Затянувшееся «затягивание гаек»
Информационная безопасность
Ужесточение регулирования сферы информационной безопасности, начавшееся в 2022 году, продолжится и в текущем. Эксперты оценили плюсы и риски изменений для бизнеса.
События февраля 2022 года и последовавшие за ними новые санкции в отношении России обострили вопрос информационной безопасности страны. Так, по данным опроса «СерчИнформ», в прошлом году более трети опрошенных компаний отметили рост числа внешних кибератак по сравнению с 2021 годом, 44% респондентов столкнулись с утечкой информации, 32% — с утечкой персональных данных. Кроме того, возникли сложности с оборудованием и ИТ-продуктами зарубежных компаний, приостановивших или прекративших работу в России.
Реакция российских властей на изменения геополитической ситуации не заставила себя долго ждать. Уже в марте 2022 года вышел указ президента РФ № 166. Документом запрещалось органам государственной власти, госкомпаниям и операторам критической информационной инфраструктуры использовать средства информационной защиты иностранного производства. В случае, когда заменить их отечественными аналогами нельзя, была дана возможность обосновать использование зарубежных ИТ-продуктов и согласовать его. Действовать такая процедура должна до 2025 года, после чего планируется полностью запретить инструменты ИБ из недружественных стран. Спустя месяц после первого указа последовал второй — № 250. Он ввел те же запреты, но для стратегических и системообразующих предприятий (по состоянию на апрель 2023 года их насчитывается почти 1,4 тыс.). Также, согласно указу, в компаниях должны появиться ИБ-подразделения, если их еще нет, а ответственность за принятые меры возлагается на руководителя компании.
Больше требований и ответственности
В целом информационная безопасность — широкий термин и состоит из множества федеральных законов и подзаконных актов, напоминает управляющий партнер Legal House Ольга Звагольская. Речь идет о федеральных законах «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ), «О коммерческой тайне» (№ 98-ФЗ), «О персональных данных» (№ 152-ФЗ), «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ), о Доктрине информационной безопасности РФ (Указ президента №646) и проч. Сегодня, по словам госпожи Звагольской, все наблюдаемые изменения — это в основном раскрытие на подзаконном уровне ранее принятых положений федерального законодательства.
Все они так или иначе затрагивают бизнес. Довольно много нововведений вступили в силу в марте 2023 года. Так, теперь вместо 10 дней, в течение которых компании обязаны были уведомлять Роскомнадзор об изменении персональных данных, это необходимо сделать не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения. Также изменились правила уничтожения персональных данных. По словам экспертов, теперь компания должна подтверждать это актом об уничтожении личных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных. При этом если раньше акт об уничтожении можно было составить в свободной форме, то теперь есть перечень данных, указывать которые обязательно.
Еще один важный мартовский приказ Роскомнадзора — № 178, отмечает Ольга Минаева, GR-директор «СёрчИнформ». В нем впервые установлены критерии оценки размера вреда, нанесенного в результате утечки данных. «В рамках ожидаемого в 2023 году закона об оборотных штрафах такая оценка необходима для градации мер наказания для операторов персональных данных. Диверсифицированный подход позволит сформулировать ощутимое и соответствующее ущербу наказание за крупные утечки, особенно в части чувствительных данных»,— отмечает госпожа Минаева.
Также в марте вступила в силу вторая часть масштабной реформы законодательства по обработке персональных данных. В частности, стали действовать нормы, регулирующие трансграничную передачу персональных данных. То есть компании должны уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян. При этом, как поясняет госпожа Звагольская, ведомство может запретить такую передачу данных, ссылаясь в том числе на защиту основ конституционного строя и обеспечение обороны страны.
Вместе с ростом требований ужесточается и ответственность. Так, станет больше выездных проверок, связанных с персональными данными. При этом, как отмечают эксперты, по ряду нарушений привлечь к ответственности смогут и без контрольных мероприятий — для этого достаточно будет жалобы или информации в СМИ об утечке данных.
Вступившие в феврале этого года поправки в КоАП РФ устанавливают ответственность за подключение точки связи к точке обмена трафиком, владелец которой не обеспечивает реализацию установленных требований федерального законодательства. «На юридических лиц может быть наложена ответственность до 300 тыс. рублей, или даже административное приостановление деятельности на срок до 90 суток (№ 19-ФЗ)»,— уточняет Ольга Звагольская. Ольга Минаева напоминает, что сейчас обсуждается вопрос о введении уголовной ответственности за продажу персональных данных. «Конечно, здесь важно будет соблюсти баланс, провести качественное расследование и отследить всю цепочку участников, а не просто наказать самого продавца как конечное физическое лицо»,— надеется госпожа Минаева.
Плюсы и риски
Наблюдаемое сегодня ужесточение регуляторики в ближайшее время продолжится, считают эксперты. «Нас ожидает дальнейшее "затягивание гаек", введение дополнительной ответственности, ужесточение ее. Государство непрозрачно намекает на токсичность любой трансграничной активности, а также на обязательность для бизнеса регулирования, связанного с информационной безопасностью»,— говорит Ольга Звагольская. При этом, по ее словам, можно надеяться и на дальнейшее появление механизмов, способных помочь бизнесу исполнить новое регулирование и обеспечить безопасность собственной операционной деятельности. При этом она отмечает такую особенность текущего правового поля, как непредсказуемость изменений. «Может быть "воскрешен" и принят одним днем законопроект, в течение многих лет находящийся на рассмотрении, при этом широко анонсированные нормы могут быть и не приняты. Широко распространена также практика "теневых поправок", когда важные изменения какого-либо законодательного акта появляются во втором-третьем чтении какого-либо законопроекта, никак не связанного с предметом правок»,— комментирует госпожа Звагольская.
Ольга Минаева полагает, что перечисленные тренды по защите персональных данных имеют свои плюсы. Так, по ее мнению, с введением норм в части оборотных штрафов, уголовной ответственности, гражданам станет безопаснее взаимодействовать с организациями. «Закон об оборотных штрафах обсуждается уже достаточно давно, а реалии требуют его скорейшего принятия. Текущая социально-экономическая обстановка усиливает риски относительно персональных данных, а существующие штрафы, к сожалению, не стимулируют компании использовать защитные средства. Возможно, поменяется и отношение людей к собственным персональным данным и организациям, которые их собирают. Надеюсь, что в будущем "знаком качества" станет уровень защиты данных внутри организации, на который будут ориентироваться пользователи»,— говорит Минаева. При этом она отмечает риски. «Те организации, которые вовремя не успеют разобраться и внедрить средства защиты, могут получить достаточно внушительный штраф. Для малого и среднего бизнеса такие изменения повысят актуальность аутсорсинга услуг информационной безопасности»,— поясняет эксперт.
Эксперты «СёрчИнформ», опираясь на данные своего исследования, говорят о том, что бюджеты бизнеса на информационную безопасность в 2023 году должны вырасти. Такими планами поделились 60% участников опроса. Сегодня больше всего финансируют ИБ в нефтегазовой и финансовой сфере, меньше вкладываются в ИБ в ретейле. В 2022 году у 80% компаний выделенный бюджет шел на продление лицензионных ключей, 54% респондентов закупали новое оборудование и ПО. Среди проблем, с которыми в 2022 году пришлось столкнуться бизнесу, 19% респондентов назвали дефицит ИБ-кадров. Притом что для 40% организаций эта проблема не является острой и они никогда не испытывали проблем с наймом ИБ-специалистов.