Search
Write a publication
Pull to refresh
SM Lab
Рассказываем про ИТ в «Спортмастере»

Ужесточение ответственности за нарушения обработки персональных данных. Новые риски для бизнеса

Level of difficultyMedium
Reading time5 min
Views2K

Меня зовут Домнин Сергей. Будучи руководителем направления ИБ, я несколько лет занимаюсь продуктовой безопасностью и complience в области персональных данных в SM Lab.

В этой статье я расскажу о новых рисках для бизнеса в связи с ужесточением ответственности за нарушения в области персональных данных (далее ПДн) и мерах по их снижению.

Что изменилось

До недавнего времени отношение законодательства к нарушениям в области ПДн можно было охарактеризовать как достаточно мягкое. С 30.05.2025 г. начинают действовать новые штрафы, которые ввел Федеральный закон от 30.11.2024 г. №420-ФЗ. Также принят Федеральный закон от 30.11.2024 № 421-ФЗ, вступивший в силу в конце 2024 г., где вводится уголовная ответственность за нарушения в области ПДн. Из новелл: появились оборотные штрафы, про которые столько говорили последние несколько лет.  

Если вы допустили повторную утечку в течение календарного года после предыдущей (зафиксированной решением суда), вы должны будете заплатить 1-3% от годовой выручки за прошлый год, т.е. от 20 до 500 млн руб.

Виды ответственности для бизнеса

Обновленное законодательство безусловно создает новые риски для компаний. Мы можем выделить две группы ответственности: административную и уголовную. 

Начнем с административной.

Если вы забыли подать уведомление в РКН о том, что вы осуществляете обработку данных, и это фиксируется по результатам проверки – вы получаете штраф. Если вы забыли сообщить об утечке и допустили ее в том или ином виде (утечка специальных, биометрических ПДн карается более серьезно) – вы тоже получаете штраф. А повторная утечка – это совершенно кошмарная история для любого бизнеса, особенно малого и среднего. Т.к. размеры штрафов уже исчисляются процентами от оборота и начинаются от 20 млн руб.

Второй вид рисков – уголовные. 

Теперь у нас есть два новых состава. Первый менее применим к бизнесу – это создание ресурсов, где будут храниться незаконно полученные ПДн, например, украденные.

Второй, если кратко, незаконное использование или передача ПДн, полученных путем неправомерного доступа к системам, где они хранятся или обрабатываются. Диспозиция сформулирована таким образом, что не до конца понятно, может ли кто-то помимо хакеров стать субъектом данного преступления. Например, сотрудники компаний, которые с преступным умыслом неправомерно получили доступ к ПДн? Или будет ли считаться преступлением скачивание утекшего дампа с ПДн сотрудником службы ИБ при расследовании инцидента? К сожалению, пока сложно ответить на этот вопрос из-за отсутствия правоприменительной практики.

Данный состав применяется в утяжеленном виде, если вы украли специальные биометрические данные, ПДн несовершеннолетних или попытались отправить их за пределы РФ (совершили трансграничную передачу).

Есть и хорошие новости

Законодатель предусмотрел смягчающие обстоятельства при повторной утечке, позволяющие снизить размер штрафа.

Что касается первой утечки и каких-то других нарушений, то никаких смягчающих обстоятельств нет – будут наказывать по всей строгости закона, т.к. смягчение наказания применимо только ко второй утечке за календарный год. А вот для того, чтобы соответствовать им, бизнесу необходимо показать добросовестное отношение к безопасности ПДн.

Всего нужно выполнить три требования: 

Что можно сделать для снижения рисков

Какие действия стоит в первую очередь предпринять бизнесу, чтобы обезопасить себя?

Для начала следует принять некоторые меры до того, как инцидент (например, утечка) произошел:

  • обновить всю вашу документацию по обработке ПДн и подвести её под соответствие последним изменениям в законе;

  • подать уведомление в РКН о ведущейся обработке ПДн. Тут есть два нюанса. Во-первых, если вы подавали уведомления до того, как была внедрена новая форма РКН, то вам необходимо переподать его. Во-вторых, если вы ранее вообще не подавали уведомление, потому что у вас обрабатывались только данные работников, то теперь это исключение из закона убрали. Все юридические лица с маломальским штатом теперь должны проинформировать РКН о том, что они являются оператором, даже если в компании нет клиентских данных;

  • актуализировать общедоступные документы на сайтах и в мобильных приложениях. Например, политику конфиденциальности, пользовательское соглашение, плашку о куки, согласие под формой сбора ПДн и др.;

  • не стоит забывать про трансграничную передачу и локализацию ПДн. Если очень хочется отправить ПДн за границу, то есть белый список РКН. Если нужная страна есть в списке, достаточно уведомить регулятор. Если нет, то необходимо получить разрешение у РКН;

  • обновить формы согласия на обработку ПДн всех типов субъектов ПДн (работники, контрагенты, посетители сайтов, клиенты и т.д.). Это стоит сделать, если у вас появляются новые третьи лица, которым вы собираетесь передавать ПДн, меняются цели обработки или состав собираемых данных;

  • заключить договор поручения обработки ПДн, если вы аутсорсите какую-то функцию по обработке ПДн в другой компании; 

  • повысить уровень осведомленности сотрудников и руководства, т.к. статистика социальной инженерии из года в год выглядит весьма удручающе – она всё еще остается одним из самых популярных инструментов у злоумышленников. Можно проводить регулярные обучения, фейковые рассылки, учения и т.д.;  

  • инвестировать в ИБ 0,1% от ежегодной выручки (услуги лицензиатов ФСТЭК) – это одно из условий для применения смягчающих обстоятельства, да и в принципе инвестиции в ИБ всегда хорошо и полезно;

  • составить акт об уничтожении ПДн после завершения цели обработки, истечению срока или при отзыве согласия субъектом. Желательно подготовить регламент, чтобы всем в компании было понятно, как это должно работать.

Переходим к более приземленной части:

  • контролируем действия подрядчиков. Крупные компании нередко аутсорсят часть работы подрядчикам. Соответственно, в достаточно защищенную инфраструктуру имеют доступ люди из компаний, которые могут очень попустительски относиться к безопасности. Это создает риск проникновения (а именно Trusted Relationship Attack) через ваших подрядчиков, когда атакующие используют захваченные учетки контрагента для проникновения в вашу сеть. Митигацией могут служить PAM, сегментация сети и регулярные аудиты доступов;

  • проводим аудит ИСПДн: каталогизируем, разделяем на более/менее критичные и в зависимости от этого выкатываем владельцам требования по безопасности; 

  • минимизируем собираемые ПДн для уменьшения масштаба утечки;

  • проводим аудит и ограничиваем доступ к самим ИСПДн, т.е. минимизируем права и режем лишние доступы;

  • строим процесс обнаружения и реагирования на инциденты. Если вы достаточно крупная компания, то пора задуматься о собственном SOC;

  • осуществляем мониторинг: DLP помогает предотвращать утечки, EASM – мониторит поверхность атаки для оперативного реагирования на угрозы;

  • внедряем 2FA.

Финальное напутствие

Я рекомендую на все процессы, которые у вас связаны с обработкой ПДн, на постоянной основе подключать GR, DPO и юристов. Правда, они не всегда понимают, как устроена техническая часть, поэтому потребуется специалист из ИБ. 

Как уже писалось выше, инвестируем в ИБ: закупаем системы защиты, формируем команду безопасности, строим процессы. При этом не забываем: если вы хотите попасть под смягчающие обстоятельства, лучше всего пользоваться услугами компании, у которых имеется лицензия ФСТЭК. 

Следующая точка приложения усилий: мониторинг. На рынке полно услуг и СЗИ от DLP до целенаправленного поиска следов компрометации. Мониторинг очень важен, потому что если вы будете на ранних стадиях детектировать аномальные действия в корпоративной сети или на периметре, то сможете оперативно среагировать и предотвратить возможный инцидент.

Помним не только про атаки через поставщика, но и инсайдерские атаки. Ваши сотрудники, как и ваши подрядчики – это два источника угрозы, которые могут действовать изнутри периметра.

Проводите регулярные аудиты безопасности, тестирования на проникновение и Red Teaming для оценки реального уровня вашей защиты.

Вместо вывода

Персональные данные – ценный актив, который требует ответственного обращения. Сегодня уже недостаточно одной политики конфиденциальности: законодательство и рынок требуют от бизнеса системного подхода к обеспечению безопасности данных граждан.

В этом году риски в области обработки ПДн безусловно выросли. Но я уверен, что перечисленные выше рекомендации помогут значительно снизить этот риск.

Tags:
Hubs:
Total votes 5: ↑5 and ↓0+6
Comments5

Articles

Information

Website
см-лаб.рф
Registered
Founded
Employees
1,001–5,000 employees
Location
Россия
Representative
Алина Айсина