Как не допустить оборотных штрафов за утечку персональных данных

BIS Journal №2(57)2025

29 апреля, 2025

Как не допустить оборотных штрафов за утечку персональных данных

30 ноября 2024 года президент РФ подписал Федеральный закон №420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 30 мая 2025 года.

 

Какие меры предусмотрены для компаний за утечку персональных данных?

С момента вступления в силу изменений компаниям-операторам персональных данных могут быть предъявлены следующие штрафы:

  • до 300 тыс. руб. за несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных (далее ПДн);
  • до 3 млн руб. за каждую просрочку уведомления об утечке и промедление уведомления о результатах внутреннего расследования утечки;
  • до 500 млн руб. за утечку ПДн;
  • до десяти лет лишения свободы за незаконное использование ПДн.

Новые меры за нарушение работы с ПДн очень строгие, срок до вступления изменений в силу короткий. При оценке инцидента и вынесении наказания за утечку законодательство предусматривает смягчающие меры. Но их наличие не освобождает компанию от ответственности. Из всего многообразия ИБ-инструментов сейчас организациям необходимо выбирать защиту непосредственно самих данных.

 

В чём причины ужесточения наказания за утечку?

При общем росте уровня информационной безопасности в крупных российских организациях вопросу непосредственно защиты данных уделяется мало внимания. Все силы сосредоточены на защите инфраструктуры и управлении ИБ-инцидентами — защита периметра, мониторинг событий, управление контролем доступа. Эти меры важны для снижения уровня угроз, но сами данные не защищают. Персональные данные стали современной валютой, при организации целевых атак именно они являются мишенью для злоумышленников. По разным оценкам вероятность успеха атак, целью которых является похищение данных достигает 90%. Когда злоумышленники доберутся до желаемой цели — лишь вопрос времени. Такой масштаб проблемы побудил государство ужесточить регулирование, давая участникам рынка прямой сигнал — утечки персональных данных должны прекратиться. На языке информационной безопасности это означает, что обеспечение конфиденциальности персональных данных является приоритетной задачей защиты информации для любой организации.

 

Как предотвратить угрозы утечек и обеспечить конфиденциальность персональных данных?

Организации-оператору ПДн необходимо выделить информационные системы, обрабатывающие наибольшие объёмы персональных данных. Обычно это одна-две системы, данные которых коммерчески привлекательны для злоумышленников. Затем необходимо определиться с мерами защиты конфиденциальности этих систем. Наиболее эффективным методом защиты персональных данных является их обезличивание. Обезличивание позволяет организации использовать важную информацию в своих рабочих процессах, но при этом делает её абсолютно бесполезной для злоумышленников.  Инструментом такой защиты является российский программный продукт Крипто БД, механизмы которого основаны на отечественных криптоалгоритмах, соответствующих требованиям ФСБ России к СКЗИ. Селективное прозрачное шифрование является эффективным и, пожалуй, единственно действенным методом предотвращения масштабных утечек данных. Система Крипто БД представляет собой набор важнейших возможностей для ИБ-специалиста:

  • обезличивание данных выборочным шифрованием таблиц/столбцов базы данных.
  • «прозрачность» для пользователей и приложений.
  • двухфакторная аутентификация и контроль доступа.
  • централизованное управление.
  • мониторинг и аудит.

Введение оборотных штрафов за масштабные утечки персональных данных безусловно изменит приоритеты большинства компаний. Широкое применение продукта Крипто БД показывает, что такой подход к защите информации в СУБД обходится организации существенно дешевле (время, деньги, трудозатраты), чем организация внушительного состава комплексных мероприятий, дающих лишь робкую надежду, что злоумышленник не проберётся через несколько эшелонов периметровой безопасности, до хранилища незащищённых данных.

 

Реклама. АО «АЛАДДИН Р. Д.», ИНН: 7719165935, Erid: 2VfnxxYUcQQ

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.09.2025
В России вступили в силу антифрод-поправки от «связистов»
02.09.2025
«Звёздные врата» откроются и над Индией. OpenAI строит ЦОД в Азии
02.09.2025
ИИ-факультет — имиджевый и стратегический проект МГУ
02.09.2025
НИЦ «Телеком» против мобильного рабства россиян
01.09.2025
«Зависимость от зарубежных платформ уже не раз приводила к ограничению доступа к важным цифровым сервисам»
01.09.2025
В Госдуме переизобрели Multi Pass
01.09.2025
ENISA будет координировать общеевропейскую схему реагирования на ИБ-инциденты
01.09.2025
РАНХиГС: Нейросети повышают производительность труда на 15-20%
01.09.2025
Наступила эпоха своенравных банкоматов
01.09.2025
CISA обещает усилить безопасность закупок ПО с помощью нового инструмента

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных