Как избежать оборотных штрафов из-за утечки данных?
Безопасность
30 ноября 2024 года в России был принят Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Этот закон установил штрафы за утечки данных. Размер штрафа варьируется в зависимости от масштабов утечки, включая введение оборотных штрафов для компаний — до 3% от совокупной выручки. Кроме того, второй принятый закон предусматривает уголовную ответственность за незаконное использование и передачу персональных данных. Виновным грозит штраф или лишение свободы сроком до 10 лет. Что могут предпринять операторы персональных данных перед вступлением в силу новых требований закона, чтобы снизить правовые риски в случае инцидента? Объясняет Илья Четвертнев, заместитель генерального директора — технический директор Angara Security.
Статистика
В России активно продолжается процесс цифровизации различных отраслей экономики. Как следствие этого процесса, возникают новые угрозы в области информационной безопасности. Согласно статистическим данным, ежегодно растёт объем обрабатываемых персональных данных. Параллельно с этим увеличивается количество кибератак на операторов персональных данных. Если раньше злоумышленники просто шифровали данные, то теперь они стремятся их украсть и продать. Т.е. придать огласку данным утечкам.
За период с 2021 по 2023 год количество утечек персональных данных пользователей в России увеличилось почти в 40 раз. Только за первые девять месяцев 2024 года Роскомнадзор зафиксировал 110 случаев утечек персональных данных. По данным аналитической компании F.A. C.C.T., в результате этих 110 инцидентов было скомпрометировано 250,5 миллионов строк персональных данных.
Большое количество утечек остаётся незамеченным регулирующими органами, а их объёмы продолжают расти, вызывая серьёзное беспокойство у государства. Нельзя также забывать о низкой культуре обращения с персональными данными среди операторов и самих субъектов. Многие помнят, что в России паспортные данные запрашивают даже при самых незначительных обстоятельствах.
Новые законодательные нормы права
Принятый в конце ноября этого года Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» стал первой попыткой со стороны государства нормализовать работу с персональными данными. Инструментом регулирования станут оборотные штрафы. Документ вступает в силу в конце мая 2025 года.
Закон вводит оборотные штрафы для компаний за повторные утечки — от 1 до 3% годовой выручки. Размер оборотных штрафов составляет от 20 млн рублей до 500 млн рублей. Штраф могут снизить, если отсутствуют отягчающие обстоятельства, а инвестиции компании в информационную безопасность на протяжении трех лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных.
Оборотные штрафы применяются при повторных утечках персональных данных. Однако законом также корректируются и обычные штрафы за утечку данных. Их размер зависит от того, кто допустил утечку информации (физическое, должностное или юридическое лицо) и характера скомпрометированных данных, а также от действий или бездействий оператора данных. Размер штрафа может достигнуть 15 млн рублей для юридических лиц. По отдельным статьям, касающимся неправомерного доступа третьих лиц к специальным категориям персональных данных штраф может составить 20 млн рублей для юридических лиц.
Аудит процессов обработки и защиты персданных
Что это значит на практике? Нередко от операторов персональных данных можно услышать мнение, что все уже давно утекло и смысла заниматься защитой данных нет. Однако опыт компании Angara Security, специалисты которой реализуют множество проектов в разных отраслях, включая проекты по защите персональных данных, показывает: практически каждая первая компания, в которой проводится аудит, рискует получить штраф за нарушения в работе с персональными данными.
На объектах заказчиков проводится оценка соответствия процессов обработки ПДн требованиям законодательства, а также оцениваются процессы обеспечения безопасности ПДн. Чаще всего аудит выявляет следующие нарушения требований в части процессов обработки ПДн:
- Обработка избыточных персональных данных. Компании собирают всю доступную информацию и хранят её «на всякий случай». По результатам проверок около 30% хранящихся данных оказываются ненужными.
- Несоблюдение сроков обработки персональных данных и требований законодательства к их уничтожению. Хотя утилизацию бумажных носителей выполняют так или иначе, информационные системы содержат большое количество данных, подлежащих удалению по истечении срока хранения. На практике уничтожение данных и документирование этого процесса осуществляют лишь единицы, процессы удаления в компаниях не регламентированы.
- Несоответствие реальных процессов обработки данных сведениям, указанным в уведомлении РКН. Как показывает практика, многие заказчики после сдачи проекта и документации регулятору забывают актуализировать данные, хотя процессы постоянно меняются, появляются новые, обновляется состав обрабатываемых персональных данных и т.д. Документацию необходимо регулярно актуализировать.
- Неоформленные поручения на обработку персональных данных. Это сложный аспект взаимодействия с третьими лицами при передаче им персональных данных в рамках бизнес-процессов или поручений. В случае утечки персональных данных возникает вопрос о том, на чьей стороне произошла утечка и кто несет за неё ответственность.
- Несоответствие формы согласия на обработку персональных данных реальным процессам и требованиям. В 90% случаев заказчики забывают, что обязаны получать согласие на обработку персональных данных от субъектов, помимо стандартного согласия при приеме на работу.
- Организационно-распорядительная документация (ОРД) в части вопросов обработки персональных данных. Эти документы являются стандартными, и при правильной координации между юридическим отделом и службой информационной безопасности их подготовка вполне осуществима. Важно следить за изменениями в законодательстве и своевременно обновлять внутреннюю документацию.
Техническая часть аудита
Техническая часть аудита касается защиты персональных данных непосредственно в информационных системах компании. Эксперты чаще всего выявляют следующие проблемы у операторов персональных данных:
- Создание модели угроз. У большинства компаний модель угроз не обновлялась с момента ее создания или была написана «для галочки». Хотя при правильном подходе это полезный практический документ.
- ОРД в части информационной безопасности: например, регламентирующие процессы управления инцидентами информационной безопасности, управления уязвимостями и конфигурациями. При наличии соответствующей нормативной базы, выполнении требований национальных стандартов и международных стандартов серии ISO, требований регуляторов этот вопрос обычно решается автоматически, т.е. как правило комплект документации по ИБ разработан и используется. В противном случае требуется подготовка соответствующего пакета документов.
- Оценка соответствия. Необходимо проводить контроль эффективности реализованных мер по защите ПДн с установленной законодательством периодичностью.
При наличии достаточного количества сотрудников в штате компании выполнение перечисленных задач не представляет особых трудностей для операторов персональных данных. Однако небольшие компании могут столкнуться с определенными сложностями. Главный вывод, основанный на опыте работы экспертов Angara Security и анализе наиболее распространённых нарушений, заключается в том, что многие компании могут подвергнуться штрафам, в том числе оборотным штрафам за повторные утечки ПДн.
Как избежать штрафа?
Для минимизации нарушений следует помнить, что в 2022 году в Федеральный закон №152-ФЗ «О персональных данных» были внесены значительные изменения, затрагивающие вопросы нормализации объемов и состава обрабатываемых персональных данных, установления контроля Роскомнадзором за передачей персональных данных через границы, определения порядка и сроков уведомления ФСБ России, Роскомнадзора или НКЦКИ об утечках персональных данных. По всем этим направлениям компаниям следовало провести регламентные работы и обновить свою документацию.
Какие шаги можно предпринять, чтобы избежать неприятных последствий при утечке информации и последующего получения штрафа от регулятора? Есть два основных варианта:
- Нормализовать вопросы обработки и защиты персональных данных.
- Закладывать возможные штрафы в бюджет.
Второй вариант оставим за рамками данной статьи. В первом случае вопросами нормализации обработки и защиты персональных данных нужно заниматься на регулярной основе, ведь меры и инвестиции компании в информационную безопасность могут рассматриваться как смягчающие обстоятельства в случае инцидента и утечки данных. Эту работу можно выполнить своими силами, если есть соответствующие возможности, или привлечь специалистов. Шаги включают уже упомянутый аудит персональных данных, разработку и актуализацию системы защиты ПДн с обязательной оценкой соответствия, проведение тестов на проникновение (пентестов), приведение в соответствие с действующим законодательством и требованиями регуляторов организационно-распорядительной документации.
■ Рекламаerid: LjN8KMZ5xРекламодатель: ООО «АТ Груп»ИНН/ОГРН: 7730016670/1157746077191Сайт: https://www.angarasecurity.ru/
Полный текст статьи читайте на CNews