Эксперты: контроль за соблюдением требований 152-ФЗ усиливается
Такое мнение высказали участники семинаров по защите персональных данных, организованных Linxdatacenter для представителей бизнеса в Москве и Санкт-Петербурге в октябре 2019 года. Семинары стали продолжением летних мероприятий «152-ФЗ: ожидания и реальность».
Личные данные пользователей играют все более значимую роль для создания новых бизнес-моделей, сервисов и продуктов, где используются аналитика данных, различные виды распознавания и идентификации личности, онлайн-транзакции и т.д. Вместе с этим увеличивается и нагрузка на бизнес по обеспечению корректной обработки этой информации в соответствии с законодательством РФ. При невыполнении требований регулятор будет штрафовать компании.
Однако Вадим Перевалов, старший юрист BakerMcKenzie, считает, что штрафы для бизнеса – еще не самое страшное последствие нарушений в области работы с ПДн сегодня. «За обработку ПДн без письменного согласия лица предусмотрен административный штраф. Также Роскомнадзор выписывает предписание об устранении в срок до 6 месяцев. Однако самый неприятный момент – это опубликование информации о нарушении закона в открытых источниках. Для крупных компаний попадание в такие источники и далее в СМИ означает репутационные риски, которые могут оказаться существенно более дорогими по сравнению с любыми штрафами и предписаниями», - обращает внимание эксперт.
Также, по его словам, «на карандаш» регулятора можно попасть в случае, если поступает определенное количество жалоб на компанию по поводу нарушения закона, если на сайте компании не опубликована политика об обработке ПДн, не поданы соответствующие уведомления об обработке ПДн в РКН и т.д.
Участники семинаров пришли к выводу о том, что в современных условиях комплекс работ по обработке и защите ПДн представляет собой бесконечный цикл, поскольку в большинстве компаний конфигурации ИБ-систем и утвержденные бизнес-процессы отстают от скорости развития кибер-угроз и требуют обновления по мере изменения бизнес-процессов.
По словам Бориса Меркулова, инженера по облачным решениям и информационной безопасности Linxdatacenter, одним из факторов риска становится развитие облаков. По прогнозам аналитиков, около 83% корпоративных ИТ-систем крупных компаний вскоре мигрирует на облачные платформы, что уже сейчас приводит к трансформации кибер-атак в сторону комбинированного типа (использование шифровальщиков, ботнетов на 0-day и т.д.).
Главный же вызов для большинства компаний сегодня – это фишинг. В среднем, на каждый бизнес в мире приходится до 200 фишинговых писем в день. Более того, в связи с распространением утечек ПДн фишинг становится таргетированным и более эффективным.
«Применительно к России можно сказать, что наличие 152-ФЗ и 242-ФЗ гарантирует выполнение необходимого минимума мер информационной безопасности по защите персональных данных. Однако регуляторы слишком медленно реагируют на изменения кибер-угроз, выпуская запоздалые оповещения и рекомендации по борьбе с давно выявленными на практике видами угроз. В этой ситуации бизнес должен брать на себя все функции по самостоятельному исследованию ландшафта угроз и принятию адекватных мер по их предотвращению и устранению. Сервис-провайдерам необходимо как отслеживать текущее состояние ИБ-направления, так и предоставлять решения по инфраструктурному и правовому соответствию ИБ-решений для конечных клиентов», - рассказал Борис Меркулов.
По словам Ольги Ермаковой, старшего юрисконсульта и комплаенс специалиста Linxdatacenter, согласно требованиям статьи 19 закона 152-ФЗ в области защиты ПДн, бизнес обязан принимать три вида мер по ее обеспечению – организационные, правовые и технические. Данные меры должны быть необходимыми и достаточными для выполнения требований закона.
«Сегодня любая организация может сама строить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным передачу этой сферы под контроль компетентного подрядчика. Это позволяет обеспечить дополнительный взгляд на задачу «со стороны», правовую и техническую экспертизу, подтвержденную необходимыми сертификатами в области ИБ», - говорит эксперт.
«Интересный пример передового решения по обработки ПДн в современном контексте требований регулятора представила Дарья Прохорова, руководитель направления по правовому сопровождению проектов «Газпром нефть».
На фоне идущей в компании цифровой перестройки всех бизнес-процессов было принято решение разработать процедуры получения согласия на обработку персональных данных, альтернативные оформлению в письменной форме, которые будут использованы при прохождении в помещения компании. Так, в настоящий момент Научно-Технический Центр «Газпром нефти» прорабатывает решение, которое позволяет посетителю ознакомиться с соглашением об обработке ПДн в электронном виде и подписать его – без ручки и бумаги. Действующие нормы Гражданского кодекса позволяют подтверждать достоверность соглашений без подписи, посредством конклюдентных действий, например, путем сканирования паспорта.
Планируемая к созданию для Научно-Технического Центра «Газпром нефти» система согласно разработанной концепции будет распознавать фото из паспорта, делать фото посетителя, сопоставлять их, считывать реквизиты паспорта и автоматически заносить их в базу электронных согласий.
Такие действия позволяют получить согласие на обработку биометрических ПДн в форме электронного документа, а необходимость работы с бумагой устраняется.
Управления Роскомнадзора по-разному отзываются об идее получения согласия в электронной форме с помощью электронной подписи, и как резюмирует Дарья Прохорова: «Нужно быть готовым к тому, что правоприменительная практика по данному вопросу в России пока недостаточно проработана, и возможно различное толкование норм права регулятором и операторами персональных данных. В то же время, со своей стороны, мы надеемся, что реализация проекта будет проходить в единомыслии с уполномоченными органами».
Эксперты резюмировали, что бизнесу пока не хватает экспертизы для самостоятельного выполнения требований 152-ФЗ, и, что еще важнее, компании не стремятся приобрести эти знания в силу сложности процедур. В этой ситуации одним из главных векторов развития сферы защиты ПДн остается аутсорсинг, когда весь комплекс ИБ-задач решается в защищенном облаке стороннего сервис-провайдера, обладающего необходимыми сертификатами от регуляторов, встроенными инструментами безопасности, а также защитой на уровне архитектуры решения (например, за счет гибридного облака). Специалисты Linxdatacenter фиксируют постоянно растущий спрос на такую комплексную услугу от клиентов, оперирующих личными данными потребителей.
*** Краткая справка о Linxdatacenter Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.
Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата-центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform.
Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.
Подробнее о решениях Linxdatacenter на сайте https://ru.linxdatacenter.com/
В пятницу, 13 декабря, прошло занятие образовательного проекта Security Skills от компании «Газинформсервис». Никакие суеверия не страшны тем, кто готов противостоять реальным киберугрозам со студенческой скамьи: на мероприятии собрались десятки студентов из ведущих вузов Санкт-Петербурга: ИТМО, СПбГУТ, СПбПУ, СПбГМТУ, ПГУПС и других.
LG Electronics (LG), лидер в области технологий в секторе мобильности, собирается продемонстрировать инновацию под названием «AI In-Vehicle Experience» от LG на выставке CES 2025.
В рамках обновления интерфейса RTBSape реализовали улучшенную систему отчетности, предоставляющую больше возможностей для анализа и оптимизации рекламных кампаний
mClouds запустил новую GPU-платформу на базе AMD EPYC 9374F и видеокарт NVIDIA L4, L40S и A16.платформу для высоконагруженных задач, таких как машинное обучение, анализ данных, проектирование и 3D-рендеринг.
Компании «Газинформсервис» и Positive Technologies продолжают стратегическое партнёрство, сосредоточенное на подготовке квалифицированных кадров и обмене передовым опытом в области кибербезопасности.
Платформа корпоративных коммуникаций DION (ИТ-холдинг Т1) заняла второе место в рейтинге российских ВКС-решений, опубликованном ИТ-маркетплейсом Market.CNews. Рейтинг был сформирован на основе балльной системы оценки по ряду критериев. К ним относятся функциональные возможности, максимальное число участников видеоконференции и аудиозвонка, продолжительность тестового периода, общее количество пользователей и стоимость лицензии на решение.
Центр компетенций в области транспортного планирования и моделирования, группа компаний SIMETRA, защитила разработанный проект по выбору оптимального планировочного решения для строительства одного из ключевых транспортных узлов Чебоксарской агломерации
«1С-Рарус:Финансовый менеджмент» редакции 3.0 получил очередной сертификат «Совместимо! Система программ 1С:Предприятие». Дополнение прошло тестирование фирмы «1С» на соответствие требованиям разработки совместных решений.
Председатель комитета АБР по финансовым технологиям, Председатель Правления ЕДИНОГО ЦУПИС Елена Шейкина 11 декабря провела заседание комитета АБР по финансовым технологиям. Участники встречи обсудили вопросы внедрения открытых API в банковском секторе, методические рекомендации по управлению данными участников финансового рынка, стандарты информационной безопасности и создание универсального решения для небольших банков.
«1С:Предприятие 8. Турагентство» редакции 3.0 успешно прошло очередную сертификацию на получение статуса «Совместимо! Система программ 1С:Предприятие». Функционал отраслевого решения постоянно развивается и соответствует требованиям фирмы «1С», предъявляемым к продуктам совместной разработки.
С помощью Directum Lite в строительной организации ведут одновременно десятки объектов, координируют работу подрядчиков, обрабатывают сотни документов. А руководители компании оперативно выявляют проблемы за счет возможностей решения «Проекты», которое помогает планировать и управлять процессами строительства.
