Контакты
Подписка 2025
Статьи по информационной безопасности

Защита ПДн – есть или нет

Андрей Слободчиков, 29/10/21

Бороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования.

Автор: Андрей Слободчиков, эксперт по информационной безопасности “Лиги Цифровой Экономики”

Малый бизнес в зоне риска

Размеры компании не влияют на степень сложности взлома, но зачастую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую очередь нацелен на получение прибыли. В крупном бизнесе к информационной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д.

Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасности с помощью встроенных механизмов защиты в ИТ-устройствах или использованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты.

Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнес-требования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов.

В чем заключается проблема?

Основные проблемы защиты персональных данных в России заключаются в том, что нет точного определения информации, которая относится к персональным данным, а также отсутствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение требований по техническим и организационным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты информации и запрашивает определенный перечень документов, которые зачастую создаются по шаблонам с единственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью.

Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф составляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами оповестить Роскомнадзор, когда сталкиваются с нарушениями. Ответственные пользователи, имеющиеся административные и технологические инструменты в совокупности могли бы сформировать эффективную систему борьбы с подобными сайтами.

Европейский стандарт

Для эффективного регулирования необходимо задать определение, которое будет трактоваться однозначно. Нужно ввести административные штрафы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продолжительности нарушения, а также от способа оповещения о нем (непосредственно самой организацией или другими источниками). Одним из успешных примеров регулирования защиты персональных данных является GDPR. В отличие от отечественного аналога – 152-ФЗ в GDPR явно определено, что относится к персональным данным, а также обозначена ответственность за их защиту как для оператора, так и для непосредственного обработчика персональных данных. Таким образом, в GDPR одним из мотиваторов обеспечения сохранности персональных данных являются большие штрафы, в то же время в данном документе предусмотрены четкие требования по обеспечению безопасности, при выполнении которых организации не грозят штрафы.

Что делать пользователям?

Чтобы свести к минимуму риск утечки персональных данных, необходимо минимизировать свой цифровой след в сети. При регистрации на сайтах, в социальных сетях и мессенджерах не публиковать (не указывать) дату рождения, адрес, номер телефона, сведения о родственниках и другую личную информацию. Лучше завести отдельный ящик электронной почты для приватных переписок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д.

В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензированного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов.
Темы:Персональные данные
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • DLP и DCAP для доказательства защиты ПДн
    На проверках регуляторов формального "у нас все защищено" давно недостаточно – требуется подтвержденная практикой система контроля. DLP и DCAP кажутся подходящими для этого инструментами, позволяющими не просто предотвратить утечку, но и показать, что организация действительно соблюдает требования 152-ФЗ. Посмотрим, что именно в этих решениях работает на успешный аудит?
  • Оборотные штрафы за утечку персональных данных: как минимизировать риски
    Андрей Быков, руководитель центра консалтинга в области защиты данных, BI.ZONE
    В мае 2025 г. вступили в силу поправки в КоАП РФ, которые ужесточили ответственность за утечки и неправомерное использование персональных данных. За правонарушения компаниям грозят крупные оборотные штрафы, однако судебная практика в этой сфере только формируется. Рассмотрим подробнее вопросы ответственности за утечки и смягчающих обстоятельствах, а также ошибки, которые допускают операторы данных. В статье вы найдете пошаговый план и чек-лист, которые помогут создать систему защиты.
  • 97% россияе реагируют на утечку своих персональных данных
    Эксперты отмечают, что к 2025 г. до 3% сократилось количество людей, которые не реагируют на утечки ПДн. Зато россияне все больше интересуются тем, как компании защищают их данные и была ли наказана компания, которая допустила утечку.
  • Персональные данные: малый и средний бизнес под прицелом
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру
  • Настоящее время
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Мы очень многое объясняем тем, что так сложилось исторически. Удивительным образом, это объяснение не теряет своей актуальности даже в такой сфере “бурного развития”, как вычислительная техника. Конечно, стечением исторических обстоятельств обычно объясняют то, что хотелось бы изменить (то, что всех устраивает, лучше считать достижением и результатом упорного труда). И эти желаемые изменения тяжелого наследия прошлого формируют планы дальнейшего развития – для будущего времени. Что же делать, если в нашем распоряжении только миг между прошлым и будущим?
  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных