Запускаем серию обзоров о законах, приказах, инициативах, касающихся информационной безопасности. В статьях коротко расскажем про свежую регуляторику, как она скажется на организациях и что они могут сделать, чтобы закрыть новые требования по защите данных. Читайте первый материал ниже.

Принятие поправок в КоАП РФ

Что произошло?

Официально: Принят закон об увеличении объемов наказаний за утечку персональных данных. 

Фактически: 

• Штрафы для должностных лиц стали меньше: от 200 до 600 тысяч рублей за первую утечку, в зависимости от ее объема и состава, и 0,8-1,2 млн рублей – за повторную.
• Штрафы для бизнеса за первую утечку не изменились: от 3 до 15 млн рублей.
• Нижний предел оборотного штрафа увеличен в 10 раз. Штрафы для бизнеса за повторную утечку составят 1-3% выручки.
• Введены смягчающие обстоятельства: вложение 0,1% оборота в защиту персданных в течение 3 лет, соблюдение ИБ-требований в течение 12 месяцев.

Комментарий:

По замыслу законодателей, поправки в КоАП мотивируют компании к внедрению СЗИ и выполнению требований по ИБ. Благодаря изменениям, бизнесу будет выгоднее минимизировать риск инцидента и инвестировать в эффективные инструменты защиты, чем платить миллионные штрафы. Поскольку под статус оператора персданных попадает почти каждая организация в стране, за утечку может быть оштрафован любой бизнес. Однако особому риску подвержены:

•    Малые предприятия и ИП – для них выплата даже первого штрафа за утечку будет значительной финансовой потерей.
•    Компании B2C-сектора, поскольку они аккумулируют крупнейшие объемы персданных. В потребительском сегменте больше и вероятность утечки, и ее потенциальный объем.

Поправки вступят в силу в конце мая, а значит, у компаний есть время, чтобы:

•    Разработать или актуализировать локальные акты по работе с персданными;
•    Определить актуальные угрозы персданным, выбрать и внедрить средства защиты информации;
•    Определить, где хранятся персданные и кто с ними работает;
•    Разграничить доступ к персданным;
•    Блокировать «вынос» и удаление персданных, взять под контроль группы риска среди персонала. 

Принятие поправок в УК РФ

Что произошло?

Официально: Принят и вступил в силу закон «О внесении изменений в УК РФ». 

Фактически: за неправомерный доступ, использование и передачу персданных – штраф до 300 тыс. рублей или лишение свободы до 4 лет. Инсайдерам в организациях грозят до 6 лет заключения со штрафом до 1 млн рублей.

Комментарий:

Осуждены могут быть как киберпреступники или участники «пробива», так и просто сотрудники, по вине которых произошла утечка. Чтобы минимизировать риски и защитить непричастных лиц, организациям следует предупреждать инциденты на ранних стадиях и расследовать их с помощью эффективных инструментов ИБ.

Сейчас в тексте закона не предусмотрены исключения для аналитиков, расследующих публичные утечки, и операторов сервисов проверки утечек, поэтому новые положения требуют избирательного применения.

Инициатива о стандартизации обработки персданных

Что произошло?

Заместитель руководителя Роскомнадзора предложил:

• Сократить перечень оснований для обработки персданных.
• Разработать отраслевые стандарты работы с данными граждан.
• Отдать на аутсорсинг обработку и защиту персданных в организациях, которые не могут самостоятельно реализовать эти процессы.

Комментарий:

Компании, особенно МСБ, часто не имеют средств для эффективной защиты, но хранят большие объемы персданных, в том числе, устаревших и уже ненужных.

Для таких организаций актуально применение более дешевых и «легких» ИБ-средств, например, DCAP-систем. Подобные системы обнаружат чувствительные данные в файлах и блокируют их порчу, кражу и удаление. Чтобы еще больше сократить затраты на защиту данных, можно использовать ИБ-аутсорсинг от специализированных провайдеров.

Проект требований по защите данных в информационных системах госсектора

Что произошло?

Официально: на портал проектов нормативных актов загружен проект Приказа ФСТЭК об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, госучреждений. 

Фактически:

• ИБ-требования для ГИС будут распространены на любые информсистемы госсектора;
• На операторов этих систем напрямую возлагаются обязанности по предотвращению утечек, а на их персонал и контрагентов – обязанность по защите переданной им информации;
• Операторы информационных систем госсектора будут обязаны обучать всех пользователей этих систем основам информационной безопасности.

Комментарий:

Документ отражает актуальные реалии информационной безопасности. В нем более понятно и практико-ориентированно отражены ИБ-задачи организаций госсектора. Поскольку приняты новые нормы об ответственности за инциденты с персданными, проект упорядочивает положения об их защите в ИС госорганизаций.

Важное новое требование, которого нет в 17-м Приказе – обязанность операторов ИС госсектора предотвращать утечки любой конфиденциальной информации. Также в новом акте будет установлено, что подрядчики госорганизаций будут ответственны за защиту доверенных им данных. Поэтому компаниям, работающим с госзаказами, нужно заняться повышением защищенности информации при работе с контрагентами.

Проект не несет невыполнимых или абсолютно новых требований: фактически многие госорганизации реализуют его положения и сейчас, но теперь выполнение требований к ИБ в госсекторе будет более системным, единообразным и всеобъемлющим.