Контакты
Подписка 2025

Новогодние рецепты против оборотных штрафов

Редакция журнала "Информационная безопасность", 13/02/25

Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

ris2_w-1

Эксперты:

  • Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
  • Алексей Мунтян, СЕО в Privacy Advocates, соучредитель RPPA.pro
  • Валерий Нарежный, советник, ООО “Юридическая фирма Городисский и Партнеры”
  • Алексей Плешков, независимый эксперт по информационной безопасности
  • Константин Саматов, член Правления Ассоциации руководителей Служб информационной безопасности
  • Ксения Шудрова, независимый эксперт по информационной безопасности, блогер

Изменит ли введение оборотных штрафов ситуацию с утечками персональных данных?

Ксения Шудрова:

Считаю, что увеличение штрафов пойдет на пользу отрасли. Многие годы самым трудным в нашей работе было обоснование необходимости защиты персональных данных при низких штрафах и практически отсутствующей судебной практике: мы уповали на совесть руководства и грозили рисками для репутации. Оборотные штрафы наконец привлекли внимание широкой общественности к существующим проблемам.

Алексей Мунтян:

Введение оборотных штрафов вряд ли сразу отразится на количестве и масштабе утечек данных, но существенным образом изменит правоприменительную и судебную практику в отношении расследования утечек, а также заставит компании более осознано и дотошно подходит к выбору и контролю поставщиков ИТ-сервисов.

Константин Саматов:

На мой взгляд, кардинально ситуация не изменится, но улучшения все же будут. По крайней мере, уже видно повышение внимания к теме защиты персональных данных со стороны бизнес-руководителей, которые ранее считали эту тему не важной. В связи с этим я ожидаю активную реализацию мер по защите персональных данных в тех организациях, где ранее этим вообще не занимались. Ну и конечно, абсолютной защиты не существует, поэтому утечки все равно будут случаться, но реже.

Валерий Нарежный:

Оборотные штрафы, безусловно, подстегнут крупные компании к существенному увеличению инвестиций в инфраструктуру информационной безопасности – ведь это может послужить по новому закону смягчающим обстоятельством при назначении наказания. Вероятно, со временем, когда начнет проявляться эффект от таких инвестиций, крупных утечек станет меньше. Для малого бизнеса, скорее всего, тренд на рост числа утечек сохранится, поскольку у него нет достаточных средств на построение защиты и дорогостоящих специалистов в области приватности.

Алексей Плешков:

К сожалению, анализируя публично подтвержденные компаниями утечки 2023–2024 гг., а также статистику по утечкам из выступлений представителей Роскомнадзора, можно с уверенностью сказать, что все, что могло в части ПДн утечь из отечественных компаний, уже давно утекло, размещено в Даркнете, накоплено на серверах за пределами Рунета и в любой момент может быть использовано для организации целевых атак. Введение с оборотных штрафов на эту ситуацию с утечками в ретроспективе никак не повлияет.

Денис Лукаш:

Компании со временем начнут более зрело относиться к рискам утечек персональных данных и выбирать исполнителей различных услуг. Возрастет фактор репутации компании, связанный с отсутствием утечек, при выборе ее со стороны клиентов. Правда, это не коснется сервисов, для которых нет альтернативы, или массовых услуг, где репутацию можно повысить маркетинговыми инструментами. Динамика изменений сильно зависит от практики правоприменения. Но компании в любом случае должны понимать, что они управляют риском, что есть зависимость возможных наказаний от их усилий.

Три первоочередные меры, которые помогут избежать оборотных штрафов

Валерий Нарежный:

  1. Выстраивание системы комплаенса в области персональных данных.
  2. Наличие в компании высококвалифицированных DPO и специалиста по информационной безопасности, а также привлечение соответствующих профессиональных и, в необходимых случаях, лицензированных подрядчиков.
  3. Недопущение возникновения отягчающих обстоятельств, предусмотренных КоАП РФ.

Алексей Плешков:

  1. Внутренняя инвентаризация в компании мест хранения, автоматизированной (в том числе смежной) обработки ПДн, а также прав доступа работников ко всем учтенным системам.
  2. Регулярное проведение в организации тестирований на проникновение (пентестов) с последовательной реализацией организационно-технических мер, направленных на устранение выявленных уязвимостей.
  3. Оптимизация внутренних процессов, связанных с автоматизированной обработкой ПДн, в первую очередь – минимизация фактов, каналов, объемов любой передачи ПДн третьим лицам.

Константин Саматов:

  1. Шифрование данных (баз данных, сегментов баз данных). Если случится утечка, то она будет являться утечкой зашифрованных данных, а не персональных.
  2. Обучение персонала основам кибергигиены, недостаток которой – основная причина утечек.
  3. Выполнение установленных законодательством требований по защите информации с документальным подтверждением. Это является смягчающим обстоятельством при привлечении к административной ответственности по составам административных правонарушений, предусматривающим оборотные штрафы в качестве наказания.

Алексей Мунтян:

  1. Повышение осведомленности персонала для предотвращения утечек, а также надлежащего реагирования на утечки.
  2. Регулярный пересмотр прав доступа персонала и третьих лиц к базам данных и ИТ-инфраструктуре компании.
  3. Привлечение обладателей лицензий ФСТЭК России и ФСБ России для проведения работ по защите персональных данных.

Денис Лукаш:

  1. Минимизация обработки персональных данных.
  2. Поддержка руководства и личная ответственность каждого работника при обработке персональных данных.
  3. Совершенствование системы управления информационной безопасностью.

Ксения Шудрова:

  1. Постоянно обучать пользователей методам безопасной работы простыми и понятными словами, показывая на примерах последствия излишней спешки и лени.
  2. Провести полную инвентаризацию своих информационных систем для того, чтобы безупречно знать "карту местности" и отказаться от лишних звеньев в цепочке обработки.
  3. Минимизировать передачу персональных данных третьим лицам. Наладить безопасные каналы передачи как в электронном, так и в бумажном виде.

Три ошибки, которые увеличат шанс на получение оборотных штрафов

Алексей Мунтян:

  1. Бездумное и нецелевое накопление большого массива данных.
  2. Оперирование большим количеством уникальных идентификаторов субъектов данных.
  3. Отсутствие процесса эффективной утилизации персональных данных по окончанию их жизненного цикла.

Валерий Нарежный:

  1. Допущение повторной утечки данных, если компания ранее привлекалась к ответственности за утечку.
  2. Непринятие должных мер по информационной безопасности либо невозможность подтвердить их выполнение.
  3. Нарушение требований закона по реагированию на утечку при ее выявлении.

Ксения Шудрова:

  1. Коллективная ответственность за защиту информации. У каждого участка работы должен быть владелец. Если несколько человек отвечают за создание резервной копии, ее не сделал никто.
  2. Сложные настройки средств защиты информации, сведения о которых хранятся в головах сотрудников. Лучше потратить время на создание подробных технологических карт, чем потом пытаться дозвониться до заболевшего администратора.
  3. Пространные инструкции пользователя. Используйте памятки и понятные презентации.

Денис Лукаш:

  1. Отсутствие процессов по удалению персональных данных, не формализованные сроки их хранения.
  2. Отсутствие поддержки руководства и понимания ситуации с персональными данными.
  3. Отсутствие системы управления информационной безопасностью.

Алексей Плешков:

  1. Устойчивое ощущение руководителя, что у него в компании все хорошо с защитой информации.
  2. Представление, что данные компании, включая ПДн клиентов и работников, не интересны злоумышленникам.
  3. Доверие и расчет на компетентность контрагентов и подрядчиков в части обеспечения информационной безопасности при передаче или при поручении на обработку ПДн.

Константин Саматов:

  1. Допущение повторной утечки персональных данных, ведь пока оборотные штрафы предусмотрены лишь при "рецидиве".
  2. Отсутствие в организации специалистов по информационной безопасности, занимающихся решением задачи защиты персональных данных. В настоящее время такие организации пока еще есть.
  3. Игнорирование регулярных аудитов. Очень часто вся работа по защите данных заканчивается на внедрении какихлибо технических средств защиты в рамках нормативных требований и разработке комплекта организационно-распорядительных документов. Однако изменяющийся ландшафт угроз не прощает статичную систему защиты, поэтому необходимо осуществлять ее периодический контроль и внесение в нее изменений.

Достаточно ли текущих мер для защиты ПДн, или необходимы дополнительные инициативы на государственном уровне?

Алексей Плешков:

Сегодняшних сформулированных и утвержденных в нормативных документах мер совершенно достаточно для обеспечения защиты ПДн. По статистике регуляторов, к утечкам в организациях приводят такие факторы, как игнорирование требований по защите ПДн, несвоевременность или неполнота их внедрения, вольная интерпретация отдельными работниками этих требований. Нужно не вводить новые требования, а пояснять и обучать, как корректно и эффективно внедрять то, что уже сформулировано, уже используется в других компаниях, делиться лучшими практиками с подтвержденным эффектом.

Валерий Нарежный:

Очевидно, что рост числа и объемов утечек персональных данных имеет множество причин комплексного характера. Одними лишь запретительными мерами эффективно бороться с утечками невозможно. Не менее важно, чтобы начала меняться психология людей. Чтобы незаконные действия с персональными данными, халатность в их отношении все в большей степени воспринимались людьми – особенно должностными лицами организаций – как действия, наносящие кому-то реальный и весьма существенный ущерб.

Ксения Шудрова:

Остро не хватает автоматизации при моделировании угроз по требованиям ФСТЭК России. Операторам, не имеющим возможность приобрести коммерческие средства моделирования угроз, приходится вручную разбирать сотни сценариев реализации угроз. Хотелось бы иметь возможность создания готовой модели с помощью бесплатного конструктора на сайте регулятора. Пока инструмент находится в опытной эксплуатации, но им уже пользуются многие специалисты.

Хотелось бы также иметь простой и понятный механизм компенсаций для субъектов, который будет удобен оператору.

Константин Саматов:

Не хватает персональной ответственности для руководителей организаций (по аналогии с Указом Президента РФ No 250 от 01.05.2022). Очень часто на практике руководители организаций (обычно сегмент малого и среднего бизнеса) уклоняются от темы защиты персональных данных и формально перекладывают ответственность – назначают лиц, ответственных за обработку персональных данных. При таком подходе у руководителя организации нет мотивации в оказании содействия специалистам по защите персональных данных в создании системы защиты, бюджет на закупку необходимых средств защиты выделяется по остаточному принципу либо не выделяется вообще, нарушители требований по защите информации не привлекаются к ответственности и т. д.

Денис Лукаш:

Для совершенствования мер по защите ПДн необходима реформа законодательства о персональных данных. На данный момент описанные в нем отношения субъектов и операторов персональных данных не соответствуют рыночным реалиям.

Алексей Мунтян:

ris1_w-Feb-13-2025-04-05-45-9433-PM
Рис. 1. Наказания за утечки – это здорово! Какие действия государства хотелось бы еще наказания за утечки – это здорово! Какие действия государства хотелось бы еще увидеть... Автор: Алексей Мунтян, СЕО в Privacy Advocates, соучредитель RPPA.pro

Темы:Персональные данныеКруглый столЖурнал "Информационная безопасность" №6, 2024оборотные штрафы

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...