Минцифры планирует ввести проведение добровольного ежегодного аудита для операторов персональных данных

2f7d61eefc85966135fdfb12d152823a

Минцифры с профильными ведомствами (ФСБ и ФСТЭК) планирует ввести проведение добровольного ежегодного аудита для операторов персональных данных (ПД) в рамках профилактики и борьбы с утечками данных пользователей.
Ведомство считает, что операторы ПД должны своевременно и активно инвестировать в системы информационной безопасности, а не только выполнять организационные и технические меры защиты данных, которые значатся в приказах ФСБ и ФСТЭК.

Минцифры предлагает, чтобы операторы ПД проходили ежегодный добровольный аудит своих систем в аккредитованных государством ИБ-компаниях. Например, такие работы по проверке операторов ПД могут выполнять эксперты Positive Technologies, «Лаборатории Касперского», Group-IB.

В настоящее время операторам ПД проще выплатить штраф в размере до 15 тыс. рублей после проверки, если их системы не удовлетворяют требованиям ФСБ и ФСТЭК по хранению и защите данных пользователей. После этого компании не занимаются модернизацией своих систем, а некоторые из них сталкиваются с фактами утечки данных клиентов. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.

29 августа Минцифры предложило ввести оборотные штрафы для компаний за утечку персональных данных более 10 тыс. клиентов.

В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.

18 августа в Минцифры рассказали, что планируется создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных. Инициатива по оборотным штрафам также находится на обсуждении.

В начале августа были внесены поправки в ФЗ-152 «О персональных данных». Согласно законопроекту, операторы персональных данных (ПД) с 1 сентября будут обязаны отслеживать кибератаки и утечки личной информации пользователей, а также отчитываться о каждом инциденте в надзорные ведомства.

© Habrahabr.ru