2023/11/07 16:00:43

Защита персональных данных в России


Содержание

Нормативное регулирование

Требования к защите персональных данных регулируются законами:

  • Закон о персональных данных №152-ФЗ,
  • 149 ("Об информации"),
  • 249 ("О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля").
  • Ст. 26 закона «О банках и банковской деятельности» - Согласно ст. 26 закона «О банках и банковской деятельности» к банковской тайне относится информация об операциях, счетах и вкладах клиентов и корреспондентов. По российскому законодательству кредитная организация гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

С 1 сентября 2015 года в России вступило в силу положение, обозначенное законом ФЗ-242, которое обязывает операторов персональных данных обрабатывать и хранить персональные данные россиян с использованием баз данных, размещенных на территории РФ. В связи с тем, что отдельные термины и формулировки, использованные в данном положении, допускают различные толкования, Минкомсвязи подготовило разъяснения к нему. Перечень разъяснений доступен по ссылке.

Хронология событий

2023

Разработан инструмент проверки эффективности защиты персональных данных

Эксперты Ассоциации больших данных (АБД), в которую входят крупнейшие российские ИТ-компании, разработали концепцию стандарта защиты данных, который предназначен для оценки эффективности работы службы информационной безопасности у операторов персональных данных. Документ представляет собой свод оценочных критериев и метрик, позволяющих сделать вывод об эффективности организационных и управленческих процессов обеспечения защиты информации операторов персональных данных. Причем концепция предусматривает прозрачный механизм добровольной оценки соответствия оператора ИСПДн специально разработанной методике, которая позволяет в рамках общественного контроля оценивать качество работы службы безопасности оператора.

Методология оценки

Концепция предусматривает несколько этапов проверки службы ИБ оператора ПДн: внутренний аудит, внешняя валидация результатов аудита и плановая самопроверка процессов обеспечения безопасности, которая должна проводиться не реже, чем раз в год. Кроме того, в случае реализации значимого инцидента или серьезной модернизации ИСПДн предусмотрен внеплановый аудит. Собственно, существенной новацией является валидация результатов внутреннего аудита, которая должна проводиться внешним, не аффилированным с компанией аудитором. Концепция предусматривает, что в качестве подобного аудитора могут выступать специальные компании, которые будет представлять результаты верификации в АБД или другую общественную организацию.

Следует отметить, что внутренний аудит процедурно похож на категорирование, предусмотренное Постановлением №127 в рамках закона №187-ФЗ «О безопасности КИИ РФ». Также создается комиссия для оценки, также проводится анализ всех компонентов, процессов и систем, также предусмотрено моделирование угроз и также результаты самопроверки передаются организатору, в роли которого может выступать как АБД, так и другие общественные организации. Куда интереснее предлагаемая далее процедура валидации полученных результатов. В документе описано четыре этапа такой валидации: внешний аудит, анализ защищенности (внешний или внутренний, инструментальный или документарный), социотехническое тестирование для оценки осведомленности и киберучения. До этого этапа развитие законодательства в рамках безопасности КИИ еще не дошло.Российский рынок HR-tech: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 100 т

Внешний аудит проверяет качество реализации следующих компонент корпоративной защиты данных:

  1. Руководство системой организации защиты информации;
  2. Подразделение по защите информации;
  3. Положение об организации защиты информации;
  4. Планирование мероприятий по защите информации;
  5. Определение негативных последствий;
  6. Моделирование угроз безопасности информации;
  7. Контроль услуг внешних поставщиков;
  8. Регламент правил управления доступом;
  9. Аутентификация доступа к информационным системам организации;
  10. Управление учетными записями;
  11. Выявление и оценка уязвимостей;
  12. Управление обновлениями безопасности;
  13. Инвентаризация информационных ресурсов;
  14. Управление изменениями конфигурации;
  15. Мониторинг информационной безопасности;
  16. Реагирование на инциденты безопасности;
  17. Действия в нештатных ситуациях;
  18. Информирование и обучение персонала;
  19. Безопасность приложений и программного обеспечения;
  20. Установка межсетевого экрана;
  21. Отсутствие на периметре уязвимостей;
  22. Отсутствие уязвимостей в ПО и ПАК самой ИСПДн;
  23. Очистка входящего сетевого трафика от аномалий;
  24. Проверка вложений в электронные письма;
  25. Установка средств антивирусной защиты;
  26. Планы по тестированию на проникновение.

Каждый из этих пунктов при правильной реализации дает при аудите по одному баллу. Причем обучение персонала проверяется в том числе и с помощью социотехнического тестирования или киберучений, а отсутсвие уявимостей – с помощью внешнего аудита (пентеста). Далее для категории персональных данных №1 (в соответствии с законом №152 «О безопасности ПДн») устанавливается допустимый минимальный уровень в 6 баллов, для категории №2 – 10, в категории №3 – 14 и в категории №4 – 18.

Критерии эффективной работы службы безопасности оператора в привязке к категориям его персональных данных

Операторами аудита могут стать экспертные группы, куда войдут специалисты как самих компаний, так и профильных сторонних организаций, но специалисты компании, где аудит проводиться, свою компанию проверять не могут. По тем направлениям, где итоговая оценка аудита окажется ниже рекомендованной, компании будут работать над повышением эффективности защиты. Участники АБД намерены завершить работу над концепцией и подписать стандарт в течение ближайших месяцев.

Роль Концепции
«
Концепция отраслевого стандарта защиты данных и его аудита — важная инициатива ключевых игроков отрасли, которые осознают свою ответственность и задают ориентир для всех операторов данных, – пояснила публикацию документа Ирина Левова, директор по стратегическим проектам Ассоциации больших данных. – Компании планируют проводить такой аудит не реже одного раза в год и таким образом подтверждать высокий уровень их систем информационной безопасности. Это позволит гарантировать наивысшую степень защиты данных на уровне отрасли
»

Документ устанавливаются четкие и, главное, измеримые критерии оценки для работы службы информационной безопасности оператора персональных данных, которые могут показать насколько компания старается обеспечить защиту своих персональных данных, причем с указанием направлений для дальнейшего совершенствования процесса обеспечения защиты. Документ может оказаться полезным не только для защиты персональных данных, но он имеет возможность стать модельным для организации процесса аудита и других значимых цифровых систем: КИИ, АСУ ТП, государственных ИС.

Ужесточение требований к разработчикам защиты данных

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала проект указа президента, который устанавливает правила защиты информации в российских организациях, а также закрепляет создание государственной организационной системы защиты информации. Соответствующий документ, как пишет «Коммерсантъ», был опубликован 23 января 2023 года.

Проект положения о государственной системе защиты информации определяет состав, направления работы системы, а также требования к организации защиты информации ограниченного доступа и общедоступной информации, обладателями которой являются Россия, российский регион или муниципальное образование. Как отмечается в пояснительной записке, целью этого является формирование организационной системы, которая работает на основе общих правил на всех уровнях.

ФСТЭК ужесточает требования к разработчикам защиты данных

Приказ также закрепляет шесть категорий участников системы, в том числе органы безопасности — ФСТЭК и ФСБ, организации, имеющие полномочия на сертификацию средств защиты, и компании, оказывающие услуги в области защиты государственной информации.

Речь идет не обо всех участниках рынка, а о тех, кто работает с государственной информацией, что в документе называется «информацией, обладателями которой являются РФ и ее субъекты», пояснил газете глава аналитического центра Zecurion Владимир Ульянов. По его словам, требования будут распространяться на подрядчиков по обеспечению безопасности ГИС.

При этом источник издания отметил, что к январю 2023 года почти все ИБ-компании в России работают либо напрямую с госсектором, либо с организациями, которые имеют дел с информацией, конечным обладателем которой является государство. Указ расширяет перечень объектов, для которых сертификация и аттестация становятся обязательными, указал собеседник.[1]

2022

Суды взыскали более 50 млн рублей штрафов за нарушения с персональными данными

В 2022 году российские суды выписали по искам Роскомнадзора штрафы на более чем 50 млн рублей за нарушения при работе с персональными данными. Об этом замглавы ведомства Милош Вагнер сообщил в начале марта 2023 года.

«
Вместо плановых проверок во взаимодействии проводили плановые мероприятия без взаимодействия, то есть наблюдение за информационными ресурсами операторов. К сожалению, почти в половине случаев были выявлены нарушения. Несмотря на ограничения, в прошлом [2022] году были составлены более 180 протоколов по выявленным нарушениям в области персональных данных, — сказал он на вебинаре Роскомнадзора (цитата по «Интерфаксу»).
»

Российские суды выписали более 50 млн рублей штрафов за нарушения, связанные с персональными данными

По словам Вагнера, в 2022 году заблокировано свыше 110 сайтов, работающих с полным неисполнением российского законодательства. В реестр нарушителей попали сервисы интернет-«пробива», мобильные приложения сбора данных из телефонных книг, справочники жителей с адресами и телефонами, сайты со сведениями о частной жизни людей, отметил он.

В целом в 2022 году Роскомнадзор провел 91 внеплановую проверку компаний на предмет соблюдения законодательства о персональных данных. Из них 78 проводились по признакам утечек персональных данных, и в 87% эти утечки подтвердились.

«
Операторам вручены предписания об устранении нарушений, составлены протоколы об административном правонарушении. Сейчас в судах завершается рассмотрение протоколов, во всех случаях суды приняли решение о привлечении к административной ответственности, — добавил замглавы Роскомнадзора в начале марта 2023 года.
»

Он также отметил, что в 2022 году суды удовлетворили 95% исков, подготовленным Центром правовой помощи гражданам в цифровой среде, который в 2021-м создал Роскомнадзор. С момента создания к его юристам обратилось более 2500 граждан из разных регионов страны. Основная тема обращений - неправомерная обработка персональных данных заявителей, которая происходит без их ведома или согласия. Таких обращений в центр – более 52%, сообщил Милош Вагнер.[2]

Мишустин утвердил новые правила в сфере трансграничной передачи персональных данных

В январе 2023 года премьер-министр Михаил Мишустин подписал постановление, которым утвердил «правила принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении». Документ, вступающий в силу 1 марта 2023 года, предполагает следующие нововведения:

Михаил Мишустин
  • Название иностранного государства, в отношении которого предлагается принять решение о запрете или об ограничении трансграничной передачи персональных данных (ПД);
  • Описание обстоятельств, свидетельствующих о необходимости принятия такого решения, а также указание норм законодательства РФ, послуживших основанием для вынесения представления;
  • Заключение о содержании решения, которое предлагается для принятия по итогам рассмотрения представления;
  • Сведения об операторе, которому предлагается запретить или ограничить трансграничную передачу ПД – наименование юридического лица, ФИО физлица, идентификационный номер налогоплательщика, номера телефонов, почтовые адреса и e-mail. Кроме того, представление должно содержать дату, с которой трансграничная передача должна быть запрещена или ограничена

Ранее Минцифры РФ подготовило еще два проекта, регламентирующих порядок передачи персональных данных за рубеж. Согласно первому, устанавливаются условия и случаи запрещения или ограничения передачи данных российских граждан за рубеж в целях защиты их нравственности, здоровья, прав и интересов.

Во втором проекте министерство предложило установить случаи, при которых операторам, осуществляющим трансграничную передачу персональных данных, не требуется уведомлять об этом Роскомнадзор, а также случаи, при которых не применяются решения о запрещении или об ограничении трансграничной передачи персональных данных.

Постановление Правительства Российской Федерации от 10.01.2023 № 6 "Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении"

Минцифры поддержало введение тюремных сроков за кражу и продажу персональных данных

Минцифры поддержало введение тюремных сроков за кражу и продажу персональных данных. Об этом стало известно в середине декабря 2022 года.

«
Законопроект о внесении изменений в Уголовный кодекс Российской Федерации уже существует, он разработан группой сенаторов с участием Минцифры. Данный законопроект поступил на рассмотрение в правительство и уже согласован Минцифры, — сообщили в министерстве ТАСС.

»

Минцифры поддержало введение тюремных сроков за кражу и продажу персональных данных

Документ предусматривает введение штрафов от 300 тыс. до 2 млн рублей и лишение свободы на срок до шести лет.

В Минцифры пояснили, что в некоторых случаях нарушителям грозит до 10 лет тюремного срока, например, если незаконное обращение с личными данными привело к тяжким последствиям, было совершено с использованием служебного положения или было организовано группой лиц.

В ведомстве добавили, что, если целенаправленные действия злоумышленника привели к утечке значимых объёмов данных или если публикация чувствительных данных может представлять вред для конкретных людей - ответственность наступит вне зависимости от занимаемой должности.

В мае 2022 года глава Роскомнадзора Андрей Липов говорил, что готовится законопроект о введении уголовной ответственности за продажу украденных персональных данных.

Глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн в июле 202 года заявлял, что ответственность должны нести не только те, кто допустил утечки персональных данных, но и те, кто осуществляет незаконный оборот персональных данных, и, возможно, те, кто пользуется этими данными, заведомо осознавая их противоправный характер.

Хинштейн уточнял, что уголовную ответственность за утечки следует ввести и для госслужащих. По его словам, речь идет о случаях, когда утечка привела к причинению тяжкого вреда здоровью или летальному исходу.[3]

Роскомнадзор запретит передавать данные Meta и другим запрещенным зарубежным организациям

Роскомнадзор будет запрещать передачу персональных данных российским компаниям в случае отправки сведений за границу запрещенным в России или нежелательным организациям. Среди них - MetaРФ объявлена экстремистской компанией, ее деятельность запрещена) Об этом 15 сентября 2022 года пишет «Коммерсантъ» со ссылкой на разработанные Минцифры документы.

Операторы персональных данных с 1 марта 2023 года должны будут сообщать Роскомнадзору о намерении выполнить трансграничную передачу. Но после принятия новых поправок Роскомнадзор сможет ограничивать трансграничную передачу данных, в том числе после заявлений от ФСБ, Минобороны и МИД. Такие меры принимаются для защиты экономических и финансовых интересов РФ.

Роскомнадзор будет запрещать передачу персональных данных российским компаниям в случае отправки сведений за границу запрещенным в России

Источник газеты на рынке онлайн-сервисов, представители которого критиковали исходный вариант поправок, говорит, что не ожидает сложностей в связи с новыми нормами.

По словам управляющего партнера Enterprise Legal Solutions Юрия Федюкина, пользователи соцсетей выступают субъектами персональных данных, а не операторами их передачи. Когда человек передает Meta собственные персональные данные, поправки и подзаконные акты не создают рисков ответственности, пояснил он.

Взаимодействие с Meta несет риски в первую очередь для профессиональных пользователей ее соцсетей — блогеров, рекламных агентств и владельцев магазинов,— а также для «пользователей, выражающих свою политическую позицию», говорит руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев. По мнению гендиректора Института исследований интернета Карена Казаряна, риски для физических и юридических лиц, которые будут просто в частном порядке регистрироваться на Facebook и Instagram, не возникнут. В то же время эксперт считает, что проекты Минцифры еще могут быть доработаны, поскольку «пока неясно, как применять их на практике».[4]

Минцифры, ФСБ и ФСТЭК займутся аудитом защищенности данных в российских компаниях

В конце августа 2022 года стало известно о том, что Минцифры, ФСБ и ФСТЭК займутся аудитом защищенности данных в российских компаниях, являющихся операторами персональных данных (ПД).

Как пишут «Ведомости», к концу августа 2022 года требования к защите данных, регламентируемые приказами ФСБ и ФСТЭК, зачастую не успевают обновлять в связи с появлением новых киберугроз. Предполагается, что ежегодный добровольный аудит защищенности данных будет способствовать более активному инвестированию компаний в системы информационной безопасности.

Минцифры, ФСБ и ФСТЭК займутся аудитом защищенности данных

Как сообщил источник издания, аудит мог бы проводиться аккредитованными государством компаниями, которые занимаются информационной безопасностью.

По данным газеты, Минцифры выступает за то, чтобы компании активнее инвестировали в системы информбезопасности, в этом контексте и обсуждается предложение о ежегодном добровольном аудите защищенности данных. Как отмечается, обсуждаемый добровольный аудит как раз может рассматриваться как смягчающее обстоятельство и быть подтверждением мер защиты данных.

По словам источника издания, такой аудит могли бы проводить аккредитованные государством компании, занимающиеся информационной безопасностью, например, Positive Technologies, «Лаборатория Касперского» или Group-IB.

При этом будет ли такой аудит заменять обязательные требования анализа состояния информационной безопасности в компании или он будет производиться на основании обязательных требований ФСБ и ФСТЭК, собеседники «Ведомостей» не уточнили.

Ранее сообщалось, что до 1 июля 2022 года, 58 ключевых государственных корпораций должны были провести оценку уровня защищенности своих информационных систем от киберугроз. Для оценки компании могли привлекать любые профильные организации, сертифицированные ФСТЭК и ФСБ. [5]

В России запретили принудительно собирать биометрию

6 июля 2022 года Госдума в третьем (окончательном) чтении приняла поправки к закону «О персональных данных», разработанные группой депутатов во главе с главой комитета Госдумы по информационной политике Александром Хинштейном. Одна из инициатив предполагает запрет на принудительный сбор и обработку биометрических данных. Подробнее здесь.

Минцифры согласовало законопроект о штрафах для бизнеса за утечки данных

В конце мая 2022 года Министерство цифрового развития, связи и массовых коммуникаций РФ согласовало законопроект о штрафах бизнеса за утечки персональных данных клиентов. Наказание предполагает наложение штрафа в 1% от годового оборота компании и возможное увеличение до 3% в случае попытки предпринимателей скрыть инцидент.

Как пишет «Коммерсантъ», разработка инициативы могла быть ускорена из-за громких утечек данных, о которых стало известно в первые месяцы 2022 года.

Минцифры согласовало законопроект о штрафах для бизнеса за утечки данных

В Минцифры считают, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения информацией.

Как рассказал «Коммерсанту» источник на рынке кибербезопасности, персональные данные обрабатывают как крупные ИТ-компании и банки, так и небольшой бизнес (например, из сферы услуг), который редко тратит деньги на информационную безопасность. Если организация не вкладывается в защиту информации, оперативно провести расследование будет значительно сложнее. Часто в таких случаях компания узнает об утечке из СМИ или соцсетей, отметил эксперт центра продуктов Dozor компании «РТК-Солар» Алексей Кубарев.

Комитет Госдумы по информполитике поддерживает введение оборотных штрафов за утечку персональных данных.

«
Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 000 рублей за утечку «Яндекс.Еды» — это насмешка над здравым смыслом, — сказал глава комитета Александр Хинштейн.
»

По его мнению, принятие такого законопроекта заставит бизнес вкладывать больше средств в развитие своих систем информбезопасности.

Для оперативной установки факта утечки и последующего расследования компании потребуется соответствующее программное обеспечение, добавил глава отдела аналитики «СерчИнформ» Алексей Парфентьев. [6]

В России принят закон о штрафах за незаконный сбор персональных данных при покупке товаров и услуг

19 мая 2022 года Госдума РФ приняла закон о штрафах за незаконный сбор персональных данных при покупке товаров и услуг. Поправки вносятся в статью 14.8 Кодекса об административных правонарушениях, автором инициативы стало Правительство РФ.

Штрафы вводятся за отказ заключить с потребителем договор, если он не желает предоставить дополнительные персональные данные. Исключением станут случаи, когда представление персональных данных является обязательным в соответствии с законодательством или непосредственно связано с исполнением договора.

В России принят закон о штрафах за незаконный сбор персональных данных при покупке товаров и услуг

Для должностных лиц сумма штрафа составит от 5 тыс. о 10 тыс. рублей, а для юридических лиц — от 30 тыс. до 50 тыс. рублей.

Как пояснил председатель Госдумы Вячеслав Володин, был установлен запрет принуждать потребителей к предоставлению персональных данных, когда действующее законодательство этого не требует. Кроме того, в законе «О защите прав потребителей» был закреплен перечень недопустимых условий договора, ущемляющих права потребителя. К таким условиям отнесены, например, оказание дополнительных услуг за плату без согласия потребителя, ограничение права выбора способа и формы оплаты.

Ранее премьер-министр Михаил Мишустин отмечал, что «зачастую людей принуждают указывать избыточные персональные данные при любых покупках», при том «даже в тех случаях, когда по закону это совсем не обязательно». В связи с этим и был принял закон о штрафах за необоснованный сбор персональных данных с покупателей.

Как сообщил при обсуждении законопроекта член Комитета Госдумы по государственному строительству и законодательству Дмитрий Вяткин, ко второму чтению документа поступило две поправки, которые носят юридико-технический характер. Их парламентарии решили поддержать.

Закон вступит в силу с 1 сентября 2022 года. [7]

В России принят закон, запрещающий продавцам отказывать клиентам в обслуживании без предоставления персданных

20 апреля 2022 года Государственная дума в третьем (окончательном) чтении приняла закон, запрещающий продавцам отказывать клиентам в обслуживании без предоставления персональных данных. Документ инициирован Правительством РФ и вносит правки в закон «О защите прав потребителей».

Закон, который должен вступить в силу 1 сентября 2022 года, запрещает продавцам, исполнителям и владельцам агрегаторов отказывать в заключении и исполнении договора потребителю, который отказался предоставить свои персональные данные. При этом исключение составят случаи, предусмотренные законодательством или исполнением этого договора. В то же время потребитель будет вправе запросить объяснение причины отказа и его правовые основания.

20 апреля 2022 года Государственная дума в третьем (окончательном) чтении приняла закон, запрещающий продавцам отказывать клиентам в обслуживании без предоставления персональных данных.

Поправки, как утверждают их создатели, разработаны в целях пресечения недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе персональных данных потребителей для целей, не связанных с заключением или исполнением договора.

«
Сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения. Даже в тех случаях, когда предоставление такой информации не является обязательным. Прежде всего, это касается онлайн-магазинов. Принятие соответствующих поправок позволит дополнительно защитить права потребителей - пояснил председатель Госдумы Вячеслав Володин.
»

Изменения, вносимые законом, соответствуют руководящим принципам ООН для защиты интересов потребителей, которые в числе принципов добросовестной деловой практики называют защиту личной информации и использование механизмов получения согласия на сбор и использования личных данных потребителей, а также рекомендациям совета Организации экономического сотрудничества и развития (ОЭСР) по защите прав потребителей в электронной торговле от 24 марта 2016 года, в соответствии с которыми компании должны защищать конфиденциальность потребителя, гарантируя, что их практика в отношении сбора и использования потребительских данных является законной, прозрачной и справедливой.[8]

В Роскомнадзоре назвали лучший способ уберечься от утечек персональных данных

Чтобы снизить риски неправомерного доступа к персональным данным, нужно как можно меньше персональные данные где-то оставлять, заявил заместитель руководителя Роскомнадзора Милош Вагнер на пресс-конференции, приуроченной к Международному дню защиты персональных данных 28 января.

«
Не утекут только те данные, которые никто не сохранил или не предоставил, - отметил чиновник.
»

В Роскомнадзоре советуют соотносить риски и пользу от сервисов, которым предоставляются персональные данные (фото - Известия/Павел Бедняков)

Надо задумываться о том, так ли вам нужен новый сервис, которым пользуются все окружающие, так ли вам нужно получить ту или иную услугу, которая требует предоставления большого объёма данных. Каждый раз надо задаваться вопросом, насколько то, что вы получаете взамен, перевешивает риск возможной компрометации, который существует всегда, отметил Милош Вагнер.

«
Ничего бесплатного не бывает. Хотите вы или нет, любой сервис в интернете будет собирать данные. Иногда он честно и откровенно об этом информирует, а иногда всё это зарыто в пользовательских соглашениях, суть которых трудно уяснить простому человеку, - говорит заместитель руководителя Роскомнадзора.
»

Присутствовавший на пресс-конференции Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры, посоветовал завести отдельный телефон, который бы использовался для рекламы, скидочных карт и т.д. Он также отметил, что чем крупнее площадка, тем более трепетно она будет относиться к персональным данным, «за редким исключением».

«
Очень часто я слышу от экспертов в области безопасности про легендирование. Люди пользуются другими именами, другими фамилиями, потому что вроде как зачем той же торговой площадке знать, как конкретно вас зовут или когда у вас день рождения. Если только чтобы у вас скидка была. В таком случае всем буду советовать [дату рождения] - конец декабря - это очень удобно, как раз скидка под подарки на Новый год, - сказал Бенгин.
»

А рекомендация от Роскомнадзора с точки зрения операторов персональных данных – в первую очередь задумываться о том, можно ли осуществлять их бизнес-процессы, вообще не собирая данные. Если это невозможно, если, например, есть требования законодательства по идентификации клиентов, то нужно задуматься, насколько можно было бы для этого воспользоваться доверенными сервисами вроде портала госуслуг. Он не предполагает, что данные копируются или переносятся к внешним операторам, но при этом обеспечивает достаточную идентификацию, пояснил Милош Вагнер.

Ежегодно в Роскомнадзор поступает порядка 40 тыс. жалоб, связанных с персональными данными, рассказал заместитель руководителя ведовства. В основном жалуются на три категории операторов персональных данных: интернет-сайты, организации, осуществляющие управление жилым фондом, а также банки и иные организации финансовой сферы.

2021

Где посадки? Советник президента РФ и Наталья Касперская предлагают судить по УК и штрафовать на миллиарды за утечки персданных

Советник президента РФ, председатель Совета при президенте по развитию гражданского общества и правам человека Валерий Фадеев выступает за ужесточение наказания за утечки персональных данных. За них надо привлекать по статьям УК и вводить штрафы, которые исчисляются миллиардами рублей, заявил он 16 декабря 2021 года[9].

Утечки персональных данных – это кража, ст. 158 УК РФ, полагает Фадеев. Иногда это результат деятельности хакеров, но, похоже, что в большинстве случаев в этом замешаны мелкие сотрудники самих организаций, где хранятся персональные данные, которые их воруют и продают злоумышленникам.

«
Но я что-то не слышал, чтобы по ст. 158 УК РФ были наказаны непосредственные исполнители этой кражи, - отметил председатель Совета при президенте по развитию гражданского общества и правам человека.
»

Есть также ст. 293 УК РФ (Халатность), которую можно было бы применять к начальнику, руководителю сотрудника, совершившего кражу, полагает Валерий Фадеев: «значит, этот руководитель допустил кражу, это называется `халатность`». Эти две указанные статьи надо применять в случае с утечками персональных данных.

Необходимо пересматривать и размеры штрафов за подобные инциденты.

«
Надо теперь понять, что персональные данные граждан – это большая ценность, и штрафы должны быть не сотни тысяч рублей и даже не миллионы, а миллиарды, если речь идёт о больших компаниях, о банках, - говорит Фадеев.
»

Он привел аналогию с ситуацией в сфере экологии, где ранее за нанесенный ущерб были установлены незначительные штрафы, а потом их подняли, и уже были инциденты, где штрафы за ущерб окружающей среде исчислялись миллиардами.

Наталья Касперская считает, что нужно корректировать Уголовный кодекс (фото - должны быть реальные сроки за утечку массовых данных)

Глава разработчика DLP-решений InfoWatch Наталья Касперская по итогам изучения правоприменительной практики в России за 2020 год, связанной с утечками данных, привела сумму в 1 млн рублей, как максимально назначенный штраф для юридического лица, а для физического лица – 50 тыс. рублей. Речь идёт о штрафах по КоАП в области персональных данных.

«
Пока у нас такие штрафы, ситуация будет такая же, как с экологией много лет назад: хозяева компаний, управляющие не будут на эти штрафы обращать внимание, - отметил Валерий Фадеев.
»

Утечки персональных данных – одна из ключевых проблем в области прав граждан в цифровом пространстве, и они приняли массовый характер. Это касается и России, и всего мира. Наталья Касперская говорит, что за последний год количество утечек выросло колоссально, а суммы денег, украденных мошенниками со счетов, исчисляются десятками миллиардов рублей. Как и Фадеев, Касперская отметила, что посадок при этом не наблюдается.

«
Нужно корректировать Уголовный кодекс с точки зрения того, что это должны быть реальные сроки за утечку массовых данных, потому что сейчас законодательство организовано таким образом, что наказание будет по жалобе человека, у которого эти данные утекли. Гражданин должен обратиться, и тогда возбуждают дело, в то время как есть миллионные утечки, и никто за них не отвечает, - отметила Наталья Касперская.
»

Надо сказать, что подобные громкие заявления могут в итоге оказаться не только словами: ведется работа, направленная на усиление защиты персональных данных и прав российских граждан в цифровом пространстве. И вопрос находится «на карандаше» у президента Владимира Путина и в центре внимания правительства. Валерий Фадеев напомнил, что есть поручение президента по итогам ежегодной встречи по правам человека в декабре 2020 года о создании цифрового кодекса, где были бы тщательно прописаны проблемы, связанные с правами и свободами, и предлагались бы решения. На встрече в декабре 2021 года президент подтвердил свою серьезную озабоченность проблемой персональных данных и их утечек.

Была сформирована временная рабочая группа по подготовке концепции по защите прав и свобод человека и гражданина в цифровом пространстве РФ, в которую входят члены СПЧ и приглашенные эксперты из органов публичной власти, Института государства и права РАН и других организаций, тесно взаимодействует с правительством по поручению президента. У истоков создания временной рабочей группы стоит, в том числе, предприниматель и инвестор Игорь Ашманов, который является членом СПЧ.

По словам Ашманова, одним из основных авторов этой концепции, которая к августу была сдана в правительство и ушла в администрацию президента, является Виктор Наумов, «самый продвинутый цифровой юрист нашей страны», который защищает интересы всех западных цифровых платформ в России, за исключением Yahoo.

По состоянию на декабрь, концепция прошла рассмотрение в правовом управлении, в экспертном управлении администрации президента, ФСБ тоже прислала свои замечания, и теперь документ на рассмотрении в Совете безопасности РФ. Если в итоге президент одобрит концепцию, далее начнётся работа юристов над цифровым кодексом, пояснил Игорь Ашманов.

ФСБ назвала данные, за сбор которых можно стать иноагентом

В конце сентября 2021 года Федеральная служба безопасности (ФСБ) России перечислила данные, за сбор которых можно стать иностранным агентом. Это не гостайна и несекретная информация. Подробнее здесь.

Путин ввел штрафы за распространение данных о силовиках

Президент России Владимир Путин подписал закон о наказании за публикацию данных силовиков. Соответствующий документ 11 июня 2021 года был опубликован на официальном интернет-портале правовой информации.

Как пишет «Коммерсантъ», за распространение сведений о работниках силовых структур будут штрафовать до 300 тыс. рублей. Вводится ответственность за распространение сведений о сотрудниках прокуратуры, МВД, СКР, ФСБ, Росгвардии, таможенных органов и других ведомств, а также военнослужащих и судей. Штрафы предусмотрены за публикацию персональных данных силовиков «в связи с осуществлением ими служебной деятельности или выполнения такими лицами общественного долга». Наказывать будут также за распространение сведений об их близких.

Владимир Путин ввел штрафы за распространение данных о силовиках

Штрафы за распространение информации о силовиках:

  • для физлиц — 20–40 тыс. руб.;
  • для должностных лиц — 50–100 тыс. руб.;
  • для индивидуальных предпринимателей — 100–200 тыс. руб.;
  • для юрлиц — 200–300 тыс.

Изменения будут внесены в УК РФ о незаконном получении и разглашении сведений, составляющих коммерческую, налоговую или банковскую тайну (статья 183 УК РФ) и о разглашении сведений о мерах безопасности в отношении должностного лица (статья 320 УК РФ).

Кроме того, закон ужесточает наказание за незаконное разглашение или использование, сбор сведений, составляющих коммерческую, налоговую и банковскую тайну (ст. 183 УК РФ), повышая максимальный срок принудительных работ или лишения свободы за данное правонарушение с трех до четырех лет. При этом без изменений сохраняются санкции в виде штрафа до 1 млн рублей или в размере дохода осужденного за период до двух лет, лишения права на занятие определенных должностей и занятия определенной деятельностью на срок до трех лет и исправительных работ на срок до двух лет.[10] [11]

В России принят закон о 10-кратном увеличении штрафов за разглашение персональных данных

19 мая 2021 года Госдума в третьем (окончательном) чтении приняла закон о существенном повышении штрафов за разглашение персональных данных. Так, граждане, нарушившие этот закон, будут платить до 5-10 тыс. рублей вместо прежних 0,5-1 тыс. рублей.

Размер наказания для должностных лиц вырос с 4-5 тыс. рублей до 40-50 тыс. рублей. Также поправками вводится ответственность для юридических лиц — штраф от 100 тыс. до 200 тыс. рублей.

В России принят закон о 10-кратном увеличении штрафов за разглашение персональных данных

Принятый закон также предусматривает увеличение штрафов за разглашение сведений о мерах безопасности, которые применяются в отношении сотрудников правоохранительных или контролирующих органов, а также их близких. Теперь они могут достигать:

  • до 70 тыс. рублей для граждан;
  • до 500 тыс. рублей для должностных лиц. Им также будет грозить дисквалификация на срок до трёх лет;
  • до 500 тыс. рублей для юрлиц.

Кроме того, незаконные сбор, передача, распространение и доступ к персональным данным судей, прокуроров, следователей, сотрудников органов внутренних дел и ряда силовых ведомств в связи с исполнением ими профессионального или общественного долга, данных об их близких повлекут штраф для граждан от 20 тыс. до 40 тыс. рублей. Для должностных лиц штраф составит от 50 тыс. до 100 тыс. рублей с возможной дисквалификацией на срок до трех лет, для индивидуальных предпринимателей — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 200 тыс. до 300 тыс. рублей.

В пояснительной записке к законопроекту говорится, что причиной его появления стала расширяющаяся практика несанкционированного опубликования сведений о фактах, событиях и обстоятельствах частной жизни сотрудников правоохранительных органов. По мнению авторов, целями таких действий «зачастую являются не воспрепятствование служебной деятельности сотрудников правоохранительных органов, а иные устремления (корысть, месть, пиар и т. п.)». [12]

Путин поручил кабмину ускорить усиление защиты персональных данных россиян

Как стало известно 26 апреля 2021 года, президент России Владимир Путин поручил Правительству РФ ускорить работу по усилению защиты персональных данных граждан.

«
Ускорить подготовку и внесение в федеральный закон «О персональных данных» изменений, направленных на усиление защиты персональных данных граждан, а также на содействие развитию российских организаций, разрабатывающих программное обеспечение и программно-аппаратные комплексы, — говорится в сообщении, опубликованном на сайте Кремля.
»

Ответственным за выполнение назначен премьер-министр Михаил Мишустин. Соответствующий доклад должен быть представлен до 1 июля 2021 года.

Владимир Путин поручил кабмину ускорить усиление защиты персональных данных россиян

Незадолго до этого поручения Владимир Путин призвал заняться вопросами защиты персональных данных граждан. Он отмечал, что особенно востребованы рекомендации профессионалов о том, как развивать цифровые сервисы, «предотвращая риски нарушения прав людей на конфиденциальность, на неприкосновенность частной жизни, на свободу выражения мнений».

Также российский лидер добавил, что вопросы, которые связаны с защитой персональных данных, согласно социологическим опросам, очень беспокоят людей.

В рамках инвестиционного форума «Россия зовет» в 2020 году Владимир Путин заявлял, что Россия не намерена внедрять запретительные меры в киберпространстве и думает над тем, как обеспечить защиту персональных данных при цифровизации.

«
Я сейчас не буду говорить окончательных решений, мы думаем над этим [защите персональных данных при цифровизации]. Но таких вот запретительных мер, которые бы свели на нет саму идею, мы, конечно, внедрять не намерены, — говорил глава государства.
»

Он также отмечал, что цифровизация экономики и жизни страны является важной сферой, в частности, в вопросах защиты персональных данных.[13]

Гайд от ARinteg: Как просто решить вопрос отчетности по №152 ФЗ «О защите персональных данных»

Что нужно, чтобы закрыть вопрос по требованиям ФЗ-152 «О защите персональных данных»? Заучивать обязанности «оператора» наизусть, ставить дедлайны по сдачи документации (которую нужно составлять) и помечать красным цветом в календаре 12-часовой рабочих день ускоренной подготовки перед проверкой «сверху». Или можно по-другому?

Основная статья: Гайд от ARinteg: Как просто решить вопрос отчетности по №152 ФЗ «О защите персональных данных»

Минцифры запретит телеком-операторам продавать данные абонентов без их согласия

В конце марта 2021 года стало известно о новых мерах защиты персональных данных, которые были разработаны Министерством цифрового развития, связи и массовых коммуникаций РФ. Согласно предложенным ведомством поправкам в закон о персональных данных, операторы связи не смогут продавать информацию о своих абонентах без их согласия.

Как сообщает «РИА Новости» со ссылкой на пресс-службу Минцифры, разрешение человека понадобится не только на использование сведений о нем, но и на их обезличивание.

«
Например, граждане часто жалуются на рекламные звонки. Теперь без согласия клиентов операторы связи не смогут продавать номера телефонов с указанием пола, возраста и расходов на связь своих абонентов, — пояснили в министерстве.
»

Минцифры намерено запретить телеком-операторам продавать данные абонентов без их согласия

Поправками также предлагается наделить органы государственной власти полномочиями по предоставлению отечественным ИТ-компаниям доступ к обезличенным персональным данным из государственных информационных систем. Органы власти будут получать обезличенные данные от операторов персональных данных исключительно для осуществления государственных функций.

Минцифры заверило, что каждый случай, когда от бизнеса потребуются какие-либо данные, будет рассматриваться отдельно. Решение будут принимать в том числе с учётом объёма будущей нагрузки на бизнес по обезличиванию данных и подготовки необходимых дата-сетов.

Ранее Рабочая группа «Нормативное регулирование» АНО «Цифровая экономика» предложила исключить из документа норму, по которой бизнес должен безвозмездно предоставлять обезличенные данные россиян государству. Также в АНО назвали избыточным требование о получении отдельного согласия от пользователей на обезличивание. Как сообщил источник газеты, правительство запросило позицию «Цифровой экономики», поскольку именно АНО инициировало законопроект.[14]

Минцифры приравнивает обезличенные данные к персональным

Глава Министерства цифрового развития Максут Шадаев подписал законопроект, определяющий порядок обработки обезличенных данных. В скором времени его внесут в правительство. Об этом 12 марта 2021 года написали «Ведомости» со ссылкой на замминистра цифрового развития Олега Иванова.

Предполагается, что теперь оператор не сможет использовать какую-либо дополнительную информацию, которая помогает определить принадлежность персональных данных конкретному субъекту. Будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением тех случаев, когда необходимо защитить жизнь или здоровье человека. Таким образом, обезличенные данные приравняют к персональным.

Минцифры намерено приравнять обезличенные данные к персональным

По словам Олега Иванова, новые требования к обращению обезличенной информации вызваны тем, что уже к марту 2021 года доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

«
Обезличивание и анонимизация – разные понятия. Деобезличивание – обратимая вещь, - пояснил он.
»

Законопроектом предлагается внести в федеральное законодательство изменения, которые в значительной степени устраняют разницу в правоотношениях, возникающих при сборе, обработке и использовании персональных и обезличенных данных, сообщил «Ведомостям» управляющий партнер юридической фирмы Enterprise Legal Solutions Юрий Федюкин.

В АНО «Цифровая экономика» пояснили, что документ содержит избыточные требования к идентификации субъекта персональных данных: прежняя его версия предусматривала возможность получить согласие на обработку персональных данных с использованием электронной почты или телефонного номера, а нынешняя – что пользователь должен указать ФИО для получения тех или иных услуг.[15]

2020

Госдума приняла закон, запрещающий распространять персональные данные граждан без их согласия

Госдума приняла в третьем, окончательном чтении закон о запрете распространения персональных данных граждан без их специального согласия. В законе (N1057337-7) прописана процедура обязательного согласования на обработку персональных данных россиян любым оператором данных. Об этом стало известно 23 декабря 2020 года.

Документ запрещает получение согласия на обработку персональных данных по умолчанию и при бездействии их владельца, отмечает "Интерфакс". Соглашение на обработку таких общедоступных данных должно содержать информацию об их владельце и самом операторе, категории принимаемых данных и цели их обработки, срок действия согласия и перечень сайтов, на которых общедоступные персональные данные оператору разрешается публиковать.

В соглашении также может быть прописан запрет на передачу данных «неограниченному кругу лиц» и обработку ими персональных данных. При этом оператор не может отказаться от предложенных запретов и условий, прописанных в данной инициативе. Владелец данных также имеет право в любой момент отозвать свое согласие, после чего оператор обязан приостановить их использование.

Принятые поправки также обязывают всех лиц, осуществлявших обработку данных гражданина, «предоставить доказательства законности их последующего распространения или иной обработки» в случае, если такие данные оказались в открытом доступе вследствие правонарушения или обстоятельств непреодолимой силы. Кроме того, ко второму чтению законопроекта автор заменил понятие «общедоступные персональные данные» формулировкой "разрешенные для распространения данные". Как отмечается в пояснительной записке к законопроекту, инициатива направлена против неконтролируемого сбора опубликованных в интернете персональных данных для использования в целях, не соответствующих цели изначальной публикации. Документ был внесен в Госдуму в ноябре 2020 года членом думского комитета по информационной политике, информационным технологиям и связи Антоном Горелкиным[16].

В России разработан новый протокол безопасного обмена персональными данными

НПК «Криптонит» 29 июня 2020 года сообщила TAdviser, что ее ученые и специалисты разработали протокол безопасности «ИКС». Данный протокол безопасности позволит передавать персональные данные от пользователя сервису только лишь в форме зашифрованного пакета данных — «блоба» (от англ. Binary Large Object, BLOB — массив двоичных данных). Каждый блоб может быть проверен и заверен инспектором персональных данных, который подтвердил информацию о пользователе. В качестве инспектора может, например, выступать государственный орган (например, налоговая служба или пенсионный фонд) или коммерческая структура (например, банк или страховая компания). Подробнее здесь.

Исследования

2023: 75% компаний не выполняют требования закона о персональных данных

1 марта 2023 года компания К2 Интеграция сообщила о проведении опроса среди предприятий на тему реализации требований федерального закона «О персональных данных». Оказалось, что 75% компаний еще не выполнили положения закона, начавшие действовать в сентябре 2022 года. Подробнее здесь.

2022

Только 4% компаний полностью подготовились к реализации обновленных требований законодательства о персональных данных

1 сентября 2022 года вступила в силу первая часть требований Федерального закона от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных". В связи с этим компания КРОК провела опрос на тему готовности российских компаний к изменениям. В опросе приняли участие более 100 российских компаний из различных отраслей экономики. Об этом Крок сообщил 1 сентября 2022 года.

Результаты опроса КРОК показали, что на конец августа 2022 года лишь 4% компаний полностью адаптировали процессы обработки персональных данных к новым требованиям. 28% опрошенных ответили, что успели подготовиться частично. Более 20% организаций не планируют в ближайшее время проводить работы по внедрению мер для соответствия 266-ФЗ.

«
С февраля 2022 года по данным Роскомнадзора произошло более 40 утечек баз персональных данных, и именно возросшее количество утечек стало основным триггером изменений в законодательстве. Необходимость изменений назрела давно, так как раньше многие компании толковали требования двояко, не считая себя операторами персональных данных. Однако это ошибочно, поскольку любая компания, имеющая сотрудников и клиентов, априори является оператором персональных данных. Теперь же последние требования закона устранили неопределенность, и однозначно определили обязательства по защите персональных данных», – рассказала Анастасия Федорова, руководитель групп аналитики, аудита и техподдержки ИБ компании КРОК.
»

Результаты исследования подтвердили тезис о том, что не все компании относят себя к операторам ПДн. Например, 17% опрошенных заявили, что их организация не отправляла уведомление о начале обработки персональных данных, так как не являются операторами. При этом подавляющее большинство респондентов (70%) ответили, что необходимо вводить штрафы за утечки ПДн.

В большинстве опрошенных компаний (39%) ответственным за обработку персональных данных является руководитель по информационной безопасности. В 27% организаций за это отвечает руководитель подразделения по управлению персоналом. Часть опрошенных заявили, что в их компаниях были созданы специальные должности, например – руководитель направления по работе с персональными данными.

Одним из наиболее важных требований в соответствии 266-ФЗ является то, что с 1 сентября 2022 года все операторы персональных данных должны внести изменения в договоры с лицами, осуществляющими обработку ПДн по их поручению, сократить сроки реагирования на запросы субъектов ПДн, изменить в свои локальные нормативные акты в части обработки персональных данных. На начало сентября 2022 года, по результатам исследования, 17% организаций не ведут и не контролируют реестр лиц, которым поручают обработку ПДн.

«
В целом мы наблюдаем, что постепенно компании начинают осознавать ценность персональных данных, необходимость внедрения мер по их безопасной обработке и введения ответственности за утечки. Например, опрос показал, что 70% организаций считают необходимым введение штрафов за утечку ПДн. При этом так же мы видим, что пока не все компании готовы к изменениям, предстоит большая работа по приведению процессов и документации в соответствие новым требованиям, – отметила Анастасия Федорова.
»

В связи с этим эксперт КРОК рекомендует организациям реализовать ряд шагов, которые позволят адаптироваться к последним требованиям законодательства. Во-первых, проверить наличие и разместить Политику обработки ПДн на сайте организации. Во-вторых, необходимо провести ревизию внутренней документации: осуществить пересмотр договоров-оснований для обработки ПДн субъектов, договоров на поручение обработки персональных данных и локальных нормативных актов в области обработки и защиты ПДн. В-третьих, наладить взаимодействие с Роскомнадзором и проверить необходимость и обеспечить подключение ГосСОПКА. Наконец, начать проведение ревизии трансграничных потоков передачи персональных данных и оценку мер по защите данных иностранными контрагентами.

92% пользователей Рунета не беспокоит вопрос передачи персональных данных третьим лицам

2 февраля 2022 года компания-разработчик антивирусных решений ESET поделилась итогами исследования, которое провела чтобы определить, как жители страны относятся к сбору и передаче персональных данных на сайтах и в приложениях.

На первом этапе исследования эксперты выяснили, знают ли респонденты, что такое пользовательское соглашение. Ответы разделились практически поровну: 51% опрошенных заявили — они точно понимают, что такое пользовательское соглашение и зачем оно нужно, другие 49% поделились, что слышали о пользовательском соглашении вскользь или вовсе не знают о нем.

«
Компаниям и сервисам договор с пользователем необходим, чтобы обезопасить себя от разорительных судебных исков. Нередко в пользовательское соглашение включают весьма экзотические или даже невыполнимые условия. Однако люди воспринимают лицензионные соглашения сайтов и ПО как досадную помеху, на автомате нажимая «Принять», — пояснил директор управления маркетинга ESET Кирилл Подгорный.
»

Российские интернет-юзеры лишь изредка прочитывают до конца предложенные им договоры: об этом заявили 81% участников исследования. Еще 13% совсем не изучают пользовательские соглашения в сети.

На втором этапе исследования эксперты ESET узнали мнение россиян об использовании персональных данных в сети. Оказалось, что 40% участников опроса отрицательно относятся к сбору персональных данных, потому что не верят в конфиденциальность этого процесса. 38% респондентов выразили нейтралитет: им все равно, будут ли собирать и передавать информацию о них.

При этом каждый пятый (22%) пользователь одобряет сбор персональных данных и считает, что это улучшает user experience и развивает качество приложений и сайтов.

92% участников опроса не беспокоит, если данные о них передаются третьим лицам — они не стараются покинуть сайт или приложение, в пользовательском соглашении которого обозначена такая функция.

2019: Защита персональных данных вызывает беспокойство у бизнеса

17 января 2020 года стало известно, что чаще всего российский бизнес сталкивается со спамом. Это отметили в опросе, проведенном Eset, 65% респондентов. На втором месте – вредоносное ПО, 47%. 22% опрошенных сообщили, что их компании становились жертвами фишинговых атак, 21% пострадали от DDoS-атак и 35% - от шифраторов. 54% опрошенных волнует безопасность баз контактов, сведений о клиентах и партнерах, 55% считают, что в особой защите нуждается финансовая информация. Подробнее здесь.

2018

Максимальная сумма ущерба по делу об утечке информации составила 14 млн рублей

28 января 2020 года стало известно о том, что экспертно-аналитический центр ГК InfoWatch опубликовал первый отчет о судебной практике по делам, связанным с утечками информации ограниченного доступа. Исследование проводилось в целях выявления основных и наиболее очевидных проблем правоприменения в области защиты информации. Согласно результатам исследования, каждое четвертое дело заканчивается вынесением реального или условного срока, а максимальная сумма ущерба по делу об утечке информации, подтвержденная решением российского суда в 2018 году, составляет 14 млн рублей.

Как сообщалось, значительная часть дел об утечках конфиденциальной информации, рассматривалась по правилам уголовного судопроизводства (69,1%). Правда, только в результате рассмотрения менее 5% всех дел суд назначил нарушителю реальный срок заключения. Ещё примерно 21% дел завершились условными сроками, а в более чем 30% случаев вынесены различные виды штрафов. Каждое четвертое дело приводит только к увольнению нарушителя. Только 8,6% дел были прекращены за примирением сторон.

Злоупотребление доступом к конфиденциальной информации представляет более половины судопроизводств (59,5%). Второе и третье место занимают разглашение и неправомерный доступ (24,5% и 16% соответственно). Основными мотивами осуществления преступных действий являются корысть (83,6%) и месть (16,4%). Более 70% утечек, которые легли в основу судебного производства, произошло из-за неправомерных действий сотрудников коммерческих и некоммерческих организаций и всего 20% утечек случилось в результате действий внешних злоумышленников.

Распределение утечек информации
«
Ярким примером неправомерного использования конфиденциальной информации можно считать различные мошеннические действия сотрудников салонов связи. Менеджеры сотового ритейла не стесняются продавать клиентскую информацию, оказывать незаконные услуги по перевыпуску SIM-карт, продаже «красивых» номеров и т.д. Это связано с тем, что относительно свободный доступ к клиентской информации наряду с мягкостью назначаемого наказания фактически дает карт-бланш на неправомерные действия. То же самое можно сказать о сотрудниках финансово-кредитной сферы, подразделений почтовых операторов, иных организаций, связанных с обслуживанием движения денежных средств и обработкой персональных данных.

рассказал Андрей Арсентьев, руководитель отдела аналитики и спецпроектов ГК InfoWatch
»

По мнению аналитиков, основными причинами для «примитивных» злоупотреблений в сотовом ритейле и клиентских офисах банков являются низкая зарплата рядового персонала, информационная безграмотность и недостатки в работе служб информационной безопасности.

Около 1/3 всех случаев утечек конфиденциальной информации, рассмотренных судами, приходится на высокотехнологичные компании (ИТ, ИБ, телеком, интеграция и т.д.) . Значительную долю в судебных делах об утечках занимают нарушения в промышленных и транспортных организациях – 14,1%. Было отмечено, что в высокотехнологичных компаниях доля дел, рассмотренных по правилам уголовного судопроизводства, составляет 96%.

Универсальными типами скомпрометированной информации для всех отраслей можно считать персональные данные и сведения, составляющие коммерческую тайну (64,6%). Они ожидаемо преобладают в распределении утечек по типу данных.

Авторы исследования отмечают, что судебная практика по делам об утечках информации складывается скорее в пользу обладателей информации, нежели наоборот. На январь 2020 года основные проблемы вызывает несогласованность между регулятивным и охранительным законодательством. Это результат быстро развивающейся информационной среды, за которой не успевает охранительное законодательство.

«
Причина, по которой чаще всего дела об утечках данных рассматриваются по правилам уголовного судопроизводства, кроется в особенностях двух наиболее ликвидных типов информации, подвергающихся компрометации, — это финансовая информация и персональные данные, утечка которых отражается не только на обладателях информации, но и на ее носителях, то есть гражданах. В рамках гражданского производства рассматриваются дела, где утечка информации отражается только на обладателе информации.

рассказал Сергей Хайрук, главный аналитик ГК InfoWatch
»

По словам специалистов Экспертно-аналитического центра ГК InfoWatch, большую часть противоправных действий сотрудников в отношении конфиденциальных данных можно было бы предотвратить с помощью сочетания организационных и технических мер, включающих в себя, например, запрет мобильных устройств с фото(видео)камерой на рабочих местах, запрет применения личных (или недоверенных) облачных сервисов и личной электронной почты, а также контроль соблюдения этих правил путем применения автоматизированных средств.

24% утечек конфиденциальной информации из государственных и коммерческих компаний сопряжены с мошенническими действиями

25 июня 2019 года компания InfoWatch сообщила, что в России около 24% утечек конфиденциальной информации из государственных и коммерческих компаний сопряжены с мошенническими действиями. Уровень фрода на основе украденных из российских компаний данных почти в три раза выше, чем в мире. Примерно 80% подобных инцидентов в России связаны с действиями руководителей и сотрудников. В половине инцидентов мошенничество совершается на основе данных из бумажных источников. Наиболее часто случаи фрода отмечаются в банковском секторе и компаниях сферы связи. Подробнее здесь.

2017: Клиентские базы страховых компаний доступны на теневом рынке

Согласно результатам исследования аналитического центра «МФИ Софт» за сентябрь 2017 года, уже 5,6 млн записей данных клиентов страховых компаний обнаружены на черном рынке, их можно приобрести на открытых пиратских форумах. Актуальность данных самая свежая — 2016-2017 годы. При этом две трети всех предложений касаются автострахования — вероятно, клиенты КАСКО/ОСАГО ценятся в первую очередь конкурирующими страховыми компаниями. Вместе с этим, предложения баз автостраховок обновляются быстрее всех — некоторые продавцы предлагают обновление на ежемесячной основе.

Стоимость баз данных

Базы страховых компаний — одни из самых дорогих и востребованных на рынке информации. На «черном рынке» представлены базы данных разных объемов — от нескольких сотен клиентов до десятков и сотен тысяч. Стоимость одного контакта в небольшой, но актуальной базе может достигать 10 рублей, в то время как в крупных базах она падает до 0,001 рублей. Купить такую базу может каждый по цене от 250 до 40 тыс. рублей. На стоимость влияют такие параметры как количество контактов, актуальность и полнота данных. Наиболее часто встречающийся ценник — 3500 руб, с размером базы до 60 тыс. записей, указали в «МФИ Софт».

Географический охват

Чуть менее половины предложений о продаже составляют базы страховых компаний Московской области (41% от исследованных предложений). Базы Ленинградской области — на втором месте (21%). Порядка 26% баз охватывают всю Россию. Предложения баз данных, охватывающих только один нестоличный город или регион, встречаются в единичных случаях (12%). В 59% случаев базы содержат полные данные о клиентах, включающие не только персональную информацию, но и данные об автомобиле, историю страховых сделок, копии документов.

Риски для клиентов и компаний

По оценкам «МФИ Софт», риск для пользователя услуг страховой компании в случае утечки варьируется от получения спама до крупного мошенничества с собственностью, так как данные могут представлять интерес для криминальных структур. Для самих страховых компаний кроме прямой потери клиентов крупные утечки чреваты потерей репутации и санкциями со стороны регуляторов по факту нарушения закона 152-ФЗ «О персональных данных». Такие прецеденты в отрасли уже были зафиксированы в 2012 году.

Источники утечек

Как выяснили исследователи, информация о клиентах страховых компаний утекает не на этапе сбора, а из информационных систем. Состав базы данных часто указывает на источник утечки, в некоторых случаях может указывать даже на отдел внутри компании (при понимании, на каком бизнес-процессе запись обогащается теми или иными данным), однако установить владельца самой информационной системы достаточно затруднительно. Так как данные могут поступать как непосредственно от страховых компаний, так и из других информационных систем — ГИБДД, единая база РСА и т.д.

Основным поставщиками данных внутри компаний являются страховые агенты, также встречаются утечки, спровоцированные системными администраторами. Нередко встречается на торговых площадках предложение об аренде удалённого доступа в ИС страховых компаний (например, партнёрские порталы), через которые можно делать выгрузки по клиентам.

Высокий спрос на страховые базы данных на черном рынке формирует все новые и все более актуальные предложения со стороны инсайдеров, которые нередко работают на заказ.

Рекомендации

Для сохранности данных и предотвращения утечек аналитики «МФИ Софт» рекомендуют страховым компаниям более тщательно контролировать легитимность доступа к своим базам данных внутри организации, обращать внимание на массовые выгрузки из систем хранения информации и на аномальные действия привилегированных пользователей, а также контролировать уязвимости используемых СУБД.

2016: Персональные данные миллионов россиян уже на "черном" рынке

По результатам исследования «Черный рынок баз данных» аналитического центра «МФИ Софт» за ноябрь 2016 года, объем рынка нелегальных баз данных в России — больше 30 млн рублей, если перевести на количество записей частных лиц – получается больше 1,2 млрд. Всего за несколько часов поиска в интернете можно найти базы данных клиентов крупных банков, страховых компаний и онлайн-казино.

Как оказалось, на пиратских форумах и порталах особенно распространены данные клиентов финансовых организаций – 34%, а также заказчиков крупных интернет-магазинов – 19%, брокеров -18% и операторов связи – 6%.

В рамках исследования были обнаружены базы клиентов 18 крупных российских банков — среди них есть представители ТОП-10 крупнейших российских банков, а также базы популярных микрофинансовых организаций. К таким базам высокий уровень интереса у различного рода мошенников, в том случае, если база обогащена информацией по счетам. Почти каждая десятая запись (8% обнаруженных данных) в украденной базе может с высокой вероятностью повлечь за собой тяжелые негативные последствия — например, использоваться для подделки кредитных договоров, махинаций с недвижимостью, банковским мошенничеством или более тяжелым последствиям. Еще один вариант развития событий — оформление кредитов на паспортные данные пользователей банковских услуг и перепродажа базы коллекторам. В продаваемой базе можно найти полные контактные данные лица, с его паспортными данными, текущим местом проживания, выпиской по банковским счетам и перечислением имущества, информацией о налогах и штрафах.


Сколько стоят персональные данные на черном рынке?

В последние годы стоимость персональных данных сильно обесценилась. Как показало исследование 134 баз данных, находящихся в свободной продаже на черном рынке, средняя стоимость одного контакта для баз рассылок составляет 2 копейки. Наибольшей ценностью обладают базы страховых компаний – цена записи достигает 10 рублей при средней цене в 2,73 рубля, данные клиентов банков оцениваются в среднем по 0,28 рубля за запись. По сути, каждый пользователь интернета может купить такую базу, одни из праздного любопытства, другие — для наживы.


Что содержится в серых базах данных и чем это грозит?

Базы данных могут содержать не только имена и контакты пользователей услуг, но и все документы, от паспортных данных и водительского удостоверения до номеров банковских карт и счетов с указанием сумм депозитов. Есть даже базы по направлениям деятельности, например, базы руководителей служб безопасности, базы директоров по регионам и другие не менее интересные варианты.

В лучшем случае такие базы покупают для спам-рассылок и обзвона с предложениями услуг. Чуть менее часто базы данных на черном рынке скупают мошенники в целях совершения финансовых махинаций. По паспортным данным с помощью социальной инженерии можно получить доступ к карточным счетам пользователя и выводить с них средства, а также шантажировать владельцев этих данных или оформить на них кредит в микрофинансовой организации.

Источники утечки баз данных

В ответе за утечку данных пользователей – владельцы баз, так как это прямое нарушение ФЗ-152 «О персональных данных». Но часто они сами даже не подозревают, что их базы были украдены, и узнают об этом только после громких инцидентов. Согласно выборке «МФИ Софт», базы данных попадают на черный рынок четырьмя путями: злонамеренный инсайд – 78%, взлом – 2%, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе) – 13%, парсинг (сбор и структурирование данных из открытых источников) – 7%. Из чего следует – что главная проблема российских компаний – это утечка баз данных через сотрудников.

phonenumber.to: 137,090,136 скомпрометированных учетных записей в базе

Как обеспечить безопасность?

Организациям, осуществляющим обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:

  • направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор;
  • разработка формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));
  • документально описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;
  • разработка ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;
  • обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;
  • прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.

Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».

В первую очередь, самый действенный и не затратный подход к хранению персональных данных — это хранение их в обезличенной форме. Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной — таким образом можно просто не бояться умышленной или случайной утечки информации — она не будет представлять практически никакой ценности для злоумышленников. Кстати, законодательство Соединенных Штатов, рекомендует для обеспечения безопасности персональных данных именно такой подход. Конечно, это палка о двух концах. Такой подход, несомненно, снижает потребность в защите данных, однако значительно затрудняет возможность их обработки.

Операторы персональных данных сейчас в большинстве своем отказались от работ по обеспечению информационной безопасности. Закон будет меняться, в этом есть необходимость и об этом есть свидетельства, так что вкладывать средства в реализацию формальных требований безотносительно их важности довольно расточительно.

В неоднозначной ситуации находятся и компании, занимающиеся производством продуктов для защиты персональных данных. В поисках решений, которые позволят, с одной стороны, удовлетворить регуляторов, с другой — заказчиков, и, наконец, не остаться в проигрыше, они приходят к тому, что перестройка устоявшейся модели системы защиты персональных данных неизбежна.

При этом четко прослеживается разница между компаниями-лидерами в своей области и фирмами-подголосками. Последние, в большинстве своем, быстро переориентировались на соответствие требованиям закона. Спектр предлагаемых ими услуг расширился такими предложениями, как помощь в получении лицензии, проведение обследования и классификации информационной системы, консультационная поддержка. Нашлись умельцы и по способам обхождения закона — широко разошлась статья под названием "Пять сравнительно легальных способов сопротивления ФЗ-152".

Куда интереснее, что думают о нововведении представители серьезных компаний, занимающихся защитой информации. Многие вендоры начали активную доработку своих решений, задавшись вопросом о том, соответствуют ли они требованиям регуляторов. Другие же пока не спешат со столь кардинальными мерами, ожидая дальнейших изменений в законодательстве. Однако ключевым моментом по мнению многих компаний является формирование культуры защиты персональных данных. Так, например, Алексей Сабанов, заместитель генерального директора компании Aladdin считает, что №152-ФЗ прививает культуру информационной безопасности в обществе и на всех уровнях российского бизнеса. Александр Шарамок, представитель компании "Ортикон" придерживается мнения, что ситуация с защитой персональных данных улучшится, если будет создана прозрачная правовая и нормативно-техническая база и в обществе сформируется культура защиты персональных данных, первые шаги к чему он также видит в законе №152-ФЗ "О персональных данных".

Все же, кроме совершенствования технических мер безопасности, компаниям непременно нужно уделить внимание методологической составляющей. Уже сейчас многие компании предлагают своим клиентам построение модели угроз безопасности персональных данных. Кроме того, помощь в определении типа информационной системы, информационная поддержка по вопросам лицензирования и прохождения проверок, нахождение способов снижения класса обрабатываемых данных — все это уже потихоньку начинает занимать свою нишу на рынке услуг по защите информации и, в дальнейшем, будет только развиваться[17].

Как организовать защиту данных в облаке и пройти проверку Роскомнадзора, ФСБ и ФСТЭК. TADетали (2016 г)

Обезличивание персональных данных

Требование законодательства по обезличиванию данных

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных[18].

Свойства обезличенных данных

  • полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
  • структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
  • релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
  • семантическая целостность (сохранение семантики персональных данных при их обезличивании);
  • применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
  • анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Типичные подходы к обезличиванию данных

  • Данные не обезличиваются (использование NDA с подрядчиками)

  • После обезличивания теряются особенности данных (чрезмерное маскирование данных)
  • После обезличивания теряется связанность данных
  • Нет единого инструмента для обезличивания данных
  • Обезличиваются только данные согласно документации приложения
  • Одинаковые политики по деперсонализации данных для различных задач
  • На деперсонализацию данных требуется значительное время
  • После изменения источников (например, после установки патчей) требуется значительное время на изменение процессов деперсонализации

Обезличивание наиболее критичных данных в режиме реального времени

Какие данные нужно маскировать в реальном времени?

  • Данные VIP клиентов
  • Контактная информация
  • Финансовая информация
  • Коммерческая тайна
  • Любая другая чувствительная информация
  • Информация, к которой имеют доступы разные группы пользователей

Правила защиты персональных данных руководителя компании

Применяйте надежную многофакторную аутентификацию

Кража персональных данных – одна из наиболее опасных и часто встречающихся угроз в области защиты информации. Она является причиной взлома в четырех из пяти случаев Verizon. Отчет об утечке данных 2013. Таким образом, для доступа в персональную систему не достаточно ввести имя пользователя и пароль. Для защиты персональных данных необходимо применять надежную аутентификацию. Например, одним из оптимальных решений будет двухфакторная аутентификация, в рамках которой необходимо дважды подтвердить свою личность: при помощи удостоверения – токена, смарт-карты, мобильного приложения, а также при помощи ввода секретного пароля . В будущем, возможно, будет введен дополнительный биометрический фактор, при котором для подтверждения личности сотрудника могут потребоваться отпечатки его пальцев.

Зашифруйте конфиденциальные электронные адреса и файлы

Электронная почта является наиболее важным инструментом коммуникации внутри любой организации, ей пользуются как руководители, так и другие сотрудники компаний. Чтобы защитить электронную почту, необходимо использовать специальную сертифицированную программу, которая позволяет шифровать отдельные файлы или сообщения таким образом, что только конкретный получатель, обладающий ключом, сможет получить доступ к зашифрованной информации. Также необходимо четко вести базу контактов, чтобы информация случайным образом не попала неверному адресату.

Установите правила соблюдения информационной безопасности для руководителей

Безусловно, все вышеперечисленные рекомендации будут работать при условии дополнительных вложений со стороны руководства компании. В этой ситуации необходимы посредники, которые смогут провести необходимый тренинг для руководителя и расскажут все основные правила обеспечения информационной безопасности. Данная практика поможет изменить поведение руководителя и мотивирует сотрудников брать пример с руководства.

Деятельность киберпреступников активизируется, и любая организация должна задуматься о защите корпоративных данных. Во многих компаниях обеспечение информационной безопасности – это обязательная мера, которую необходимо соблюдать по требованию регуляторов, но вопрос безопасности данных руководителей компаний по-прежнему остается отрытым и требует специального подхода, который обеспечит защиту информации и, в то же время, не затронет мобильный образ жизни руководителя.

Смотрите также

Примечания

  1. Органы информгосбезопасности ФСТЭК ужесточает требования к разработчикам защиты данных
  2. Суды в 2022 году взыскали более 50 млн рублей штрафов за нарушения с персональными данными
  3. Минцифры поддержало введение уголовной ответственности за кражу и продажу персональных данных
  4. Личным данным предстоят метарства
  5. Минцифры, ФСБ и ФСТЭК займутся аудитом защищенности данных
  6. [ https://www.kommersant.ru/doc/5379590 Утечки возьмут в оборот]
  7. За незаконный сбор персональных данных при покупке товаров и услуг будут введены штрафы
  8. приняла закон о защите покупателей от необоснованного сбора личных данных
  9. ЦИФРОВАЯ ТРАНСФОРМАЦИЯ: ЗАЩИТА ПРАВ ГРАЖДАН
  10. Путин ввел штрафы за распространение информации о силовиках
  11. Федеральный закон от 11.06.2021 № 206-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
  12. Вырастут административные штрафы за разглашение данных ограниченного доступа
  13. Перечень поручений по итогам совещания с членами Правительства
  14. Минцифры разработало новые меры по защите персональных данных
  15. Обезличенные данные приравняют к персональным
  16. Госдума приняла закон, запрещающий распространять персональные данные граждан без их согласия
  17. Закон о персональных данных касается всех
  18. *Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 г. Москва "Об утверждении требований и методов по обезличиванию персональных данных"