«Пришло время задуматься о безопасности персональных данных»

С 1 сентября в России вступили в силу изменения в Федеральном законе №152-ФЗ. Теперь отказ от предоставления персональных данных не может считаться основанием для отказа в продаже товара или оказании услуг, не считая случаев, где это обязательно; документ также запрещает сбор и обработку биометрических данных несовершеннолетних. Новый закон накладывает ряд дополнительных обязанностей и на компании, которые должны сообщать органам власти о случаях утечки информации.
О том, что изменилось в правилах обращения с персональными данными, как бизнесу подготовиться к новым требованиям закона и на что следует обратить особое внимание, рассказал основатель компании Ovodov CyberSecurity Александр Оводов.

Выйти из полноэкранного режима

Развернуть на весь экран

— Расскажите коротко о положениях нового закона. Кого он затрагивает?

— Изменений достаточно много. Во-первых, изменились условия, которые можно прописывать в договоре с субъектом персональных данных. Согласия должны стать однозначными. Раньше организации регулярно использовали расплывчатые формулировки, теперь же придется указывать конкретно: для каких целей и какие именно данные собираются и как обрабатываются. Кроме того, закон устанавливает ограничения на сбор персональных данных несовершеннолетних лиц с целями, не определенными законодательством.

Второе — предоставление биометрических данных не может быть обязательным, за исключением случаев, когда это требуется по закону. В любой организации, где используется биометрия, необходимо оценить основания для сбора и либо прекратить обработку, либо выполнить требования к использованию биометрических персональных данных, определенные 149-ФЗ, и подключиться к единой биометрической системе.

В-третьих, изменились требования к организациям, которые обрабатывают персональные данные по поручению: это касается бухгалтерского или IT-аутсорсинга, служб по доставке грузов, рекламных или маркетинговых агентств, организаторов деловых поездок, выставок и многих других. Предпринимателям необходимо пересмотреть договора с такими компаниями, внести в них дополнительные требования по обеспечению безопасности и потребовать подтверждения выполнения мер от партнера.

Следующий пункт касается трансграничной передачи персональной информации. По решению Роскомнадзора такая передача в отдельные страны или организации может быть запрещена. Поэтому сейчас всем организациям, работа которых подразумевает какую-либо передачу персональных данных зарубежным контрагентам, требуется подготовить и подать отдельные уведомления в Роскомнадзор по всем юрисдикциям.

Теперь для каждой цели обработки персональных данных в документах должны быть отражены категории субъектов, состав, действия, сроки обработки персональных данных. Это тоже увеличивает объем документов, как локальных актов, так и политики в отношении обработки персональных данных: она должна обязательно публиковаться на каждой странице сайта, где осуществляется сбор персональных данных. Также разрабатываются методики оценки вреда субъектам персональных данных и методики уничтожения этой информации.

Одно из крупнейших нововведений— обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Оператором системы является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), дочерняя организация ФСБ РФ. Соответственно, в обязательном порядке нужно будет подавать в это ведомство сведения о компьютерных инцидентах, которые повлекли за собой неправомерную передачу, распространение персональных данных, несанкционированный доступ к ним. Если в компании произошла подобная утечка, в течение суток о ней необходимо сообщить также в Роскомнадзор, а в течение трех суток— провести расследование, определить виновных, принять меры к минимизации ущерба и отчитаться.

— Предусмотрен ли переходный период в новом законе о персональных данных? Какие санкции предусмотрены в отношении нарушителей?

— Как такового переходного периода нет, большая часть требований вступила в силу с 1 сентября этого года. Единственное, на что есть отсрочка, — это время, необходимое регуляторам для принятия дополнительных актов.

Штрафы за несоответствие требованиям по персональным данным повысили еще в прошлом году. Более того, уже сейчас в Госдуме рассматривается законопроект о введении оборотных штрафов. В таком случае размер взыскания может составить 1-3% от годовой выручки компании. Как вы понимаете, это могут быть очень существенные суммы.

— Как теперь будет выглядеть алгоритм работы с персональными данными?

— Организациям нужно пересмотреть процессы сбора, оформления и обработки персональных данных, привести в соответствие с новыми требованиями локальные акты. Техническую часть нужно будет доработать в части процессов реагирования на компьютерные инциденты: чтобы сообщить о подобном происшествии в Роскомнадзор и НКЦКИ, вы должны знать не только о самом факте инцидента, но и о его технических подробностях. Если факт утечки придется расследовать, это потребует привлечения технических специалистов, которые есть не во всех организациях. Эти функции, как мы считаем, будут передаваться на аутсорсинг специализированным компаниям.

— Подразумевает ли закон, что предпринимателям придется менять ПО, закупать какое-либо оборудование для соблюдения новых требований? По вашей оценке, в какую сумму может обойтись бизнесу обновление?

— Если ранее организация не построила полноценную систему защиты персональных данных, не провела оценку соответствия требованиям, то сейчас, конечно, потребуются дополнительные вложения. И напротив, если компания и прежде уделяла достаточно внимания антивирусному ПО, межсетевым экранам, средствам обнаружения атак, внедряла средства контроля и предотвращения утечек информации, никаких дополнительных мер реализовывать не придется. По поводу конкретных сумм говорить сложно, потому что масштабы самих организаций несравнимы.

— Могут ли возникнуть проблемы с импортозамещением технических и программных решений средств защиты информации?

— По импортозамещению особых сложностей нет, потому что сейчас на рынке есть российские аналоги практически всех зарубежных средств защиты информации. Наши средства защиты успешно выступают наравне с западными конкурентами даже на международных рынках.

— Какие услуги и решения вы предлагаете компаниям?

— Мы занимаемся защитой персональных данных уже 11 лет и знаем эту сферу вдоль и поперек. Мы выполнили больше 500 проектов по всей России, в совершенно разных компаниях.

Сегодня мы можем предложить клиентам полный комплекс работ по защите персональных данных. Сейчас наиболее актуально провести оценку соответствия процессов обработки и защиты персональных данных на соответствие обновленным требованиям законодательствам, актуализировать организационно-распорядительные и правовые документы по персональным данным и начать обнаруживать компьютерные атаки и утечки персональных данных.

Этот комплекс работ позволит минимизировать вероятность утечки, штрафов или шантажа организации со стороны мошенников. Почему мошенников — представьте себе такую ситуацию: в компанию звонят в пятницу в конце дня, говорят: «У вас произошла утечка, но мы можем это дело замять за скромное вознаграждение». В любом случае компании придется проверять, действительно ли была утечка, проводить расследование. Для этого нужны специалисты по информационной безопасности и инструменты для расследования компьютерных инцидентов, а у большинства компаний их просто нет, особенно в госсекторе и малом бизнесе.

Именно для компаний, у которых в штате нет специалистов по информационной безопасности, мы предлагаем аутсорсинг всех процессов, связанных с защитой персональных данных и обеспечением выполнения требований законодательства.

Более того, взяв организацию на аутсорсинг, мы берем на себя все риски, связанные с персональными данными, и финансово гарантируем свою ответственность. В случае, если у заказчика произойдет утечка или в ходе контрольно-надзорных мероприятий на организацию наложат штраф — мы компенсируем его в полном объеме. Компенсация штрафов и устранение предписаний за свой счет прописывается в договоре с заказчиком.

— Вы сможете помочь организации, у которой уже произошла утечка?

— Да, у нас есть услуга реагирования на инциденты. В течение двух рабочих часов к инциденту подключаются наши специалисты, проводят расследование, помогают заполнить уведомления и взаимодействовать с Роскомнадзором и НКЦКИ. По результатам расследования разрабатываем план, чтобы подобное не повторялось. Такие действия позволяют минимизировать ущерб, но штраф скорее всего организации придется заплатить.

— Видите ли вы угрозы бизнесу и информационной безопасности, связанные с введением закона?

— Как я уже говорил, есть риск появления мошенников, которые будут играть на этих сроках в 1-3 суток. Появятся вымогатели, которые будут атаковать компании, красть персональные данные и требовать выкуп. По большей части это будет касаться малого и среднего бизнеса, а также госсектора, потому что у них или нет штатных специалистов по информационной безопасности или их недостаточно для обеспечения должного уровня безопасности.

Хочу отметить, что если в компании раньше не уделялось должного внимания обеспечению безопасности персональных данных, то сейчас об этом стоит задуматься. Штрафы уже подняли, более того, они могут быть суммированы, если будут обнаружены нарушения по нескольким статьям. В том, что оборотные штрафы примут, я практически не сомневаюсь: в этом году было много громких утечек, и они продолжаются. На этом фоне бездействие законодателей выглядело бы преступным.