Пресса о страховании, страховых компаниях и страховом рынке

Ведомости, 26 мая 2025 г.

Минцифры определит смягчающие обстоятельства по штрафам за утечку информации

Сейчас закон не дает четких определений по этому поводу

276 просмотров

Минцифры совместно с Федеральной службой по техническому и экспортному контролю (ФСТЭК), Федеральной службой безопасности (ФСБ) и участниками отрасли информационной безопасности (ИБ) обсуждают перечень мероприятий, которые компании должны выполнять для получения смягчающих обстоятельств в случае получения штрафа за утечку персональных данных. Об этом сообщила директор по стратегическим проектам Ассоциации больших данных Ирина Левова на форуме Positive Hack Days 2025.

Речь идет о новелле в законе «О персональных данных». Новые требования вступят в силу 30 мая, они предполагают ужесточение требований к защите персональных данных, а также вводят оборотные штрафы за повторную утечку.

Если компания тратила не менее 0,1% от годовой выручки на мероприятия, посвященные ИБ, на протяжении хотя бы трех лет, то в случае утечки это будет считаться смягчающим обстоятельством и размер штрафа может быть меньше.

Однако в законе не названы конкретные меры, на которые должны идти эти средства, объяснила Левова. При этом там есть уточнение, что помимо вкладывания инвестиций компания должна иметь лицензию ФСБ на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией.

«В оборотных штрафах за утечки и нас, и вендоров интересуют смягчающие обстоятельства. Они написаны так, что мы должны потратить 0,1% от выручки на мероприятия по ИБ, что бы это ни значило. Хотелось бы узнать, что это значит и на что конкретно [должно быть потрачено], – заявила Левова. – Мы сейчас как раз работаем с министерством [Минцифры] по поводу формирования такого списка. Мы собрались у замминистра, и коллеги из ФСБ и ФСТЭК тоже делали некие предложения».

Представитель Минцифры подтвердил, что совместно с заинтересованными органами и организациями обсуждают предложения бизнеса по перечню мероприятий по ИБ, которые возможно учитывать при назначении смягчающих обстоятельств за утечку данных. «Мы открыты для обсуждения и предложений. Однако говорить о конкретных деталях и мероприятиях еще рано», – уточнил представитель ведомства и отметил, что финальное решение о том, что учитывать в качестве обстоятельств для смягчения штрафа, принимают суды.

«Ведомости» направили запрос в ФСБ и ФСТЭК.

По словам источника «Ведомостей», принимающего участие в обсуждение мер, решением этого вопроса занимается замминистра связи Александр Шойтов и одно из основных расхождений между федеральными органами исполнительной власти и крупными участниками рынка заключается в том, что сейчас закон не учитывает вложения компаний в собственные разработки и наличие ИБ-штата как смягчающее обстоятельство в случае утечки. Проблема заключается в том, что в этих расходах будут учитываться только траты на софт, сертифицированный ФСТЭК, считает собеседник «Ведомостей», принимающий участие в обсуждении. Однако собственные разработки регистрировать через ФСТЭК компании не торопятся, отмечает он.

Дело в том, что процесс такой сертификации довольно длительный, отмечает директор департамента расследований T.Hunter Игорь Бедеров: он включает девять этапов, начиная от подачи заявки до выдачи сертификата. Каждый этап требует согласования с ФСТЭК, испытательными лабораториями и органами по сертификации, а весь процесс занимает 5-12 месяцев, а для сложных продуктов – до полутора лет, говорит эксперт. Самостоятельная сертификация возможна, но требует значительных временных, финансовых и кадровых ресурсов, продолжает Бедеров. «Для большинства компаний, особенно малого и среднего бизнеса, целесообразно сотрудничать с аккредитованными центрами или консультантами, чтобы минимизировать риски и ускорить процесс», – резюмировал он.

По словам Бедерова, текущие формулировки могут привести к формальному выполнению требований. Участники рынка предлагают включить в перечень, привычный ИБ-специалистам, комплекс технических, организационно-правовых, регуляторных мер, а также страхование рисков, добавил он. Среди технических мер Бедеров перечислил внедрение систем шифрования, защищенных хранилищ данных, средств обнаружения утечек, а среди организационных – проведение аудитов ИБ, обучение сотрудников, создание внутренних политик безопасности.

При этом, напоминает бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий, в России с 2013 г. существуют обязательные требования по защите персональных данных, утвержденные 21-м приказом ФСТЭК России. Поэтому он считает странной позицию компаний относительно перечня мер для защиты данных. Помимо того, в 19-й статье закона «О персональных данных» определен высокоуровневый набор защитных мер, а детализация этих требований раскрыта в нормативных документах в ФСТЭК и ФСБ, продолжает Лукацкий. И среди более чем 200 требований компании могут выбрать те, что лучше всего подходят для них, добавляет он.

«Никаких иных правил, требований, рекомендаций, как тратить 0,1% на безопасность персональных данных, не нужно. Это уведение проблемы в сторону от ее решения. Достаточно операторам персональных данных просто начать выполнять то, что было разработано 12 лет назад», – заключил Лукацкий.

Представитель МТС сообщил, что оператор реализует комплекс мер по защите данных. «Компания одной из первых интегрировала собственные системы безопасности, которые в том числе прошли сертификации ФСТЭК и отвечают установленным нормативными актами требованиям к сбору, хранению и обработке данных», – сообщил он.

T2 проводит полный комплекс мероприятий ИБ, необходимый для защиты клиентов, в строгом соответствии с законодательством и регуляторными требованиями по ИБ, сообщил представитель компании, отказавшись от дальнейших комментариев. Wildberries использует многоуровневую систему защиты от мошенников с применением технологий искусственного интеллекта, в том числе собственной разработки, заявил представитель компании. Также, по его словам, в Wildberries действует отдельная внутренняя команда, основная задача которой – поиск и исправление уязвимостей. «Авито» проводит пентесты с привлечением сторонних специалистов не менее одного раза в год и постоянно отслеживает потенциальные уязвимости, в том числе с помощью программы Bug Bounty, рассказал управляющий директор по юридическим вопросам компании Александр Смирнов. По его словам, сервис выбирает средства защиты, которые соразмерны потенциальным угрозам, – это могут быть в том числе решения, сертифицированные ФСТЭК. При этом он использует как сторонние, так и собственные разработки.

«Ведомости» запросили «Билайн» и «Яндекс» о том, есть ли у компаний собственные разработки, сертифицированные ФСТЭК. Представители VK, Ozon и «Мегафона» от комментариев отказались.

Мария АРЯЛИНА

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »