В конце 2024 года Государственная дума утвердила поправки в КоАП РФ, которые вводят так называемые «оборотные» штрафы за утечки персональных данных.
Штрафы за утечку персональных данных увеличены в среднем втрое, а также введена ответственность за неуведомление Роскомнадзора о намерении осуществить обработку ПДн или об утечке данных. Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.
Если утечка касается специальных категорий персональных данных, количество «пострадавших» субъектов не учитывается, а штраф для юридических лиц составляет от 10 до 15 миллионов рублей. Аналогичный подход применяется в случае утечки биометрических данных: вне зависимости от объема утечки штраф составит от 15 до 20 миллионов рублей.
Повторное нарушение может повлечь наложение штрафа от 25 до 500 миллионов рублей.
Поправки вступят в силу 30 мая 2025 года. При этом изменения не предусматривают наказания за утечки, произошедшие до этого момента. Однако если информация о таких инцидентах станет известна Роскомнадзору после введения оборотных штрафов, доказать давность события будет затруднительно, если уведомление об утечке ранее не подавалось.
Интересно, что изменения не затрагивают органы власти напрямую, а распространяются только на определённых должностных лиц — сотрудников государственных или муниципальных органов, а также работников некоммерческих организаций.
Закон также вводит новое для правового мира понятие – идентификатор субъекта. Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.
На данный момент разъяснений по этому вопросу не последовало. Неясно, что именно будет пониматься под «уникальностью» идентификатора и каково его практическое значение для субъектов персональных данных. Особенно это вызывает вопросы в случае внутренних систем оператора, где идентификатор может быть случайным набором символов или цифр, сгенерированным системой автоматически.
1.1. Наличие документарного подтверждения соблюдения требований к защите ПДн
Одним из ключевых смягчающих факторов является наличие у оператора документально подтверждённой информации о том, что:
• Все требования к защите персональных данных при их обработке в информационной системе персональных данных (ИСПДн), связанной с инцидентом, соблюдались.
• Документальное подтверждение должно быть выдано не позднее, чем за 12 месяцев до инцидента утечки данных.
1.1.1. Примеры подтверждающих документов:
• Аудиторское заключение о соответствии требованиям 152-ФЗ.
• Аттестат соответствия требованиям о защите информации.
• Результаты оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
• Протоколы внутреннего контроля соответствия требованиям информационной безопасности.
1.1.2. Почему это важно:
• Такие документы свидетельствуют о том, что оператор предпринимал меры по защите данных, что может снизить его ответственность при наложении штрафов.
1.2. Расходы на обеспечение информационной безопасности
Ещё одним смягчающим обстоятельством является наличие значительных финансовых вложений оператора в обеспечение информационной безопасности, при условии выполнения следующих требований:
1.2.1. Требования к расходам:
• В течение трёх календарных лет, предшествующих году выявления административного правонарушения, оператор осуществлял ежегодные расходы на мероприятия по защите информации.
• Эти мероприятия могли проводиться:
- Лицензиатами ФСТЭК России и/или ФСБ России.
- Самостоятельно, если оператор имеет лицензии:
▪ На техническую защиту конфиденциальной информации (Лицензия ФСТЭК на ТЗКИ)
▪ На работу со средствами криптографической защиты информации (Лицензия ФСБ на работу со СКЗИ).
1.2.2. Размер расходов:
• Годовые затраты должны составлять не менее 0,1%:
- От совокупной выручки оператора за год;
- Или от размера собственных средств (капитала), если речь идёт о кредитной организации.
1.2.3. Примеры вложений:
• Установка и обслуживание сертифицированных средств защиты информации.
• Проведение регулярных аудиторских проверок по направлению информационной безопасности Лицензиатами;
• Разработка и сопровождение СМИБ;
• Консалтинговые услуги по защите информации.
1.2.4. Почему это важно:
Эти вложения демонстрируют системный подход оператора к обеспечению информационной безопасности и предотвращению инцидентов.
В Уголовный кодекс РФ введена новая статья 272.1, посвящённая незаконному использованию, передаче, сбору и хранению компьютерной информации, содержащей персональные данные.
Также статья охватывает создание и обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения или распространения таких данных.
Ст. 272.1 предусматривает наказание в виде лишения свободы на срок до 10 лет с возможным штрафом до 3 миллионов рублей, если совершённые действия привели к тяжким последствиям или были осуществлены организованной группой.
Отдельное наказание предусмотрено за деяния, связанные с трансграничной передачей персональных данных или перемещением носителей информации, содержащих ПДн, через границу.
Важно отметить, что действие данной статьи не распространяется на обработку персональных данных физическими лицами, если она осуществляется исключительно для личных или семейных нужд.
Кто виноват, и что делать?
Для организаций с низким и средним уровнем зрелости информационной безопасности (ИБ) первым шагом в обеспечении защиты персональных данных (ПДн) является создание реестра бизнес-процессов, в рамках которых осуществляется обработка ПДн, а также реестра соответствующих им информационных систем. Это позволит получить чёткое понимание состава объектов защиты и используемого технологического стека.
1.3. Актуализация и управление данными
Указанные реестры требуют регулярной актуализации, а назначение владельцев для каждого ресурса обеспечит делегирование полномочий по обновлению данных. Это упростит процесс управления и позволит своевременно поддерживать информацию в актуальном состоянии.
Для таких целей оптимальным решением является использование системы класса SGRC (Security Governance, Risk and Compliance). Она позволяет эффективно управлять активами, требованиями, процессами и мерами защиты.
SGRC-система SECURITM значительно упрощает управление информационными системами, обработкой ПДн и инфраструктурой оператора. С её помощью можно создать единую карту покрытия защитными мерами, обеспечивающую полное соответствие требованиям законодательства.
1.4. Управление активами и реестрами
Создание активов удобно реализуется через модуль «Активы» системы SECURITM.
В состав карточки для каждой ИСПДн рекомендуется включать описание следующих свойств:
• описание целей и задач обработки ПДн;
• состав обрабатываемых данных;
• место размещения компонентов ИСПДн;
• перечень действий с ПДн;
• основания для обработки;
• дополнительные данные, необходимые для подтверждения соответствия требованиям защиты.
Ведение карточек ИСПДн позволяет структурировать сведения о персональных данных и системе, обеспечивая удобство при проверках и аудитах.
1.5. Формирование нормативной базы
Для создания понятной и структурированной нормативной базы по защите персональных данных рекомендуется использовать модуль «Требования» системы SECURITM.
В данном разделе требования законодательства представлены в удобном формате и сгруппированы по категориям защищаемых данных. Это позволяет:
• определить перечень обязательных требований, распространяющихся на бизнес-процессы организации;
• выявить и определить «повторяющиеся» или схожие требования, которые являются точками пересечения различных направлений законодательства.
1.6. Подбор защитных мер
Система SECURITM помогает сформировать комплексную систему защиты персональных данных, предоставляя удобный инструмент для выбора защитных мер.
Преимуществом программного комплекса SECURITM является маппинг предлагаемых мер с требованиями регуляторов, включая требования основного регулирующего приказа по технической защите персональных данных – Приказа ФСТЭК России № 21.
Использование SGRC-системы SECURITM позволяет автоматизировать процесс управления активами, нормативными требованиями и мерами защиты, а также обеспечить соответствие регуляторным требованиям. Это особенно важно для организаций, стремящихся к повышению зрелости ИБ и минимизации рисков утечек персональных данных.
