С 31 мая 2025 года в России действуют изменения законодательства, существенно усиливающие ответственность за нарушения в области обработки персональных данных.
Федеральные законы №420-ФЗ и №421-ФЗ:
ввели оборотные штрафы за утечку данных;
расширили уголовную ответственность;
ужесточили требования к реагированию на инциденты, связанные с утечками информации.
Для бизнеса это означает необходимость не только формального соблюдения требований регуляторов, но и выстраивания полноценной системы управления информационной безопасностью, способной подтвердить наличие защитных мер, инвестиций в ИБ и контроля рисков.
Что изменилось в законодательстве
Федеральный закон №420-ФЗ ввел оборотные штрафы за утечку данных для организаций, допустивших повторные утечки персональных данных.
Для юридических лиц размер штрафа составляет:
от 1 до 3% годовой выручки за календарный год, предшествующий инциденту;
максимальный размер — 500 миллионов рублей.
Фактически это означает, что штраф компании за утечку данных теперь напрямую зависит от масштаба бизнеса и финансовых показателей организации.
Когда возможно снижение ответственности
Механизм смягчения ответственности применяется к организациям, которые:
инвестировали в информационную безопасность не менее 0,1% годовой выручки в течение трех лет;
соблюдали требования по защите данных в течение 12 месяцев до инцидента;
способны документально подтвердить выполнение защитных мер;
не имеют отягчающих обстоятельств.
Для таких организаций максимальный штраф за утечку информации ограничивается суммой в 50 миллионов рублей.
Уголовная ответственность за нарушения
Федеральный закон №421-ФЗ ввел новую статью 272.1 УК РФ, предусматривающую уголовную ответственность за неправомерные действия с компьютерной информацией, содержащей персональные данные, полученные незаконным путем.
Максимальное наказание предусматривает:
до 10 лет лишения свободы;
штраф до 3 миллионов рублей.
Таким образом, утечки персональных штрафы теперь включают не только административную, но и уголовную ответственность.
Требования к уведомлению об инцидентах
При выявлении инцидента, связанного с утечкой или неправомерной передачей персональных данных, оператор обязан:
уведомить Роскомнадзор в течение 24 часов;
предоставить детальный отчет в течение 72 часов.
Нарушение этих требований может привести к штрафу от 1 до 3 миллионов рублей.
В результате организациям необходимо не только предотвращать инциденты, но и обеспечивать готовность к:
оперативному расследованию;
фиксации событий;
взаимодействию с регулятором.
Нормативная база защиты персональных данных
Требования к защите персональных данных в России формируют комплексную систему регулирования.
Ключевые нормативные документы
Постановление Правительства №1119;
Приказ ФСТЭК России №21;
Приказ ФСТЭК России №17;
Приказ ФСБ России №378.
Уровни защищенности ИСПДн
Согласно Постановлению Правительства №1119, для информационных систем персональных данных предусмотрено четыре уровня защищенности.
При определении уровня учитываются
категория обрабатываемых персональных данных;
тип актуальных угроз;
характер отношений с субъектами персональных данных;
количество субъектов обработки.
Уровень УЗ-1 предполагает наиболее строгие требования к защите, УЗ-4 — минимальные.
Требования ФСТЭК к ИСПДн и ГИС
Приказ ФСТЭК №21 определяет технические и организационные меры защиты для различных уровней защищенности ИСПДн.
Основные различия между уровнями
количество механизмов защиты;
сложность архитектуры;
глубина контроля;
объем мониторинга.
Организационные меры при этом во многом остаются схожими.
Для государственных информационных систем
Приказ ФСТЭК №17 определяет классы защищенности ГИС в зависимости от:
уровня значимости информации;
масштаба системы;
критичности инфраструктуры.
Использование СКЗИ
Приказ ФСБ №378 регулирует применение средств криптографической защиты информации при обработке персональных данных.
Документ определяет
требования к использованию СКЗИ;
состав организационных мер;
состав технических мер;
порядок согласования применения криптографии с ФСБ России.
Первый шаг: инвентаризация активов и данных
Подготовка к новым требованиям должна начинаться не с внедрения отдельных средств защиты, а с понимания того, какие именно данные обрабатывает организация.
Необходимо определить
какие персональные данные используются;
в каких бизнес-процессах они задействованы;
в каких системах они обрабатываются;
как связаны активы и сервисы между собой.
Без актуальной инвентаризации невозможно выстроить полноценную систему защиты.
SGRC как основа управления ИБ
Для задач управления активами и информационной безопасностью используются системы класса SGRC.
Подобные платформы позволяют
инвентаризировать инфраструктуру;
формировать ресурсно-сервисную модель;
устанавливать связи между активами и бизнес-процессами;
определять критичность систем;
агрегировать данные из различных источников.
R-Vision SGRC дополнительно включает собственный механизм инвентаризации инфраструктуры и позволяет формировать полноценную модель организации с учетом ИТ- и бизнес-компонентов.
Аудит соответствия требованиям
После инвентаризации следующим этапом становится аудит текущего состояния систем.
Его задача — определить, насколько инфраструктура соответствует требованиям:
Приказа ФСТЭК №17;
Приказа ФСТЭК №21;
других нормативных документов.
На практике аудит часто воспринимается как формальная процедура для отчетности перед регуляторами.
Однако регулярная оценка соответствия позволяет выявлять проблемные зоны до возникновения инцидентов, способных привести к тому, что организация получит штраф за утечку персональных данных.
Автоматизация аудита
R-Vision SGRC автоматизирует процесс проведения аудита.
Система позволяет
планировать проверки;
выбирать нормативные требования;
назначать ответственных;
использовать готовые опросные листы;
фиксировать результаты проверки;
формировать отчетность.
Для каждого требования аудитор может
выставлять оценку;
добавлять комментарии;
фиксировать замечания;
прикладывать дополнительную информацию.
После завершения проверки система автоматически формирует отчетность и позволяет перейти к этапу устранения замечаний.
Управление устранением замечаний
Важной частью процесса становится контроль выполнения корректирующих мероприятий.
В R-Vision SGRC можно
ставить задачи;
назначать ответственных;
контролировать сроки;
отслеживать статус устранения замечаний.
Таким образом аудит становится не разовой процедурой, а постоянным процессом управления безопасностью.
Риск-ориентированный подход к защите персональных данных
Помимо выполнения регуляторных требований, защита персональных данных может строиться через управление рисками.
Такой подход позволяет:
снижать вероятность реализации угроз;
оценивать потенциальный ущерб;
проактивно внедрять защитные меры;
обосновывать необходимость инвестиций в безопасность.
Именно такой подход помогает снизить вероятность ситуаций, в которых организации грозят штрафы за утечку ПДн.
Оценка рисков и моделирование угроз
Процесс оценки рисков начинается с формирования:
методики оценки;
каталога угроз;
перечня активов;
модели нарушителя.
R-Vision SGRC поддерживает
ISO 27005;
РС БР ИББС-2.2;
FAIR;
собственные методики организации.
Система также поддерживает моделирование угроз в соответствии с «Методикой оценки угроз безопасности информации» ФСТЭК России 2021 года.
Важность ресурсно-сервисной модели
Для корректной оценки рисков необходимо понимать взаимосвязь между:
активами;
сервисами;
бизнес-процессами;
информационными системами.
Именно поэтому ресурсно-сервисная модель становится базовым элементом зрелой системы управления информационной безопасностью.
Автоматизация риск-менеджмента
В процессе оценки рисков система позволяет:
рассчитывать уровень риска;
учитывать уже внедренные меры защиты;
ранжировать угрозы;
формировать планы обработки рисков;
оценивать бюджет мероприятий.
Дополнительно доступны
дашборды;
аналитические панели;
графики;
инструменты подготовки отчетности для руководства.
Документирование как фактор снижения штрафов
Одним из важнейших аспектов новых требований становится возможность документально подтвердить выполнение мер защиты и инвестиции в ИБ.
Система должна позволять
хранить результаты аудитов;
фиксировать оценки рисков;
вести учет политик безопасности;
сохранять историю изменений;
подтверждать выполнение требований регуляторов.
Именно наличие подтвержденных процессов и документации может стать фактором снижения ответственности в случае инцидента и уменьшить штраф компании за утечку данных.
Комплексный подход к защите персональных данных
Защита персональных данных не может строиться вокруг одной технологии или одного нормативного документа.
Эффективная система требует сочетания
организационных мер;
технических средств защиты;
инвентаризации активов;
аудита соответствия;
оценки рисков;
мониторинга инфраструктуры;
документирования процессов.
При этом система должна регулярно адаптироваться к новым угрозам и изменениям законодательства.
Вывод
После вступления в силу 420-ФЗ и 421-ФЗ защита персональных данных стала для организаций не только вопросом соответствия требованиям, но и фактором снижения финансовых и юридических рисков.
Для минимизации вероятности штрафов организациям необходимо
провести инвентаризацию активов и персональных данных;
определить применимые требования;
регулярно проводить аудит соответствия;
выстроить риск-ориентированный подход к ИБ;
документировать все меры защиты и инвестиции в безопасность;
обеспечить готовность к расследованию и уведомлению об инцидентах.
Комплексный подход к управлению информационной безопасностью позволяет не только соответствовать требованиям законодательства, но и существенно повысить устойчивость бизнеса к современным угрозам, минимизируя риски получить штраф за утечку персональной информации.