Правила надежной работы в информационной банковской системе

В данном документе представлены правила надежной работы в Информационной банковской системе (ИБС) и включают в себя правила: регистрации в ИБС, работы в локальной вычислительной сети Банка (ЛВС), работы в Автоматизированной банковской системе (АБС), работы в Интернет и с Корпоративной электронной почтой. В документе собраны выдержки правил Банка, отражающие обязанности пользователей в области обеспечения информационной безопасности.

Целью данного документа является регламентация работы пользователей в ИБС. Данные правила обязательны для всех сотрудников всех уровней, а также контрагентов, субподрядчиков и консультантов.

Настоящий Раздел устанавливает правила пользования информационными ресурсами Банка и является обязательным для исполнения всеми сотрудниками, имеющими доступ к этим ресурсам.

Корпоративная вычислительная сеть (далее Сеть) представляет собой средство коллективного хранения и обработки информации и состоит из совокупности рабочих станций (персональных компьютеров), локальных серверов, активного и пассивного сетевого и коммуникационного оборудования.

Администратором сети, далее Администратор, является сотрудник Управления информационных технологий, назначенный Председателем Правления приказом по Банку, отвечающий за работоспособность сети и обеспечивающий подключение пользователей к ресурсам сети.

Пользователем сети, далее Пользователь, является любой сотрудник Банка, имеющий доступ к ресурсам Сети. Пользователь имеет один уникальный идентификатор (сетевое имя), который выдается при регистрации его в сети, и пароль для доступа в Сеть.

Регистрация Пользователя производится Администратором на основании «Карточки пользователя корпоративной сети Банка» (Приложение 2), подписанной руководителем подразделения, в котором работает Пользователь и утвержденной Председателем Правления.

Любые изменения состояния прав доступа пользователя к ресурсам Сети производятся Администратором сети на основании приказов отдела по работе с персоналом и «Заявки на изменение категорий и прав (ролей) доступа в сеть Интернет и АБС» (Приложение 3), а также в следующих случаях:

• при уходе сотрудника в отпуск;
• при переходе сотрудника в другое подразделение и/или изменении его служебных обязанностей;
• при увольнении сотрудника;
• при длительном отсутствии сотрудника (более трех дней).

Для организации совместной работы с ресурсами сети и обмена данными через Сеть Администратором Сети создаются группы Пользователей по принципу административного деления и по используемым приложениям. Каждая группа имеет права доступа к определённым ресурсам Сети.

Каждый Пользователь принадлежит к одной или нескольким группам пользователей, которые определяют права доступа к информационным ресурсам:

• автоматизированной банковской системе (АБС);
• справочным данным;
• информационно-поисковым системам;
• общим файлам;
• сетевым устройствам и т.п.

Каждый Пользователь в соответствии со своими функциональными обязанностями имеет полные права доступа в личный каталог (если таковой за ним закреплен), и права доступа в общий каталог подразделения и групповые каталоги.

Для Пользователей и групп Пользователей создаются специальные процедуры регистрации в Сети.

Каждый Пользователь Сети имеет один уникальный идентификатор (сетевое имя), который выдается ему Администратором Сети при регистрации и пароль для подключения к Сети.

В случае необходимости Администратор Сети может установить ограничение на доступный для записи объем дискового пространства сервера Сети.

В случае работы с особо важной информацией, имя Пользователя для регистрации в Сети жестко закрепляется за физическим адресом конкретной рабочей станции.

Для контроля за доступом к ресурсам Сети с рабочих станций каждому Пользователю, при его регистрации, устанавливаются ограничения на количество соединений с Сетью.

Регистрация Пользователя Сети производится Администратором на основании «Карточки пользователя корпоративной сети Банка» (Приложение 2).

При регистрации Администратор сообщает Пользователю его сетевое имя (идентификатор) и временный пароль для первого входа в Сеть.

Пароль заводится самим Пользователем, во время первого входа в систему, и периодически сменяется по запросу системы.

При переходе в другое подразделение сотрудник должен снова пройти процедуру регистрации в Сети.

При уходе в отпуск (длительном отсутствии) доступ Пользователя к ресурсам Сети блокируется Администратором на основании информации из отдела по работе с персоналом. В случае, если на период отсутствия Пользователя исполнение обязанностей возлагается на замещающего сотрудника, то Администратор открывает доступ данному сотруднику к ресурсам Сети (при необходимости) на основании приказа (распоряжения).

При возвращении из отпуска (после болезни) Администратор сети разблокирует доступ Пользователя к сети на основании личного устного обращения Пользователя к Администратору сети.

Лишение прав доступа Пользователя к ресурсам ЛВС производится Администратором сети на основании обходного листа с отметкой Директора по информационным технологиям, начальника Управления экономической защиты и Отдела информационной безопасности.

В случае попытки несанкционированного доступа к ресурсам Сети Администратор осуществляет блокировку доступа с данной рабочей станции и фиксацию попытки несанкционированного доступа, с обязательным уведомлением Управления экономической защиты и Отдела информационной безопасности.

Восстановление прав доступа осуществляется после представления служебной записки за подписью руководителя подразделения с объяснением в ней причин попыток несанкционированного доступа, обязательно с визами Управления экономической защиты и Отдела информационной безопасности.

Для регистрации в сети, при включении компьютера, вы должны ввести по запросу свое пользовательское имя и пароль.

Если вы ввели пароль некорректно три раза подряд, ваша учетная запись будет заблокирована, и вы не сможете войти в систему до тех пор, пока системный администратор не снимет блокировку, при этом выдается сообщение о попытке несанкционированного доступа с извещением Управления экономической защиты и Отдела информационной безопасности.

Пароли должны меняться каждые 90 дней. Вам должны напомнить про замену пароля за три дня до этого. Если вы не измените пароль по истечении 90 дней, то ваша учетная запись будет заблокирована, и вы не сможете зарегистрироваться в системе до тех пор, пока системный администратор не снимет блокировку.

При необходимости досрочной смены пароля вы должны обратиться к администратору.

Последовательность смены пароля:

• Администратор меняет существующий пароль учетной записи на временный, для разового входа в систему, и сообщает его пользователю;
• Пользователь входит в систему используя временный пароль и получает сообщение о необходимости сменить свой пароль;
• Пользователь вводит новый пароль для входа в систему.

Если вы забыли свой пароль или вам необходимо восстановить его с помощью администратора, то эти вопросы вы должны решать лично.

Личные пароли ДОЛЖНЫ выбираться пользователями автоматизированной системы самостоятельно, но с учетом следующих требований:

• длина пароля должна быть не менее 6 символов;
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@ # $ & * % и т.п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP и. т.д.);
• при смене пароля новое значений должно отличаться от предыдущего не менее, чем в 2 позициях.

Вы никогда не должны записывать свой пароль.

Вы несете ответственность за защиту своих пользовательских идентификационных реквизитов и пароля. Если вы подозреваете, что ваш пароль знает кто-то еще, то должны изменить его немедленно и доложить об этом администратору.

Вы не должны сообщать свои пользовательские идентификационные реквизиты и пароль кому бы то ни было. Если существует требование предоставить право доступа постороннему пользователю, то этот пользователь должен выполнить соответствующие процедуры запроса на получение доступа.

• знать правила безопасности в сети Банка и принятые меры по защите ресурсов ЛВС (в части его касающейся);
• рассматривать выполнение обязанностей по защите ЛВС как неукоснительное обязательное условие продолжения своей работы в сети;
• при работе на своей рабочей станции и в ЛВС выполнять только служебные задания;
• работать в сети только в разрешенный период времени для каждого конкретного сотрудника;
• при решении задач с использованием защищаемой информации использовать только учтенные магнитные носители (например, дискеты);
• немедленно выполнять предписания сотрудников Управления информационных технологий или Отдела информационной безопасности;
• незамедлительно представлять свою рабочую станцию сотрудникам Управления информационных технологий или Отдела информационной безопасности для контроля.

• самостоятельно вносить изменения в конструкцию, конфигурацию, размещение рабочих станций сети и другие узлы ЛВС;
• самостоятельно производить установку любого программного обеспечения (ПО);
• оставлять свою рабочую станцию, подключенную к сети, без контроля;
• допускать к подключенной в сеть рабочей станции посторонних лиц;
• запускать на своей рабочей станции или другой рабочей станции сети любые системные или прикладные программы, не входящие в состав программного обеспечения рабочей станции сети и ЛВС;
• иметь игровые и обучающие программы на рабочей станции сети;
• работать с неучтенными магнитными носителями информации;
• производить копирование защищаемой информации на неучтенные носители информации (в том числе и для временного хранения информации);
• работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей.

Выполнение вышеперечисленных пунктов в обязательном порядке контролируется Администратором информационной безопасности как дистанционно, так и непосредственно на рабочем месте.

Пользователь ЛВС несет персональную ответственность за соблюдение установленных требований во время работы в ЛВС (уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно распорядительными документами Банка).

Ответственность за допуск пользователя к ЛВС и установленные ему полномочия несет руководитель структурного подразделения Банка, подписавший заявку на доступ данного пользователя к информационным ресурсам Информационной банковской системы.

• При создании новой учетной записи в АБС пользователь оформляет стандартную заявку на подключение к корпоративной сети в части касающейся АБС (имя учетной записи, необходимые модули АБС и необходимые функции – смотри Приложение № 2 настоящих Правил);
• При изменении прав доступа к АБС пользователь оформляет дополнительную заявку (смотри Приложение № 3 настоящих Правил);
• Пользователь работает в АБС только под своей учетной записью, категорически запрещается передавать другому пользователю или использовать логин и пароль другого пользователя;
• При необходимости выполнения типовых операций в подразделении пользователи должны обращаться в УИТ для создания специальных ролей и групп пользователей в АБС;
• Пользователь должен инициировать смену своего пароля для доступа в АБС не реже одного раза в 90 дней;
• В случае возникновения сбоев и некорректного завершения бизнес-значимых операций в АБС пользователь обязан немедленно уведомить об этом сотрудников УИТ;
• Освободить рабочее место в АБС (выйти из АБС) если она не используется;
• Пользователям АБС ЗАПРЕЩАЕТСЯ открывать две и более копий АБС и сворачивать окно АБС на рабочем столе.

• Контроль за корректностью и актуальностью настроечных параметров, справочников-классификаторов с НСИ, а также шаблонов операций и документов;
• Обязательное проведение операций, документов и договоров через функциональные модули АБС (исключение «ручных проводок и операций»);
• Контроль за выгруженными документами для получения/передачи во внешние системы;
• Контроль и акцепт выполняемых пользователем АБС операций вышестоящим лицом;
• Применение дополнительных процедур контроля результатов расчета, которые особенно широко используются при формировании банковской отчетности (поверочные тесты, расшифровки сводных и агрегированных данных и т.п.).

Своевременное информирование о сбоях, ошибках и нарушения функциональности в АБС.

• Контроль и акцепт выполняемых подчиненными операций в АБС;
• Своевременную подачу заявок на доработку существующих и добавление новых модулей АБС;
• Своевременное уведомление об изменениях в нормативных документах и требованиях Банка России, связанных с регламентацией правил выполнения банковских операций в АБС;
• Организацию, разработку и внедрение технологической и методологической документации, регламентов и инструкций работы пользователей;
• Проведение обучения новых сотрудников в соответствии с разработанными регламентами и инструкциями;
• Организацию своевременной передачи дел при увольнении и переводе на другую должность сотрудников подразделения;
• Руководство проектами или непосредственное участие при выборе, внедрении ПО и новых модулей АБС;
• Непосредственное участие в проведении оценки совместимости с существующим ПО АБС при покупке программного обеспечения стороннего разработчика.

Сотрудники не должны использовать Интернет для своих личных целей, и не должны посещать сайты, которые не были указаны в «Заявке на доступ в корпоративную сеть Банка» или «Заявке на изменение категорий (ролей) доступа», а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников контролируется. Нарушители могут быть привлечены к ответственности, вплоть до уголовного наказания.

Соединение с Интернетом - это ресурс Банка. Деятельность сотрудников Банка в Интернете наблюдается, протоколируется и проверяется для того, чтобы Банк имел гарантии того, что сотрудники работают правильно, и мог защититься от неавторизованного использования Интернета.

Банк может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Банк обязан разгласить информацию, полученную таким образом уполномоченным на это третьим лицам, включая правоохранительные органы.

Формами неприемлемого использования Интернет, которые могут привести к ответственности, являются:

• неавторизованные попытки получить доступ к удаленному компьютеру;
• использование рабочего времени и ресурсов организации для личной выгоды;
• кража или копирование файлов без разрешения;
• посылка конфиденциальных файлов организации на внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми;
• отказ помогать сотрудникам Управления экономической защиты и Отдела информационной безопасности;
• посылка писем-пирамид и спам-рассылки по электронной почте.

ЗАПРЕЩЕНО скачивание из Интернета любого программного обеспечения.

Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации необходимо предварительно осуществить подписку на них и заплатить за это деньги.

ЗАПРЕЩЕНЫ любые финансовые операции с личными средствами в Интернете с компьютера в Сети Банка.

ЗАПРЕЩЕНО вхождение в сторонние корпоративные сети с компьютера в Сети Банка.

Для всех компьютеров организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации должно быть запрещено взаимодействие с Интернет.

Система корпоративной электронной почты (КЭП) предоставляется сотрудникам Банка в целях оказания помощи при выполнении ими своих обязанностей.

Аппаратное и программное обеспечение для системы КЭП принадлежит Банку. Все сообщения, созданные, переданные или полученные с помощью системы КЭП, являются и остаются собственностью Банка. Сообщения не могут быть личной собственностью ни одного из сотрудников.

Использовать систему КЭП можно исключительно для выполнения своих служебных обязанностей. КЭП не предназначена для применения в личных целях.

Запрещается передача и прием почтовых сообщений с вложениями графических и мультимедийных файлов (файлы с расширением jpg, bmp, tiff, avi, mpg, vob, mov, …).

При отправке длинных файлов по электронной почте необходимо использовать архивацию (при необходимости с паролем), указывая предмет сообщения (subject).

Размер прикрепленных файлов ограничен 3 Мб.

Размер почтового ящика каждого пользователя ограничен 5 Мб.

КЭП не может использоваться для создания оскорбительных или провокационных сообщений. Таковыми считаются в том числе сообщения, содержащие сексуальные домогательства, расовые оскорбления, дискриминацию по половому признаку или другие комментарии, затрагивающие в оскорбительной форме вопросы возраста или сексуальной ориентации, религиозные или политические пристрастия, национальность или состояние здоровья.

Система КЭП не должна использоваться для передачи (выгрузки) или получения (загрузки) материалов, защищенных авторским правом, торговых секретов, внутренней финансовой информации или аналогичных документов лицами, не имеющими соответствующих полномочий.

Банк оставляет за собой право просматривать, контролировать, перехватывать, изымать и разглашать все сообщения, созданные, полученные или переданные с помощью системы КЭП с любой целью. Содержание сообщения КЭП, даже полученного в рамках выполнения служебных обязанностей, может быть доведено до сведения уполномоченных лиц в пределах Банка без разрешения сотрудника.

Никакое сообщение не может считаться конфиденциальным для Банка. Использование шифрования в целях защиты не гарантирует конфиденциальности. Все ключи должны быть предоставлены Банку, в противном случае они объявляются незаконными и применяться не могут.

Несмотря на то, что Банк имеет право извлекать и читать все сообщения КЭП, такие сообщения должны рассматриваться как конфиденциальные для не уполномоченных сотрудников Банка, и получить к ним доступ может только сотрудник, которому эти сообщения адресованы. Любое исключение из этого правила возможно при разрешении руководства Банка.

Временная шкала на компьютерах Банка устанавливается централизованно. Сотрудник не вправе устанавливать собственное время на личном компьютере.

Любой сотрудник, которому стало известно о нарушении правил, изложенных в данном документе, должен уведомить об этом Управление экономической защиты или Отдел информационной безопасности.

Любой сотрудник, нарушивший эти правила или использующий систему электронной почты в незаконных целях, будет подвергнут дисциплинарному наказанию, вплоть до увольнения.

Под нарушением информационной безопасности понимается любой умышленный вид компрометации каких-либо аспектов безопасности ИБС, к их числу относятся:

• утрата конфиденциальности информации;
• нарушение целостности информации;
• нарушение доступности информационных услуг;
• неправомочное использование услуг, систем или информации;
• повреждение систем.

Любое нарушение порядка и правил пользования информационными ресурсами Банка подлежит внутреннему расследованию. К виновным будут применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с информацией, определяется нанесенным ущербом, наличием приступного умысла и другими факторами по усмотрению руководства Банка.

Ответственность пользователя за нарушения информационной безопасности:

• Пользователь компьютера отвечает за информацию, хранящуюся на его компьютере, технически исправное состояние компьютера и вверенного ему оборудования.
• Пользователь несет личную материальную ответственность за весь информационный обмен между его компьютером и другими компьютерами в Сети и сети Интернет.
• За нарушение настоящей инструкции пользователь может быть отстранен от работы в ИБС или отключен от прикладных сервисов.
• Нарушение данной инструкции, повлекшее уничтожение, блокирование, модификацию либо несанкционированное копирование охраняемой Банком информации, нарушение работы компьютеров пользователей, системы или Сети компьютеров, может повлечь административную или уголовную ответственность в соответствии с действующим Российским законодательством и трудовым кодексом Российской Федерации.

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказываются штрафов в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.

2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельцев, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказывается штрафом в размере от двухсот до пятисот минимальных окладов оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказываются штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительным работам на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сетей, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказывается лишением свободы на срок от трех до семи лет.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе, если это повлекло существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства, - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо арестом на срок до трех месяцев.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц – от пятидесяти до ста минимальных размеров оплаты труда.

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.

3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц - от ста пятидесяти до двухсот минимальных размеров оплаты труда.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну- влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии, - влечет наложение административного штрафа на должностных лиц в размере от сорока до пятидесяти минимальных размеров оплаты труда; на юридических лиц - от трехсот до четырехсот минимальных размеров оплаты труда с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц – от сорока до пятидесяти минимальных размеров оплаты труда.