19 Декабря 2024 15:00 | 19 Дек 2024 15:00 | |

Поделиться

Как избежать оборотных штрафов из-за утечки данных?

Статистика

В России активно продолжается процесс цифровизации различных отраслей экономики. Как следствие этого процесса, возникают новые угрозы в области информационной безопасности. Согласно статистическим данным, ежегодно растёт объем обрабатываемых персональных данных. Параллельно с этим увеличивается количество кибератак на операторов персональных данных. Если раньше злоумышленники просто шифровали данные, то теперь они стремятся их украсть и продать. Т.е. придать огласку данным утечкам.

За период с 2021 по 2023 год количество утечек персональных данных пользователей в России увеличилось почти в 40 раз. Только за первые девять месяцев 2024 года Роскомнадзор зафиксировал 110 случаев утечек персональных данных. По данным аналитической компании F.A.C.C.T., в результате этих 110 инцидентов было скомпрометировано 250,5 миллионов строк персональных данных.

Большое количество утечек остаётся незамеченным регулирующими органами, а их объёмы продолжают расти, вызывая серьёзное беспокойство у государства. Нельзя также забывать о низкой культуре обращения с персональными данными среди операторов и самих субъектов. Многие помнят, что в России паспортные данные запрашивают даже при самых незначительных обстоятельствах.

Новые законодательные нормы права

Принятый в конце ноября этого года Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» стал первой попыткой со стороны государства нормализовать работу с персональными данными. Инструментом регулирования станут оборотные штрафы. Документ вступает в силу в конце мая 2025 года.

Закон вводит оборотные штрафы для компаний за повторные утечки — от 1 до 3% годовой выручки. Размер оборотных штрафов составляет от 20 млн рублей до 500 млн рублей. Штраф могут снизить, если отсутствуют отягчающие обстоятельства, а инвестиции компании в информационную безопасность на протяжении трех лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных.

Оборотные штрафы применяются при повторных утечках персональных данных. Однако законом также корректируются и обычные штрафы за утечку данных. Их размер зависит от того, кто допустил утечку информации (физическое, должностное или юридическое лицо) и характера скомпрометированных данных, а также от действий или бездействий оператора данных. Размер штрафа может достигнуть 15 млн рублей для юридических лиц. По отдельным статьям, касающимся неправомерного доступа третьих лиц к специальным категориям персональных данных штраф может составить 20 млн рублей для юридических лиц.

Аудит процессов обработки и защиты персданных

Что это значит на практике? Нередко от операторов персональных данных можно услышать мнение, что все уже давно утекло и смысла заниматься защитой данных нет. Однако опыт компании Angara Security, специалисты которой реализуют множество проектов в разных отраслях, включая проекты по защите персональных данных, показывает: практически каждая первая компания, в которой проводится аудит, рискует получить штраф за нарушения в работе с персональными данными.

На объектах заказчиков проводится оценка соответствия процессов обработки ПДн требованиям законодательства, а также оцениваются процессы обеспечения безопасности ПДн. Чаще всего аудит выявляет следующие нарушения требований в части процессов обработки ПДн:

1. Обработка избыточных персональных данных. Компании собирают всю доступную информацию и хранят её «на всякий случай». По результатам проверок около 30% хранящихся данных оказываются ненужными.
2. Несоблюдение сроков обработки персональных данных и требований законодательства к их уничтожению. Хотя утилизацию бумажных носителей выполняют так или иначе, информационные системы содержат большое количество данных, подлежащих удалению по истечении срока хранения. На практике уничтожение данных и документирование этого процесса осуществляют лишь единицы, процессы удаления в компаниях не регламентированы.
3. Несоответствие реальных процессов обработки данных сведениям, указанным в уведомлении РКН. Как показывает практика, многие заказчики после сдачи проекта и документации регулятору забывают актуализировать данные, хотя процессы постоянно меняются, появляются новые, обновляется состав обрабатываемых персональных данных и т.д.. Документацию необходимо регулярно актуализировать.
4. Неоформленные поручения на обработку персональных данных. Это сложный аспект взаимодействия с третьими лицами при передаче им персональных данных в рамках бизнес-процессов или поручений. В случае утечки персональных данных возникает вопрос о том, на чьей стороне произошла утечка и кто несет за неё ответственность.
5. Несоответствие формы согласия на обработку персональных данных реальным процессам и требованиям. В 90% случаев заказчики забывают, что обязаны получать согласие на обработку персональных данных от субъектов, помимо стандартного согласия при приеме на работу.
6. Организационно-распорядительная документация (ОРД) в части вопросов обработки персональных данных. Эти документы являются стандартными, и при правильной координации между юридическим отделом и службой информационной безопасности их подготовка вполне осуществима. Важно следить за изменениями в законодательстве и своевременно обновлять внутреннюю документацию.

Техническая часть аудита

Техническая часть аудита касается защиты персональных данных непосредственно в информационных системах компании. Эксперты чаще всего выявляют следующие проблемы у операторов персональных данных:

1. Создание модели угроз. У большинства компаний модель угроз не обновлялась с момента ее создания или была написана «для галочки». Хотя при правильном подходе это полезный практический документ.
2. ОРД в части информационной безопасности: например, регламентирующие процессы управления инцидентами информационной безопасности, управления уязвимостями и конфигурациями. При наличии соответствующей нормативной базы, выполнении требований национальных стандартов и международных стандартов серии ISO, требований регуляторов этот вопрос обычно решается автоматически, т.е. как правило комплект документации по ИБ разработан и используется. В противном случае требуется подготовка соответствующего пакета документов.
3. Оценка соответствия. Необходимо проводить контроль эффективности реализованных мер по защите ПДн с установленной законодательством периодичностью.

При наличии достаточного количества сотрудников в штате компании выполнение перечисленных задач не представляет особых трудностей для операторов персональных данных. Однако небольшие компании могут столкнуться с определенными сложностями. Главный вывод, основанный на опыте работы экспертов Angara Security и анализе наиболее распространённых нарушений, заключается в том, что многие компании могут подвергнуться штрафам, в том числе оборотным штрафам за повторные утечки ПДн.

Как избежать штрафа?

Для минимизации нарушений следует помнить, что в 2022 году в Федеральный закон №152-ФЗ «О персональных данных» были внесены значительные изменения, затрагивающие вопросы нормализации объемов и состава обрабатываемых персональных данных, установления контроля Роскомнадзором за передачей персональных данных через границы, определения порядка и сроков уведомления ФСБ России, Роскомнадзора или НКЦКИ об утечках персональных данных. По всем этим направлениям компаниям следовало провести регламентные работы и обновить свою документацию.

Какие шаги можно предпринять, чтобы избежать неприятных последствий при утечке информации и последующего получения штрафа от регулятора? Есть два основных варианта:

1. Нормализовать вопросы обработки и защиты персональных данных.
2. Закладывать возможные штрафы в бюджет.

Второй вариант оставим за рамками данной статьи. В первом случае вопросами нормализации обработки и защиты персональных данных нужно заниматься на регулярной основе, ведь меры и инвестиции компании в информационную безопасность могут рассматриваться как смягчающие обстоятельства в случае инцидента и утечки данных. Эту работу можно выполнить своими силами, если есть соответствующие возможности, или привлечь специалистов. Шаги включают уже упомянутый аудит персональных данных, разработку и актуализацию системы защиты ПДн с обязательной оценкой соответствия, проведение тестов на проникновение (пентестов), приведение в соответствие с действующим законодательством и требованиями регуляторов организационно-распорядительной документации.

Поделиться

Короткая ссылка