Обзор изменений в законодательстве за сентябрь 2025 года

14 октября 2025

Новости

В обзоре изменений за сентябрь 2025 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим правила и мониторинг перехода субъектов КИИ на российское ПО, требования к доверенному ПО, порядок формирования перечня российского ПО для собственных нужд.

2. Персональные данные

Рассмотрим изменения в технических требованиях к биометрическим ПДн в ЕБС.

3. Финансовые организации

Рассмотрим правила предоставления кредитными организациями сведений по запросам уполномоченных государственных органов обеспечения безопасности РФ.

4. Иное

Приведем список ранее рассмотренных законопроектов, вступивших в силу с 1 сентября 2025 года.

Рассмотрим изменения в порядок сертификации процессов безопасной разработки ПО СрЗИ.

Разберем изменения в регулировании систем ЭДО, правилах формирования реестров российского и евразийского ПО.

Рассмотрим порядок заключения соглашений для реализации особо значимых проектов.

Проанализируем правила формирования и ведения реестра ЦОД, требования к сетям и средствам связи, правила оснащения техническими средствами противодействия угрозам в сетях связи операторов.

5. ФСТЭК России

Рассмотрим методику пентестов для ГИС от ФСТЭК России и приведем список обновленных перечней и реестров ФСТЭК России.

6. Судебная практика

Рассмотрим судебную практику в области ИБ за 3 квартал 2025 года.

Критическая информационная инфраструктура

Правила перехода субъектов КИИ на российское ПО

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России, РФ) представило для общественного обсуждения проект постановления Правительства РФ «О порядке и сроках перехода субъектов критической информационной инфраструктуры РФ (далее – КИИ) на использование программ для электронных вычислительных машин (далее – ЭВМ) и баз данных (далее – БД), сведения о которых включены в единый реестр российских программ для ЭВМ и БД (далее – Реестр российского программного обеспечения), предусмотренный статьей 12.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях (далее – ИТ) и о защите информации» (далее – 149-ФЗ), на значимых объектах КИИ РФ».

Федеральные органы исполнительной власти, организации, осуществляющие функции в сферах КИИ, а также Центральный банк РФ назначаются ответственными за организацию перехода субъектов КИИ на использование российского программного обеспечения (далее – ПО) на значимых объектах КИИ (далее – Уполномоченные органы).

Проект предлагает установить конечные сроки перехода на российское ПО:

для субъектов КИИ, эксплуатирующих программно-аппаратные комплексы со встроенным ПО – до 1 января 2035 года;
для субъектов КИИ, владеющих значимыми объектами КИИ – до 1 января 2028 года, с возможностью продления срока президиумом Правительственной комиссии по цифровому развитию, использованию ИТ для улучшения качества жизни и условий ведения предпринимательской деятельности (далее – Правительственная комиссия) до 1 декабря 2030 года, в случае:

o отсутствия в Реестре российского ПО аналогов используемого ПО;

o участия зарубежного ПО, используемого на значимом объекте КИИ, в проекте по разработке, доработке и внедрению российских решений в сфере ИТ или на обеспечение ускоренного развития отрасли ИТ в РФ (далее – особо значимый проект).

Для продления срока перехода субъекту КИИ будет необходимо до 1 августа 2026 года подать в Уполномоченный орган заявку с обоснованием отсрочки.

До 1 июня 2026 года Уполномоченные органы должны будут разработать и утвердить отраслевые планы перехода на российское ПО и направить их субъектам КИИ. Субъекты КИИ в течение месяца со дня получения отраслевого плана должны будут разработать свой план перехода, содержащий сведения о применяемом ПО, о долях российского ПО, предельные сроки завершения перехода и иное.

В случае успешного завершения перехода субъекты КИИ до 1 января 2028 года должны будут направить в Уполномоченный орган отчет о завершении перехода на российское ПО.

Проект постановления не распространяется на объекты КИИ, где переход на российское ПО был завершен до 1 января 2025 года.

Общество с ограниченной ответственностью «Уральский центр систем безопасности» успешно реализует проекты по переходу на российское ПО и оборудование.

Дата окончания публичного обсуждения – 17 октября 2025 года.

Правила мониторинга перехода субъектов КИИ на российское ПО

19 сентября 2025 года опубликован проект постановления Правительства РФ «Об утверждении правил осуществления мониторинга за исполнением субъектами КИИ РФ обязанности по использованию на значимых объектах КИИ РФ программ для ЭВМ и БД, указанных в п. 5 ч. 3 ст. 9 Федерального закона 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ».

Мониторинг будут осуществлять Уполномоченные органы. Непосредственным объектом мониторинга будут программы для ЭВМ и БД, используемые на значимых объектах КИИ.

Субъекты КИИ, которые завершат переход до 1 января 2028 года, будут обязаны ежегодно, не позднее 1 февраля, предоставлять в Уполномоченные органы отчеты о соблюдении обязанности по использованию российского ПО на значимых объектах КИИ (далее – Отчет), которые должны будут содержать следующую информацию:

полное наименование субъекта КИИ РФ, его местонахождение и адрес;
наименование значимых объектов КИИ, которые принадлежат субъекту КИИ;
долю лицензий на использование программ для ЭВМ и БД, используемых на значимых объектах КИИ, в общем количестве используемых субъектами КИИ лицензий (указывается отдельно по каждому значимому объекту КИИ).

Уполномоченный орган ежегодно, не позднее 1 марта, по результатам анализа Отчетов, будет направлять в Федеральную службу по техническому и экспортному контролю РФ (далее – ФСТЭК России) информацию по объектам КИИ, на которых доля (процент) лицензий на использование программ для ЭВМ и БД составляет менее 100.

Дата окончания общественного обсуждения проекта – 17 октября 2025 года.

Требования к доверенному ПО

19 сентября 2025 года был опубликован проект постановления Правительства РФ «О доверенных российских программах для ЭВМ и БД», который содержит Правила формирования и ведения перечня доверенных российских программ для ЭВМ и БД (далее – Перечень доверенного ПО) и требования к доверенному ПО, среди которых:

сведения о ПО должны быть включены в Реестр российского ПО или Перечень российских программ для ЭВМ и БД, разработанных и используемых российскими юридическими лицами для собственных нужд (далее – Перечень ПО для собственных нужд);
наличие версии ПО, совместимой с российскими процессорами;
сборка и обновление ПО должны осуществляться из репозиториев на территории РФ;
разработка должна вестись правообладателем самостоятельно или с привлечением российских организаций без преобладающего иностранного участия, на российских средствах разработки, с изолированной сборочной средой внутри РФ;
отсутствие неустраненных уязвимостей в течение 30 дней с момента их публикации в банке данных угроз ФСТЭК России.

Планируется следующая процедура включения ПО в Перечень доверенного ПО:

правообладатель ПО подает заявление в Минцифры России;
независимый аккредитованный центр тестирования проводит экспертизу на соответствие требованиям к ПО (срок – 30 рабочих дней);
решение о включении в перечень принимает президиум Правительственной комиссии.

Статус «доверенное ПО» будет действовать 3 года, затем его нужно снова подтверждать. Перечень доверенного ПО будет вести Минцифры России.

Дата окончания общественного обсуждения проекта – 10 октября 2025 года.

Порядок формирования перечня российского ПО для собственных нужд

19 сентября 2025 года был опубликован проект постановления Правительства РФ «Об утверждении Правил формирования и ведения Перечня ПО для собственных нужд».

Формирование Перечня ПО для собственных нужд будет осуществлять Минцифры России. В случае принятия проекта постановления подача заявок на внесение ПО в перечень станет возможной с 1 марта 2026 года. Проект содержит требования для включения сведений о ПО в Перечень ПО для собственных нужд.

Планируется следующая процедура включения сведений в Перечень ПО для собственных нужд:

правообладатель подает заявление через электронную форму на официальном сайте Реестра российского ПО;
экспертный совет по ПО при Минцифры России в течение 15 рабочих дней проводит экспертизу ПО и готовит заключение о соответствии ПО всем требованиям;
президиум Правительственной комиссии в течение 20 рабочих дней принимает решение о включении сведений о ПО в Перечень ПО для собственных нужд;
Минцифры России вносит запись о ПО в Перечень ПО для собственных нужд и уведомляет заявителя.

Основаниями для исключения из Перечня ПО для собственных нужд являются заявление правообладателя ПО или решение Минцифры России о несоответствии ПО установленным требованиям по результатам проведенной проверки.

Дата окончания общественного обсуждения проекта – 3 октября 2025 года.

Персональные данные

Изменения в технических требованиях к биометрическим ПДн в ЕБС

17 сентября 2025 года опубликован приказ Минцифры России от 19.06.2025 № 553 «О внесении изменений в приложения № 1, 2 и 5 к приказу Минцифры России от 12.05.2023 № 453», которым вносятся изменения в порядок обработки, размещения и обновления биометрических персональных данных (далее – ПДн), а также требования к технологиям и средствам обработки биометрических ПДн. Подробнее с изменениями можно ознакомиться в обзоре за май 2025 года Аналитического центра УЦСБ.

Приказ вступил в силу 28 сентября 2025 года и будет действовать до 1 июня 2029 года.

Финансовые организации

Правила предоставления кредитными организациями сведений по запросам уполномоченных органов безопасности РФ

1 сентября 2025 года опубликовано постановление Правительства РФ от 30.08.2025 № 1344 «Об утверждении правил предоставления кредитной организацией сведений с использованием единой системы межведомственного электронного взаимодействия (далее – СМЭВ) по запросу уполномоченного государственного органа, осуществляющего оперативно-разыскную деятельность или обеспечение безопасности РФ (далее – Уполномоченный орган)».

Кредитные организации должны будут подключиться к СМЭВ и обеспечить техническую готовность к взаимодействию с Уполномоченными органами.

Уполномоченный орган сможет направлять через СМЭВ запрос, который должен будет содержать обязательные реквизиты запроса, правовое основание запроса, требуемые сведения по операциям и счетам и иное. Если запрос составлен с нарушением требований, кредитная организация будет вправе вернуть его без исполнения с указанием причин.

Кредитная организация посредством СМЭВ должна будет направить ответ на запрос, содержащий следующие сведения:

о счетах, вкладах и операциях (дата, время, сумма, назначение платежа и идентификатор, номер счета и электронного средства платежа, способ совершения платежа);
о месте и времени выдачи наличных денежных средств;
о месте открытия счета, привязанного к электронному средству платежа;
о телефонных номерах, оплата связи по которым производится со счетов клиента;
о физических и юридических лицах, пополнявших счет (при наличии);
об участии лица в брокерской деятельности;
о сейфовых ячейках, взятых в аренду.

Срок предоставления ответа регулируются статьей 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» и составляет 10 рабочих дней.

Постановление вступит в силу 1 марта 2026 года и будет действовать до 1 марта 2032 года.

Иное

Нормативные правовые акты, вступившие в силу 1 сентября 2025 года

1 сентября 2025 года вступил в силу ряд нормативных правовых актов, рассмотренных ранее Аналитическим центром УЦСБ. Подробнее с документами можно ознакомиться в соответствующих обзорах:

Федеральный закон от 28.12.2024 № 519-ФЗ «О внесении изменений в статьи 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ «О ПДн» (далее – 152-ФЗ) и отдельные законодательные акты РФ» (январь 2025 года);
Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности КИИ РФ» (апрель 2025 года);
постановление Правительства РФ от 24.04.2025 № 538 «Об утверждении перечня случаев формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн» (апрель 2025 года);
приказ Министерства здравоохранения РФ от 20.03.2025 № 139н «Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования» (апрель 2025 года);
постановление Правительства РФ от 22.05.2025 № 702 «Об утверждении Правил проверки соответствия пользователей ГИС, определенной в соответствии с ч.2 ст.13-1 152-ФЗ, требованиям, указанным в ч.7 ст.13-1 152-ФЗ» (май 2025 года);
Федеральный закон от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ» (июнь 2025 года);
постановление Правительства РФ от 26.06.2025 № 966 «Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере ИТ, с операторами и взаимодействия ГИС, определенной в соответствии с ч.2 ст.13-1 152-ФЗ, и ИС операторов» (июнь 2025 года);
постановление Правительства РФ от 26.06.2025 № 961 «О формировании составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн, и предоставлении доступа к составам таких данных» (июнь 2025 года).

Изменения в порядок сертификации процессов безопасной разработки ПО СрЗИ

19 сентября 2025 года официально опубликован приказ ФСТЭК России от 30.06.2025 № 230 «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки ПО (далее – БРПО) средств защиты информации (далее – СрЗИ), утвержденный приказом ФСТЭК России от 01.12.2023 № 240».

Изменения вносятся по причине ввода в действие новой редакции ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования» (далее – ГОСТ Р 56939-2024).

В Порядок сертификации добавлены требования к руководству по БРПО (далее – Руководство), которое должно быть утверждено изготовителем ПО СрЗИ и доведено до всех работников, имеющих отношение к БРПО.

К изготовителю СрЗИ предъявляется требование по обеспечению представителям органа по сертификации доступа к материально-технической базе изготовителя СрЗИ, включая среду сборки и разработки ПО.

Процесс сертификации теперь включает 6 обязательных мероприятий:

оценка содержания Руководства требованиям Порядка сертификации процессов БРПО;
проверка соответствия артефактов реализации процессов БРПО требованиям ГОСТ Р 56939-2024;
проверка наличия у изготовителя СрЗИ средств разработки и тестирования ПО, а также средств, предназначенных для проведения композиционного, статического, динамического анализа ПО;
проверка фактического соответствия реализованных процессов БРПО Руководству;
инструментальный контроль реализации процессов БРПО;
проверка укомплектованности штата изготовителя СрЗИ компетентными сотрудниками.

Сертификат соответствия выдается именно на область действия, указанную в Руководстве – это связывает действие сертификата с конкретными процессами, описанными изготовителем СрЗИ.

Порядок заключения соглашений для реализации особо значимых проектов

18 сентября 2025 года опубликован проект постановления Правительства РФ «Об утверждении Порядка заключения соглашений о разработке и(или) модернизации программ для ЭВМ и БД в целях импортозамещения ПО для реализации особо значимых проектов (далее – Соглашение)».

Проект постановления предлагает утвердить порядок заключения Соглашений между Правительством РФ и российскими организациями – значимыми разработчиками ПО, а также условия Соглашения.

Для заключения Соглашения значимым разработчикам ПО необходимо будет подать заявку. На основании заявки Минцифры России будет оценивать соответствие разработчика ПО установленным требованиям и принимать решение о заключении Соглашения.

Соглашение планируется заключать по типовой форме не менее чем на 5 лет.

Изменения в правилах формирования реестров ПО

19 сентября 2025 года опубликован проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ».

Проект предлагает признать утратившим силу постановление Правительства РФ от 23.03.2017 № 325 «Об утверждении дополнительных требований к программам для ЭВМ и БД, сведения о которых включены в Реестр российского ПО, и внесении изменений в Правила формирования и ведения Реестра российского ПО».

А также внести в постановление Правительства РФ от 16.11.2015 № 1236 «Об утверждении Правил формирования и ведения Реестра российского ПО и единого реестра программ для ЭВМ и БД из государств–членов Евразийского экономического союза (далее – Реестр ПО стран ЕАЭС)» следующие изменения:

из Реестра российского ПО и Реестра ПО стран ЕАЭС исключаются сведения о сайте правообладателя и добавляются сведения о совместимости с доверенными операционными системами (далее – ОС);
в требованиях для включения в Реестр российского ПО расширен перечень правообладателей исключительных прав на ПО, добавлено требование о совместимости ПО с ОС из Перечня доверенного ПО и иные.

Заявитель, сведения о ПО которого включены в Реестр российского ПО, ежегодно, не позднее 1 июня, будет обязан уведомлять Минцифры России не только об изменении сведений о стоимости ПО, но и о выплатах по лицензионным и иным договорам за истекший календарный год.

Дата окончания общественного обсуждения проекта – 17 октября 2025 года.

Правила формирования и ведения реестра ЦОД

25 сентября опубликован проект постановления Правительства РФ «Об утверждении правил формирования и ведения реестра центров обработки данных (далее – ЦОД), расположенных на территории РФ», который устанавливает требования к обеспечению безопасности в ЦОД, его операторам, а также к порядку ведения реестра ЦОД.

В зависимости от основного принципа функционирования систем и оборудования ЦОД, ему будет присваиваться уровень надежности:

наивысший, с основным принципом – отказоустойчивость;
высший, с основным принципом — возможность проведения техобслуживания, ремонта или замены любого компонента без прерывания предоставления услуг;
средний, с основным принципом — резервирование всех компонентов систем;
без гарантированного уровня надежности.

Сведения о ЦОД будут подлежать включению в реестр, если в ЦОД:

осуществляется мониторинг информационной безопасности в системах управления инженерной инфраструктурой и физической защищенности ЦОД;
обеспечивается физическая защита в соответствии с заявленным классом ЦОД;
обеспечивается надежность в соответствии с заявленным уровнем;
ограничен физический доступ и доступ посредством каналов связи к средствам обработки информации;
реализовано резервное копирование информации;
реализована сегментация и разграничение прав доступа и иное.

Оператором реестра ЦОД будет Минцифры России. Внесение в реестр будет осуществляться на основании заявления, к которому необходимо будет приложить обязательство о неразмещении в ЦОД майнинговой инфраструктуры.

Дата окончания публичного обсуждения проекта – 9 октября 2025 года. Планируется, что Постановление вступит в силу с 1 марта 2026 года и будет действовать в течении 6 лет.

Изменение в регулировании систем ЭДО

29 сентября 2025 года опубликован проект Федерального закона «О внесении изменений в 149-ФЗ».

Предлагается закрепить единые требования, предъявляемые к организациям, оказывающим услуги по передаче электронных документов, а также ввести реестр операторов электронного документооборота (далее – ЭДО). Оператором ЭДО смогут стать только юридические лица, информация о которых внесена в реестр операторов ЭДО (далее – Реестр). Ведение Реестра возлагается на Федеральную налоговую службу РФ.

Внесение в Реестр информации об операторе ЭДО будет осуществляться при условии его соответствия следующим требованиям:

оператор ЭДО является юридическим лицом;
наличие лицензии Федеральной службы безопасности РФ (далее – ФСБ России) на деятельность в области шифровальных (криптографических) средств, за исключением случая, если техническое обслуживание этих средств осуществляется для собственных нужд;
наличие в собственности аппаратных средств электронной подписи и прав на использование программных средств;
владение на законном основании телекоммуникационной инфраструктурой, расположенной на территории РФ, обеспечивающей круглосуточный документооборот и иное.

Оператор ЭДО будет обязан соблюдать требования, включая:

защиту информации в электронных документах в соответствии с 149-ФЗ;
идентификацию участников информационного взаимодействия с использованием усиленной электронной подписи или единой системы идентификации и аутентификации;
использование только сертифицированных СрЗИ;
передачу документов в государственные информационные системы (далее – ГИС), когда это требуется по закону РФ и иное.

Дата окончания общественного обсуждения проекта – 14 октября 2025 года.

Требования к сетям и средствам связи

24 сентября 2025 года опубликован проект приказа Минцифры России «Об утверждении Требований к сетям и средствам связи собственников или иных владельцев технологических сетей связи, имеющих уникальный идентификатор совокупности средств связи и иных технических средств в сети «Интернет», для обеспечения безопасности РФ по направлению деятельности ФСБ России».

Владельцы технологических сетей связи, имеющих уникальный идентификатор совокупности средств связи в сети «Интернет», обязаны будут внедрить у себя специальные программно-технические средства (далее – ПТС) путем построения отдельного аппаратно-программного комплекса, отдельного программного модуля в информационных системах (далее – ИС) или их комбинированного варианта.

ПТС должны осуществлять поиск, обработку и передачу на пульт управления ФСБ России информации, хранящейся в ИС и передаваемой по технологическим сетям связи.

ПТС должны быть встроены в узлы связи технологической сети и не должны оказывать влияния на их работоспособность.

Проект устанавливает требования к ПТС, среди которых функциональные требования, временные характеристики, требования к взаимодействию с пультом управления ФСБ России и иные.

Дата окончания общественного обсуждения проекта – 9 октября 2025 года.

Правила оснащения техническими средствами противодействия угрозам в сетях связи операторов

30 августа 2025 года опубликовано постановление Правительства РФ «Об утверждении правил установки, эксплуатации и модернизации в сети связи оператора связи технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ информационно-телекоммуникационной сети (далее – ИТКС) «Интернет» и сети связи общего пользования».

Федеральная служба по надзору в сфере связи, ИТ и массовых коммуникаций (далее – Роскомнадзор) сообщает в радиочастотную службу сведения об операторах связи, в сетях которых предусматривается установка технических средств противодействия угрозам (далее – ТСПУ).

Не позднее чем за 90 дней до начала работ по установке ТСПУ радиочастотная служба направляет оператору связи запрос о предоставлении информации, необходимой для разработки проектной документации, включая сведения о технических характеристиках средств связи, местах установки ТСПУ и иных технологических параметрах.

На основании полученной информации радиочастотная служба совместно с представителем оператора связи осуществляет установку или модернизацию ТСПУ.

Операторы связи несут ответственность за подготовку инфраструктуры, сохранность переданных им ТСПУ, обеспечение электропитания для ТСПУ и иное.

Правила вступили в силу с 1 сентября 2025 года и будут действовать до 1 сентября 2031 года.

ФСТЭК России

Методика ФСТЭК России для проведения пентестов ГИС

8 сентября 2025 года ФСТЭК России опубликовало Информационное сообщение ФСТЭК России от 08.09.2025 № 240/24/4734 об утверждении методики испытаний систем защиты информации ИС методами тестирования на проникновение.

Методика определяет порядок проведения и содержание испытаний систем защиты информации ИС, автоматизированных систем управления, ИТКС с использованием методов тестирования на проникновение.

Методика применяется в ходе:

аттестации ИС на соответствие требованиям по защите информации;
контроля защищенности конфиденциальной информации от несанкционированного доступа (далее – НСД) и ее модификации в ИС;
оценки соответствия ИС требованиям по защите информации и достаточности принимаемых мер по защите информации;

Методика применяется для проведения работ по тестированию на проникновение в отношении ГИС, иных ИС государственных органов, унитарных предприятий, учреждений 1, 2 классов защищенности, которые имеют подключение к сети «Интернет».

В иных случаях решение о применении Методики принимает обладатель информации, заказчик, заключивший контракт на создание ИС, или оператор ИС.

Методика применяется после проведения работ, подтверждающих реализацию в ИС функций безопасности.

Также ее применение следует за анализом уязвимостей, проведенным с использованием средств контроля эффективности защиты информации от НСД, которые обеспечивают выявление и устранение известных уязвимостей и недостатков системы защиты информации.

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

Судебная практика

Наказание за незаконный сбор и передачу ПДн о пациенте

Артемовский городской суд, рассмотрев дело об уголовном правонарушении, вынес решение о признании бывшей сотрудницы государственного автономного учреждения здравоохранения Свердловской области «Артемовская центральная районная больница» виновной по ч. 2 ст. 272.1 Уголовного кодекса РФ (далее – УК РФ): незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей специальные категории ПДн.

Гражданка, занимая должность уборщицы в государственном автономном учреждении здравоохранения Свердловской области «Артемовская центральная районная больницы», находясь в кабинете врача в отсутствии медицинских работников, будучи лицом, не имеющим доступа к данным, содержащимся в ИС «Единая цифровая платформа», сфотографировала на камеру мобильного телефона экран монитора компьютера, на котором была отображена информация, содержащая ПДн о пациенте.

Полученные данные обвиняемая распространила посредством отправки фотоизображения третьим лицам через сервис мгновенного обмена сообщениями. Указанные действия были совершены с нарушением законодательства, а именно с незаконным сбором и распространением информации, которая, в соответствии с ст. 3 152-ФЗ, отнесена к специальной категории ПДн субъекта ПДн.

Судом было назначено наказание в виде штрафа в размере 10 тыс. руб.

Ограничение свободы за распространение ПДн из базы Министерства внутренних дел РФ

Тушинский суд г. Москвы, рассмотрев дело об уголовном правонарушении, вынес решение о признании капитана Артамошиной М. Главного управления Министерства внутренних дел РФ (далее – МВД России) виновной по ряду статей:

ч. 4 ст. 272 УК РФ: неправомерный доступ к компьютерной информации;
ч. 3 ст. 285 УК РФ: злоупотребление должностными полномочиями;
ч. 3 и ч. 6 ст. 290 УК РФ: получение взятки.

В ходе судебного разбирательства было установлено, что Степина А., занимая должность сотрудника службы безопасности Акционерного общества «Комбинат дошкольного питания», выполняла функции по проверке кандидатов на трудоустройство. В целях повышения эффективности и оптимизации данного процесса она направляла соответствующие списки кандидатов на рассмотрение сотруднице полиции Артамошиной М.

Артамошина М., используя информационно-справочную базу данных федерального уровня, содержащую сведения о судимостях, розыске и дактилоскопических данных, проводила проверку предоставленных списков кандидатов. Результаты проверки фиксировались путем фотографирования экрана служебного монитора и последующей передачи изображений посредством мессенджера WhatsApp.

За каждую проведенную проверку сотрудница полиции получала материальное вознаграждение в размере 100 руб. Артамошина М., осуществляя проверку сотен кандидатов одновременно, получала значительные суммы денежных средств, которые перечислялись на банковские счета.

Согласно данным следствия, в период с октября 2018 года по июль 2024 года Степина А. перевела Артамошиной М. 1,98 млн. руб. Неофициальную проверку прошли почти 20 тысяч человек.

Судом было назначено наказание по совокупности преступлений в виде 8 лет лишения свободы условно с испытательным сроком 5 лет, а также лишения на 4 года права занимать должности в правоохранительных органах.

Суд не признал номер квартиры и размер долга за жилищно-коммунальные услуги ПДн

Собственница жилого помещения, имеющая задолженность по оплате жилищно-коммунальных услуг, обратилась в Роскомнадзор с жалобой на неправомерное раскрытие ее ПДн. В своем обращении гражданка указала, что в ходе собрания собственников многоквартирного дома, посвященного вопросам задолженности по коммунальным услугам, директор управляющей компании публично обнародовал ее ПДн, включая фамилию, инициалы, адрес проживания и сумму задолженности. В качестве доказательства она предоставила копию документа, на котором были зафиксированы указанные ПДн.

В рамках рассмотрения жалобы был назначен инспектор Роскомнадзора, который провел детальный анализ видеоматериалов, зафиксировавших проведение заседания. В процессе изучения видеозаписи установлено, что директор управляющей компании в ходе выступления обращался к тексту документа, который находился у него в руках и не был передан остальным участникам собрания. Во время речи директор упоминал только конкретные суммы денежных средств и номера квартир, что подтверждается показаниями лиц, присутствовавших на заседании.

В связи с отсутствием подтверждения факта правонарушения, соответствующий государственный орган принял решение об отказе в возбуждении дела об административном правонарушении. Гражданка, придерживающаяся принципиальной позиции, оспорила данное решение в судебном порядке. Однако судебные инстанции, включая Верховный Суд РФ, подтвердили правомерность отказа. Согласно судебному постановлению номер квартиры может рассматриваться как ПДн только в совокупности с дополнительной информацией, которая позволяет однозначно идентифицировать конкретное физическое лицо.

Ограничение свободы за разглашение ПДн

Пермский краевой суд, рассмотрев материалы уголовного дела, вынес обвинительный приговор в отношении бывшего заместителя начальника отделения уголовного розыска отдела полиции №6 Управления МВД России по г. Перми, признав его виновным по ч. 3 ст. 272 УК РФ: неправомерный доступ к компьютерной информации.

Ранее сотрудниками Управления ФСБ России по Пермскому краю было установлено, что указанный сотрудник полиции за материальное вознаграждение осуществлял передачу ПДн граждан третьим лицам посредством использования интернет-мессенджера. В связи с выявленными обстоятельствами, полицейский был уволен из Управления МВД России.

Судом было назначено наказание в виде ограничения свободы на срок 3 года 10 месяцев.

Блокирование интернет-ресурса за нарушение законодательства о ПДн

Советский районный суд г. Астрахани признал интернет-ресурс «Декларатор», публикующий данные о доходах чиновников и других публичных должностных лиц, нарушающим п. 11 ч. 1 ст. 6 152-ФЗ и запрещенным к распространению на территории РФ.

Первый заместитель прокурора Астраханской области Гладышев Р. подал иск в суд в интересах РФ для защиты неопределенного круга лиц. Прокуратура установила, что интернет-ресурс «Декларатор» осуществлял обработку и распространение ПДн отдельных категорий лиц и членов их семей без их согласия, что противоречит законодательству о защите ПДн.

Интернет-ресурс «Декларатор» представляет собой постоянно обновляемую базу данных, содержащую информацию о 1,3 миллиона физических лиц, занимающих публичные должности в РФ, включая депутатов, чиновников и представителей государственных организаций. Источником информации для данного ресурса служат официальные сайты государственных и муниципальных органов власти, где в соответствии с законодательством публикуются декларации о доходах и имуществе указанных лиц. Однако, как было установлено прокуратурой, сам интернет-ресурс «Декларатор» не входит в перечень интернет-ресурсов, имеющих право на распространение таких сведений.

Должностные лица, чьи ПДн были размещены на данном ресурсе, подтвердили, что не давали своего согласия на публикацию своих данных на интернет-ресурсе «Декларатор».

Суд, оценив представленные доказательства в их совокупности, принял решение в пользу прокуратуры и обязал Роскомнадзор ограничить доступ к интернет-ресурсу «Декларатор».

Исправительные работы за несанкционированный доступ к компьютерной информации

Самарский областной суд, рассмотрев апелляционные жалобы студента Федерального государственного бюджетного образовательного учреждения высшего образования «Петербургский государственный университет путей сообщения Императора Александра I» и его защитника, оставил решение Промышленного районного суда г. Самары в виновности студента С. в совершении преступления, предусмотренного ч. 1 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, повлекший уничтожение, модификацию компьютерной информации) без изменений.

Согласно материалам уголовного дела установлено, что студент С., используя учетные данные бывшего сотрудника от ИС учебного заведения, внес изменения в аттестационную ведомость своей знакомой, а именно, оценка «удовлетворительно» была изменена на оценку «хорошо», что привело к искажению охраняемой законодательством информации. Кроме того, студент удалил 88 экзаменационных ведомостей и 35 проектных документов образовательного характера, принадлежащих студентам университета.

Судом было назначено наказание в виде 6 месяцев исправительных работ с удержанием 10% из его заработка ежемесячно в доход государства.

Условный срок за распространение вредоносной компьютерной программы

Суд г. Читы, рассмотрев дело об уголовном правонарушении, вынес решение о признании двух братьев виновными по ст. 273 УК РФ: создание, использование и распространение вредоносных компьютерных программ.

В ходе рассмотрения дела суд установил, что братья приобрели доступ к специализированным сервисам, предоставляющим возможности для противоправного уничтожения, блокировки, модификации и копирования компьютерной информации. Используя свои профессиональные компетенции в области ИТ, они разработали и внедрили вредоносное ПО, замаскированное под легитимный VPN-сервис, и осуществили его распространение в глобальной сети Интернет.

Обвиняемые осуществили не менее 123 операций по загрузке актуальных версий вредоносного ПО, маскируя их под легитимные VPN-приложения. Для максимального охвата аудитории они использовали рекламный сервис Google Ads. В результате преступной деятельности злоумышленники получили несанкционированный доступ к конфиденциальной информации пользователей, включая пароли, учетные данные, сохраненные в веб-браузерах, данные о криптовалютных кошельках и аккаунтах в системе Steam. Эти сведения были использованы для осуществления незаконных финансовых операций.

В судебном заседании братья признали свою вину и ходатайствовали о рассмотрении дела в порядке особого производства.

Судом вынесено решение о назначении наказания в виде условного лишения свободы сроком на 2 года с испытательным сроком. Один из ноутбуков, принадлежавших обвиняемым, был изъят и конфискован в собственность государства.

Штраф за нарушение законодательства о деятельности иностранных лиц в сети «Интернет»

Мировой судья судебного участка № 422 Таганского района г. Москвы, рассмотрев дело об административном правонарушении, вынес решение о признании организации «Zoom Communication Inc.» виновной по ч. 3 ст. 13.49 КоАП РФ: повторное нарушение, выразившееся в неисполнении обязанностей, предусмотренных законодательством о деятельности иностранных лиц в сети Интернет на территории РФ.

Ранее сервис видеоконференций Zoom был оштрафован в РФ на 15 млн. руб. за нарушение законодательства о ПДн.

Судом было назначено наказание в виде штрафа в размере 79 млн. 609 тыс. 733 руб.

Назад к списку