Персданные «для чайников» − 2

10.08.2022 --
Настоящее время

Петров Иван Андреевич
Финансовый университет при Правительстве РФ
Преподаватель Департамента информационной безопасности

Три «государева ока»: лишь бы дитя без глаза не осталось

В 2021 году количество утечек персональных данных в России сократилось на 40%: техническая защита баз данных усилилась, культура информационной безопасности граждан возросла. Важным фактором является ужесточение ответственности за правонарушения с персональными данными наряду с улучшение реагирования и повышения раскрываемости инцидентов.

УСТРАШЕНИЕ ШТРАФАМИ

Снижение утечек персональных данных в России также объясняется мировой тенденцией на возросшую популярность среди мошенников программного обеспечения, которое не крадет информацию, а делает ее недоступной для работы, шифрует ее или блокирует. Благодаря похищенным базам клиентов банков мошенники звонят вам от их имени, и это позволяет им осуществлять преступную деятельность.

Поэтому проблема сохранности персональных данных более серьезна, чем может показаться на первый взгляд. Смотря на вышеназванную статистику, неудивительно, что в России долгое время обсуждают введение крупных штрафов за утечку персональных данных, как для юридических, так и для физических лиц.

12 июля 2022 года Министерство цифрового развития, связи и массовых телекоммуникаций РФ поддержало идею введения оборотных штрафов за утечку персональных данных. Штрафы будут применятся в два этапа. За первую утечку штраф будет фиксированным, в зависимости от объема утечки данных. Второй штраф будет уже оборотным.

НЕЗАКРЫТЫЙ ВОПРОС

За распространение персональных данных также может грозить и уголовная ответственность. Речь идет о статье 137 УК РФ – распространение данных о частной, личной и семейных тайнах без получения согласия или распространение этих сведений в публичном выступлении. А также статья 272 УК РФ – неправомерный доступ к компьютерной информации, то есть хакерство.

29 мая 2022 года в России ввели штрафы за принуждение к передаче персональных данных. Административная ответственность грозит предпринимателям в случае отказа заключать, исполнять или расторгать договор с потребителем при его отказе предоставить персональные данные. Наказание за нарушение закона устанавливается в размере до 50 000 рублей для юридических лиц. В силу закон вступает 1 сентября 2022 года.

Но один вопрос остается открытым. Какое ведомство занимается проверками соблюдения законодательства о персональных данных? В России этим занимаются три «государевых ока», ведомства Роскомнадзор, ФСБ России и ФСТЭК России. При этом все три ведомства занимаются проверками в рамках своих полномочий.

ТРИ ГОСУДАРЕВЫХ ОКА

В защите персональных данных есть три ведомства, «государевых ока»; кто же из них чем занимается, дабы ы «дитя без глаза не осталось»?.. Первое «государево око», Роскомнадзор, занимается проверками юридического, организационного характера, например:
− Существует ли в компании политика обработки данных?
− Какие категории персональных данных обрабатываются в компании?
− Корректно ли определен уровень защищенности информационной системы компании?
− Определен ли ответственный за обработку персональных данных?

Компетенция второго «государева ока» в этой сфере, ФСБ России, совсем другая. Проверяется как обрабатывается информация с использованием криптографических методов и ее хранение. Правовым основанием для проверок является Приказ ФСБ России от 10.07.2014 г. № 378. Федеральная служба по техническому и экспортному контролю выполняет проверки по реализации систем защиты ИСПДн.

Необходимые требования содержатся в Приказе ФСТЭК России, третьего «государева ока», от 18.02.2013 г. № 21. В данном документе содержатся требования к составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. То есть ФСТЭК интересует какие информационные системы персональных данных используются в компании, как они защищены и как это задокументировано.

Подводя итог, можно сказать, что законодательство в области безопасности персональных данных далеко до идеала, хотя компетентные органы стараются улучшить данную сферу. Разумеется, штрафы за неисполнение требований законодательства очень невелики, особенно для крупных компаний-монополистов. Отчасти поэтому Россия занимает лидирующие места по количеству утечек персональных данных. Поэтому пока не будет должной ответственности за сохранность данных, решить данную проблему будет сложно.

#ВКонтакте #инцидент #персональные_данные #Финансовый_Университет #утечки