Как не допустить оборотных штрафов за утечку персональных данных

BIS Journal №2(57)2025

29 апреля, 2025

Как не допустить оборотных штрафов за утечку персональных данных

30 ноября 2024 года президент РФ подписал Федеральный закон №420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 30 мая 2025 года.

 

Какие меры предусмотрены для компаний за утечку персональных данных?

С момента вступления в силу изменений компаниям-операторам персональных данных могут быть предъявлены следующие штрафы:

  • до 300 тыс. руб. за несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных (далее ПДн);
  • до 3 млн руб. за каждую просрочку уведомления об утечке и промедление уведомления о результатах внутреннего расследования утечки;
  • до 500 млн руб. за утечку ПДн;
  • до десяти лет лишения свободы за незаконное использование ПДн.

Новые меры за нарушение работы с ПДн очень строгие, срок до вступления изменений в силу короткий. При оценке инцидента и вынесении наказания за утечку законодательство предусматривает смягчающие меры. Но их наличие не освобождает компанию от ответственности. Из всего многообразия ИБ-инструментов сейчас организациям необходимо выбирать защиту непосредственно самих данных.

 

В чём причины ужесточения наказания за утечку?

При общем росте уровня информационной безопасности в крупных российских организациях вопросу непосредственно защиты данных уделяется мало внимания. Все силы сосредоточены на защите инфраструктуры и управлении ИБ-инцидентами — защита периметра, мониторинг событий, управление контролем доступа. Эти меры важны для снижения уровня угроз, но сами данные не защищают. Персональные данные стали современной валютой, при организации целевых атак именно они являются мишенью для злоумышленников. По разным оценкам вероятность успеха атак, целью которых является похищение данных достигает 90%. Когда злоумышленники доберутся до желаемой цели — лишь вопрос времени. Такой масштаб проблемы побудил государство ужесточить регулирование, давая участникам рынка прямой сигнал — утечки персональных данных должны прекратиться. На языке информационной безопасности это означает, что обеспечение конфиденциальности персональных данных является приоритетной задачей защиты информации для любой организации.

 

Как предотвратить угрозы утечек и обеспечить конфиденциальность персональных данных?

Организации-оператору ПДн необходимо выделить информационные системы, обрабатывающие наибольшие объёмы персональных данных. Обычно это одна-две системы, данные которых коммерчески привлекательны для злоумышленников. Затем необходимо определиться с мерами защиты конфиденциальности этих систем. Наиболее эффективным методом защиты персональных данных является их обезличивание. Обезличивание позволяет организации использовать важную информацию в своих рабочих процессах, но при этом делает её абсолютно бесполезной для злоумышленников.  Инструментом такой защиты является российский программный продукт Крипто БД, механизмы которого основаны на отечественных криптоалгоритмах, соответствующих требованиям ФСБ России к СКЗИ. Селективное прозрачное шифрование является эффективным и, пожалуй, единственно действенным методом предотвращения масштабных утечек данных. Система Крипто БД представляет собой набор важнейших возможностей для ИБ-специалиста:

  • обезличивание данных выборочным шифрованием таблиц/столбцов базы данных.
  • «прозрачность» для пользователей и приложений.
  • двухфакторная аутентификация и контроль доступа.
  • централизованное управление.
  • мониторинг и аудит.

Введение оборотных штрафов за масштабные утечки персональных данных безусловно изменит приоритеты большинства компаний. Широкое применение продукта Крипто БД показывает, что такой подход к защите информации в СУБД обходится организации существенно дешевле (время, деньги, трудозатраты), чем организация внушительного состава комплексных мероприятий, дающих лишь робкую надежду, что злоумышленник не проберётся через несколько эшелонов периметровой безопасности, до хранилища незащищённых данных.

 

Реклама. АО «АЛАДДИН Р. Д.», ИНН: 7719165935, Erid: 2VfnxxYUcQQ

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»
15.09.2025
Утечка данных в Wealthsimple подтвердила тенденцию к росту киберрисков в Канаде
12.09.2025
Албания доверила госзакупки искусственному интеллекту
12.09.2025
На «Госуслугах» теперь можно запретить себе SIM-карту
12.09.2025
Даркнет сам приходит к «Максу»?
12.09.2025
Половина россиян не одобряет блокировку звонков в мессенджерах

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных