);
- деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года).
Судебная практика в части персональных данных
Видеопроверка и предоставление фото документов пользователя для разблокирования профиля не является обработкой биометрических ПДн
11.03.2026 Судебная коллегия по гражданским делам Рязанского областного суда отменила решение первой инстанции, которым ООО «КЕХ еКоммерц», являющееся оператором российского интернет-сервиса «Авито», обязали восстановить пользователю доступ к профилю без видеопроверки и фото документов.
Напомним: 04.12.2025 Московский районный суд города Рязани встал на сторону пользователя, постановив, что отказ от предоставления ПДн для разблокирования профиля не может служить основанием для отказа в предоставлении услуг, сославшись на п. 13 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ» (далее – 572-ФЗ) и нормы Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152‑ФЗ) (обзор на данное судебное решение приведен в Обзоре изменений законодательства РФ в области ИБ за март 2026).
В процессе судебного разбирательства апелляционной коллегией было установлено:
- Видеопроверка благонадежности пользователя не является обработкой биометрических ПДн, поскольку не используется для установления личности пользователя. Цель данной проверки – обеспечение безопасности пользователей сайта.
- ООО «КЕХ еКоммерц» не сохраняет видеоизображения пользователей, что исключает возможность биометрической идентификации.
- Отсутствие факта обработки ООО «КЕХ еКоммерц» биометрических ПДн было подтверждено Минцифры России и Роскомнадзором, а также ПАО «МТС».
- 572-ФЗ неприменим к проверкам благонадежности на сайте «Авито», так как его сфера действия ограничена регулированием автоматизированной биометрической идентификации с использованием государственной Единой биометрической системы. Неприменимость указанного закона подтверждена заключением Минцифры России.
- Суд первой инстанции в нарушение ст. 421 и ст. 425 Гражданского кодекса РФ не применил предусмотренные при регистрации условия ООО «КЕХ еКоммерц» и согласованные сторонами последствия нарушения и необоснованно освободил истца от обязанности пройти проверку. Суд первой инстанции предоставил истцу право пользования сайтом в индивидуальном порядке.
На основании вышеизложенного судебная коллегия отменила решение суда первой инстанции.
Наказание в виде предупреждения за утечку ПДн
1. «Комлайн»
28.04.2026 Арбитражный суд Кемеровской области, рассмотрев дело об административном правонарушении, вынес решение о признании виновным ООО «Комлайн» в совершении правонарушения по ч. 12 ст. 13.11 КоАП РФ: действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн от 1 000 до 10 000 субъектов ПДн и (или) от 10 000 до 100 000 идентификаторов.
В июне 2025 года в результате атаки группировки «BO_Team_UA» были скомпрометированы данные (фамилия, имя, отчество, серия и номер паспорта, дата рождения, адрес) 4 225 абонентов ООО «Комлайн», которые впоследствии были опубликованы в Telegram-канале.
В процессе судебного разбирательства было установлено, что оператор направил в Роскомнадзор уведомления:
- о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн;
- об инциденте, содержащее результаты внутреннего расследования инцидента, из которого следует, что в результате атаки злоумышленники получили доступ к сетевому оборудованию, физическим серверам и виртуальной инфраструктуре.
Также ООО «Комлайн» в судебном заседании настаивало на том, что наличие признаков уголовно-наказуемого деяния (в данном случае было возбуждено уголовное дело) является отдельным основанием для прекращения дела об административном правонарушении в связи с отсутствием состава административного правонарушения по ч. 12 ст. 13.11 КоАП РФ (п.2 ч.1 ст. 24.5 КоАП РФ).
Рассмотрев все доводы сторон суд пришел к следующим выводам:
1. Возбуждение уголовного дела по ст. 272.1 Уголовного кодекса РФ (далее – УК РФ) против злоумышленников не освобождает оператора от административной ответственности: ст. 272.1 УК РФ применяется только к данным, полученным незаконным путем через неправомерный доступ к компьютерной системе или другими незаконными способами.
2. Суд отклонил следующие доводы ООО «Комлайн»:
o приказ Федеральной службы по техническому и экспортному контролю РФ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных ИС» допускает утечку данных в ИС 3 класса защищенности;
o ИС, принадлежащие операторам связи, в том числе ООО «Комлайн», отнесены к 3 категории значимости, для которой допускается утечка информации, что не является нарушением законодательства.
3. Заявление ООО «Комлайн» ходатайств спустя почти пять месяцев после предъявления к нему требований, суд расценивает как попытку затянуть рассмотрение дела и избежать ответственности в связи с истечением сроков давности привлечения к административной ответственности, тогда как лица, участвующие в деле, должны пользоваться принадлежащими им процессуальными правами добросовестно и не допускать злоупотребления ими (ч. 2 ст. 41 Арбитражного процессуального кодекса РФ).
4. Доказательств невозможности соблюдения ООО «Комлайн» требований в силу чрезвычайных событий и обстоятельств, которые оно не могло предвидеть и предотвратить при соблюдении той степени заботливости и осмотрительности, которая от него требовалась, в материалах дела не имеется, что свидетельствует о наличии его вины.
Санкцией ч. 12 ст. 13.11 КоАП РФ предусмотрено административное наказание для юридических лиц в виде штрафа от 3 млн. до 5 млн. руб.
Суд назначил административное наказание в виде предупреждения, ссылаясь на ст. 4.1.1 КоАП РФ: правонарушение ООО «Комлайн» было совершено впервые, оператор относится к субъектам малого и среднего предпринимательства, отсутствие сведений об отягчающих ответственность обстоятельствах, а также применение к обществу наказания в виде административного штрафа в данном случае не отвечает принципу соразмерности и справедливости административного наказания.
2. ООО «Орион Телеком» Иркутской области
12.05.2026 Арбитражный суд Иркутской области, рассмотрев дело об административном правонарушении, вынес решение о признании виновным ООО «Орион Телеком» в совершении правонарушения по ч. 13 ст. 13.11 КоАП РФ: неправомерная передача (предоставление, распространение, доступ) информации, включающей ПДн от 10 тыс. до 100 тыс. субъектов ПДн и (или) от 100 тыс. до 1 млн. идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
В процессе судебного разбирательства был установлен факт неправомерного доступа к информационной системе ПДн ООО «Орион Телеком» в результате DDOS-атаки неустановленных лиц, повлекшего за собой распространение неограниченному кругу лиц ПДн абонентов ООО «Орион Телеком», а именно 36 544 субъектов ПДн, в объеме: фамилия, имя, отчество, серия и номер паспорта, дата рождения, адрес, номер телефона, путем их размещения на сайте в сети «Интернет».
В ходе судебного разбирательства представителем ООО «Орион Телеком» заявлено ходатайство о назначении экспертизы для определения степени вины ООО «Орион Телеком». Суд отказал в удовлетворении ходатайства, т.к. вопрос носит правовой характер, определение вины – компетенция суда, а не эксперта.
Также по факту неправомерного доступа к компьютерной информации было возбуждено уголовное дело по ч. 1 ст. 272 УК РФ, ч.1 ст. 273 УК РФ и ч.1 ст.272.1 УК РФ, по которому ООО «Орион Телеком» признан потерпевшим. Однако суд отклонил доводы об отсутствии вины ООО «Орион Телеком» в совершении административного правонарушения ввиду наличия возбужденного уголовного дела.
ООО «Орион Телеком» был представлен отчет ООО «Бизон», из которого следует, что конфигурация системы безопасности в операционной системе была настроена некорректно:
- активная учетная запись (drovennikov_a) уволенного в 2022 году работника, пароль которой не менялся с 2019 года;
- пользователь drovennikov_a входил в группу с названием fullsudo – возможность повышения привилегий до root без ввода пароля;
- обнаружено ПО с критическими уязвимостями;
- root-пароль уязвим к словарной атаке.
Суд, принимая во внимание отнесение ООО «Орион Телеком» к субъектам малого и среднего предпринимательства, назначил наказание в виде предупреждения.
3. ООО «Орион Телеком» Республики Хакасия
22.05.2026 Арбитражный суд Республики Хакасия, рассмотрев дело об административном правонарушении, вынес решение о признании виновным ООО «Орион Телеком» в совершении правонарушения по ч. 13 ст. 13.11 КоАП РФ: неправомерная передача (предоставление, распространение, доступ) информации, включающей ПДн от 10 тыс. до 100 тыс. субъектов ПДн и (или) от 100 тыс. до 1 млн. идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
В процессе судебного разбирательства было установлен факт атаки на принадлежащую ООО «Орион Телеком» инфраструктуру связи, выявлено размещение хакерской группировкой в медиа-ресурсе в мессенджере Telegram сообщения о проникновении и уничтожении серверной и сетевой инфраструктуры группы компаний «Орион» и похищении ПДн 54 735 субъектов ПДн: фамилия, имя, отчество, серия/номер паспорта, дата рождения, адрес.
Арбитражный суд пришел к выводу, что в рассматриваемой ситуации вина ООО «Орион Телеком» состоит в том, что оно имело возможность для соблюдения требований действующего законодательства, однако не предприняло всех зависящих от него, необходимых и достаточных мер для соблюдения указанных требований.
ООО «Орион Телеком» был представлен отчет ООО «Бизон», из которого следует, что конфигурация системы безопасности в операционной системе была настроена некорректно:
- активная учетная запись (drovennikov_a) уволенного в 2022 году работника, пароль которой не менялся с 2019 года;
- пользователь drovennikov_a входил в группу с названием fullsudo – возможность повышения привилегий до root без ввода пароля;
- обнаружено ПО с критическими уязвимостями;
- root-пароль уязвим к словарной атаке.
Суд, принимая во внимание отнесение ООО «Орион Телеком» к субъектам малого и среднего предпринимательства, назначил наказание в виде предупреждения.
Штраф за невыполнение требований по локализации баз ПДн
Мировой судья судебного участка № 422 Таганского района города Москвы рассмотрел ряд дел об административном правонарушении, вынес решение о признании виновными в совершении правонарушения по ч. 8 ст. 13.11 КоАП РФ: невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ:
- Австралийский разработчик ПО Atlassian Pty Ltd, издатель игр Electronic Arts Inc и американский сервис по управлению проектами Asana Inc при сборе ПДн отказались выполнить обязанности по локализации баз ПДн, содержащих сведения о пользователях РФ. 14.04.2026 суд назначил организациям наказания в виде штрафов в размере 2 млн. руб.
- Шведский разработчик компьютерных игр компания Embracer Group при сборе ПДн не выполнил обязанность по локализации баз ПДн, содержащих сведения о пользователях РФ. 15.05.2026 суд назначил наказание в виде штрафов в размере 1 млн. руб.
- Владелец платформы иностранных языков Italki HK Limited, при сборе ПДн не выполнил обязанность по локализации баз ПДн, содержащих сведения о пользователях РФ. 21.05.2026 суд назначил наказание в виде штрафов в размере 1 млн. руб.
- Партнер и оператор китайского маркетплейса оригинальных товаров Poizon, при сборе ПДн не выполнила обязанность по локализации баз ПДн, содержащих сведения о пользователях РФ. 29.05.2026 суд назначил наказание в виде административного штрафа в размере 1 млн. руб.
27.04.2026 Мировой судья судебного участка №113 Абинского района, рассмотрев дело об административном правонарушении, вынес решение о признании виновной заместителя главы администрации Абинского района в совершении правонарушения по ч. 8 ст. 13.11 КоАП РФ: невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.
Администрация Абинского района является оператором ПДн интернет-ресурса, в исходном коде страниц которого используется платформа, принадлежащая иностранной компании из Соединенных Штатов Америки. При этом администрация не направляла в Роскомнадзор уведомление о трансграничной передаче ПДн. Ответственной за это направление была назначена заместитель главы администрации Абинского района.
Суд назначил наказание в виде административного штрафа в размере 100 тыс. руб.
Штраф за повторное невыполнение требований по локализации баз ПДн
08.05.2026 Мировой судья судебного участка № 422 Таганского района города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновными две иностранные компании – Международную ассоциацию развития фридайвинга «АИДА Интернэшнл» (AIDA International) и «Интернэшнл трейнинг» (International Training) в совершении правонарушения по ч. 9 ст. 13.11 КоАП РФ: повторное невыполнение оператором при сборе ПДн предусмотренной законодательством РФ обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения ПДн граждан РФ.
Организации, являясь операторами ПДн, при сборе ПДн повторно отказались выполнить обязанности по локализации баз ПДн, содержащих сведения о пользователях РФ.
Суд назначил организациям наказания в виде административных штрафов в размере 6 млн. руб. каждой.
Мониторинг утечек ПДн не нарушает законодательство РФ
14.04.2026 Девятый арбитражный апелляционный суд, рассмотрев апелляционную жалобу Роскомнадзора к ООО «Ди Эл Би Ай» — владелец сервиса «DLBI» («Data Leakage & Breach Intelligence») по делу, принял решение о непривлечении к ответственности по ч.1 ст.13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн.
Роскомнадзор провел мониторинг сайта ООО «Ди Эл Би Ай», на котором выявил факт функционирования автоматизированного сервиса мониторинга утечек ПДн, содержащихся в базах данных, неправомерно распространяемых в неограниченном доступе. На указанном сайте реализован функционал по сбору и предоставлению по запросу пользователей ПДн, содержащихся в базах данных, неправомерно распространяемых в сети «Интернет», в том числе в информационном сегменте DarkNet сети «Интернет». ООО «Ди Эл Би Ай» не представило в Роскомнадзор документы, подтверждающие законность обработки ПДн в указанных базах данных.
Рассмотрев материалы дела, суд апелляционной инстанции не нашел оснований для отмены решения суда первой инстанции, исходя из следующего:
- Веб-сайт ООО «Ди Эл Би Ай» носит исключительно информационно-аналитический характер: описание услуг общества, аналитические статьи, рекомендации по обеспечению защиты своих данных при использовании информационно-телекоммуникационных сетей.
- Сведения, которые размещены на веб-сайте ООО «Ди Эл Би Ай», не являются ПДн в соответствии с п. 1 ст. 3 152-ФЗ.
- Роскомнадзор необоснованно объединяет обстоятельства обработки ПДн в отношении посетителей веб-сайта ООО «Ди Эл Би Ай» и пользователей упомянутого сервиса «DLBI».
- Признаки наличия ПДн устанавливаются сервисом DLBI не напрямую (база не хранит номеров телефонов или адресов электронной почты клиентов), а только в виде хешей номера телефона или адреса электронной почты, которые не позволяют восстановить первоначальные данные.
- Номер телефона сам по себе не является ПДн. Номер телефона является ПДн только в том случае, если он указан вместе с фамилией, именем и отчеством его владельца.
- Организация может быть оператором в одном контуре (веб-сайт ООО «Ди Эл Би Ай») и не быть им в другом (сервис «DLBI»).
- Сервис «DLBI» предоставляется не напрямую (с сайта ООО «Ди Эл Би Ай»), а через партнеров, в частности, в судебном определении указана система «Защитник», которую предлагает своим клиентам ПАО «МТС».
Девятый арбитражный апелляционный суд оставил в силе решение Арбитражного суда города Москвы, отказал в удовлетворении апелляционной жалобы Роскомнадзора.
Штраф за утечку ПДн
05.03.2026 Арбитражный суд города Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании виновным ООО «Юкидс» в совершении правонарушения по ч. 14 ст. 13.11 КоАП РФ: за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн более ста тысяч субъектов ПДн и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, предусмотрена административная ответственность.
Согласно материалам дела ООО «Юкидс» направил в Роскомнадзор уведомление о факте неправомерного или случайного размещения в открытом доступе в сети «Интернет» ПДн (около 500 000 строк): фамилия, имя, отчество, номер телефона, электронная почта.
ООО «Юкидс» выступил с возражением против привлечения к административной ответственности и просьбой назначить наказание в виде предупреждения. Довод о наличии оснований для изменения наказания был отклонен судом.
Суд назначил наказания в виде административного штрафа в размере 400 тыс. руб.
Лишение свободы за предоставление ПДн
19.06.2026 Чкаловский районный суд города Екатеринбурга, рассмотрев дело о совершении уголовного правонарушения, вынес решение о признании инспектора группы по исполнению административного законодательства дорожно-патрульной службы (далее – ДПС) городской Государственной инспекции безопасности дорожного движения (далее – ГИБДД) виновной в совершении правонарушения по нескольким статьям:
- пункты «а», «в», «г» ч. 3 ст. 272.1 УК РФ – незаконные использование и передача компьютерной информации с ПДн;
- пункт «в» ч. 5 ст. 290 УК РФ – получение взятки в крупном размере;
- пункт «е» ч. 3 ст. 286 УК РФ – превышение должностных полномочий из корыстной заинтересованности
В процессе судебного разбирательства было установлено, что в декабре 2024 года инспектору предложили за денежное вознаграждение передавать данные о водителях из информационной базы. Так, вплоть до августа 2025 года инспектор фотографировала карточки учета транспортного средства и присылала снимки своему знакомому. В общем объеме инспектор продала ПДн более чем 350 человек, заработав 220 тыс. руб.
Суд назначил наказание в виде лишения свободы сроком на 4 года с отбыванием наказания в исправительной колонии общего режима. Также осужденная лишена звания «капитан полиции» и права работать в государственных органах на 2 года. Кроме того, инспектора оштрафовали на 250 тыс. руб.
Штраф за предоставление ПДн
28.04.2026 Тагилстроевский районный суд города Нижнего Тагила, рассмотрев дело о совершении уголовного правонарушения, вынес решение о признании инспектора группы по исполнению административного законодательства отдельного батальона ДПС ГИБДД виновным в совершении правонарушения по п. «г» ч. 3 ст. 272.1 УК РФ: незаконная передача компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения, с использованием своего служебного положения.
В процессе судебного разбирательства было установлено, что инспектор воспользовался функционалом служебного компьютера под учетной записью своего коллеги, выполнил поиск по информационным базам сведений о собственнике автомобиля по государственному регистрационному номеру транспортного средства по просьбе знакомой. В дальнейшем сотрудник полиции посредством текстовых сообщений в мессенджере отправил своей знакомой информацию, содержащую ПДн лица, а именно: фамилию, имя, отчество, дату рождения, адрес регистрации, номер телефона и фотографию с водительского удостоверения.
Суд назначил инспектору наказание в виде штрафа в размере 200 тыс. руб., с лишением права занимать должности на государственной службе в системе правоохранительных органов, связанные с осуществлением функций представителя власти, на срок 2 года, а также суд взыскал с осужденного в пользу потерпевшей компенсацию морального вреда в размере 50 тыс. руб.
Наказание в виде предупреждения за распространение ПДн
01.06.2026 Арбитражный суд Ставропольского края, рассмотрев дело об административном нарушении, вынес решение о признании председателя правления товарищества собственников жилья (далее – ТСЖ) «Домком» виновной в совершении правонарушений по ч.1 ст.13.11 КоАП РФ: обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн.
Председатель организовала размещение на информационных стендах в подъездах списков должников по жилищно-коммунальным услугам, в которых были указаны номера квартир и суммы задолженности.
В процессе судебного разбирательства судом было установлено, что размещенный в подъездах список должников содержит ПДн граждан, проживающих в указанном доме: информацию о номере квартиры, дома, наименование улицы и города, период и размер долга гражданина, проживающего в указанной квартире.
Владельцем информации о задолженности жильцов многоквартирного дома является ТСЖ «Домком», у которого отсутствовали основания, предусмотренные ч. 1 ст. 6 152-ФЗ, на распространение ПДн – доказательства того, что ПДн размещены с согласия граждан, в материалы дела не были представлены.
Суд назначил наказание председателю правления в виде предупреждения.
Судебная практика в части критической информационной инфраструктуры
Лишение свободы за причинение вреда КИИ
15.04.2026 Верховный суд РФ, рассмотрел уголовное дело по кассационным жалобам осужденных, вынес решение о признании медицинских работников виновными в совершении правонарушений по ч. 2, ч. 4 ст. 274.1 УК РФ: неправомерный доступ к охраняемой информации в составе группы по предварительному сговору и с использованием служебного положения, повлекший причинение вреда объектам КИИ РФ.
Осужденные, используя логин и пароль врача, вносили не соответствующие действительности сведения о фиктивной вакцинации лиц в Федеральный регистр вакцинированных против COVID-19 и оформили более 150 фиктивных сертификатов о вакцинации против COVID‑19 для друзей, родственников и знакомых.
Недостоверные записи были внесены в Регистр вакцинированных, являющийся частью Единой государственной ИС в сфере здравоохранения (далее – ЕГИСЗ), которая является объектом КИИ РФ. Действия осужденных нанесли вред КИИ РФ, который выразился в неправомерном доступе к охраняемой компьютерной информации, внесении недостоверной информации, что нарушило целостность и достоверность ИС.
Суд принял решение оставить без изменения приговор Советского районного суда, апелляционное определения предыдущих инстанций, а кассационные жалобы – без удовлетворения:
- медработник 1 был приговорен к наказанию сроком на 6 лет и 6 месяцев лишения свободы условно и штрафом 600 тыс. руб.;
- медработник 2 был приговорен к наказанию сроком на 4 года лишения свободы условно и штрафом 550 тыс. руб.
Внесение недостоверных сведений в объект КИИ не нанесло вреда КИИ
05.03.2025 Верховный суд РФ, рассмотрев уголовное дело по кассационным жалобам, уточнил пределы уголовной ответственности за внесение недостоверных сведений в медицинские ИС.
Гражданин был осужден:
- по ч. 1 ст. 327 УК РФ к одному году лишения свободы (подделки официального документа, предоставляющего права, в целях его использования, и за сбыт такого документа);
- по ч. 4 ст. 274.1 УК РФ к 3 годам 6 месяцам лишения свободы (неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, повлекший причинение вреда КИИ РФ, группой лиц по предварительному сговору).
Осужденный, не желая проходить вакцинацию, через знакомую медсестру фельдшерско-акушерского пункта за денежное вознаграждение получил поддельный медицинский сертификат о проведении профилактической прививки против инфекции COVID-19 путем внесения его ПДн, в информационный ресурс COVID-19, являющийся частью ЕГИСЗ, относящейся к объектам КИИ РФ.
Суд, рассмотрев материалы дела, пришел к следующим выводам:
- медсестра в силу занимаемой должности имела санкционированный доступ к ЕГИСЗ по внесению сведений о вакцинированных лицах;
- в приговоре не было установлено, что действия гражданина были связаны с использованием компьютерных программ для неправомерного доступа или с использованием компьютерной информации, заведомо предназначенной для неправомерного воздействия на КИИ РФ;
- информационный ресурс COVID-19 продолжал работать в штатном режиме после внесения в него недостоверных сведений (КИИ РФ не был причинен вред).
На основании вышеизложенного суд принял решение об изменении приговора первой инстанции, апелляционного определения и кассационного определения, исключив осуждение гражданина по ч. 4 ст. 274.1 УК РФ.