Эксперты: контроль за соблюдением требований 152-ФЗ усиливается
Такое мнение высказали участники семинаров по защите персональных данных, организованных Linxdatacenter для представителей бизнеса в Москве и Санкт-Петербурге в октябре 2019 года. Семинары стали продолжением летних мероприятий «152-ФЗ: ожидания и реальность».
Личные данные пользователей играют все более значимую роль для создания новых бизнес-моделей, сервисов и продуктов, где используются аналитика данных, различные виды распознавания и идентификации личности, онлайн-транзакции и т.д. Вместе с этим увеличивается и нагрузка на бизнес по обеспечению корректной обработки этой информации в соответствии с законодательством РФ. При невыполнении требований регулятор будет штрафовать компании.
Однако Вадим Перевалов, старший юрист BakerMcKenzie, считает, что штрафы для бизнеса – еще не самое страшное последствие нарушений в области работы с ПДн сегодня. «За обработку ПДн без письменного согласия лица предусмотрен административный штраф. Также Роскомнадзор выписывает предписание об устранении в срок до 6 месяцев. Однако самый неприятный момент – это опубликование информации о нарушении закона в открытых источниках. Для крупных компаний попадание в такие источники и далее в СМИ означает репутационные риски, которые могут оказаться существенно более дорогими по сравнению с любыми штрафами и предписаниями», - обращает внимание эксперт.
Также, по его словам, «на карандаш» регулятора можно попасть в случае, если поступает определенное количество жалоб на компанию по поводу нарушения закона, если на сайте компании не опубликована политика об обработке ПДн, не поданы соответствующие уведомления об обработке ПДн в РКН и т.д.
Участники семинаров пришли к выводу о том, что в современных условиях комплекс работ по обработке и защите ПДн представляет собой бесконечный цикл, поскольку в большинстве компаний конфигурации ИБ-систем и утвержденные бизнес-процессы отстают от скорости развития кибер-угроз и требуют обновления по мере изменения бизнес-процессов.
По словам Бориса Меркулова, инженера по облачным решениям и информационной безопасности Linxdatacenter, одним из факторов риска становится развитие облаков. По прогнозам аналитиков, около 83% корпоративных ИТ-систем крупных компаний вскоре мигрирует на облачные платформы, что уже сейчас приводит к трансформации кибер-атак в сторону комбинированного типа (использование шифровальщиков, ботнетов на 0-day и т.д.).
Главный же вызов для большинства компаний сегодня – это фишинг. В среднем, на каждый бизнес в мире приходится до 200 фишинговых писем в день. Более того, в связи с распространением утечек ПДн фишинг становится таргетированным и более эффективным.
«Применительно к России можно сказать, что наличие 152-ФЗ и 242-ФЗ гарантирует выполнение необходимого минимума мер информационной безопасности по защите персональных данных. Однако регуляторы слишком медленно реагируют на изменения кибер-угроз, выпуская запоздалые оповещения и рекомендации по борьбе с давно выявленными на практике видами угроз. В этой ситуации бизнес должен брать на себя все функции по самостоятельному исследованию ландшафта угроз и принятию адекватных мер по их предотвращению и устранению. Сервис-провайдерам необходимо как отслеживать текущее состояние ИБ-направления, так и предоставлять решения по инфраструктурному и правовому соответствию ИБ-решений для конечных клиентов», - рассказал Борис Меркулов.
По словам Ольги Ермаковой, старшего юрисконсульта и комплаенс специалиста Linxdatacenter, согласно требованиям статьи 19 закона 152-ФЗ в области защиты ПДн, бизнес обязан принимать три вида мер по ее обеспечению – организационные, правовые и технические. Данные меры должны быть необходимыми и достаточными для выполнения требований закона.
«Сегодня любая организация может сама строить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным передачу этой сферы под контроль компетентного подрядчика. Это позволяет обеспечить дополнительный взгляд на задачу «со стороны», правовую и техническую экспертизу, подтвержденную необходимыми сертификатами в области ИБ», - говорит эксперт.
«Интересный пример передового решения по обработки ПДн в современном контексте требований регулятора представила Дарья Прохорова, руководитель направления по правовому сопровождению проектов «Газпром нефть».
На фоне идущей в компании цифровой перестройки всех бизнес-процессов было принято решение разработать процедуры получения согласия на обработку персональных данных, альтернативные оформлению в письменной форме, которые будут использованы при прохождении в помещения компании. Так, в настоящий момент Научно-Технический Центр «Газпром нефти» прорабатывает решение, которое позволяет посетителю ознакомиться с соглашением об обработке ПДн в электронном виде и подписать его – без ручки и бумаги. Действующие нормы Гражданского кодекса позволяют подтверждать достоверность соглашений без подписи, посредством конклюдентных действий, например, путем сканирования паспорта.
Планируемая к созданию для Научно-Технического Центра «Газпром нефти» система согласно разработанной концепции будет распознавать фото из паспорта, делать фото посетителя, сопоставлять их, считывать реквизиты паспорта и автоматически заносить их в базу электронных согласий.
Такие действия позволяют получить согласие на обработку биометрических ПДн в форме электронного документа, а необходимость работы с бумагой устраняется.
Управления Роскомнадзора по-разному отзываются об идее получения согласия в электронной форме с помощью электронной подписи, и как резюмирует Дарья Прохорова: «Нужно быть готовым к тому, что правоприменительная практика по данному вопросу в России пока недостаточно проработана, и возможно различное толкование норм права регулятором и операторами персональных данных. В то же время, со своей стороны, мы надеемся, что реализация проекта будет проходить в единомыслии с уполномоченными органами».
Эксперты резюмировали, что бизнесу пока не хватает экспертизы для самостоятельного выполнения требований 152-ФЗ, и, что еще важнее, компании не стремятся приобрести эти знания в силу сложности процедур. В этой ситуации одним из главных векторов развития сферы защиты ПДн остается аутсорсинг, когда весь комплекс ИБ-задач решается в защищенном облаке стороннего сервис-провайдера, обладающего необходимыми сертификатами от регуляторов, встроенными инструментами безопасности, а также защитой на уровне архитектуры решения (например, за счет гибридного облака). Специалисты Linxdatacenter фиксируют постоянно растущий спрос на такую комплексную услугу от клиентов, оперирующих личными данными потребителей.
*** Краткая справка о Linxdatacenter Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.
Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата-центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform.
Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.
Подробнее о решениях Linxdatacenter на сайте https://ru.linxdatacenter.com/
Консалтинговая компания Axenix провела исследование конвергенции маркетплейсов и банков на российском и мировом рынках. Результаты исследования показывают, как влияет на рынок сближение и взаимопроникновение секторов финансов и электронной коммерции
В 2025 году российский рынок информационной безопасности (ИБ) стремительно развивался в ответ на требования цифровизации, регуляторные изменения и усиление угроз со стороны киберпреступности.
Специалисты ФСБ России провели успешные испытания «Континент-АП» Версия 4 (сборки 4.1.689.0 и 4.1.725.0) на соответствие требованиям к средствам криптографической защиты информации (СКЗИ).
Компания EGAR успешно завершила первый проект по внедрению и интеграции конвертера Swift-сообщений «СМАРТКОНВЕРТ» в инфраструктуру российского банка. Проект реализован в ответ на глобальные изменения Swift по обязательному переходу участников финансового рынка на стандарт ISO 20022. Внедрение конвертера позволит Заказчику обеспечить плавную миграцию платежных потоков без остановки операционной деятельности.
ГК «Оптимакрос» заняла 4 место в рейтинге ИТ-разработчиков 2024 года, чьи программные продукты используются в строительной отрасли. В итоговый список аналитики TAdviser включили компании с наибольшей выручкой от реализации ИТ-проектов на базе собственных решений.
ЗАО «Эвалар» и ООО «АС РС» (VARSEAS) заключили соглашение о стратегическом партнерстве, направленном на развитие инновационных решений в сфере продукции для здоровья и укрепление позиций сторон на российском и международном рынках. Подписание документов о сотрудничестве состоялось накануне на предприятии компании «Эвалар» в Бийске.
Платформа серверной виртуализации SpaceVM компании «ДАКОМ М» вошла в тройку лидеров ежегодного Рейтинга российских платформ виртуализации 2025, который подготовил аналитический отдел издания «Компьютерра».
Проведенные тесты подтверждают стабильную и эффективную работу совместного решения, что позволяет предлагать клиентам комплексные отечественные ИТ-продукты, соответствующие требованиям импортозамещения и информационной безопасности.
Работу станков, линий и технологических комплексов определяют проекты ПЛК, и любое несанкционированное изменение в их коде может привести не только к аварии и простоям, но и к угрозе безопасности людей.
Банк Уралсиб оценил результаты применения системы активной бизнес-аналитики Proceset, которая помогла повысить эффективность работы сотрудников с новым программным продуктом.
АО «Центр развития электронных торгов» (оператор ЭТП «Торги223») объявляет о завершении проекта по переносу инфраструктуры на облачную платформу Yandex Cloud.
Завод по производству автоклавного газобетона (входит в периметр ГК ФСК), расположенный на территории промышленно-строительного комплекса в Зеленограде, получил разрешение на ввод в эксплуатацию. Комплекс возводит ГК ФСК в рамках масштабного инвестиционного проекта (МаИП). По программе стимулирования создания мест приложения труда завод обеспечит более 100 высокотехнологичных рабочих мест.
