В конце ноября президент РФ подписал законопроекты, которые ужесточают ответственность за утечку персональных данных: от 30 ноября 2024 г. № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» и от 30 ноября 2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Безусловно, побудить бизнес максимально защищать ПДн — инициатива хорошая, но теперь любая ошибка в информационной безопасности компании будет стоить дорого (иногда — до полумиллиарда рублей), а в некоторых случаях повлечет лишение свободы.

Меня зовут Кирилл Орлов, я директор по информационной безопасности облачного провайдера OXYGEN. Моя команда обеспечивает защиту данных бизнеса и госструктур и защиту инфраструктуры для размещения ГИС и ИСПДн. Я отвечаю за то, чтобы наши продукты соответствовали требованиям регуляторов. В этой статье я постараюсь максимально подробно прокомментировать новые законопроекты в области ПДн и самые острые вопросы: как быть бизнесу, нужно ли что-то срочно делать, как изменится подход к ИБ в компаниях в ближайшем будущем.

Содержание законопроекта

Изменения в области персональных данных отразились в Кодексе по административным правонарушениям и Уголовном кодексе. Новая статья 272.1 УК РФ вступает в силу 11 декабря 2024 года, поправки в КоАП РФ — 30 мая 2025 года, то есть у бизнеса критически мало времени для выполнения требований нового законодательства.

УК РФ

Вводится уголовная ответственность за незаконное использование, передачу, сбор, хранение информации, содержащей персональные данные (Статья 272.1 УК РФ). За это предусмотрено от 4 до 10 лет лишения свободы в зависимости от степени тяжести. Если в составе преступления фигурируют данные несовершеннолетних — это грозит штрафом до 700 000 рублей или лишением свободы до 5 лет. Если утечка сопряжена с передачей данных за границу — срок лишения свободы возрастает до 8 лет, со штрафом до 2 млн рублей. Если утечка имела тяжкие последствия, предусмотрен максимальный срок 10 лет.

КоАП РФ

Изменилась статья 13.11 КоАП РФ. Кратно увеличиваются штрафы, назначаются новые санкции за утечку биометрии. Теперь санкции для операторов ПДн выглядят следующим образом:

  • Максимальная ответственность — за утечку биометрических данных. Штрафы могут достигать 20 млн рублей.

  • При повторной утечке вводятся оборотные штрафы — от 1% до 3% оборота за прошлый год.

  • Будут действовать смягчающие обстоятельства, если оператор ежегодно инвестирует в информационную безопасность или имеет документальное подтверждение, что требования по защите персональных данных соблюдаются.

Почему ужесточают ответственность за утечку?

Это важный сигнал для бизнеса и госструктур, что пора улучшить защиту данных. Проблема назревала давно: год к году Роскомнадзор фиксирует высокий уровень утечек ПДн, в результате чего люди становятся жертвами мошенников, растет число преступлений. Если бизнес будет понимать уровень ответственности, фокус на защите и создании инфраструктур ИБ будет увеличен.

Реакция бизнеса

Часть предпринимателей отмечает, что жесткие меры могут представлять угрозу для легальных игроков на рынке. По опросу ComNews.ru, сейчас менее половины (44%) операторов персональных данных полностью поддерживают ужесточение ответственности за утечки. При этом треть участников рынка опасается, что увеличится давление на бизнес и число проверок.

Также в условиях высокой конкуренции увеличивается риск манипуляции информацией: кто-то может попытаться скомпрометировать своего соперника, создав искусственную утечку данных, особенно ввиду того, что пока нет надежных методов для оценки. Более того, почти четверть (23%) операторов заявила, что увеличение штрафов вряд ли приведет к улучшению общей ситуации с утечками данных. Компании и раньше скрывали такие инциденты. По информации ComNews.ru, количество публикаций об утечках данных пользователей в 2023 г. уменьшилось на 8% по сравнению с предыдущим годом, при этом количество опубликованных строк пользовательских данных в 2023 г. увеличилось на 24%.

В любом случае, бизнесу придется адаптироваться к новым условиям. Многим компаниям потребуется не только комплексный аудит процессов, но и пересмотр стратегии информационной безопасности, увеличение бюджетов на ИБ. Возможно, появятся страховые компании, которые начнут предлагать защиту от подобных рисков, что станет дополнительным шагом к адаптации.

Кому обратить внимание

Законопроект актуален для всех компаний, где используются сервисы для идентификации клиентов.

Банки: хранят конфиденциальные данные, такие как номера счетов, паспорта и финансовую информацию.

Медицинские учреждения: работают с чувствительной личной информацией, включая медицинские истории, результаты анализов и биометрические данные, за утечку которых предусмотрены самые большие штрафы.

Электронная коммерция и интернет-магазины: получают адреса и платежные данные.

Образовательные учреждения: хранят данные студентов, включая несовершеннолетних, что требует повышенного уровня защиты, особенно в свете новых штрафов за утечку таких данных.

Транспортные и логистические компании: обрабатывают информацию о передвижении клиентов и адреса. Защита такой информации может быть жизненно важной.

В Госдуме законопроект рассматривают не как усложнение жизни бизнесу, а как важный шаг на пути к порядку в цифровой среде. Это повлечет за собой развитие сферы ИБ, повышение бюджетов на инфобез в компаниях, рост уровня средств защиты. Как прокомментировал депутат Госдумы РФ Александр Хинштейн, без появления серьезной ответственности за персданные киберпреступность одолеть не получится.

Как защитить данные?

Нужен комплексный подход к ИБ с внедрением современных средств защиты. Лучше обратиться к надежному провайдеру, который может предложить подход с соблюдением всех требований регуляторов. Физическая инфраструктура OXYGEN и облачная платформа аттестованы по требованиям приказов ФСТЭК №17, №21, по максимальному классу К1 / УЗ1, а также соответствуют требованиям ЦБ (PCI DSS), в том числе требованиям для финансовых организаций (ГОСТ Р57580.1-2017). С помощью наших ИБ-сервисов клиенты могут реализовать все необходимые меры безопасной обработки информации в облаке. 

Для защиты персональных данных мы предлагаем:

  • Размещение информационных систем персональных данных в аттестованном облаке ФЗ-152

Облако ФЗ-152 — это надежная и защищенная среда для хранения и обработки персональных данных. OXYGEN обеспечивает защиту ПДн в облаке через соответствие требованиям Приказов ФСТЭК России №17 и 21, а также высший класс защищенности. Функциональность сервиса соединяет удобное управление данными, аварийное восстановление, резервное копирование и мониторинг доступности.

  • Контроль от утечек данных (DLP-системы)

DLP (Data Loss Prevention) система контролирует передачу и обработку данных в сетевых и удаленных процессах. Она анализирует потоки информации и обнаруживает факт утечки, даже если нарушитель попытался скрыть свои действия. Помимо обнаружения угроз, DLP-система оперативно реагирует на событие блокировкой и оповещением команды ИБ-специалистов. Вы точно будете знать, кто, когда и как работал с чувствительной информацией, сможете оперативно заблокировать доступ к ней и посмотреть подробную документацию о каждом событии.

  • Аудит и индивидуальный подбор средств защиты

Протестируем ваши системы на проникновение, выявим слабые места в инфраструктуре, если такие будут, проанализируем документацию и поможем сформировать стратегию информационной безопасности с акцентом на защиту персональных данных. Кроме того, подробно проконсультируем по ИБ-решениям специально для вашей компании, которые помогут безопасно работать с чувствительной информацией. В OXYGEN есть целый спектр сервисов: антивирусная защита, FireWall, VPN и другие — поможем разобраться, чего не хватает в вашей компании для соответствия требованиям законодательства, и обеспечим внедрение с учетом специфики облачной инфраструктуры в формате security as a service (по подписке).

И еще раз самое важное

  • Президент РФ подписал новые законопроекты об усилении ответственности за утечку персональных данных. Изменения в Уголовный кодекс вступают в силу 11 декабря 2024 года, изменения в КоАП РФ — 30 мая 2025 года.

  • Изменения отразились в Кодексе по административным правонарушениям и Уголовном кодексе. Вводится уголовная ответственность за незаконную обработку ПДн от 4 до 10 лет лишения свободы в зависимости от степени тяжести. Кратно увеличиваются штрафы, назначаются новые санкции за утечку биометрии, появляются оборотные штрафы при повторной утечке. 

  • Проблема назревала давно: год к году Роскомнадзор фиксирует высокий уровень утечек ПДн, в результате чего люди становятся жертвами мошенников, растет число преступлений. Если бизнес будет понимать уровень ответственности, фокус на защите и создании инфраструктур ИБ будет увеличен.

  • В то же время предприниматели опасаются, что увеличится давление и число проверок, вырастет риск манипуляции со стороны конкурентов.

  • Потребуется время, чтобы адаптироваться к новым вводным. Возможно появление страховых компаний, которые бы защищали от подобных рисков, также в компаниях будет увеличен бюджет на ИБ, пересмотрена стратегия.

  • Для защиты данных нужно использовать комплексный подход к ИБ: обрабатывать информацию на платформах, которые аттестованы по требованиям приказов ФСТЭК №17, №21 и по максимальному классу К1 / УЗ1, использовать DLP-системы для контроля над утечками.

Что вы думаете о новом законопроекте? Какие меры предпримете у себя в первую очередь? 

Комментарии (4)


  1. PereslavlFoto
    17.12.2024 10:35

    Будьте добры, прокомментируйте, пожалуйста, нарушения в обработке ПД на этом сайте. Там размещено множество имён, фамилий, адресов на конвертах, фотографий и прочих сведений, которые позволяют установить личность.

    https://goskatalog.ru/portal/#/collections

    Спасибо!


    1. k_orlov Автор
      17.12.2024 10:35

      Вероятнее всего, данный сайт руководствуется гл. 1 статья 1, п. 2.2. ФЗ «О персональных данных»:

      «2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

      2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;»


      1. PereslavlFoto
        17.12.2024 10:35

        Давайте посмотрим на три примера.

        https://goskatalog.ru/portal/#/collections?id=56327742

        Это орден, он не является архивным документом, однако в описании приведены персональные данные.

        https://goskatalog.ru/portal/#/collections?id=56117611

        Это деревянное веретено, оно не является архивным документом, однако в описании опять ПД.

        https://goskatalog.ru/portal/#/collections?id=51129380

        Это пулемётная лента, она не является архивным документом, а про описание боюсь даже говорить.

        Примеры выбраны как типичные и характерные.


  1. evil_raider
    17.12.2024 10:35

    По опросу ComNews.ru, сейчас менее половины (44%) операторов персональных данных полностью поддерживают ужесточение ответственности за утечки.

    Кто бы сомневался? :-) Им очень нравится халатно хранить ПД, допускать утечки и не нести за это значимую ответственность - конечно, они не поддерживают ужесточение.