04.12.2024 15:16
PerfomanceLab 10 2000 Источник

Поправки в законодательство об ужесточении ответственности за утечку персональных данных неизбежно приведут к серьезным изменениям в кадровой практике российских компаний. Эти изменения затронут ключевые процессы: управление доступами, обучение сотрудников и построение корпоративной культуры безопасности.

Поправки к закону — это не просто формальность, а сигнал к пересмотру подходов к информационной безопасности. Компании уже начали подготовку, и в ближайшее время мы увидим системные изменения, которые охватят как технические аспекты, так и кадровые процессы всех кампаний страны.

Оценка рисков и аудит систем

Первое, что делают компании в условиях ужесточения законодательства, — проводят аудиты существующих систем защиты данных. Анализ уязвимостей, пересмотр политики управления доступами и планирование мероприятий по снижению рисков становятся первоочередными задачами.

Особое внимание уделяется соответствию международным стандартам информационной безопасности, таким как ISO/IEC 27001. Этот стандарт не просто декларирует правила, а помогает выстроить эффективную систему управления безопасностью. Для многих компаний его внедрение станет обязательным шагом, позволяющим не только соответствовать законодательным требованиям, но и укрепить доверие клиентов и партнеров.

Дополнительными мерами становится обезличивание данных в тестовых средах. Часто именно в них данные оказываются наиболее уязвимыми к утечкам. Использование инструментов маскирования типа DataSan становится решением по снижению рисков. 

Кадровые процессы под прицелом

Изменения затронут и сферу управления персоналом, особенно такие чувствительные этапы, как прием на работу и увольнение. Компании будут вынуждены внедрять политику минимально необходимых прав доступа: сотрудники получат доступ только к тем данным, которые нужны для выполнения их непосредственных обязанностей.

Еще один важный аспект — оперативное закрытие всех учетных записей и доступов после увольнения сотрудника. Эти меры помогут избежать инцидентов, связанных с несанкционированным доступом к данным, и минимизировать риски изнутри.

Рост спроса на ИБ специалистов

Ожидается, что ужесточение законодательства приведет к росту спроса на специалистов по информационной безопасности. Квалифицированные кадры станут ключевым активом для компаний, что усилит конкуренцию за таких специалистов. Одновременно работодатели будут инвестировать в обучение своих сотрудников, чтобы повысить их компетенции.

Например, стандарт ISO/IEC 27001 требует от сотрудников не только знаний, но и практических навыков в области управления доступами, аудита систем и реагирования на инциденты. Поэтому бизнес будет ориентироваться не только на найм специалистов, но и на повышение квалификации текущих сотрудников.

Культура информационной безопасности

Ужесточение законодательства — это не разовая акция, а стимул для развития корпоративной культуры безопасности. Компании будут проводить комплексное обучение для сотрудников всех уровней. Базовые курсы по защите данных, распознаванию фишинговых атак и правилам работы с конфиденциальной информацией станут обязательными.

Руководители и HR-специалисты получат детальное разъяснение новых требований и практические рекомендации по управлению доступами и взаимодействию с надзорными органами. Для IT-специалистов предусмотрены углубленные тренинги по шифрованию данных, настройке систем контроля и реагированию на инциденты.

В дополнение к теоретическим занятиям компании станут внедрять практические тренировки. Имитация фишинговых атак или моделирование сценариев утечки данных позволяют сотрудникам отработать действия в кризисных ситуациях и минимизировать риски в реальной жизни.

Поправки к закону об ответственности за утечку данных требуют системного подхода: от пересмотра технологий до перестройки кадровых процессов. Те компании, которые вовремя адаптируются к новым условиям, смогут не только избежать штрафов, но и превратить информационную безопасность в свое конкурентное преимущество.

Ужесточение правил — это вызов для бизнеса, но также и возможность. Устойчивые компании, готовые работать на опережение, получат мощный инструмент для укрепления своей репутации и доверия клиентов.

Юлия Лучина

директор по персоналу «Перфоманс Лаб»

Комментарии (10)


  1. StepanovAlex
    04.12.2024 15:52
    #27633830

    Не забудьте обновить резюме, "специалист по предотвращению апокалипсиса" - это теперь очень востребованная профессия.


    1. PerfomanceLab Автор
      04.12.2024 15:52
      #27633836

      У вас отличное чувство юмора )!


  1. wapskill
    04.12.2024 15:52
    #27633886

    По идее сейчас, те кто имеют доступ к базе данных могут ее слить и компания попадет на огромные штрафы. Если вдруг работник будет чем то недоволен. С базами данных не работаю, не знаю какое там ограничение SELECT *


    1. rockstar_made
      04.12.2024 15:52
      #27634014

      У бигтехов давно уже настроены системы получения доступов к ПД. Не как раньше, когда любой мог сделать select * from users.


      1. Kill_Voice
        04.12.2024 15:52
        #27634120

        По большей части это только на бумаге, у бигтехов на столько много данных и систем, что за законами они просто не поспевают


  1. rockstar_made
    04.12.2024 15:52
    #27634026

    Палка двух концов - зная устройство малых гос. учреждений со штатом в одного сисадмина (слэш электрика слэш сетевика слэш монтажника), им подобные штрафы по 3-5 лямов (источник - траст ми бро, нашел в инете) рублей дадут по метафизическому месту ногой; в то время, как даже 10 миллионов за максимальную утечку для того же Яндекса/Озона/ВК - это не деньги


    1. Shaman_RSHU
      04.12.2024 15:52
      #27634118

      У гос учреждений ведь нет оборотной выручки - следовательно нет оборотных штрафов :)

      А если серьезно, то всё очень грустно там. И еще можно один слеш добавить - связист/телефонист.


  1. RomTec
    04.12.2024 15:52
    #27634856

    Поправки в законодательство об ужесточении ответственности за утечку персональных данных ...

    Тема горячая, но пока статья больше похожа на введение, ждём продолжения и раскрытия ! :)

    И начните сначала со ссылок на сам нормативный документ и укажите в чём суть "ужесточений" ?


  1. alker
    04.12.2024 15:52
    #27635382

    Поскорее бы попасть в этот дивный новый мир..

    Если серьезно, то там где все это делается, то будет делаться и так, где не делают - ничего не изменится, возможно - до первого штрафа. Когда он будет, и будет ли?

    Также соотносить 27001 и ужесточение по ИСПДн - странно.


  1. KongEnGe
    04.12.2024 15:52
    #27636524

    Без возможности выжечь уходящему сотруднику участки мозга, связанные с работой в компании, система предотвращения утечек критически неполна. Потому что не способна помешать реализовать вбелую полученное знание вне контура безопасности после ухода.