аналитика 19 февраля 2028 По состоянию на 19 февраля 2028

Меры защиты, предупреждающие утечку 100k+

Утечка данных более 100 000 субъектов — это ч. 14 ст. 13.11 КоАП с штрафом 10–15 млн ₽ за первый эпизод и оборотный штраф до 500 млн ₽ при повторности.

С 30.05.2025 действует ФЗ-420 от 30.11.2024: санкции за крупную утечку увеличились в десятки раз. Комплекс организационных и технических мер снижает вероятность инцидента и формирует доказательную базу для смягчения ответственности.

→ Если вы CEO и ваша компания обрабатывает данные от 100 000 субъектов — проверьте, выполнены ли минимально необходимые меры до того, как РКН возбудит дело.

Порог 100 000 субъектов — ключевая граница в ст. 13.11 КоАП. Ниже этого порога работают ч. 12 и ч. 13; выше — ч. 14 с максимальным разовым штрафом 15 млн ₽. При повторности применяется ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 2 млрд ₽ минимальный оборотный штраф — 20 млн ₽, максимальный — 60 млн ₽. Для компании с выручкой 10 млрд ₽ — от 20 до 300 млн ₽. В этой статье разобраны конкретные меры защиты, которые предупреждают достижение порога 100 000 субъектов в одном инциденте, и механизмы снижения ответственности, если инцидент уже произошёл.

Что означает порог 100 000 субъектов по ст. 13.11 КоАП с 30.05.2025?

Законодатель разделил утечки по масштабу: от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽), от 10 000 до 100 000 субъектов — ч. 13 (5–10 млн ₽), свыше 100 000 субъектов — ч. 14 (10–15 млн ₽). Параллельно введён счётчик идентификаторов: если в базе утекло более 1 000 000 строк (телефонов, email-адресов, cookie-идентификаторов), штраф также рассчитывается по ч. 14 вне зависимости от числа физических лиц.

«Ч. 14 ст. 13.11 КоАП (в редакции ФЗ-420, действует с 30.05.2025) — штраф для юридических лиц за утечку более 100 000 субъектов: 10 000 000 — 15 000 000 ₽. Ч. 15 (повторность) — 1–3% совокупной выручки за предшествующий год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Повторность считается относительно ч. 12–14, ч. 16–18 и ч. 15 ст. 13.11. Достаточно одного предшествующего постановления по любой из этих частей, чтобы следующая утечка квалифицировалась как оборотная. Срок, в течение которого лицо считается подвергнутым наказанию, — один год с момента исполнения постановления (ст. 4.6 КоАП). Именно поэтому первый инцидент нельзя рассматривать как «тренировку»: он запускает таймер, после которого второй инцидент стоит кратно дороже.

Подсудность дел после ФЗ-508 от 28.12.2025 вернулась к мировым судьям. С 30.05.2025 по 27.12.2025 дела по новым нормам ст. 13.11 рассматривали арбитражные суды; с 28.12.2025 — снова мировые. Это влияет на процессуальные сроки и порядок обжалования: решения мирового судьи обжалуются в районный суд, а не в арбитраж.

Какие технические меры предупреждают утечку на уровне 100 000+ субъектов?

Технические меры защиты определяются уровнем защищённости информационной системы персональных данных (ИСПДн). Для систем, обрабатывающих данные более 100 000 субъектов без специальных категорий, как правило, применяется УЗ-3 или УЗ-2 в зависимости от типа угроз. Конкретный набор мер — Приказ ФСТЭК №21 от 18.02.2013, 109 мер в 15 группах.

Меры, непосредственно снижающие вероятность утечки крупного масштаба:

Сегментация баз данных — разделение единой БД на логические сегменты по категориям субъектов или бизнес-направлениям. При компрометации одного сегмента утечка не достигает порога 100 000 субъектов. Реализуется на уровне СУБД (схемы, роли, политики row-level security).
Разграничение доступа (УПД) — принцип наименьших привилегий: каждый сотрудник или сервисный аккаунт получает доступ только к тем записям, которые необходимы для выполнения функции. Массовый SQL-запрос вида SELECT * FROM clients невозможен без отдельной привилегии. Группа мер УПД по Приказу ФСТЭК №21.
Мониторинг аномальных запросов (СОВ) — системы обнаружения вторжений, WAF, SIEM с правилами на объём выгружаемых данных. Триггер: выгрузка более 10 000 записей за одну сессию пользователем без соответствующей роли. Группа мер СОВ по Приказу ФСТЭК №21.
Шифрование данных в покое (ЗНИ) — шифрование носителей и резервных копий. При физической краже сервера или экспорте бэкапа данные остаются нечитаемы без ключа. Группа ЗНИ.
DLP-системы — контроль каналов передачи данных (email, USB, облачные хранилища). Блокировка или уведомление при передаче файла, содержащего более установленного числа строк с ПДн.
Логирование всех операций с ПДн (РСБ) — регистрация событий доступа, изменения, выгрузки. Журналы хранятся не менее трёх лет. Группа РСБ.
Обезличивание в аналитических системах — передача данных в BI, ML-модели и отчётные системы только в обезличенном виде. Методы обезличивания — приказ РКН (5 методов, действует с 01.09.2025): введение идентификаторов, изменение состава/семантики, декомпозиция, перемешивание, обобщение. Ст. 13.1 ФЗ-152.

Вы CEO и хотите понять, выполнены ли технические меры в вашей компании?

Для крупной компании с базой от 100 000 субъектов штраф по ч. 14 ст. 13.11 КоАП начинается с 10 млн ₽. При повторности — оборотный по ч. 15, не менее 20 млн ₽. Аудит соответствия 152-ФЗ покажет, какие из 109 мер ФСТЭК выполнены, а какие создают риск. Стоимость аудита — от 100 000 ₽; цена инцидента начинается с 10 млн ₽.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие организационные меры снижают риск достижения порога 100 000 субъектов?

Технические меры работают только в связке с организационными. Ст. 18.1 ФЗ-152 обязывает оператора принять организационно-распорядительную документацию (ОРД). Для CEO важно понимать: при проверке РКН отсутствие ОРД само по себе образует состав по ч. 3 ст. 13.11 (штраф 30–60 тыс. ₽), а при утечке — усиливает вину, исключая возможность применения ст. 4.1.1 КоАП (замена на предупреждение).

Критичные организационные меры для защиты от порога 100 000+:

Картография данных — реестр всех ИСПДн с указанием числа субъектов, категорий ПДн, оснований обработки и ответственных. Позволяет отслеживать, в каких системах сосредоточены данные, приближающиеся к пороговым значениям.
Политика управления доступом — регламент выдачи, пересмотра и отзыва прав. Минимальный цикл пересмотра — квартальный. При увольнении сотрудника права блокируются в день прекращения трудового договора.
Регламент работы с подрядчиками — договоры о поручении обработки ПДн (п. 3 ст. 6 ФЗ-152) с техническими требованиями к защите. По позиции судебной практики оператор отвечает за утечку через подрядчика как за собственную.
Регламент реагирования на инциденты — чёткий порядок действий при подозрении на утечку: кто уведомляет, в какой форме, в какой срок. Первичное уведомление РКН — 24 часа с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Отчёт о расследовании — 72 часа. Порядок — Приказ РКН №187 от 14.11.2022.
Обучение персонала — инструктаж по безопасной работе с ПДн не реже одного раза в год. Зафиксированное обучение снижает риск привлечения должностных лиц к ответственности по ст. 272.1 УК РФ (действует с 11.12.2024, до 10 лет лишения свободы по ч. 5).
Назначение ответственного за обработку ПДн — обязанность юридического лица по ст. 22.1 ФЗ-152. Ответственный должен иметь полномочия требовать от структурных подразделений выполнения мер защиты.

Что подготовить для снижения риска штрафа по ч. 14–15 ст. 13.11

Картография данных: реестр ИСПДн с числом субъектов в каждой системе и порогами (10 000 / 100 000 / 1 000 000 идентификаторов)
Документация об уровне защищённости (УЗ-1..4) с обоснованием по ПП РФ №1119 и выполненными мерами по Приказу ФСТЭК №21
Регламент реагирования на инциденты с чёткими ролями и сроками (24 ч / 72 ч по Приказу РКН №187)
Договоры о поручении обработки со всеми подрядчиками, имеющими доступ к ПДн (п. 3 ст. 6 ФЗ-152)
Подтверждение инвестиций в ИБ на уровне ≥ 0,1% совокупной выручки за три года — основание для снижения оборотного штрафа по ст. 4.1 КоАП (примечание 3.4-2)

Как инвестиции в ИБ влияют на размер оборотного штрафа по ч. 15 ст. 13.11?

ФЗ-420 от 30.11.2024 ввёл механизм снижения оборотного штрафа для компаний, которые фактически вкладывали средства в информационную безопасность. Примечание 3.4-2 к ст. 4.1 КоАП: если оператор инвестировал в средства защиты информации не менее 0,1% совокупной выручки за каждый из трёх предшествующих лет, штраф по ч. 15 и ч. 18 ст. 13.11 рассчитывается как 1/10 минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽.

«Примечание 3.4-2 к ст. 4.1 КоАП: при инвестициях в ИБ ≥ 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам ч. 15 и ч. 18 ст. 13.11 — 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

На практике это означает следующее. Компания с выручкой 5 млрд ₽ в год: стандартный оборотный штраф — от 50 до 150 млн ₽ (1–3%). При подтверждённых инвестициях в ИБ ≥ 15 млн ₽ за три года совокупно (0,1% × 3 года × 5 млрд) — штраф снижается до диапазона 15–50 млн ₽. Разница — от 0 до 100 млн ₽ в зависимости от позиции суда.

Что считается инвестициями в ИБ: лицензии на средства защиты информации (СКЗИ, антивирусы, SIEM, DLP, WAF), сертифицированные решения ФСТЭК и ФСБ, расходы на аттестацию ИСПДн, заработная плата штатных специалистов по ИБ, оплата услуг аутсорсинговых компаний по ИБ, пентесты и аудиты. Расходы должны быть подтверждены первичными документами и отражены в управленческой или бухгалтерской отчётности.

Если у вас уже есть постановление по ч. 12–14 ст. 13.11 КоАП или вы ожидаете протокол после инцидента — у вас есть основания для применения ст. 4.1 КоАП и снижения штрафа. Срок на обжалование постановления мирового судьи — 10 суток с момента вручения копии (ст. 30.3 КоАП).

Защитить от штрафа 13.11

Когда применяется замена штрафа на предупреждение и когда нет?

Ст. 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства при одновременном соблюдении условий: первичность нарушения, отсутствие вреда и угрозы вреда. Для дел по ст. 13.11 эта норма применялась судами в период до 30.05.2025.

После вступления в силу ФЗ-420 ситуация изменилась. Ст. 4.1.1 КоАП прямо исключает её применение к составам ч. 15 и ч. 18 ст. 13.11 — оборотным штрафам. К составам ч. 12–14 формального запрета нет, однако суды учитывают масштаб нарушения. В деле, рассмотренном Арбитражным судом Москвы в 2025–2026 годах, компания с утечкой 26 млн записей получила штраф в минимальном размере по старым нормам — поскольку инцидент произошёл до 01.06.2025. По новым нормам такой результат маловероятен.

Для микропредприятий замена на предупреждение по ч. 1 ст. 13.11 практически применялась: в одном из дел 2026 года компания с утечкой менее 1 000 субъектов получила предупреждение при первичности нарушения. Однако при утечке 100 000+ субъектов масштаб нарушения исключает квалификацию как малозначительного.

Типовые сценарии для CEO: как компании достигают порога 100 000+

Сценарий 1. Единая CRM без сегментации. Компания ведёт сквозную CRM-систему с данными всех клиентов за 5–10 лет. При SQL-инъекции или компрометации одного сервисного аккаунта злоумышленник получает доступ к полной базе. Число субъектов — 800 000. Квалификация: ч. 14 ст. 13.11 (штраф 10–15 млн ₽) + ч. 11 (неуведомление об утечке, если пропущен срок 24 часов, штраф 1–3 млн ₽). Стратегия: сегментация БД по временным срезам и бизнес-линиям, чтобы в каждом сегменте было менее 100 000 активных субъектов; ограничение прав сервисных аккаунтов; мониторинг объёма выгрузок.

Сценарий 2. Утечка через маркетингового подрядчика. Компания передала email-рассылочному сервису базу из 250 000 адресов без договора о поручении обработки (п. 3 ст. 6 ФЗ-152). Подрядчик допустил утечку. Ответственность оператора — по ч. 14 ст. 13.11 как за собственную утечку. Доказать отсутствие вины без договора о поручении невозможно. Стратегия: договор о поручении обработки с требованиями к безопасности с каждым подрядчиком; аудит подрядчиков не реже раза в год.

Сценарий 3. Повторный инцидент — оборотный штраф. Через семь месяцев после первого постановления по ч. 13 ст. 13.11 (штраф 7 млн ₽) у той же компании фиксируется второй инцидент. Число субъектов — 120 000. Квалификация: ч. 15 (оборотный). Выручка компании — 3 млрд ₽. Расчёт: 1–3% = 30–90 млн ₽, но не менее 20 млн ₽. При отсутствии документальных инвестиций в ИБ — нижняя граница 30 млн ₽. Стратегия после первого постановления: немедленный ввод технических мер, документирование расходов на ИБ, пересмотр политики доступа.

Из практики. В деле арбитражного суда одного из регионов Центрального ФО (2026 год) производственная компания с базой 180 000 клиентов получила протокол по ч. 14 ст. 13.11 после хакерской атаки на веб-сервис. Компания представила документы о внедрении DLP-системы и обучении персонала за два года до инцидента, а также договоры с ИБ-подрядчиком. Суд применил ст. 4.1 КоАП и назначил штраф у нижней границы санкции — 10 млн ₽. Без документального подтверждения мер суд исходил бы из типового среднего значения.

Из практики (кейс РЭШ). Арбитражный суд Москвы рассмотрел дело об утечке более 100 000 субъектов (дело А40-351064/2025). Компания имела статус микропредприятия. По правилам расчёта штрафа для субъектов МСП суд применил сниженный коэффициент и назначил штраф 400 000 ₽ — несмотря на формальное попадание в ч. 14 ст. 13.11. Этот кейс иллюстрирует: размер субъекта и наличие смягчающих обстоятельств влияют на итоговый штраф, однако при выручке среднего и крупного бизнеса такая логика неприменима.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка 38 позиций, приоритизированный план устранения нарушений, от 100 000 ₽
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 9. За утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13), свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). Отдельно — штраф за неуведомление об утечке в 24 часа: 1–3 млн ₽ по ч. 11. Дела с 28.12.2025 рассматривают мировые судьи (ФЗ-508 от 28.12.2025).

2. Что такое оборотный штраф 1–3%?

Ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14, 16–18 или ч. 15 ст. 13.11. Штраф — 1–3% совокупной выручки юридического лица за предшествующий календарный год. Нижняя граница — 20 млн ₽ независимо от выручки; верхняя — 500 млн ₽. Повторность определяется в течение года с момента исполнения первого постановления по ст. 4.6 КоАП.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется во всех случаях оборотного штрафа, когда расчёт 1–3% от выручки даёт меньше этой суммы. Например, при выручке 500 млн ₽ расчёт 1% = 5 млн ₽ — суд назначит 20 млн ₽. Единственное исключение — подтверждённые инвестиции в ИБ ≥ 0,1% выручки за три года: тогда минимум снижается до 15 млн ₽ по примечанию 3.4-2 к ст. 4.1 КоАП.

4. Можно ли заменить штраф на предупреждение?

Замена по ст. 4.1.1 КоАП возможна только для субъектов МСП при первичном нарушении и отсутствии вреда. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — замена прямо исключена. К ч. 14 (утечка 100 000+) замена формально возможна, но на практике масштаб нарушения исключает признание его малозначительным при среднем и крупном бизнесе. Наиболее реалистичный инструмент снижения — ст. 4.1 КоАП с документальным подтверждением смягчающих обстоятельств.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул прежнюю подсудность. С 30.05.2025 по 27.12.2025 дела передавались в арбитражные суды. Обжалование решения мирового судьи — в районный суд по ст. 30.1 КоАП в течение 10 суток с момента вручения копии постановления.

Итог

Порог 100 000 субъектов в ст. 13.11 КоАП — не технический параметр, а экономический рубеж: выход за него удваивает размер разового штрафа и запускает таймер для оборотного при повторности. Комплекс мер — сегментация баз, разграничение доступа, мониторинг аномалий, ОРД и документирование расходов на ИБ — одновременно снижает вероятность инцидента и формирует доказательную базу для ст. 4.1 КоАП.

Практика DATUM по арбитражной защите в делах ст. 13.11 КоАП показывает: компании, которые подходят к суду с комплектом документов об инвестициях в ИБ и выполненных мерах, стабильно получают штраф у нижней границы санкции или добиваются её снижения через ст. 4.1 КоАП. Компании без документации — нет.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.