Привет, Хабр! Мы запускаем серию обзоров о законах, приказах, инициативах, касающихся информационной безопасности. В статьях коротко расскажем про свежие и ожидаемые акты, как они скажутся на организациях и что можно сделать, чтобы закрыть новые требования по защите данных. В первой серии – о том, что успели принять и предложить под занавес 2024 года (в ноябре-декабре) и как с этим быть в 2025-м.
1. И все-таки оборотные: поправки в КоАП РФ и инвестиции в ИБ как защита от штрафа
Что произошло?
Официально: Принят закон об увеличении объемов наказаний за утечку персональных данных.
Фактически:
Штрафы для должностных лиц стали меньше: от 200 тысяч до 1,3 млн рублей за первую утечку, в зависимости от ее объема и состава, и 0,8-1,5 млн рублей – за повторную.
Штрафы для бизнеса за первую утечку не изменились: от 3 до 15 млн рублей.
Нижний предел оборотного штрафа увеличен в 10 раз. Штрафы для бизнеса за повторную утечку составят 1-3% выручки.
Введены смягчающие обстоятельства: вложение 0,1% оборота в защиту персданных в течение 3 лет, соблюдение ИБ-требований в течение 12 месяцев. Если оператор соблюдает эти условия, штраф за повторную утечку снижается в 10 раз.
Комментарий:
По замыслу законодателей, поправки в КоАП мотивируют компании к внедрению СЗИ и выполнению требований по ИБ. Благодаря изменениям бизнесу будет выгоднее минимизировать риск инцидента и инвестировать в эффективные инструменты защиты, чем платить миллионные штрафы. Поскольку под статус оператора персданных попадает почти каждая организация в стране, за утечку может быть оштрафован любой бизнес. Однако особому риску подвержены:
Малые предприятия и ИП – для них выплата даже первого штрафа за утечку будет значительной финансовой потерей.
Компании B2C-сектора, поскольку они аккумулируют крупнейшие объемы персданных. В потребительском сегменте больше и вероятность утечки, и ее потенциальный объем.
Поправки вступят в силу в конце мая, а значит, у компаний есть время, чтобы:
Разработать или актуализировать локальные акты по работе с персданными;
Определить актуальные угрозы персданным, выбрать и внедрить средства защиты информации;
Определить, где хранятся персданные и кто с ними работает;
Разграничить доступ к персданным;
Блокировать «вынос» и удаление персданных, взять под контроль группы риска среди персонала.
2. К инсайдерам строже, чем к хакерам: поправки в УК РФ и новые сроки за «пробивы»
Что произошло?
Официально: Принят и вступил в силу закон «О внесении изменений в УК РФ».
Фактически: за неправомерный доступ, использование и передачу персданных – штраф до 300 тыс. рублей или лишение свободы до 4 лет. Инсайдерам в организациях грозят до 6 лет заключения со штрафом до 1 млн рублей. Если нарушение повлечет тяжкий ущерб, например, банкротство предприятия или ущерб здоровью граждан, виновным грозит до 10 лет заключения со штрафом до 3 млн рублей.
Комментарий:
Осуждены могут быть как киберпреступники или участники «пробива», так и просто сотрудники, допустившие утечку случайно. Чтобы минимизировать риски и защитить непричастных лиц, организациям следует предупреждать инциденты на ранних стадиях и расследовать их с помощью эффективных инструментов ИБ.
Сейчас в тексте закона не предусмотрены исключения для аналитиков, расследующих публичные утечки, и операторов сервисов проверки утечек, поэтому новые положения требуют избирательного применения. Говоря проще: расследуйте с умом и легитимизируйте ИБ.
3. ПДн на аутсорс: инициатива о стандартизации обработки персданных
Что произошло?
Заместитель руководителя Роскомнадзора предложил:
Сократить перечень оснований для обработки персданных.
Разработать отраслевые стандарты работы с данными граждан.
Отдать на аутсорсинг обработку и защиту персданных в организациях, которые не могут самостоятельно реализовать эти процессы.
Комментарий:
Компании, особенно МСБ, часто не имеют средств для эффективной защиты, но хранят большие объемы персданных, в том числе устаревших и уже ненужных.
Для таких организаций актуально применение более дешевых и «легких» ИБ-средств, например, DCAP-систем. Подобные системы обнаружат чувствительные данные в файлах и блокируют их порчу, вынос и удаление. Чтобы еще больше сократить затраты на защиту данных, можно использовать ИБ-аутсорсинг от специализированных провайдеров.
4. Обучение ИБ и контроль подрядчиков: проект требований по защите данных в ГИС
Что произошло?
Официально: на портал проектов нормативных актов загружен проект Приказа ФСТЭК об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, госучреждений.
Фактически:
ИБ-требования для ГИС будут распространены на любые информсистемы госсектора;
На операторов этих систем напрямую возлагаются обязанности по предотвращению утечек, а на их персонал и контрагентов – обязанность по защите переданной им информации;
Операторы информационных систем госсектора будут обязаны обучать всех пользователей этих систем основам информационной безопасности.
Комментарий:
В документе понятно и практико-ориентированно отражены ИБ-задачи организаций госсектора. Поскольку приняты новые нормы об ответственности за инциденты с персданными, проект упорядочивает положения об их защите в ИС госорганизаций.
Важное новое требование, которого нет в действующем сейчас 17-м Приказе – обязанность операторов ИС госсектора предотвращать утечки любой конфиденциальной информации. Также в новом акте будет установлено, что подрядчики госорганизаций будут ответственны за защиту доверенных им данных. Поэтому компаниям, работающим с госзаказами, нужно заняться повышением защищенности информации при работе с контрагентами.
Проект не несет невыполнимых или абсолютно новых требований: фактически многие госорганизации реализуют его положения и сейчас, но теперь выполнение требований к ИБ в госсекторе будет более системным, единообразным и всеобъемлющим.
В конце прошлого года, в основном, нормативно закреплялись и утверждались практики, принятые раньше, так что обошлось без сюрпризов. Ждем, куда шагнет нормотворчество теперь: поделимся следующим дайджестом по итогам квартала. Если нужны дополнительные разъяснения, как выполнять свежие требования – поделимся в комментариях. А пока немного полезных материалов, которые помогут выполнить новые требования на практике:
Белая книга «Эффективные практики обучения сотрудников правилам ИБ». Пользуемся сами и рекомендуем коллегам: поможет выполнить новые требования ФСТЭК, организовать ИБ-подготовку сотрудников своими силами или выбрать экспертов на подряд.
Инструкция «Как защитить ПДн и выполнить требования ФЗ-152». Поможет определиться со средствами и методами поиска, структуризации хранения, организации безопасной обработки персданных – и напомнит, как действовать в случае их утечки.
Белая книга по легитимизации ИБ-средств. Поможет не только внедрить режим защиты данных, но и использовать СЗИ правомерно: это позволит применять их отчеты как доказательства при взаимодействии с властями.
Гид по передаче защиты данных на аутсорсинг: что нужно учесть, как подготовиться, как выбрать подрядчика и наладить с ним работу.
