С 30 мая в силу вступят крупные оборотные штрафы за утечку персональных данных. В связи с этим бизнес стал активнее проводить аудит своих систем информационной защиты. Операторы персональных данных надеются, что благодаря таким действиям и выполнению требований регуляторов им удастся избежать крупных штрафов в случае утечки информации. Однако эксперты в области кибербезопасности видят в этом определённые риски. Они опасаются, что компании могут переложить ответственность за сохранность данных на аудиторов или защитников информации, что может привести к нежелательным последствиям.
Организации, которые работают с персональными данными, всё чаще проводят проверку своих систем хранения и защиты информации. Об этом сообщили эксперты в области кибербезопасности и специалисты по правовым вопросам.
Компании вкладывают средства в аудит защиты, чтобы избежать штрафов от контролирующих органов и получить возможность снизить размер потенциального штрафа в случае утечки данных.
Например, по информации юридической компании ЭБР, спрос на аудит систем хранения и защиты данных увеличился более чем в два раза по сравнению с весной прошлого года.
Советник практики интеллектуальной собственности компании Артём Евсеев отмечает, что раньше аудит могли проводить формально, «для галочки», но сейчас цена вопроса стала слишком высокой для такого подхода.
Его проведение необходимо, чтобы заранее выявить риски и минимизировать их до привлечения к ответственности. Это актуально и на фоне снятия моратория на внеплановые проверки Роскомнадзора.
С конца 2023 года компании должны будут платить до 700 тысяч рублей за каждое неправильно оформленное согласие на обработку персональных данных работника. В декабре 2024 года в Уголовный кодекс РФ была добавлена отдельная статья, которая предусматривает ответственность за нарушение Федерального закона № 152-ФЗ «О персональных данных».
С мая 2025 года за утечку персональных данных будут введены оборотные штрафы. Если раньше максимальный штраф составлял 18 миллионов рублей, то теперь компании могут столкнуться с санкциями в размере до 500 миллионов рублей. Таким образом, максимальный размер штрафов увеличился в 27 раз.
Потребности растут
В связи с увеличением спроса на продукты и услуги в сфере информационной безопасности растёт и потребность в проверке систем обработки и хранения персональных данных.
Как подчеркнул Михаил Добровольский, заместитель генерального директора «СКБ Контур», ранее такие запросы поступали и до изменений в законодательстве, но в последние месяцы их количество значительно увеличилось. Особенно активно проявляют интерес к этой услуге крупные холдинги и группы компаний, которые стремятся минимизировать риски и соответствовать требованиям регуляторов.
В том числе внимание к аудиту обусловлено перспективой уменьшить размер оборотного штрафа, если организация сможет доказать, что все требования законодательства выполняются, включая регулярное проведение аудитов персональных данных, отмечает Артём Евсеев.
В рамках этого процесса проводится анализ информационных процессов, создаётся полный набор внутренних документов и внедряются эффективные методы защиты конфиденциальности.
Представители контролирующих органов неоднократно обращали внимание на то, что усиление мер ответственности за утечки информации является реакцией на увеличение количества подобных инцидентов.
Так, по информации Роскомнадзора, в 2022 году было выявлено 140 случаев утечки данных. В 2023 году этот показатель вырос до 168, а в 2024 году — до 135. В первые месяцы 2023 года ведомство уже зафиксировало 19 случаев утечки информации.
Всего с 2021 года в открытый доступ попало более 1,6 миллиарда записей о гражданах России.
Проверить и защитить
Для проведения проверки компании обычно привлекают специалистов в области защиты персональных данных, а также экспертов по кибербезопасности, имеющих сертификаты ФСТЭК и ФСБ России.
Проекты по организации работы с персональными данными включают в себя несколько этапов, как отмечает Александр Барышников, руководитель департамента консалтинга и аудита компании «Информзащита».
На первом этапе проводится анализ текущих процессов обработки данных, информационных систем, IT-инфраструктуры и мер защиты данных.
Затем специалисты определяют потенциальные угрозы безопасности данных и классифицируют системы по уровням защиты в соответствии с требованиями регулирующих органов.
После этого для заказчика аудита подготавливается пакет необходимых нормативных и организационных документов, регулирующих обработку информации. Юристы также могут проверить законность получения данных в рамках аудита.
Ирина Якунина, руководитель отдела консалтинга и аудита защиты информации компании «Бастион», считает, что самым важным аспектом при подготовке к аудиту является соответствие требованиям нормативных правовых актов Российской Федерации.
Существующая законодательная документация сопровождает процесс обработки данных на этапах от начала обработки до полного уничтожения, и на всех этих этапах важно привести системы заказчика в соответствие с нормами закона.
В Роскомнадзоре подчеркнули, что поддерживают стремление компаний защищать данные.
Полагаем, что целесообразно проводить аудит процессов сбора и использования данных, чтобы убедиться в соблюдении принципов работы с ними: проанализировать законность источников данных и правовые основания для их сбора, проконтролировать соблюдение принципа минимизации объема собираемых данных, удостовериться, что данные соотносятся с целью сбора и от них избавляются по достижении этой цели.
В Роскомнадзоре советуют отечественным организациям пользоваться услугами российских хостинг-провайдеров.
Цена на проведение такого аудита может колебаться от нескольких сотен тысяч рублей до десятков миллионов. Это зависит от различных аспектов: размера компании, объёма и типа обрабатываемых данных, использования биометрических данных или информации о состоянии здоровья, сложности IT-инфраструктуры и других факторов, — отмечает Антон Исупов, руководитель отдела аудита, консалтинга и оценки соответствия в АО «Кросс технолоджис».
В организациях, которые работают с персональными данными, сообщают, что усиливают контроль за их хранением и защитой. В частности, Ассоциация больших данных, которая объединяет такие компании, как «Яндекс», VK, «Ростелеком», «МегаФон» и другие, напоминает о том, что её специалисты разработали «Отраслевой стандарт защиты данных». Этот стандарт сопоставим с международной серией стандартов ISO/IEC 27000.
Хотя в мире наблюдается общее снижение числа утечек данных, их частота по-прежнему вызывает беспокойство. По итогам 2024 года Россия заняла второе место среди анализируемых стран по количеству утечек — на российские компании пришлось 8,5% всех зафиксированных случаев компрометации данных в мире. В то же время страна поднялась с седьмого на пятое место в рейтинге утечек персональных данных.
Читайте ещё по теме:
Хакеры чаще стали использовать арендованные серверы для атак
Растущая угроза: региональные компании становятся мишенью для DDoS-атак
Число атак на российские компании кратно выросло
Промышленность и госсектор оказались под ударом, хакеры стали быстрее взламывать IT-инфраструктуру
История редактирования комментария