Если нарушения требований инструкций по обеспечению информационной безопасности сотрудником банка

Обновлено: 24.09.2022

15 июля 2013 г., 20 апреля 2015 г., 7 декабря 2016 г.

I. Общие положения

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 1 внесены изменения

1. Инструкция по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации*(1), разработана в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных"*(2), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"*(3), иными нормативными правовыми актами Российской Федерации, регламентирующими порядок обработки персональных данных.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 2 внесены изменения

2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных*(4), содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных*(5), а также определяет обязанности должностных лиц.

В Инструкции не рассматриваются вопросы обеспечения безопасности ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

Методы и способы защиты информации, содержащейся в государственных информационных системах, определяются в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17*(6).

3. Министерство внутренних дел Российской Федерации*(7) в соответствии с Федеральным законом N 152-ФЗ является оператором, организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

4. Координацию и контроль деятельности по защите ПДн, содержащихся в информационных системах органов внутренних дел Российской Федерации, осуществляет подразделение центрального аппарата МВД России, выполняющее функции головного подразделения МВД России по вопросам защиты ПДн при их автоматизированной обработке*(8).

5. Оператор определяет подразделения органов внутренних дел Российской Федерации, осуществляющие обработку ПДн в эксплуатируемых информационных системах.

В случаях когда реализация мер по организации и обработке ПДн в ИСПДн возлагается на несколько подразделений МВД России, вопросы разграничения полномочий между ними отражаются в инструкции по эксплуатации соответствующей информационной системы.

Информация об изменениях:

Приказом МВД России от 7 декабря 2016 г. N 807 в пункт 6 внесены изменения

6. Подразделения центрального аппарата МВД России, территориальные органы МВД России, образовательные, научные медико-санитарные и санаторно-курортные организации системы МВД России, окружные управления материально-технического снабжения системы МВД России, а также иные организации и подразделения, созданные для выполнения задач и осуществления полномочий, возложенных на органы внутренних дел Российской Федерации*(9), выполняют функции оператора ИСПДн при эксплуатации информационной системы, в том числе при обработке информации, содержащейся в ее базах данных*(10).

II. Организация работ по обеспечению безопасности персональных данных при их автоматизированной обработке

7. Организация работ по созданию и эксплуатации ИСПДн, а также системы защиты персональных данных*(11) осуществляется в соответствии с законодательством Российской Федерации в области обеспечения безопасности информации и соответствующими государственными стандартами.

Информация об изменениях:

Приказом МВД России от 7 декабря 2016 г. N 807 пункт 8 изложен в новой редакции

8. Работы по обеспечению безопасности ПДн включаются в планирующие документы МВД России.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 9 внесены изменения

9. В целях обеспечения безопасности ПДн создается СЗПДн, которая должна обеспечивать конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн во всех структурных элементах, на технологических участках обработки и во всех режимах функционирования информационной системы.

СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах*(12).

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяются в соответствии с нормативными правовыми актами, принятыми Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона 152-ФЗ.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 пункт 10 изложены в новой редакции

10. Выбор средств защиты информации*(13) для СЗПДн осуществляется в установленном порядке*(14) подразделениями-операторами ИСПДн в зависимости от уровня защищенности ПДн, определяемого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 11 внесены изменения

11. Установление класса защищенности информационной системы*(15) и уровня защищенности ПДн производится подразделением-оператором ИСПДн на этапе создания (модернизации) ИСПДн, а также при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.

Подразделения-операторы ИСПДн, которые осуществляли обработку ПДн, должны обеспечить СЗПДн ранее введенных и (или) модернизирующихся информационных систем в соответствии с требованиями настоящей Инструкции.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 12 внесены изменения

12. В целях установления класса защищенности информационной системы и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой включаются представители подразделения МВД России, эксплуатирующего ИСПДн, а также специалисты подразделения МВД России, осуществляющего свою деятельность в области информационных технологий, связи и защиты информации.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 13 внесены изменения

13. Результаты установления класса защищенности информационной системы и уровня защищенности ПДн оформляются соответствующим актом подразделения-оператора ИСПДн.

Информация об изменениях:

15. Помещения, в которых размещены объекты информатизации, содержащие ИСПДн, должны соответствовать требованиям по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.

16. Для каждой ИСПДн на этапе ее создания (модернизации) разрабатываются модель угроз, а также документы, отражающие вопросы резервного копирования информации, содержащей ПДн, парольной защиты, проведения антивирусного контроля, порядка удаления (изменения) персонифицированных записей из (в) ИСПДн, обезличивания ПДн, проведения технического обслуживания ИСПДн, работы с машинными носителями ПДн.

17. Обработка ПДн в ИСПДн осуществляется только после завершения работ по созданию СЗПДн и вводу в эксплуатацию ИСПДн.

Информация об изменениях:

19. В ИСПДн не производится обработка информации с применением аппаратно-программных средств, не предусмотренных конструкторской и эксплуатационной документацией.

20. Для обеспечения сохранности информационных ресурсов ИСПДн производится их резервное копирование на материальный носитель, обеспечивающее возможность восстановления содержащихся в информационной системе сведений.

Порядок и периодичность проведения резервного копирования информации определяются в конструкторской документации на ИСПДн, а также в инструкции по эксплуатации ИСПДн.

21. Для каждой ИСПДн предусматривается ведение следующих журналов:

учета эксплуатирующего персонала, в том числе администраторов безопасности ИСПДн, администраторов ИСПДн, пользователей ИСПДн, непосредственно обрабатывающих ПДн в ИСПДн, и инженерно-технического персонала, имеющего доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании;

учета и выдачи машинных носителей ПДн;

проведения инструктажей по обеспечению безопасности ПДн;

проверки исправности технических средств и технического обслуживания.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 в пункт 22 внесены изменения

22. Взаимодействие ИСПДн с внешними информационными системами сторонних организаций осуществляется с учетом положений международных договоров Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации.

Меры, принимаемые по защите ПДн в ИСПДн при их взаимодействии с внешними информационными системами сторонних организаций, отражаются в конструкторской, эксплуатационной и организационно-распорядительной документации на соответствующую информационную систему.

III. Организация разрешительной системы доступа к ИСПДн

23. Подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн.

24. Порядок и условия доступа к ИСПДн определяются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн.

26. Запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются средствами ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн.

При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.

IV. Обязанности должностных лиц органов внутренних дел Российской Федерации по защите персональных данных

27. Руководители подразделений-операторов ИСПДн обеспечивают выполнение правовых, организационных и технических мер, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации, в части, их касающейся, в том числе:

планирование и организацию выполнения мероприятий по обеспечению безопасности ПДн;

конфиденциальность, целостность и доступность ПДн;

организацию взаимодействия подразделений МВД России, обеспечивающих создание (модернизацию) и эксплуатацию ИСПДн;

определение должностных обязанностей лиц, ответственных за организацию обработки ПДн и за эксплуатацию ИСПДн;

организацию и осуществление контроля за выполнением установленных требований по обеспечению безопасности ПДн.

28. Ответственными за соблюдение требований по защите ПДн при их автоматизированной обработке являются руководители подразделений МВД России, эксплуатирующих, а также использующих ИСПДн, администраторы ИСПДн, пользователи ИСПДн, непосредственно обрабатывающие ПДн в ИСПДн, и инженерно-технический персонал, имеющий доступ к ИСПДн с целью обеспечения устойчивого функционирования информационной системы при ее использовании, что отражается в должностных регламентах (должностных инструкциях) указанных лиц.

29. Лица, указанные в пункте 28 настоящей Инструкции, осуществляют обработку ПДн в соответствии с требованиями Федерального закона N 152-ФЗ и иными нормативными правовыми актами Российской Федерации в сфере защиты ПДн, а также несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты ПДн.

30. В подразделениях МВД России с сотрудниками, федеральными государственными гражданскими служащими и работниками, уполномоченными на обработку ПДн в ИСПДн, в целях повышения уровня профессиональной подготовки организуются изучение требований законодательства Российской Федерации по вопросам обеспечения безопасности ПДн, а также ежегодная проверка их знаний.

V. Контроль обеспечения безопасности персональных данных

31. Целью контроля является соблюдение подразделениями МВД России требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

32. Задачами контроля являются:

установление фактического положения дел в подразделении МВД России по обеспечению безопасности ПДн при их обработке в ИСПДн;

выявление проблемных вопросов в организации обеспечения безопасности ПДн;

обеспечение соблюдения законодательства в сфере ПДн;

выработка мер по оказанию методической и практической помощи подразделениям МВД России;

повышение ответственности руководителей за выполнение возложенных задач, соблюдение законности в их деятельности.

Информация об изменениях:

Приказом МВД России от 15 июля 2013 г. N 538 пункт 33 изложен в новой редакции

33. Контроль за выполнением требований настоящей Инструкции организуется и проводится уполномоченным подразделением МВД России, а также подразделениями территориальных органов МВД России, осуществляющими свою деятельность в области информационных технологий, связи и защиты информации, самостоятельно, не реже 1 раза в 3 года.

КоАП РФ Статья 13.12. Нарушение правил защиты информации

Перспективы и риски арбитражных споров. Ситуации, связанные со ст. 13.12. КоАП РФ

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -

влечет наложение административного штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей; на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.

(в ред. Федеральных законов от 22.06.2007 N 116-ФЗ, от 02.12.2013 N 341-ФЗ)

(см. текст в предыдущей редакции)

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от двух тысяч пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

(в ред. Федеральных законов от 22.06.2007 N 116-ФЗ, от 02.12.2013 N 341-ФЗ)

(см. текст в предыдущей редакции)

3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, -

влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей.

(в ред. Федеральных законов от 22.06.2007 N 116-ФЗ, от 02.12.2013 N 341-ФЗ)

(см. текст в предыдущей редакции)

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, -

влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

(см. текст в предыдущей редакции)

5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -

влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от двух тысяч до трех тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от двух тысяч до трех тысяч рублей; на юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

(в ред. Федеральных законов от 22.06.2007 N 116-ФЗ, от 02.12.2013 N 341-ФЗ)

(см. текст в предыдущей редакции)

(часть пятая введена Федеральным законом от 02.07.2005 N 80-ФЗ)

6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -

влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей.

(часть 6 введена Федеральным законом от 02.12.2013 N 341-ФЗ)

7. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния, -

влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.

(часть 7 введена Федеральным законом от 02.12.2013 N 341-ФЗ)

Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.

ООО "НТВП "Кедр - Консультант" » Услуги » Консультации юристов » Трудовые споры » К какой ответственности может быть привлечен работник, если нарушил требования инструкции по работе на компьютере (противодействие хакерским атакам)

В связи с участившимися хакерскими атаками, организация разработала инструкцию, в которой перечислены действия, которые запрещено выполнять работнику при использовании компьютера (открывать электронные письма от неизвестных контрагентов, открывать страницы определенных сайтов и т.п.). Работник ознакомился с данной инструкцией и подписал её.

Вопрос

К какой ответственности может быть привлечен работник в случае нарушения инструкции и может ли работодатель в случае такого нарушения взыскать с работника какие-либо убытки?

Ответ юриста

Трудовые и другие непосредственно связанные с ними отношения регулируются трудовым законодательством, включая законодательство об охране труда, иными нормативными правовыми актами, содержащими нормы трудового права, а также коллективными договорами, соглашениями и локальными нормативными актами, содержащими нормы трудового права (ст. 5 ТК РФ).

Трудовой кодекс РФ не содержит определения локальных нормативных актов.

Как следует из ч. 1 ст. 8 ТК РФ, локальные нормативные акты, содержащие нормы трудового права (далее - локальные нормативные акты или ЛНА), принимают работодатели (за исключением работодателей - физических лиц, не являющихся индивидуальными предпринимателями) в пределах своей компетенции в соответствии с трудовым законодательством, иными нормативными правовыми актами, содержащими нормы трудового права, коллективными договорами, соглашениями.

Наиболее распространенные формы таких актов - положение, правила и инструкция.

Локальные нормативные акты можно разделить, например, на следующие виды:

- обязательные - состав таких актов определен трудовым законодательством. Трудовой кодекс РФ содержит прямое указание на принятие подобных документов (например, ст. 189, ч. 2 ст. 135 ТК РФ);

- необязательные - такие документы прямо не предусмотрены трудовым законодательством, работодатель принимает их по своему усмотрению (например, Положение о добровольном медицинском страховании, Положение об организации детского отдыха).

Путеводитель по кадровым вопросам. Порядок разработки и утверждения локальных нормативных актов организации

Работники должны быть ознакомлены под подпись со всеми локальными нормативными актами, принимаемыми в организации и непосредственно связанными с их трудовой деятельностью (абз. 10 ч. 2 ст. 22 ТК РФ).

Подтвердить факт ознакомления работников с локальными актами можно несколькими способами.

- Подписью работника на листе ознакомления. Также должны быть указаны его фамилия, имя, отчество и дата ознакомления. Этот лист прилагается к каждому локальному нормативному акту, нумеруется, прошивается и скрепляется печатью и подписью должностного лица.

- Подписью работника на отдельном документе - журнале ознакомления работников с локальными нормативными актами. В отличие от листа ознакомления этот журнал предусматривает возможность ознакомления работников с несколькими локальными нормативными актами.

- Подписью работника на листе ознакомления, являющемся приложением к трудовому договору.

Путеводитель по кадровым вопросам. Порядок разработки и утверждения локальных нормативных актов организации

Работодатель имеет право привлекать работников к материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами (абз. 6 ч. 1 ст. 22 ТК РФ).

Согласно ч. 1 ст. 238 ТК РФ работник обязан возместить работодателю причиненный ему прямой действительный ущерб.

Путеводитель по кадровым вопросам. Материальная ответственность работника

Для привлечения работника к материальной ответственности необходимо соблюдение условий, предусмотренных ст. 233 ТК РФ:

- наличие прямого действительного ущерба, подтвержденного соответствующими документами;

- вина работника в причинении работодателю такого ущерба. Под виной понимаются умысел или неосторожность в действиях работника, которые привели к возникновению ущерба у работодателя. Умысел состоит в том, что работник знал (предполагал) о возникновении у работодателя прямого действительного ущерба от его действий;

- совершение работником неправомерных действий (или бездействия), т.е. нарушающих нормы законодательства;

- наличие причинной связи между действиями работника и возникшим у работодателя прямым действительным ущербом.

То, что соблюдение всех указанных условий обязательно для привлечения работника к материальной ответственности, подтверждается и судебной практикой (см. Определение Санкт-Петербургского городского суда от 03.11.2011 N 33-16427/2011).

Путеводитель по кадровым вопросам. Материальная ответственность работника

Статьей 241 ТК РФ установлены пределы материальной ответственности работника. Согласно данной норме работник, с которым не заключен договор о полной материальной ответственности, несет ответственность в пределах своего месячного заработка. Материальная ответственность в полном размере причиненного работодателю ущерба может возлагаться на работника только в случаях, предусмотренных Трудовым кодексом РФ и иными федеральными законами. Подробнее об этом см. п. 3 настоящего материала.

Ограниченная материальная ответственность означает, что работник обязан возместить сумму, которая не превышает размера его средней заработной платы за месяц, независимо от размера причиненного ущерба (см. Определение Московского областного суда от 17.06.2010 по делу N 33-11823).

Путеводитель по кадровым вопросам. Материальная ответственность работника

За совершение дисциплинарного проступка, т.е. за виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей, к нему можно применить три вида взысканий (ч. 1 ст. 192 ТК РФ):

- замечание (менее строгая мера ответственности);

- выговор (более строгая мера ответственности);

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Работодатель может применять дисциплинарные взыскания за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей (абз. 1 ч. 1 ст. 192 ТК РФ).

Основные права и обязанности работника перечислены в ст. 21 ТК РФ. В частности, он должен добросовестно исполнять трудовые обязанности, возложенные на него трудовым договором, соблюдать правила внутреннего трудового распорядка, дисциплину труда. Это следует из абз. 1 - 4 ч. 2 названной статьи. Под дисциплиной труда понимается обязательное для всех работников подчинение правилам поведения, определенным в соответствии с Трудовым кодексом РФ, иными федеральными законами, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором (ч. 1 ст. 189 ТК РФ). Следует учитывать, что для отдельных категорий работников действуют уставы и положения о дисциплине, которые установлены федеральными законами (ч. 5 ст. 189 ТК РФ).

Правила поведения работников могут быть закреплены, например, в правилах внутреннего трудового распорядка или иных локальных нормативных актах, действующих у работодателя. Это следует из положений ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст. 189 ТК РФ. Работник в силу требований абз. 10 ч. 2 ст. 22 ТК РФ должен быть ознакомлен под подпись с такими документами. Аналогичные выводы содержатся в Письме Минтруда России от 16.09.2016 N 14-2/В-888.

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Служебный компьютер предоставляется для использования работнику на основании локального нормативного акта работодателя (приказа, инструкции, правил внутреннего трудового распорядка), которым определяются цели и порядок использования работником данного имущества. Согласно ст. 21 ТК РФ работник обязан бережно относиться к имуществу работодателя и других работников, причем не только в рабочее время, но и в период времени отдыха.

В соответствии со ст. 192 ТК РФ на работника может быть наложено дисциплинарное взыскание за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, которые закреплены в трудовом договоре, должностной инструкции, иных локальных нормативных актах, действующих у конкретного работодателя.

Таким образом, если соответствующее положение закреплено в инструкции, то работодатель вправе привлечь работника к дисциплинарной ответственности за нарушение пунктов данной инструкции. Также работодатель в данной ситуации имеет право привлекать работников к материальной ответственности при соблюдение условий, предусмотренных ст. 233 ТК РФ.

Подборка документов:

Вопрос: . В организации установлен перерыв с 13 до 14 часов. Работник организации в перерыве со служебного компьютера посещает социальные сети, играет в онлайн-игры. Вправе ли организация привлечь работника к дисциплинарной ответственности за это? (Консультация эксперта, 2014)

Вопрос: Работник использует служебный компьютер в личных целях во время обеденного перерыва. Можно ли в связи с этим привлечь его к дисциплинарной ответственности? (Консультация эксперта, 2013)

Ситуация: Когда работник несет материальную ответственность перед работодателем? ("Электронный журнал "Азбука права", 2018)

Путеводитель по кадровым вопросам. Дисциплинарные взыскания. Замечание, выговор, увольнение

Путеводитель по кадровым вопросам. Материальная ответственность работника

Разъяснение дано в рамках услуг «ЛИНИИ КОНСУЛЬТАЦИЙ» консультантом по правовым вопросам ООО НТВП «Кедр-Консультант» Макшаковым Игорем Борисовичем, апрель 2018 г.

Нашим специалистам часто задают вопрос, какие штрафы и санкции грозят организациям, не соблюдающим требования ФСБ России и ФСТЭК России по технической защите информации. В этой статье мы приводим таблицу с требованиями законодательства и мерами ответственности за их нарушения.

Ответственность за нарушения требований ФСБ России и ФСТЭК России

НПА Статья Тип нарушения Ответственность Граждане Должностное лицо ИП Юридическое лицо КоАП

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Штраф от 1 000 до 1 500 рублей.

Штраф от 1 500 до 2 500 рублей.

Штраф от 1 500 до 2 500 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

Штраф от 2 000 до 3 000 рублей. Штраф от 2 000 до 3 000 рублей или административное приостановление деятельности на срок до 90 суток.

Штраф от 20 000 до 25 000 рублей или административное приостановление деятельности на срок до 90 суток.

Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 1, 2 и 5 статьи 13.12.

Штраф от 500 до 1 000 рублей.

Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна).

Штраф от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой.

Невыполнение законных требований должностного лица органа, уполномоченного в области экспортного контроля, а равно воспрепятствование осуществлению этим должностным лицом служебных обязанностей

Штраф от 1 000 до 2 000 рублей.

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства.

Штраф от 300 до 500 рублей.

Непринятие по постановлению (представлению) органа (должностного лица), рассмотревшего дело об административном правонарушении, мер по устранению причин и условий, способствовавших совершению административного правонарушения.

Штраф от 4 000 до 5 000 рублей.

Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно (обязательна)

Штраф от 500 до 1 000 рублей.

Осуществление деятельности, не связанной с извлечением прибыли, с нарушением требований и условий, предусмотренных специальным разрешением (лицензией), если такое разрешение (лицензия) обязательно (обязательна)

Предупреждение или штраф от 300 до 500 рублей.

Осуществление деятельности, не связанной с извлечением прибыли, с грубым нарушением требований и условий, предусмотренных специальным разрешением (лицензией), если специальное разрешение (лицензия) обязательно (обязательна).

Штраф от 20 000 до 30 000 рублей.

Штраф от 10 000 до 20 000 рублей или административное приостановление деятельности на срок до 90 суток.

Штраф от 150 000 до 250 000 рублей или административное приостановление деятельности на срок до 90 суток.

Штраф до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо обязательные работы на срок до 480 часов, либо арест на срок до 6 месяцев.

а) совершенное организованной группой;

б) сопряженное с извлечением дохода в особо крупном размере;

Штраф от 100 000 до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного 1 до 3 лет.

Либо принудительные работы на срок до 5 лет.

Либо лишение свободы на срок до 5 лет со штрафом в размере до 80 000 рублей или в размере заработной платы или иного дохода осужденного за период до 6 месяцев либо без такового.

В случае, если у Вас возникли вопросы, обратитесь в службу поддержки по всем доступным каналам связи:

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.


Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/38 "Об управлении риском информационной безопасности (часть 2)"


Обзор документа

Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/38 "Об управлении риском информационной безопасности (часть 2)"

1. Какие квалификационные и иные требования должны быть предъявлены к должностному лицу, ответственному за функционирование системы обеспечения информационной безопасности, который должен быть назначен в соответствии с Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П)?

2. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организация банковской группы) (далее - кредитная организация) функции куратора службы информационной безопасности, назначаемого в соответствии со Стандартом Банка России ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" и функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, назначаемого в соответствии с Положением N 716-П?

3. В соответствии с требованиями Положения N 716-П могут ли служба информационной безопасности и служба информационных систем иметь общего руководителя или входить в состав друг друга?

4. Какие должностные обязанности должны быт возложены на должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, назначаемое в соответствии с Положением N 716-П?

5. Может ли таким должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть представитель Службы управления рисками при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?

1. В соответствии с абзацем десятым пункта 7.7 Положения N 716-П в целях управления риском информационной безопасности кредитная организация обеспечивает организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации, в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности.

Таким образом, кредитная организация самостоятельно определяет требования к квалификации должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, с учетом того, что данное должностное лицо должно обладать достаточными знаниями, компетенцией, полномочиями в целях обеспечения его независимости в части принятия решений по вопросам обеспечения информационной безопасности.

2. В соответствии с абзацем пятым пункта 7.7 Положения N 716-П кредитная организация в целях управления риском информационной безопасности обеспечивает определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

Стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (далее при совместном упоминании - стандарты Банка России) содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

На основании вышеизложенного не усматриваем противоречия между функциями куратора службы информационной безопасности и должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, и полагаем возможным совмещение данных функций одним лицом при условии одновременного соблюдения требований Положения N 716-П и положений стандартов Банка России.

3. Положение N 716-П не содержит норм, предусматривающих объединение подразделения, ответственного за организацию и контроль обеспечения защиты информации, и подразделения, ответственного за обеспечение функционирования информационных систем.

Одновременно, обращаем внимание, что стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

4. Кредитная организация, исходя из характера и масштаба деятельности, самостоятельно определяет во внутренних документах функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

5. В соответствии с подпунктом 8.2.1 пункта 8.2 Стандарта Банка России СТО БР ИББС 1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" для целей реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности кредитной организации следует сформировать службу информационной безопасности.

Функции, которые должны быть возложены на службу информационной безопасности, указаны в пункте 7.9 Положения N 716-П. Полагаем, что функции по обеспечению информационной безопасности, указанные в подпункте 7.9.1 пункта 7.9 Положения N 716-П, целесообразно относить только к компетенции службы информационной безопасности или отдельного структурного подразделения, ответственного за обеспечение информационной безопасности. В то же время, функции по управлению риском информационной безопасности, указанные в подпункте 7.9.2 пункта 7.9 Положения N 716-П, по усмотрению кредитной организации могут относиться как к компетенции службы информационной безопасности, так и к компетенции службы управления рисками. Дополнительные комментарии Банка России по вопросу возможности возложения функций должностного лица, ответственного за функционирования системы обеспечения информационной безопасности, на руководителя службы информационной безопасности размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об управлении риском информационной безопасности", вопрос от 29.10.2020 N 2.

Обзор документа

Кредитная организация самостоятельно определяет требования к квалификации ответственного за функционирование системы обеспечения информационной безопасности. Им может быть куратор службы информатизации.

Не предусмотрено объединение подразделения, ответственного за организацию и контроль обеспечения защиты информации, и подразделения, ответственного за обеспечение функционирования информационных систем. При этом куратор службы информационной безопасности может быть назначен из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: