30 ноября 2024 года были приняты поправки в КоАП РФ, связанные с наказаниями за утечку персональных данных. Они вступили в силу 30 мая. Тем не менее, многие организации все еще решают: вложиться в ИБ и минимизировать риск инцидента или сэкономить на средствах защиты и надеяться, что утечка обойдет стороной. Рассмотрим, как операторам персданных спланировать свои действия в текущей ситуации.
Защищать нельзя игнорировать
Игнорировать ИБ в 2025 году — не вариант. По нашей статистике, с ИБ-инцидентами по вине сотрудников сталкивается почти каждая вторая (48%) отечественная компания. По статистике коллег из RED Security, количество кибератак на компании России возросло в 2,5 раза по сравнению с 2023 годом и составило порядка 130 тыс. Уже возбуждены первые уголовные дела по новой статье 272.1 УК РФ за неправомерное использование и передачу персданных. Поэтому обложиться «бумажными» политиками ИБ или надеяться на идеальную ИБ-грамотность персонала и бездействие хакеров и инсайдеров — все равно, что прятать голову в песок.
Вложения в ИБ — это не только возможность избежать штрафов или минимизировать их сумму. Также это защита репутации и секретов компании от недобросовестных конкурентов. Такие риски не менее опасны, чем штрафы. Поэтому эффективная ИБ дважды оправдана с экономической точки зрения.
Что и чем «закрывать»?
1. Задачи по взаимодействию с регулятором
Поправки в КоАП РФ введут наказания за неуведомление и несвоевременное уведомление Роскомнадзора об обработке персональных данных. Под угрозой штрафа в
Если ваша компания не включена в реестр операторов персданных, необходимо отправить регулятору соответствующее уведомление. Сделать это необходимо до начала обработки и сообщить регулятору состав персданных, сведения об ответственном за их обработку, о принятых ИБ-мерах и т. д.
В контексте принятых ИБ-мер оператор должен использовать средства защиты информации. Предпочтительнее всего те, что имеют сертификат ФСТЭК. Он, в том числе, гарантирует, что в ПО отсутствуют «закладки». То есть СЗИ не отправляет ваши данные кому-то еще и не предоставляет доступ извне. Например, из другой страны.
Здесь лучше всего подойдет отечественная DCAP-система. С ее помощью ИБ- или ИТ-специалист сможет оперативно установить, какие персданные обрабатывает компания. То есть найти все корпоративные файлы и «вычитать» их содержимое, будь это страницы текстовых файлов, таблицы, сканы или картинки. Система обнаружит среди них персональные данные: ФИО, личные документы, контакты и т. д. Если среди найденного окажутся данные граждан, которые компания обрабатывает без их согласия, то информацию потребуется удалить согласно требованиям закона. В противном случае регулятор может оштрафовать организацию суммой до 700 тыс. руб.
Также с помощью DCAP организация может реализовать базовый набор ИБ-мер: разграничить доступ к файлам, предотвратить их порчу и утрату благодаря созданию резервных копий. Эти меры можно указать в уведомлении для Роскомнадзора.
Помимо этого, поправки в КоАП РФ увеличивают наказание за утечки персданных и неуведомление об инцидентах с ними. Выявлять утечки и уведомлять о них потребуется оперативно. Согласно требованиям Роскомнадзора, на первичное уведомление об инциденте есть 24 часа с момента его обнаружения. На дополнительное, когда требуется определить обстоятельства и причастных к инциденту, 72 часа с момента обнаружения. Фактически, если с момента утечки пройдет больше суток и регулятор узнает о ней через интернет, то оштрафует организацию, из которой утекли данные, вплоть до 3 млн. руб. вне зависимости от принятых мер ИБ.
Для предотвращения, выявления и расследования утечек по вине внутренних злоумышленников необходима DLP-система. Укомплектованный этим средством защиты ИБ-отдел сможет вести учет действий сотрудников на рабочих местах и ограничивать потенциально опасные действия с персданными. Например, можно автоматически остановить пересылку сообщений с ИНН в мессенджере, загрузку файла с ФИО в облако или запись клиентской базы на флешку.
Также ИБ-специалист может настроить отправку уведомлений о потенциальных инцидентах. Это позволит, например, оперативно отреагировать на фотографирование экрана компьютера на телефон. Далее, по собранному архиву действий сотрудников, ИБ-отдел сможет определить обстоятельства инцидента и причастных к нему. Выяснить, имел ли место умысел, халатность, ошибка или социнженерия.
Если утечка произошла по вине хакеров, то для расследования понадобится SIEM. С ее помощью ИБ-специалист восстановит последовательность событий, которая привела к инциденту, и выявит, как в ИТ-инфраструктуру проникли хакеры. Это позволит устранить уязвимость и обезопасить корпоративную сеть.
2. Прикладные ИБ-задачи
Они отражены и в
- разграничению доступа к файлам с персданными;
- учету всех операций с файлами, которые содержат персданные;
- контролю перемещения информации в системе, ее ввода и выгрузки, в том числе, на машинные носители;
- выявлению и регистрации ИБ-событий;
- анализу причин инцидентов, оценке и ликвидации их последствий.
Если оператор добросовестно выполнит организационные задачи и эти технические меры, то это минимизирует риск инцидента и смягчит его последствия. Добросовестное выполнение этих указаний позволит:
- Найти реального виновника утечки, собрать доказательства его вины и добиться в отношении него возбуждения уголовного дела. Это снимет ответственность с организации.
- Доказать свою позицию в случае ошибочных действий регулятора. Например, в случае привлечения по новой норме за старые инциденты, или за привлечение к ответственности при отсутствии инцидентов.
- Претендовать на минимизацию наказания или его замену по общим смягчающим обстоятельствам.
Значительная часть этих задач полностью выполняется с помощью комплекса из DLP, DCAP и SIEM. Комплекс систем выполняет требования, которые прописаны в
При помощи DLP-системы ИБ-специалист может автоматизированно закрыть меры по контролю перемещения данных и действий пользователей. Технически это устроено так: DLP работает на уровне ПК сотрудника при помощи специальной программы — агента. На уровне корпоративной сети за счет подключения к сетевому оборудованию, почтовым серверам и т. д. И на уровне «облачных» платформ при помощи интеграций, реализованных разработчиками.
Работая с этими переменными, DLP выполняет инструкции ИБ-отдела. Перехватывает и хранит определенные данные, блокирует заданные опасные действия с информацией или сигнализирует о них. Например, ведет архив почтовых переписок сотрудников, блокирует отправку сообщений и файлов с ИНН. Или сигнализирует о том, что сотрудник озвучил собеседнику чьи-то паспортные данные.
Благодаря этому инструментарию ИБ-отдел также может выполнить требования по расследованию инцидентов. Выявить лиц, причастных к утечке и причины нарушения. Например, если ИБ-специалист выяснит, что инцидент произошел по злому умыслу сотрудника, то организация может добиться ответственности реального виновника и избежать штрафа.
Используя DCAP-систему, ИБ-отдел может выполнить все меры по разграничению доступа сотрудников к файлам с персданными. Технически это работает так: DCAP следует инструкциям ИБ-специалиста и находит все корпоративные файлы. Присваивает им метку классификации в зависимости их контента: ФИО, номер телефона, электронная почта и т. д.
Далее ИБ-специалист выбирает, какие пользователи могут взаимодействовать с файлами, на которых находится определенная метка, а какие — нет. Например, можно запретить некоторым ПК, пользователям и их группам взаимодействовать с файлами, которые помечены как «СНИЛС». В таком случае агент DCAP на компьютере сотрудника не позволит ему открыть документ с защищаемой информацией.
Помимо этого, DCAP помогает специалистам по безопасности выполнить меры по расследованию и ликвидации последствий инцидентов. Система хранит заданное количество копий помеченных файлов и фиксирует операции с ними. То есть ИБ-отдел, укомплектованный DCAP, может узнать историю «жизни» файла и восстановить его в случае порчи и удаления.
SIEM-система в руках ИБ-отдела позволяет «закрыть» требования по выявлению и регистрации ИБ-событий, выявлению возможных причин инцидентов и их анализу. Технически это работает так: ИБ-специалист подключает коннекторы к элементам ИТ-инфраструктуры в интерфейсе SIEM. Далее система централизованно получает, нормализует и хранит ИБ-события из разных источников. Позволяет выявить уязвимости в инфраструктуре и предотвратить сетевую атаку.
Благодаря этому, ИБ-отдел, «вооруженный» SIEM, видит все события в инфраструктуре. Может выявлять и предотвращать инциденты, расследовать нарушения, связанные с воздействием на информсистемы. Например, внедрение вредоносного ПО, создание подложных учетных записей, подбор паролей. Также SIEM позволяет найти и закрыть потенциальные «точки входа» в корпоративную сеть. Судебная практика показывает, что если компания оставила незакрытыми подобные «слабые» места, то это может привести к штрафу при инциденте.
Что в итоге?
При помощи DLP-, DCAP- и SIEM-систем ИБ-отдел может полноценно защитить персональные данные: «закрыть» нормативные требования и решить практические ИБ-задачи. То есть разграничить доступ к файлам с персданными, проконтролировать и учесть операции с ними. Выявить и собрать ИБ-события, расследовать возможные инциденты, определить их обстоятельства и найти причастных.
Комплекс этих ИБ-решений минимизирует риск инцидента, позволяет компании избежать штрафа и отстоять свою позицию в суде. Если утечка все-таки произойдет, то DLP-, DCAP- и SIEM-системы помогут организации оказать содействие регулятору при установлении ее обстоятельств, оперативно выполнить его указания и предотвратить последствия инцидента. При таких условиях общее правило КоАП РФ допускает смягчение ответственности.
