Безопасность персональных данных: алгоритм действий при новых угрозах

Да, такие утечки фиксируются реже. Вместе с тем, по данным Solar, количество слитых данных россиян с начала 2025 года четырехкратно превысило объем таких утечек за весь прошлый год. Российские компании практически ежедневно фиксируют кибератаки на свои инфраструктуры, о чем недавно писал РБК. Под угрозой в первую очередь те, кто не спешит вкладываться в кибербезопасность и рискует, тем самым, стать легкой добычей хакеров. Сейчас атаке подвергаются любые компании, вне зависимости от масштаба, и вопрос стоит не в том, столкнется или нет организация с кибератаками, а в том, насколько она к ним готова.

Итак, законодательство в области ПДн ужесточилось. Ситуация с кибератаками только ухудшилась. Так как защищать в этих условиях свой бизнес?

В этой колонке разберу необходимый алгоритм действий по работе с персональными данными, который позволит компании минимизировать риски с учетом ужесточения законодательства в этой области.

Уведомление РКН — только первый шаг

Число компаний, которые уведомили Роскомнадзор (РКН) об обработке персональных данных, в этом году заметно выросло, что позволило получить более полную картину операторов ПДн у нас в стране.

Сейчас в реестре РКН содержится информация о почти 2,5 миллионах операторах таких данных, но далеко не обо всех. Так что если вы не уведомили РКН о том, что обрабатываете ПДн (даже если у вас в компании всего несколько сотрудников), то лучше это сделать сейчас, не откладывая.

Следующий шаг — выстроить систему защиты информационных систем ПДн.

Начинать стоит с аудита. Сегодня бизнес все чаще обращается к независимому аудиту в области защиты ПДн. Спрос на такие аудиты заметно растет, только у нас число таких проектов за год увеличилось втрое. Такое независимое обследование и оценка соответствия требованиям регулятора позволит вовремя выявить и исправить недоработки в обеспечении информационной безопасности компании, усилить ее киберзащиту и спокойно проходить проверки.

В ходе аудита будут выявлены все информационные системы, которые подпадают под требования того или иного законодательства, в том числе, 152-ФЗ. Аудит покажет реальное положение дел с ПДн в компании и поможет подготовиться к проверкам Роскомнадзора, ФСТЭК России или ФСБ.

Автоматизация — наше все

Проверяющих в первую очередь будет интересовать наличие у вас правильно оформленных организационно-распорядительных документов (ОРД) в соответствии с требованиями 152-ФЗ и актуальных моделей угроз, разработанных под информационные системы компании.

Если они есть — хорошо, а если нет? Ответственность за это предусмотрена ч. 1 ст. 13.11 КоАП РФ, штраф при первичном нарушении — до 300 тыс. руб, при повторном — до полумиллиона. Большинство требований чек-листа Роскомнадзора, по которым компании проверяются, относятся к организационным мероприятиям, т.е. проверяется наличие инструкций, положений и т.д., которые регламентируют мероприятия по защите информации в организации, и эти документы, удовлетворяющие требованиям регулятора, у вас должны быть.

Можно все это разрабатывать самим, вручную, а можно использовать готовые решения (такие как Модуль УПДн и др.), созданные специально для того, чтобы автоматизировать эти процессы и оперативно и корректно сформировать необходимые комплекты документов по готовым шаблонам ОРД и формам. А потом при изменениях (как в компании, так и в законодательстве) их актуализировать.

Для каждой информационной системы  персональных данных (ИСПДн) требуется своя «Модель угроз и нарушителя безопасности информации» (далее — Модель угроз) — обстоятельный документ, который формируется на основе «Методики оценки угроз безопасности информации», утвержденной ФСТЭК России 05.02.2021, и учета всех (на данный момент их 227) угроз БДУ ФСТЭК России. На основании таких документов компании выстраивают эффективную систему защиты информации, тем самым, минимизируя свои риски в сфере ИБ.

Наличие модели угроз — обязательное требование не только 152-ФЗ в отношении ИСПДн, но и значимых объектов КИИ (187-ФЗ), ГИС (Приказ №17 ФСТЭК России). Наши аудиторы подсчитали, что в среднем одной компании необходимо сформировать от пяти Моделей угроз. Поэтому имеет смысл использовать решения, позволяющие автоматизировать создание Модели угроз. Правда, мало какие из них работают без использования облаков, т.е. исключают риск дискредитации Модели угроз в случае, если такое облако взломают.

Когда скупой платить трижды

Напомню, что за утечку ПДн и неуведомление о ней бизнесу теперь грозят крупные штрафы (25-500 млн. руб), предусмотрена и уголовная ответственность. Все это призвано переломить ситуацию с утечками ПДн. Стоит принять во внимание и то, что вероятность наступления подобных событий за последний год заметно возросла.

Если в компании выстроена эшелонированная система защиты информации, то риск самой утечки резко снижается. Не будем забывать, что безопасность информации — это следствие защиты информации, а это процесс непрерывный, постоянно совершенствующийся. Сегодня злоумышленники переключились на целевые атаки на компании с использованием ИИ, шифровальщиков, программ-вымогателей и не только.

За примерами далеко ходить на надо. Так, вторая недавняя серьезная за этот год кибератака на автопроизводителя Jaguar Land Rover практически на месяц парализовала его производство в нескольких странах. Правительство Британии согласилось предоставить компании государственную гарантию на £1,5 млрд, чтобы та смогла получить кредиты и сохранить операционную деятельность.

И немного статистики: согласно отчету Check Point Software, в этом году количество кибератак с использованием программ-вымогателей увеличилось на 126%. В случае успешной атаки на компанию шифровальщика, у нее есть два пути: заплатить выкуп злоумышленникам (но мы не рекомендуем это делать) или не пойти на такую сделку и пытаться восстановить свою инфраструктуру. Если последняя построена хорошо, есть, например, бэкапы, то восстановить все будет относительно просто. А если нет? Кроме того, если компания решит заплатить выкуп, то нет никакой гарантии, что, компанию снова не начнут «ломать» шантажировать. А еще ей придется заплатить немалый штраф за утечку. И только после этого она начнет вкладываться в защиту информации. То есть вместо одного вложения сделает три.

Хочется верить, что большинство предпочтут выстраивать полноценную систему защиты информации в реализацию требований законодательства.