Меня зовут Домнин Сергей, как руководитель направления ИБ, несколько лет занимаюсь продуктовой безопасностью и complience в области персональных данных в SM Lab.

В этой статье я расскажу о новых рисках для бизнеса в связи с ужесточением ответственности за нарушения в области персональных данных (далее ПДн) и мерах по их снижению.

Что изменилось?

До недавнего времени, когда дело касалось нарушений в области персональных данных, законодательство можно было охарактеризовать как достаточно мягкое. С 30 мая 2025 г. начинают действовать новые штрафы, которые ввел Федеральный закон от 30.11.2024 №420-ФЗ. Также принят Федеральный закон от 30.11.2024 № 421-ФЗ, вступивший в силу в конце 2024 года, где вводится уголовная ответственность за нарушения в области ПДн. Из новелл: появились оборотные штрафы, про которые столько говорили последние несколько лет. 

Если вы допустили повторную утечку в течение календарного года после предыдущей (зафиксированной решением суда), вы должны будете заплатить 1-3% от годовой выручки за прошлый год, т.е. от 20 до 500 млн рублей.

Виды ответственности для бизнеса

Обновленное законодательство безусловно создает новые риски для компаний. Мы можем выделить две группы ответственности: административную и уголовную. 

Если вы забыли подать уведомление в РКН о том, что вы осуществляете обработку данных, и это фиксируется по результатам проверки – вы получаете штраф. Если вы забыли сообщить об утечке и допустили ее в том или ином виде (утечка специальных, биометрических ПДн карается более серьезно) – вы тоже получаете штраф. А повторная утечка – это совершенно кошмарная история для любого бизнеса, особенно малого и среднего. Т.к. размеры штрафов уже исчисляются процентами от оборота и начинаются от 20 миллионов рублей.

Второй вид рисков - уголовные. 

Теперь у нас есть два новых состава. Первый менее применим к бизнесу – это создание ресурсов, где будут храниться незаконно полученные ПДн, например, украденные.

Второй, если кратко, незаконное использование или передача ПДн, полученных путем неправомерного доступа к системам, где они хранятся или обрабатываются. Диспозиция сформулирована таким образом, что не до конца понятно, может ли кто-то помимо хакеров стать субъектом данного преступления. Например, сотрудники компаний, которые с преступным умыслом неправомерно получили доступ к ПДн? Или будет ли считаться преступлением скачивание утекшего дампа с ПДн сотрудником службы ИБ при расследовании инцидента? К сожалению, из-за отсутствия правоприменительной практики пока сложно ответить на этот вопрос

Данный состав применяется в “утяжеленном виде”, если вы украли специальные биометрические данные, ПДн несовершеннолетних или попытались отправили их за пределы РФ (совершили трансграничную передачу).

Есть и хорошие новости

Законодатель предусмотрел смягчающие обстоятельства при повторной утечке, позволяющие снизить размер штрафа.

Что до первой утечки и каких-то других нарушений никаких смягчающих обстоятельств нет – будут наказывать по всей строгости закона. Т.е. смягчение наказания применимо только ко второй утечке за календарный год. А вот для того, чтобы соответствовать им, бизнесу необходимо показать добросовестное отношение к безопасности ПДн.

Всего нужно выполнить три требования: 

Что можно сделать для снижения рисков

Какие действия стоит в первую очередь предпринять бизнесу, чтобы обезопасить себя?

Для начала следует принять некоторые меры до того, как инцидент, например утечка, произошли:

  • обновить всю вашу документацию по обработке ПДн и подвести её под соответствие последним изменениям в законе;

  • подать уведомление в РКН о ведущейся обработке ПДн. Тут есть два нюанса. Во-первых, если вы подавали уведомления до того, как была внедрена новая форма РКН, то вам необходимо переподать его. Во-вторых, если вы ранее вообще не подавали уведомление, потому что у вас обрабатывались только данные работников, то теперь это исключение из закона убрали. Все юридические лица с маломальским штатом теперь должны проинформировать РКН о том, что они являются оператором, даже если в компании нет клиентских данных;

  • актуализировать общедоступные документы на сайтах и в мобильных приложениях. Например, политику конфиденциальности, пользовательское соглашение, плашку о куки, согласие под формой сбора ПДн и т.д.

  • не стоит забывать про трансграничную передачу и локализацию ПДн. Если же очень хочется отправить ПДн за границу, то есть белый список РКН. Если нужная страна в нём - достаточно уведомить регулятор. Если такой страны нет в списке, тогда необходимо получить разрешение у РКН;

  • обновить формы согласия на обработку ПДн всех типов субъектов ПДн (работники, контрагенты, посетители сайтов, клиенты и т.д.). Это стоит сделать, если у вас появляются новые третьи лица, которым вы собираетесь передавать ПДн, меняются цели обработки или состав собираемых данных;

  • заключать договор поручения обработки ПДн, если вы аутсорсите какую-то функцию по обработке персональных данных другой компании; 

  • повышать уровень осведомленности сотрудников и руководства, т.к. статистика социальной инженерии из года в год выглядит весьма удручающей. Соц.инженерия всё еще остается одним из самых популярных инструментов у злоумышленников. Можно проводить регулярные обучения, фейковые рассылки, учения и т.д.; 

  • инвестировать в ИБ 0,1% от ежегодной выручки (услуги лицензиатов ФСТЭК) – это одно из условий для применения смягчающих обстоятельства, да и в принципе инвестиции в ИБ всегда хорошо и полезно;

  • составлять акт об уничтожении ПДн после завершения цели обработки, истечению срока или при отзыве согласия субъектом. Желательно подготовить регламент, чтобы всем в компании было понятно, как это должно работать.

Переходим к более приземленной части:

  • контролируем действия подрядчиков. Крупные компании нередко аутсорсят часть работы подрядчикам. Соответственно, в достаточно защищенную инфраструктуру имеют доступ люди из компаний, которые могут очень попустительски относиться к безопасности. Это создает риск проникновения (а именно Trusted Relationship Attack) через ваших подрядчиков, когда атакующие используют захваченные учетки контрагента для  проникновения в вашу сеть. Митигацией могут служить PAM, сегментация сети и регулярные аудиты доступов;

  • проводим аудит ИСПДн: каталогизируем, разделяем на более/менее критичные и в зависимости от этого выкатываем владельцам требования по безопасности; 

  • минимизируем собираемые ПДн для уменьшения масштаба утечки;

  • проводим аудит и ограничиваем доступ к самим ИСПДн, т.е. минимизируем права и режем лишние доступы;

  • строим процесс обнаружения и реагирования на инциденты. Если вы достаточно крупная компания, то пора задуматься о собственном SOC.

  • осуществляем мониторинг: DLP помогает предотвращать утечки, EASM – мониторит поверхность атаки для оперативного реагирования на угрозы;

  • внедряем 2FA.

Финальное напутствие

Я рекомендую на все процессы, которые у вас связаны с обработкой ПДн, на постоянной основе подключать GR, DPO и юристов. Правда они не всегда понимают, как устроена техническая часть, поэтому потребуется специалист из ИБ. 

Как уже писалось выше, инвестируем в ИБ: закупаем системы защиты, формируем команду безопасности, строим процессы. При этом не забываем, если вы хотите попасть под смягчающие обстоятельства, лучше всего пользоваться услугами компании, у которых имеется лицензия ФСТЭК. 

Следующая точка приложения усилий: мониторинг. На рынке полно услуг и СЗИ от DLP до целенаправленного поиска следов компрометации. Мониторинг очень важен, потому что если вы будете на ранних стадиях детектировать аномальные действия в корпоративной сети или на периметре, то сможете оперативно среагировать и предотвратить возможный инцидент.

Помним не только про атаки через поставщика, но и инсайдерские атаки. Ваши сотрудники, как и ваши подрядчики – это два источника угрозы, которые могут действовать изнутри периметра.

Проводите регулярные аудиты безопасности, тестирования на проникновение и Red Teaming для оценки реального уровня вашей защиты.

Вместо вывода

Персональные данные - ценный актив, который требует ответственного обращения. Сегодня уже недостаточно одной политики конфиденциальности. Законодательство и рынок требуют от бизнеса системного подхода к обеспечению безопасности данных граждан.

В этом году риски в области обработки ПДн безусловно выросли. Но я уверен, что перечисленные выше рекомендации помогут значительно снизить этот риск.