20.03.2026
Шестой кассационный суд общей юрисдикции (решение от 05.03.2026, дело №88-3939/2026) поставил точку в важном споре между работодателем и сотрудником. Вердикт может стать ключевым ориентиром для специалистов по информационной безопасности и HR-департаментов: создание угрозы безопасности данных расценивается как дисциплинарный проступок, даже если никаких негативных последствий (взлома или утечки) не произошло.В центре внимания оказался случай в ПАО АНК «Башнефть», где сотрудника привлекли к ответственности за хранение паролей от корпоративных ресурсов в текстовом файле на рабочем столе. Разбираемся, почему аргументы «никаких данных не слили» и «компьютер под защитой» не сработали в суде.
Суть нарушения: пароли на виду
Служба безопасности компании выявила типичную для многих организаций ошибку: сотрудник хранил учетные данные от СЭД и сервиса «СПАРК-Интерфакс» в незашифрованном текстовом файле прямо на рабочем столе.
С точки зрения специалистов по ИБ, это грубейшее нарушение правил защиты информации. Однако для самого работника это казалось невинным неудобством. Он был уверен, что ситуация под контролем:
Физическая безопасность: В кабинет имеет доступ ограниченное число людей (пропускная система).
Техническая защита: Вход в компьютер защищен двухфакторной аутентификацией.
Отсутствие последствий: Фактического взлома или передачи паролей третьим лицам зафиксировано не было.
Отсутствие инструментов: Работодатель не предоставил специальную программу для управления паролями.
На основе этих фактов сотрудник подал в суд, требуя отменить дисциплинарное взыскание (замечание).
Позиция суда: нарушение правил = вина
Судебные инстанцы всех уровней встали на сторону работодателя. В мотивировочной части решения были озвучены принципиальные моменты, которые теперь стоит взять на заметку всем компаниям, работающим с чувствительными данными:
Запрет закреплен в ЛНА. Правила внутреннего трудового распорядка и политики в области информационной безопасности компании прямо запрещали хранение паролей в открытом виде.
Ознакомление сотрудника. Работник был уведомлен под роспись о должностной инструкции и требованиях безопасности.
Обязанность сотрудника. Отсутствие со стороны работодателя специализированного ПО не освобождает работника от ответственности. При возникновении сложностей с запоминанием паролей сотрудник обязан был инициировать запрос на предоставление защищенных средств их хранения.
Тест на безопасность пройден не был. Ключевой вывод суда: сам факт создания угрозы является достаточным основанием для наказания. Реальная утечка не обязательна для квалификации проступка.
Что это значит для бизнеса и защиты персональных данных?
Это решение подтверждает тренд, согласно которому безопасность строится не на надежде на отсутствие инцидентов, а на соблюдении регламентов. Для владельцев сайтов, информационных систем и руководителей департаментов это сигнал к пересмотру внутренних процедур.
Ключевые уроки для работодателей:
Локальные акты работают. Если у вас нет прописанного запрета на хранение паролей в текстовых файлах, наказать сотрудника будет сложно. Все правила должны быть формализованы и доведены до сведения персонала.
Регулярный инструктаж. Факт ознакомления с документами под роспись — это ваша защита в суде.
Аудит доступа. Периодическая проверка настроек безопасности на рабочих местах помогает выявить подобные нарушения на ранней стадии.
Советы для сотрудников и ответственных за ИБ:
Использование «подручных» средств для хранения паролей (файлы .txt, стикеры на мониторе) — это красный флаг. Если компания не предлагает корпоративный менеджер паролей, это нужно запросить. Молчание в такой ситуации может трактоваться как нежелание выполнять требования безопасности.
Резюме
Судебная практика показывает, что формальное соблюдение правил информационной безопасности важнее отсутствия реального ущерба. Компании, которые внедрили четкие регламенты (ЛНА), получают реальные рычаги влияния на дисциплину. В то же время для сотрудников это означает, что халатное отношение к хранению ключей доступа теперь может привести к санкциям даже без факта кибератаки.
В условиях ужесточения требований к защите персональных данных (включая новые нормы ФСТЭК и регулирование персональных данных) проактивный подход к безопасности становится обязательным элементом работы любого специалиста.
Теги: Практика