Будущее информационной безопасности в компаниях aka "оборотные штрафы" и "заместитель и отдел по ИБ в организациях"


#1

Всем йоу,

Вот смотрите, сейчас активно прорабатывается вопрос об оборотных штрафах за утечки персональных данных. Да, оборотный будет только второй, а первый фиксированный и размер штрафа будет считаться по объемам и критичности персональных данных в утечках, будут еще отягчающие и смягчающие обстоятельства. Там много разного и спорного и кажется что делается это сейчас не для того, чтобы сделать бизнес безопаснее или обезопасить данные пользователей. Что думаете?

Оно понятно что в свете последних многочисленных утечек в огромнейшем количестве правительство старается обратить внимание на ИБ и хочет начать карательно контролировать это под соусом с названием “пополни бюджет штрафами за утечку”. Но теперь еще и обязательно это будет и не понятно как будут разбираться с такими делами.

Да, к чему это я на самом деле – сегодня было опубликовано постановление Правительства РФ от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)» (ссылка). Да, там речь идет про госуху, КИИ и большие предприятия, но что-то подсказываем на малый и средний бизнес это скоро тоже распространится. Как вам кажется?

± Большое разъяснение от Минцифры

:bookmark_tabs: Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку персональных данных

По итогам обсуждений с отраслью Минцифры готовит изменения в законопроект об оборотных штрафах за утечки персональных данных. Министерство настаивает на усилении ответственности операторов персональных данных и при этом считает необходимым прояснить важные детали.

:pushpin: Основные изменения

:small_blue_diamond: Будет определено, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные.
:small_blue_diamond: Будет установлена соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте.
:small_blue_diamond: Штрафы будут применяться в два этапа. За первую утечку штраф будет фиксированным. Его размер будет зависеть от объема данных, утечку которых допустила компания. В случае повторной утечки будет применяться оборотный штраф.
:small_blue_diamond: Для оборотных штрафов будут установлены границы («от» и «до» какого процента от выручки можно будет взыскать). Будут учитываться смягчающие и отягчающие обстоятельства. Например, если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным.
:small_blue_diamond: Будет предусмотрена процедура добровольной аккредитации компаний по критериям информационной безопасности. Возможно, она будет связана с механизмом страхования профессиональной ответственности. Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство. Аккредитация потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований.

:pushpin: Позиция Минцифры

:small_blue_diamond: Минцифры настаивает на усилении ответственности за утечки персональных данных. Это серьезная проблема, для решения которой не хватает существующей регуляторики. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством, и в итоге причиняют еще больший ущерб гражданам.
:small_blue_diamond: Дополнительная ответственность в виде оборотных штрафов побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей. Сейчас вопрос нарушений законодательства в области персональных данных регулируется статьей 13.11 Административного кодекса. Максимальное наказание, установленное в ней, предполагает штраф в 500 тыс. рублей для юридических лиц. Оборотные штрафы, на введении которых настаивает Минцифры, будут исчисляться в процентах от выручки компаний. Так, оборотный штраф в 1% для компании с выручкой в 100 млрд руб. составит 1 млрд руб.
:small_blue_diamond: Реальный уровень защиты, действующий в компаниях, сейчас определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности.
:small_blue_diamond: Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агенством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.

© https://t.me/mintsifry/1296

И Иван Бегтин хорошо написал про ключевые тезисы законопроекта вводящего оборотные штрафы за утечки персональных данных

Я несколько дней комментировал СМИ по поводу нового законопроекта (почти закона) вводящего оборотные штрафы за утечки персональных данных и, вроде бы, ещё не писал здесь.

Сформулирую несколько ключевых тезисов:

  1. Утечки персональных и иных конфиденциальных данных - это, безусловно, серьёзная проблема. Она стала серьёзнее с того момента как российские компании потеряли возможность на диалог с зарубежными регуляторами и теперь не могут получить содействия в удалении утекших данных с зарубежных хостингов.
  2. К предыдущим проблемам утечек связанных с работой коммерческих хакеров сейчас добавилась идеологизированная ситуация с тем что утечки не только происходят, но и на их основе создаются интерактивные продукты ориентированные уже не на хакеров, а на обывателей, чем обывателей довольно сильно пугают.
  3. Декларируемый законопроект призван, как может показаться из выступлений инициаторов, защитить гражданина от утечек, а ещё точнее “ввести драконовские меры” напугать цифровые компании чтобы те вложили больше ресурсов в безопасность пользовательских данных
  4. Все основные меры законопроекта - карательно контрольные. Мол получите штраф, подключитесь к ГосСопке и получите ещё штраф если не уведомили пользователей.
  5. Главное чего нет в законопроекте - это интересов гражданина и пользователя. Штрафы идут в федеральный бюджет а гражданин не получает компенсации, ни материальной, ни моральной. Он вообще ничего не получает кроме того что узнает что вот этой компании сделали больно.
  6. В то же время последние выступления о том чтобы ввести 3-х уровневое наказание для компаний и за первую утечку только пожурить вызывают только смех. У большинства крупных цифровых холдингов и не было больше одной утечки за последние 10 лет. Вот утечет вся база Госуслуг, чтоже, за первую утечку только пожурят? Очень смешно
  7. Поэтому я не могу назвать эту меру ни то что системной, но и даже осмысленной. А самое главное, будущий закон не предлагает пути минимизации утечек как явления.
  8. Что для этого нужно? Во первых, как минимум, введения требований по страхованию компаний от утечек и требований по обязательному полугодовому/годовому техническому аудиту. Это очень не понравится цифровым компаниям, потому что страховки будут дорогими, а в свою инфраструктуру никто пускать не любит, но ответственность за утечку должны нести, и компания, и аудитор.
  9. Во вторых, и это важно, страховые выплаты в случаях утечек должны идти на покрытие судебных издержек и выплаты пользователям.
  10. И, в третьи, и это тоже важно, если и вводить оборотные штрафы, то они также должны идти не в федеральный бюджет, а в специальный фонд по аналогии агентства страхования вкладов для выплат потерпевшим. А оборотные штрафы накладывать надо с учётом холдинговой структуры ИТ бизнеса, иначе у многих компаний сейчас будет ох[р]ененный соблазн вешать свои информационные системы на свои расходные, а не доходные дочерние компании, а потом штрафы платить именно с них.

(с) https://t.me/begtin


#2

Ви таки хотели что-то предложить?


#3

Как раз нет вообще :slight_smile: Мне интересно ваше видение и поразмышлять с вами над этим потому что это, ну… будущее и оно какое-то угрожающее как мне кажется :thinking:

P.S. Да, ИБ то мы делаем, но тут то про регуляторку, и внутрянку компании, а не про аутсорсинг или аутстаффинг.


#4

Не могу припомнить, чтобы за последние 5 лет нашу организацию или кого-то из моего круга общения карательно контролировали. Было множество отсрочек по маркировке, была амнистия по налоговым проверкам, были субсидии по ковиду. Всё максимально ласково и ненавязчиво.

Не усматриваю здесь угроз. Примут - будем делать.
Ваша организация, как мне представляется, работает с клиентами из многих стран. И как там у них с законодательной базой по ПД? Я вот думаю, что гораздо строже.


#5

В вот как раз про будущее. С ковидом и всем остальным и проверкам налоговым да, много поблажек было, но там как раз было для сохранения бизнесов, наверное, а тут прямо как-то жестко, кажется, надеюсь только кажется :slight_smile: Ну и смотрю на прошлые попытки просто это внедрять еще.

Тут да, за рубежом нам приходится соблюдать кучу требований, начиная от GDPR и Schrems II, FedRAMP, HIPAA, ISO 27018 и 27017, PCI и другие страшные аббревиатуры, некоторые конечно чрезмерны, но штош (тут это к вашей фразе “Примут - будем делать”). У них это больше проработано, конечно.

Как по мне, в РФ это не оч хорошо развито и слабовато контролируется и быстрое внедрение не приводило ни к чему хорошему. Основное у нас это пока 152-ФЗ с его дополнениями и разъяснениями; есть конечно еще постановление Правительства РФ № 1119 и приказ ФСТЭК № 21, а на ISO пока у нас как-то “забивают”. А когда с РКНом и ФСБшниками общаюсь, они говорят пока достаточно соблюдать 152 и не провоцировать новые утечки, ах, ну и если что есть подозрительное или преступления какие-то то оповещать их. Вот обрабатывать ПДН и быть оператором ПДН это боль, то там же требований куча начиная и отдельных помещений и требований к ним, что только верхушка айсберга, да и хорошо что мы не оператор таких данных :slight_smile:


#6

Можно включить это дело в модуль Advanced Security


#7

Ах если бы, ах, если бы,
не жизнь была б, а песня бы

:grinning:


#8

Поправки в 152-ФЗ начнут действовать уже с 1 сентября, пишет “ИБшнику

Разбираемся в обновлениях:

  1. Операторы ПДн обязаны сообщать в Роскомнадзор о кибератаках и утечках. Информирование будет проходить в два этапа: в течение суток — описание скомпрометированных данных; в течение трех суток — результаты внутренней проверки.
    Операторы будут обязаны обеспечивать взаимодействие с ГосСОПКА.
  2. Документ запрещает сбор личных данных — номеров телефона, электронной почты и других — у потребителей без явной необходимости при покупке ими товаров и услуг. Отозвать персональные данные теперь можно без обоснования, просто потому что это ПДн. Также принятые весной поправки в статью 14.8 КоАП, в частности, вводят наказание за отказ продавца заключать и исполнять договор, если потребитель не согласен представить свои персональные данные. Должностным лицам будет грозить штраф в размере от 5 тыс. до 10 тыс. рублей, а юридическим — от 30 тыс. до 50 тыс. рублей
  3. Сокращен перечень случаев, когда оператор вправе не направлять уведомление об обработке персональных данных в РКН. Теперь нужно уведомлять, даже если это только ФИО, в рамках договоров или трудового законодательства.

Всем операторам ПДн рекомендуется провести аудит согласий на обработку данных и привести их в соответствие с новыми требованиями https://sozd.duma.gov.ru/bill/1184356-7

  • Я оператор ПДн (персональных данных)
  • Я не оператор ПДн, мне неинтересно это

0 голосов