Ст.13.12 КоАП: нарушение правил защиты информации

Статья 13.12 КоАП РФ устанавливает административную ответственность за нарушение правил защиты информации - от использования несертифицированных средств защиты до нарушения условий лицензии в области криптографии. По состоянию на май 2026 года санкции по этой статье достигают 25 000 рублей для должностных лиц и 500 000 рублей для организаций, а при повторных нарушениях возможна дисквалификация руководителя. Статья охватывает шесть самостоятельных составов с разными субъектами, сроками давности и органами контроля - разобраться в них без системного подхода сложно.

Бизнес сталкивается со статьёй 13.12 в трёх типичных ситуациях: плановая проверка ФСТЭК или ФСБ, инцидент с утечкой данных, а также аудит при лицензировании. Ошибка в квалификации состава или пропуск срока обжалования превращает административный штраф в реальные потери - особенно когда параллельно возникает вопрос об отзыве лицензии. Ниже - системный разбор всех частей статьи, таблица санкций и практические ориентиры для защиты.

Что такое статья 13.12 КоАП РФ и какие составы она содержит?

Статья 13.12 КоАП РФ содержит шесть частей, каждая из которых образует самостоятельный состав административного правонарушения в сфере защиты информации. Части 1-4 касаются нарушений при работе со средствами защиты информации и криптографии, части 5-6 - нарушений условий лицензий в этой области. Субъекты ответственности различаются: граждане, должностные лица и юридические лица несут разные санкции по каждой части.

Часть 1 - нарушение условий, предусмотренных лицензией на деятельность в области защиты информации (кроме криптографии). Часть 2 - использование несертифицированных средств защиты информации, если сертификация обязательна. Часть 3 - нарушение условий, предусмотренных лицензией на деятельность в области шифрования. Часть 4 - использование несертифицированных средств криптографической защиты. Часть 5 - грубое нарушение условий лицензии в области защиты информации. Часть 6 - грубое нарушение условий лицензии в области криптографии.

Разграничение "обычного" и "грубого" нарушения лицензионных условий принципиально: части 5 и 6 влекут более высокие санкции и допускают приостановление деятельности. Перечень грубых нарушений определяется положениями о лицензировании, утверждёнными Правительством РФ. Многие организации не знают, что конкретное нарушение квалифицируется как грубое, - и получают санкцию по части 5 вместо ожидаемой части 1.

Таблица санкций по частям статьи 13.12 КоАП РФ

Размер штрафа по статье 13.12 КоАП РФ зависит от части статьи, категории субъекта и наличия отягчающих обстоятельств. Ниже приведены актуальные санкции по каждой части - это ключевой ориентир при оценке рисков и выборе стратегии защиты.

Часть 1 (нарушение условий лицензии, не криптография): граждане - от 1 000 до 1 500 рублей; должностные лица - от 2 000 до 3 000 рублей; юридические лица - от 20 000 до 25 000 рублей.

Часть 2 (несертифицированные средства защиты): граждане - от 500 до 1 000 рублей; должностные лица - от 1 000 до 2 000 рублей; юридические лица - от 10 000 до 20 000 рублей. Конфискация несертифицированных средств защиты информации применяется как дополнительное наказание.

Часть 3 (нарушение условий лицензии в области шифрования): граждане - от 1 000 до 1 500 рублей; должностные лица - от 2 000 до 3 000 рублей; юридические лица - от 20 000 до 25 000 рублей.

Часть 4 (несертифицированные средства криптографии): граждане - от 500 до 1 000 рублей; должностные лица - от 1 000 до 2 000 рублей; юридические лица - от 10 000 до 20 000 рублей. Конфискация также предусмотрена.

Часть 5 (грубое нарушение лицензии, не криптография): должностные лица - от 15 000 до 25 000 рублей; юридические лица - от 150 000 до 250 000 рублей. Возможно административное приостановление деятельности на срок до 90 суток.

Часть 6 (грубое нарушение лицензии в области криптографии): должностные лица - от 15 000 до 25 000 рублей; юридические лица - от 150 000 до 500 000 рублей. Приостановление деятельности - до 90 суток.

Типичное заблуждение - считать санкции по статье 13.12 незначительными из-за относительно небольших штрафов по частям 1-4. Реальный ущерб возникает иначе: приостановление деятельности по частям 5-6 фактически останавливает бизнес, а повторное нарушение в течение года может повлечь дисквалификацию должностного лица по статье 3.11 КоАП РФ сроком до трёх лет.

Конфискация несертифицированных средств защиты - отдельный риск. Изъятое оборудование или программное обеспечение не возвращается даже после уплаты штрафа. Для организаций, где такие средства встроены в производственный процесс, это означает вынужденную остановку работы и затраты на замену.

Неочевидный риск связан с параллельным лицензионным контролем. Протокол по статье 13.12 КоАП РФ автоматически становится основанием для проверки лицензионных условий регулятором - ФСТЭК или ФСБ. По итогам такой проверки лицензия может быть приостановлена или аннулирована в административном порядке, что несопоставимо серьёзнее самого штрафа.

Если ваша организация получила предписание ФСТЭК или ФСБ либо уже составлен протокол по статье 13.12 КоАП РФ - важно оценить квалификацию состава до подписания каких-либо документов.

Кто проводит проверки и составляет протоколы по статье 13.12 КоАП РФ?

Протоколы по статье 13.12 КоАП РФ вправе составлять должностные лица ФСТЭК России и ФСБ России - в зависимости от предмета нарушения. ФСТЭК контролирует соблюдение требований по технической защите информации и лицензионных условий в этой сфере (части 1, 2, 5). ФСБ уполномочена на составление протоколов по нарушениям в области криптографической защиты (части 3, 4, 6). Дела рассматривают суды общей юрисдикции и арбитражные суды - в зависимости от субъекта.

Плановые проверки ФСТЭК проводятся в соответствии с ежегодным планом, размещаемым на сайте ведомства. Внеплановые проверки возможны по жалобам, при наступлении инцидентов информационной безопасности или по поручению прокуратуры. С 2022 года ФСТЭК активизировала контроль за операторами государственных информационных систем и объектами критической информационной инфраструктуры - число возбуждённых дел по статье 13.12 КоАП РФ заметно выросло.

Для подготовки к проверке или реагирования на уже составленный протокол соберите следующие документы:

• Действующие лицензии ФСТЭК и ФСБ с приложениями (перечень разрешённых видов деятельности).
• Сертификаты соответствия на все применяемые средства защиты информации и криптографии.
• Организационно-распорядительную документацию по защите информации (политики, регламенты, приказы).
• Акты ввода в эксплуатацию средств защиты и журналы их обслуживания.
• Договоры с лицензиатами, если работы выполняются сторонними организациями.

Что упускают при подготовке к проверке: сертификаты на средства защиты нередко оформлены на конкретную версию программного обеспечения. Обновление продукта без прохождения повторной сертификации автоматически образует состав по части 2 или 4 статьи 13.12 КоАП РФ - даже если производитель позиционирует обновление как "минорное". Проверяйте соответствие версии в сертификате и версии, фактически используемой в системе.

Как обжаловать постановление по статье 13.12 КоАП РФ?

Постановление по делу об административном правонарушении по статье 13.12 КоАП РФ вступает в законную силу через 10 суток с момента вручения или получения копии - именно этот срок отведён на подачу жалобы по статье 30.3 КоАП РФ. Жалоба подаётся в вышестоящий орган или в суд. Пропуск срока без уважительных причин лишает права на обжалование, и постановление на сумму даже 250 000 рублей исполняется принудительно.

Жалоба на постановление, вынесенное должностным лицом ФСТЭК или ФСБ, подаётся либо руководителю соответствующего органа, либо в районный суд по месту рассмотрения дела. Если нарушитель - юридическое лицо или индивидуальный предприниматель, жалоба направляется в арбитражный суд. Государственная пошлина при обжаловании постановлений по делам об административных правонарушениях не уплачивается.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола, ненадлежащее уведомление лица о времени и месте рассмотрения дела, истечение срока давности привлечения к ответственности. Материальные: отсутствие состава правонарушения, неправильная квалификация деяния, малозначительность нарушения по статье 2.9 КоАП РФ.

Срок давности привлечения к ответственности по статье 13.12 КоАП РФ составляет один год с момента совершения правонарушения (статья 4.5 КоАП РФ) - как для длящихся, так и для разовых нарушений в сфере защиты информации. Если с момента нарушения прошло более года, постановление подлежит отмене независимо от существа обвинений.

Если постановление уже вынесено, а первоначальная позиция при рассмотрении дела не была выстроена грамотно, - шансы на отмену в суде снижаются, но не исчезают. Важно оценить, не были ли нарушены процессуальные права при составлении протокола.

Какие нарушения чаще всего выявляют ФСТЭК и ФСБ при проверках?

По данным практики проверок ФСТЭК, наиболее распространённые нарушения, влекущие ответственность по статье 13.12 КоАП РФ, - это применение средств защиты информации с истёкшим сроком действия сертификата, несоответствие класса защиты требованиям регулятора и отсутствие аттестации объекта информатизации. Каждое из этих нарушений образует самостоятельный состав и может быть зафиксировано в одном акте проверки - тогда штрафы суммируются.

Для операторов государственных информационных систем (ГИС) обязательна аттестация по требованиям приказа ФСТЭК России от 11 февраля 2013 года N 17. Отсутствие аттестата соответствия или его просрочка - типичное основание для протокола по части 1 статьи 13.12 КоАП РФ. Для объектов критической информационной инфраструктуры (КИИ) требования установлены приказом ФСТЭК N 239 от 25 декабря 2017 года, и нарушения здесь квалифицируются строже.

В сфере криптографии ФСБ фиксирует прежде всего использование VPN-решений и средств электронной подписи без действующего сертификата ФСБ. Многие иностранные криптографические продукты, широко применявшиеся до 2022 года, не имеют российской сертификации - их продолжение использования образует состав по части 4 статьи 13.12 КоАП РФ. Переход на отечественные сертифицированные решения снимает этот риск, но требует времени и бюджета.

Пропуск трёхлетнего срока хранения журналов учёта средств криптографической защиты, предусмотренного инструкцией ФСБ, - нарушение, которое при проверке обнаруживается немедленно. Его последствие - протокол по части 3 статьи 13.12 КоАП РФ и штраф до 25 000 рублей для организации, а при повторном нарушении - риск квалификации как грубого по части 6 с санкцией до 500 000 рублей.

Соотношение статьи 13.12 КоАП РФ со смежными составами

Статья 13.12 КоАП РФ применяется в совокупности с рядом смежных составов, и разграничение между ними влияет на итоговый размер санкций. Статья 13.13 КоАП РФ устанавливает ответственность за незаконную деятельность в области защиты информации без лицензии - это более тяжкий состав с санкцией до 500 000 рублей для юридических лиц. Статья 13.12 применяется, когда лицензия есть, но её условия нарушены.

Статья 13.11 КоАП РФ регулирует нарушения в области персональных данных. Если инцидент информационной безопасности повлёк утечку персональных данных, Роскомнадзор возбуждает дело по статье 13.11, а ФСТЭК - по статье 13.12. Два дела ведутся параллельно, штрафы суммируются. С 2024 года санкции по статье 13.11 КоАП РФ существенно выросли - до 15 млн рублей за повторную утечку, что делает комплексный риск значительным.

Для субъектов КИИ нарушения в сфере защиты информации могут дополнительно квалифицироваться по статье 13.12.1 КоАП РФ, введённой в 2017 году. Эта статья предусматривает ответственность за нарушение требований по безопасности КИИ с санкцией до 500 000 рублей для юридических лиц. Важно понимать: одно фактическое нарушение может образовывать составы сразу по нескольким статьям, если затрагивает разные охраняемые объекты.

Неочевидный риск для IT-компаний, выполняющих работы по защите информации для заказчиков: если подрядчик использует несертифицированные средства на объекте заказчика, протокол составляется на обоих - на заказчика как оператора и на подрядчика как лицензиата. Договорная оговорка об ответственности подрядчика не освобождает заказчика от административной ответственности.

Частые вопросы

1. Какой срок давности по статье 13.12 КоАП РФ?

Срок давности привлечения к административной ответственности по статье 13.12 КоАП РФ составляет один год с момента совершения правонарушения согласно части 1 статьи 4.5 КоАП РФ. Для длящихся нарушений - например, постоянного использования несертифицированного средства защиты - срок исчисляется с момента обнаружения нарушения. По истечении годичного срока постановление о привлечении к ответственности не может быть вынесено, а вынесенное подлежит отмене.

2. Могут ли одновременно оштрафовать организацию и её директора?

Да, по статье 13.12 КоАП РФ допускается одновременное привлечение к ответственности юридического лица и его должностного лица - директора или ответственного за информационную безопасность. Это прямо следует из части 3 статьи 2.1 КоАП РФ: привлечение организации не освобождает виновных должностных лиц от ответственности. На практике ФСТЭК и ФСБ регулярно составляют протоколы на обоих субъектов одновременно, что удваивает совокупный размер санкций.

3. Что считается грубым нарушением лицензионных условий по частям 5 и 6 статьи 13.12 КоАП РФ?

Перечень грубых нарушений лицензионных условий определяется положениями о лицензировании, утверждёнными постановлениями Правительства РФ для каждого вида деятельности. К грубым, как правило, относятся: выполнение работ, не предусмотренных лицензией; привлечение к работам специалистов без требуемой квалификации; нарушение требований по защите государственной тайны. Конкретный перечень зависит от вида лицензии - ФСТЭК или ФСБ - и закреплён в соответствующем положении о лицензировании.

4. Можно ли избежать штрафа, добровольно устранив нарушение до вынесения постановления?

Добровольное устранение нарушения до вынесения постановления учитывается как смягчающее обстоятельство по статье 4.2 КоАП РФ и может повлечь назначение штрафа в минимальном размере. Полного освобождения от ответственности это не даёт - состав правонарушения уже зафиксирован в протоколе. Однако при малозначительности нарушения суд или орган вправе применить статью 2.9 КоАП РФ и ограничиться устным замечанием. На практике это применяется редко - преимущественно при первичном нарушении без последствий.

5. Распространяется ли статья 13.12 КоАП РФ на организации, не имеющие лицензии ФСТЭК или ФСБ?

Части 2 и 4 статьи 13.12 КоАП РФ распространяются на любые организации, обязанные применять сертифицированные средства защиты информации или криптографии, - вне зависимости от наличия лицензии. Обязанность использовать сертифицированные средства возникает из требований к операторам ГИС, субъектам КИИ, операторам персональных данных определённых категорий. Части 1, 3, 5, 6 применяются только к лицензиатам - организациям, имеющим лицензию ФСТЭК или ФСБ на соответствующий вид деятельности.

Статья 13.12 КоАП РФ охватывает широкий круг субъектов - от небольших IT-компаний с лицензией ФСТЭК до крупных операторов КИИ. Ключевые риски сосредоточены в двух точках: использование средств защиты с истёкшим или отсутствующим сертификатом и нарушение лицензионных условий, квалифицируемое как грубое. Второй сценарий опасен не столько штрафом, сколько приостановлением деятельности и последующим лицензионным контролем.

Юридическая фирма «Ветров и партнёры» ведёт дела по административной ответственности в сфере защиты информации - от составления возражений на протокол до представительства в арбитражном суде при обжаловании постановлений ФСТЭК и ФСБ. Практика охватывает как лицензиатов, так и операторов ГИС и субъектов КИИ.