Компания «СёрчИнформ» запускает серию обзоров о законах, приказах, инициативах, касающихся информационной безопасности. В статьях коротко расскажем про свежую регуляторику, как она скажется на организациях и что они могут сделать, чтобы закрыть новые требования по защите данных. Читайте первый материал ниже.
- Принятие поправок в КоАП РФ
Что произошло?
Официально: Принят закон об увеличении объемов наказаний за утечку персональных данных.
Фактически:
- Штрафы для должностных лиц стали меньше: от 200 до 600 тысяч рублей за первую утечку, в зависимости от ее объема и состава, и 0,8-1,2 млн рублей – за повторную.
- Штрафы для бизнеса за первую утечку не изменились: от 3 до 15 млн рублей.
- Нижний предел оборотного штрафа увеличен в 10 раз. Штрафы для бизнеса за повторную утечку составят 1-3% выручки.
- Введены смягчающие обстоятельства: вложение 0,1% оборота в защиту персданных в течение 3 лет, соблюдение ИБ-требований в течение 12 месяцев.
Комментарий:
По замыслу законодателей, поправки в КоАП мотивируют компании к внедрению СЗИ и выполнению требований по ИБ. Благодаря изменениям, бизнесу будет выгоднее минимизировать риск инцидента и инвестировать в эффективные инструменты защиты, чем платить миллионные штрафы. Поскольку под статус оператора персданных попадает почти каждая организация в стране, за утечку может быть оштрафован любой бизнес. Однако особому риску подвержены:
- Малые предприятия и ИП – для них выплата даже первого штрафа за утечку будет значительной финансовой потерей.
- Компании B2C-сектора, поскольку они аккумулируют крупнейшие объемы персданных. В потребительском сегменте больше и вероятность утечки, и ее потенциальный объем.
Поправки вступят в силу в конце мая, а значит, у компаний есть время, чтобы:
- Разработать или актуализировать локальные акты по работе с персданными;
- Определить актуальные угрозы персданным, выбрать и внедрить средства защиты информации;
- Определить, где хранятся персданные и кто с ними работает;
- Разграничить доступ к персданным;
- Блокировать «вынос» и удаление персданных, взять под контроль группы риска среди персонала.
- Принятие поправок в УК РФ
Что произошло?
Официально: Принят и вступил в силу закон «О внесении изменений в УК РФ».
Фактически: за неправомерный доступ, использование и передачу персданных – штраф до 300 тыс. рублей или лишение свободы до 4 лет. Инсайдерам в организациях грозят до 6 лет заключения со штрафом до 1 млн рублей.
Комментарий:
Осуждены могут быть как киберпреступники или участники «пробива», так и просто сотрудники, по вине которых произошла утечка. Чтобы минимизировать риски и защитить непричастных лиц, организациям следует предупреждать инциденты на ранних стадиях и расследовать их с помощью эффективных инструментов ИБ.
Сейчас в тексте закона не предусмотрены исключения для аналитиков, расследующих публичные утечки, и операторов сервисов проверки утечек, поэтому новые положения требуют избирательного применения.
- Инициатива о стандартизации обработки персданных.
Что произошло?
Заместитель руководителя Роскомнадзора предложил:
- Сократить перечень оснований для обработки персданных.
- Разработать отраслевые стандарты работы с данными граждан.
- Отдать на аутсорсинг обработку и защиту персданных в организациях, которые не могут самостоятельно реализовать эти процессы.
Комментарий:
Компании, особенно МСБ, часто не имеют средств для эффективной защиты, но хранят большие объемы персданных, в том числе, устаревших и уже ненужных.
Для таких организаций актуально применение более дешевых и «легких» ИБ-средств, например, DCAP-систем. Подобные системы обнаружат чувствительные данные в файлах и блокируют их порчу, кражу и удаление. Чтобы еще больше сократить затраты на защиту данных, можно использовать ИБ-аутсорсинг от специализированных провайдеров.
- Проект требований по защите данных в информационных системах госсектора.
Что произошло?
Официально: на портал проектов нормативных актов загружен проект Приказа ФСТЭК об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, госучреждений.
Фактически:
- ИБ-требования для ГИС будут распространены на любые информсистемы госсектора;
- На операторов этих систем напрямую возлагаются обязанности по предотвращению утечек, а на их персонал и контрагентов – обязанность по защите переданной им информации;
- Операторы информационных систем госсектора будут обязаны обучать всех пользователей этих систем основам информационной безопасности.
Комментарий:
Документ отражает актуальные реалии информационной безопасности. В нем более понятно и практико-ориентированно отражены ИБ-задачи организаций госсектора. Поскольку приняты новые нормы об ответственности за инциденты с персданными, проект упорядочивает положения об их защите в ИС госорганизаций.
Важное новое требование, которого нет в 17-м Приказе – обязанность операторов ИС госсектора предотвращать утечки любой конфиденциальной информации. Также в новом акте будет установлено, что подрядчики госорганизаций будут ответственны за защиту доверенных им данных. Поэтому компаниям, работающим с госзаказами, нужно заняться повышением защищенности информации при работе с контрагентами.
Проект не несет невыполнимых или абсолютно новых требований: фактически многие госорганизации реализуют его положения и сейчас, но теперь выполнение требований к ИБ в госсекторе будет более системным, единообразным и всеобъемлющим.