Компания «СёрчИнформ» запускает серию обзоров о законах, приказах, инициативах, касающихся информационной безопасности. В статьях коротко расскажем про свежую регуляторику, как она скажется на организациях и что они могут сделать, чтобы закрыть новые требования по защите данных. Читайте первый материал ниже.
1. Принятие поправок в КоАП РФ
Что произошло?
Официально: Принят закон об увеличении объемов наказаний за утечку персональных данных.
Фактически:
Комментарий:
По замыслу законодателей, поправки в КоАП мотивируют компании к внедрению СЗИ и выполнению требований по ИБ. Благодаря изменениям, бизнесу будет выгоднее минимизировать риск инцидента и инвестировать в эффективные инструменты защиты, чем платить миллионные штрафы. Поскольку под статус оператора персданных попадает почти каждая организация в стране, за утечку может быть оштрафован любой бизнес. Однако особому риску подвержены:
Поправки вступят в силу в конце мая, а значит, у компаний есть время, чтобы:
2. Принятие поправок в УК РФ
Что произошло?
Официально: Принят и вступил в силу закон «О внесении изменений в УК РФ».
Фактически: за неправомерный доступ, использование и передачу персданных – штраф до 300 тыс. рублей или лишение свободы до 4 лет. Инсайдерам в организациях грозят до 6 лет заключения со штрафом до 1 млн рублей.
Комментарий:
Осуждены могут быть как киберпреступники или участники «пробива», так и просто сотрудники, по вине которых произошла утечка. Чтобы минимизировать риски и защитить непричастных лиц, организациям следует предупреждать инциденты на ранних стадиях и расследовать их с помощью эффективных инструментов ИБ.
Сейчас в тексте закона не предусмотрены исключения для аналитиков, расследующих публичные утечки, и операторов сервисов проверки утечек, поэтому новые положения требуют избирательного применения.
3. Инициатива о стандартизации обработки персданных.
Что произошло?
Заместитель руководителя Роскомнадзора предложил:
Комментарий:
Компании, особенно МСБ, часто не имеют средств для эффективной защиты, но хранят большие объемы персданных, в том числе, устаревших и уже ненужных.
Для таких организаций актуально применение более дешевых и «легких» ИБ-средств, например, DCAP-систем. Подобные системы обнаружат чувствительные данные в файлах и блокируют их порчу, кражу и удаление. Чтобы еще больше сократить затраты на защиту данных, можно использовать ИБ-аутсорсинг от специализированных провайдеров.
4. Проект требований по защите данных в информационных системах госсектора.
Что произошло?
Официально: на портал проектов нормативных актов загружен проект Приказа ФСТЭК об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, госучреждений.
Фактически:
Комментарий:
Документ отражает актуальные реалии информационной безопасности. В нем более понятно и практико-ориентированно отражены ИБ-задачи организаций госсектора. Поскольку приняты новые нормы об ответственности за инциденты с персданными, проект упорядочивает положения об их защите в ИС госорганизаций.
Важное новое требование, которого нет в 17-м Приказе – обязанность операторов ИС госсектора предотвращать утечки любой конфиденциальной информации. Также в новом акте будет установлено, что подрядчики госорганизаций будут ответственны за защиту доверенных им данных. Поэтому компаниям, работающим с госзаказами, нужно заняться повышением защищенности информации при работе с контрагентами.
Проект не несет невыполнимых или абсолютно новых требований: фактически многие госорганизации реализуют его положения и сейчас, но теперь выполнение требований к ИБ в госсекторе будет более системным, единообразным и всеобъемлющим.
© СёрчИнформ (SearchInform), 2025
© Издание 12NEWS (ИП Маринин А.Л.), 2025