Контакты
Подписка 2025
Статьи по информационной безопасности

Новогодние рецепты против оборотных штрафов

Редакция журнала "Информационная безопасность", 13/02/25

Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.

ris2_w-1

Эксперты:

  • Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
  • Алексей Мунтян, СЕО в Privacy Advocates, соучредитель RPPA.pro
  • Валерий Нарежный, советник, ООО “Юридическая фирма Городисский и Партнеры”
  • Алексей Плешков, независимый эксперт по информационной безопасности
  • Константин Саматов, член Правления Ассоциации руководителей Служб информационной безопасности
  • Ксения Шудрова, независимый эксперт по информационной безопасности, блогер

Изменит ли введение оборотных штрафов ситуацию с утечками персональных данных?

Ксения Шудрова:

Считаю, что увеличение штрафов пойдет на пользу отрасли. Многие годы самым трудным в нашей работе было обоснование необходимости защиты персональных данных при низких штрафах и практически отсутствующей судебной практике: мы уповали на совесть руководства и грозили рисками для репутации. Оборотные штрафы наконец привлекли внимание широкой общественности к существующим проблемам.

Алексей Мунтян:

Введение оборотных штрафов вряд ли сразу отразится на количестве и масштабе утечек данных, но существенным образом изменит правоприменительную и судебную практику в отношении расследования утечек, а также заставит компании более осознано и дотошно подходит к выбору и контролю поставщиков ИТ-сервисов.

Константин Саматов:

На мой взгляд, кардинально ситуация не изменится, но улучшения все же будут. По крайней мере, уже видно повышение внимания к теме защиты персональных данных со стороны бизнес-руководителей, которые ранее считали эту тему не важной. В связи с этим я ожидаю активную реализацию мер по защите персональных данных в тех организациях, где ранее этим вообще не занимались. Ну и конечно, абсолютной защиты не существует, поэтому утечки все равно будут случаться, но реже.

Валерий Нарежный:

Оборотные штрафы, безусловно, подстегнут крупные компании к существенному увеличению инвестиций в инфраструктуру информационной безопасности – ведь это может послужить по новому закону смягчающим обстоятельством при назначении наказания. Вероятно, со временем, когда начнет проявляться эффект от таких инвестиций, крупных утечек станет меньше. Для малого бизнеса, скорее всего, тренд на рост числа утечек сохранится, поскольку у него нет достаточных средств на построение защиты и дорогостоящих специалистов в области приватности.

Алексей Плешков:

К сожалению, анализируя публично подтвержденные компаниями утечки 2023–2024 гг., а также статистику по утечкам из выступлений представителей Роскомнадзора, можно с уверенностью сказать, что все, что могло в части ПДн утечь из отечественных компаний, уже давно утекло, размещено в Даркнете, накоплено на серверах за пределами Рунета и в любой момент может быть использовано для организации целевых атак. Введение с оборотных штрафов на эту ситуацию с утечками в ретроспективе никак не повлияет.

Денис Лукаш:

Компании со временем начнут более зрело относиться к рискам утечек персональных данных и выбирать исполнителей различных услуг. Возрастет фактор репутации компании, связанный с отсутствием утечек, при выборе ее со стороны клиентов. Правда, это не коснется сервисов, для которых нет альтернативы, или массовых услуг, где репутацию можно повысить маркетинговыми инструментами. Динамика изменений сильно зависит от практики правоприменения. Но компании в любом случае должны понимать, что они управляют риском, что есть зависимость возможных наказаний от их усилий.

Три первоочередные меры, которые помогут избежать оборотных штрафов

Валерий Нарежный:

  1. Выстраивание системы комплаенса в области персональных данных.
  2. Наличие в компании высококвалифицированных DPO и специалиста по информационной безопасности, а также привлечение соответствующих профессиональных и, в необходимых случаях, лицензированных подрядчиков.
  3. Недопущение возникновения отягчающих обстоятельств, предусмотренных КоАП РФ.

Алексей Плешков:

  1. Внутренняя инвентаризация в компании мест хранения, автоматизированной (в том числе смежной) обработки ПДн, а также прав доступа работников ко всем учтенным системам.
  2. Регулярное проведение в организации тестирований на проникновение (пентестов) с последовательной реализацией организационно-технических мер, направленных на устранение выявленных уязвимостей.
  3. Оптимизация внутренних процессов, связанных с автоматизированной обработкой ПДн, в первую очередь – минимизация фактов, каналов, объемов любой передачи ПДн третьим лицам.

Константин Саматов:

  1. Шифрование данных (баз данных, сегментов баз данных). Если случится утечка, то она будет являться утечкой зашифрованных данных, а не персональных.
  2. Обучение персонала основам кибергигиены, недостаток которой – основная причина утечек.
  3. Выполнение установленных законодательством требований по защите информации с документальным подтверждением. Это является смягчающим обстоятельством при привлечении к административной ответственности по составам административных правонарушений, предусматривающим оборотные штрафы в качестве наказания.

Алексей Мунтян:

  1. Повышение осведомленности персонала для предотвращения утечек, а также надлежащего реагирования на утечки.
  2. Регулярный пересмотр прав доступа персонала и третьих лиц к базам данных и ИТ-инфраструктуре компании.
  3. Привлечение обладателей лицензий ФСТЭК России и ФСБ России для проведения работ по защите персональных данных.

Денис Лукаш:

  1. Минимизация обработки персональных данных.
  2. Поддержка руководства и личная ответственность каждого работника при обработке персональных данных.
  3. Совершенствование системы управления информационной безопасностью.

Ксения Шудрова:

  1. Постоянно обучать пользователей методам безопасной работы простыми и понятными словами, показывая на примерах последствия излишней спешки и лени.
  2. Провести полную инвентаризацию своих информационных систем для того, чтобы безупречно знать "карту местности" и отказаться от лишних звеньев в цепочке обработки.
  3. Минимизировать передачу персональных данных третьим лицам. Наладить безопасные каналы передачи как в электронном, так и в бумажном виде.

Три ошибки, которые увеличат шанс на получение оборотных штрафов

Алексей Мунтян:

  1. Бездумное и нецелевое накопление большого массива данных.
  2. Оперирование большим количеством уникальных идентификаторов субъектов данных.
  3. Отсутствие процесса эффективной утилизации персональных данных по окончанию их жизненного цикла.

Валерий Нарежный:

  1. Допущение повторной утечки данных, если компания ранее привлекалась к ответственности за утечку.
  2. Непринятие должных мер по информационной безопасности либо невозможность подтвердить их выполнение.
  3. Нарушение требований закона по реагированию на утечку при ее выявлении.

Ксения Шудрова:

  1. Коллективная ответственность за защиту информации. У каждого участка работы должен быть владелец. Если несколько человек отвечают за создание резервной копии, ее не сделал никто.
  2. Сложные настройки средств защиты информации, сведения о которых хранятся в головах сотрудников. Лучше потратить время на создание подробных технологических карт, чем потом пытаться дозвониться до заболевшего администратора.
  3. Пространные инструкции пользователя. Используйте памятки и понятные презентации.

Денис Лукаш:

  1. Отсутствие процессов по удалению персональных данных, не формализованные сроки их хранения.
  2. Отсутствие поддержки руководства и понимания ситуации с персональными данными.
  3. Отсутствие системы управления информационной безопасностью.

Алексей Плешков:

  1. Устойчивое ощущение руководителя, что у него в компании все хорошо с защитой информации.
  2. Представление, что данные компании, включая ПДн клиентов и работников, не интересны злоумышленникам.
  3. Доверие и расчет на компетентность контрагентов и подрядчиков в части обеспечения информационной безопасности при передаче или при поручении на обработку ПДн.

Константин Саматов:

  1. Допущение повторной утечки персональных данных, ведь пока оборотные штрафы предусмотрены лишь при "рецидиве".
  2. Отсутствие в организации специалистов по информационной безопасности, занимающихся решением задачи защиты персональных данных. В настоящее время такие организации пока еще есть.
  3. Игнорирование регулярных аудитов. Очень часто вся работа по защите данных заканчивается на внедрении какихлибо технических средств защиты в рамках нормативных требований и разработке комплекта организационно-распорядительных документов. Однако изменяющийся ландшафт угроз не прощает статичную систему защиты, поэтому необходимо осуществлять ее периодический контроль и внесение в нее изменений.

Достаточно ли текущих мер для защиты ПДн, или необходимы дополнительные инициативы на государственном уровне?

Алексей Плешков:

Сегодняшних сформулированных и утвержденных в нормативных документах мер совершенно достаточно для обеспечения защиты ПДн. По статистике регуляторов, к утечкам в организациях приводят такие факторы, как игнорирование требований по защите ПДн, несвоевременность или неполнота их внедрения, вольная интерпретация отдельными работниками этих требований. Нужно не вводить новые требования, а пояснять и обучать, как корректно и эффективно внедрять то, что уже сформулировано, уже используется в других компаниях, делиться лучшими практиками с подтвержденным эффектом.

Валерий Нарежный:

Очевидно, что рост числа и объемов утечек персональных данных имеет множество причин комплексного характера. Одними лишь запретительными мерами эффективно бороться с утечками невозможно. Не менее важно, чтобы начала меняться психология людей. Чтобы незаконные действия с персональными данными, халатность в их отношении все в большей степени воспринимались людьми – особенно должностными лицами организаций – как действия, наносящие кому-то реальный и весьма существенный ущерб.

Ксения Шудрова:

Остро не хватает автоматизации при моделировании угроз по требованиям ФСТЭК России. Операторам, не имеющим возможность приобрести коммерческие средства моделирования угроз, приходится вручную разбирать сотни сценариев реализации угроз. Хотелось бы иметь возможность создания готовой модели с помощью бесплатного конструктора на сайте регулятора. Пока инструмент находится в опытной эксплуатации, но им уже пользуются многие специалисты.

Хотелось бы также иметь простой и понятный механизм компенсаций для субъектов, который будет удобен оператору.

Константин Саматов:

Не хватает персональной ответственности для руководителей организаций (по аналогии с Указом Президента РФ No 250 от 01.05.2022). Очень часто на практике руководители организаций (обычно сегмент малого и среднего бизнеса) уклоняются от темы защиты персональных данных и формально перекладывают ответственность – назначают лиц, ответственных за обработку персональных данных. При таком подходе у руководителя организации нет мотивации в оказании содействия специалистам по защите персональных данных в создании системы защиты, бюджет на закупку необходимых средств защиты выделяется по остаточному принципу либо не выделяется вообще, нарушители требований по защите информации не привлекаются к ответственности и т. д.

Денис Лукаш:

Для совершенствования мер по защите ПДн необходима реформа законодательства о персональных данных. На данный момент описанные в нем отношения субъектов и операторов персональных данных не соответствуют рыночным реалиям.

Алексей Мунтян:

ris1_w-Feb-13-2025-04-05-45-9433-PM
Рис. 1. Наказания за утечки – это здорово! Какие действия государства хотелось бы еще наказания за утечки – это здорово! Какие действия государства хотелось бы еще увидеть... Автор: Алексей Мунтян, СЕО в Privacy Advocates, соучредитель RPPA.pro
Темы:Персональные данныеКруглый столЖурнал "Информационная безопасность" №6, 2024оборотные штрафы

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • Нужна ли 100%-ная автоматизация в управлении конфигурациями?
    Автоматизация управления конфигурациями давно рассматривается как способ снизить риски и упростить работу администраторов. Но в реальных условиях у каждой инфраструктуры — свои ограничения, риски и приоритеты. Где проходит граница между разумной автоматизацией и опасной самодеятельностью? 
  • Идеальный портфель сканеров: универсальность, специализация или баланс?
    Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных. 
  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности