Через 2 месяца вступят в силу Федеральные законы № 420-ФЗ и № 421-ФЗ, усиливающие ответственность за нарушения в сфере обработки персональных данных в Российской Федерации. Какие шаги необходимо выполнить организациям, чтобы к этому подготовиться?
30 ноября 2024 Президент России подписал закон № 420-ФЗ, который ужесточает ответственность и вводит оборотные штрафы для компаний, допустивших повторные утечки персональных данных своих клиентов. Так для юридических лиц в случае повторного правонарушения штраф составит от 1 до 3% совокупного размера суммы выручки компании за календарный год, предшествующий утечке. Максимально возможный штраф – 500 млн. рублей.
Для компаний, которые ежегодно тратили на обеспечение информационной безопасности не менее 0,1% годовой выручки в течение 3 лет, соблюдали требования к защите данных в течение 12 месяцев до утечки и могут это документально подтвердить, а также не имеют отягчающих обстоятельств, предусматривается снижение наказания – максимальный штраф для них составит 50 миллионов рублей.
Федеральный закон № 421-ФЗ от 30.11.24 вводит в Уголовный кодекс РФ новую статью 272.1, предусматривающую уголовную ответственность за неправомерные действия с компьютерной информацией, содержащей персональные данные, полученные незаконным путем. В зависимости от тяжести правонарушения, наказание может достигать 10 лет лишения свободы и штрафа до 3 миллионов рублей.
При выявлении инцидента, связанного с неправомерной передачей или утечкой ПДн, оператор персональных данных должен уведомить Роскомнадзор в течение 24 часов, а также предоставить детальный отчёт в течение 72 часов. Штраф за это нарушение составит от 1 млн до 3 млн рублей.
Поправки в Кодекс об административных правонарушениях начнут действовать через 180 дней после официального опубликования закона, т.е. с 31 мая 2025 года. Таким образом законодатели пытаются мотивировать компании усилить защиту персональных данных своих клиентов и сотрудников.
Нормативка по защите ПДн
Персональные данные (ПДн) должны обрабатываться в информационной системе (ИС), соответствующей требованиям к безопасности таких ИС. Согласно Постановлению Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012г. №1119, существует 4 уровня защищённости (УЗ) ИСПДн, где УЗ-1 требует наиболее серьёзного уровня защиты, а УЗ-4 – наименее.
Чтобы определить УЗ для конкретной ИСПДн, необходимо учитывать 4 параметра: категорию обрабатываемых ПДн, тип угроз, форму отношений между организацией и субъектом ПДн (чьи данные обрабатываются – сотрудников или третьих лиц), количество субъектов обработки.
В Приказе ФСТЭК России №21 перечислены все технические и организационные меры по обеспечению того или иного уровня защищённости ИСПДн. Причем основное отличие в технических мерах, количество и сложность которых возрастает по мере увеличения класса, в то время как организационные меры практически одинаковы для всех уровней.
Для государственных информационных систем необходимо определить Класс защищённости, в соответствии с приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В зависимости от уровня значимости информации, обрабатываемой в этой ИС, и масштаба информационной системы (федеральный, региональный, объектовый) выделяют три класса государственных информационных систем. В этом же приказе перечислены необходимые защитные меры для каждого класса ГИС.
Приказ ФСБ России № 378 от 21 июля 2021 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» регламентирует, как правильно использовать средства криптографической защиты информации (СКЗИ) в информационных системах, в том числе при защите персональных данных, а также порядок согласования этого использования с ФСБ России.
Решение проблемы. Первый шаг – инвентаризация
Прежде, чем бежать затыкать дыры, нужно разобраться, с какими вообще ПДн работает организация, в каких бизнес-процессах они задействованы и в каких системах обрабатываются. Без порядка в активах не получится наладить порядок в информационной безопасности.
В идеальном сценарии стоит начать с выстраивания процесса управления активами и инвентаризации ИТ-инфраструктуры. Для этого могут использоваться различные решения, но специально для задач информационной безопасности были разработаны системы класса SGRC – они уделяют особое внимание бизнес-активам и их взаимосвязи с технической инфраструктурой. Большинство из таких систем позволяет собирать данные по активам из различных источников. Платформа R-Vision SGRC, помимо возможностей импорта и агрегации информации, обладает собственным движком инвентаризации ИТ-инфраструктуры и позволяет сформировать ресурсно-сервисную модель организации, выстроить взаимосвязи активов с бизнес-процессами, указать критичность систем и т.д. Таким образом руководитель ИБ получает полноценное представление о том, что, где и как необходимо защищать с учетом всех нюансов.
Следующий шаг – проведение аудита
Следующим этапом необходимо провести аудит текущего состояния активов на предмет соответствия требованиям вышеупомянутых Приказов.
Аудиты часто воспринимаются как формальная процедура, чтобы предоставить регулятору отчетность. Однако регулярная оценка соответствия может стать хорошим инструментом для мониторинга ситуации и позволит вовремя выявлять проблемные зоны на раннем этапе.
R-Vision SGRC автоматизирует кропотливый и трудоемкий процесс оценки соответствия требованиям и служит единым пространством для взаимодействия экспертов при проведении аудита.
Процесс начинается с планирования аудита. Этот этап подразумевает выбор актива для оценки, требований, которым он должен соответствовать, и установление сроков. В системе R-Vision SGRC под требования каждого нормативно-правового акта представлен готовый опросный лист – нужно просто выбрать необходимый из списка (в отношении защиты ПДн это будут Приказ ФСТЭК №17 (для каждого класса защищенности), Приказ ФСТЭК № 21 (для каждого уровня защищенности), 152-ФЗ). Далее назначаются ответственные. Непосредственно проведение аудита осуществляется путем заполнения опросника, где для каждого требования аудитор выставляет оценку, заполняет дополнительную информацию и вносит замечания. Затем система автоматически формирует отчетность в соответствии с требованиями регуляторов.
Завершающим этапом аудита является формирование плана по устранению замечаний. В R-Vision SGRC весь процесс обработки замечаний автоматизирован: можно сразу поставить задачи, назначить ответственных, сроки и контролировать устранение.
Защита данных через оценку рисков
К защите персональных данных от утечек можно подходить также через оценку рисков, хотя на практике риск-ориентированный подход к информационной безопасности в организациях встречается реже, чем опора на выполнение регуляторных требований. Он сложнее, однако помогает минимизировать вероятность реализации угроз и возможный ущерб от действий злоумышленников и позволяет действовать проактивно.
Качественно выстроенный процесс риск-менеджмента позволит руководителю ИБ самостоятельно определять необходимый набор мер для снижения недопустимых рисков и обосновать бюджет на внедрение дополнительных мер по защите персональных данных.
Процесс оценки рисков начинается с подготовительного этапа, в рамках которого эксперты составляют методику оценки и каталог угроз. При использовании R-Vision SGRC можно воспользоваться предустановленными методиками (ISO 27005, РC БР ИББС-2.2, FAIR), или использовать методику, разработанную экспертами R-Vision с учетом лучших мировых практик. Также предусмотрена возможность загрузить собственную методику и работать по ней.
Затем необходимо выбрать активы, в отношении которых будут оцениваться риски. Тут очень важно иметь полную ресурсно-сервисную модель организации, о которой мы говорили ранее, чтобы понимать, в каких системах обрабатываются ПДн и каковы связи между активами и бизнес-процессами.
Далее проводится оценка ценности активов, формируется модель нарушителя, выявляются актуальные риски . В случае, если для актива ранее проводился аудит и были указаны реализованные защитные меры, R-Vision SGRC автоматически учтет их, и они повлияют на расчёт итогового уровня рисков. В результате проведенной оценки будет получен перечень актуальных рисков с уровнем критичности, который позволяет их отранжировать. После этого начинается проработка плана мероприятий по обработке рисков и оценка бюджета.
В R-Vision SGRC весь этот процесс автоматизирован, можно оперативно приступить к оценке, использовать как качественную, так и количественную оценку , автоматически формировать наглядные графики и дашборды, с помощью которых можно обосновать необходимость тех или иных мер и защитить бюджет перед топ-менеджментом.
Отдельно отметим, что в R-Vision SGRC предусмотрен специальный раздел «МУ ФСТЭК 2021», посвящённый моделированию угроз по «Методике оценки угроз безопасности информации» ФСТЭК России от 05.02.2021. Раздел наполнен предустановленными данными, которые позволяют приступить к моделированию сразу после установки системы БДУ ФСТЭК России. Подробнее о сценарии работы с ним, мы рассказывали в обзоре.
Комплексный подход
Информационная безопасность всегда требует комплексных решений, поэтому к вопросу защиты персональных данных нужно подходить системно. Не стоит забывать о появлении новых угроз и своевременно вносить изменения. Использование платформы R-Vision SGRC, позволяет выстроить технически и экономически обоснованную систему защиты, соответствующую требованиям нормативных документов, и осуществлять эффективное управление информационной безопасностью.
С помощью R-Vision SGRC все действия в области информационной безопасности можно документировать, в системе сохраняются проведенные ранее аудиты и оценки рисков, можно вести учёт политик и других ИБ-документов. За счет этого можно быстро собрать сведения для доказательства соблюдения требований к защите данных и сделанных инвестиций в кибербезопасность, в случае если утечка все же произошла, и тем самым уменьшить возможные штрафные санкции.
Узнать подробнее обо всех возможностях и сценариях использования R-Vision SGRC, а также оставить заявку на демо и тестирование его возможностей вы можете на странице продукта.
