Минцифры совместно с ФСТЭК, ФСБ и участниками ИБ-отрасли обсуждают новые меры для получения смягчающих обстоятельств при штрафах за утечку персональных данных, пишут "Ведомости". Об этом на форуме Positive Hack Days 2025 сообщила Ирина Левова, директор по стратегическим проектам Ассоциации больших данных.
Речь идет о дополнениях в законе "О персональных данных", которые вступит в силу 30 мая. Новые требования ужесточают защиту данных и вводят штрафы за повторные утечки. В случае, если компания тратит не менее 0,1% от годовой выручки на мероприятия по ИБ в течение трех лет, это может стать смягчающим обстоятельством при штрафах. Однако конкретные меры, на которые должны быть потрачены эти средства, пока не определены. Важным условием является наличие лицензии ФСБ на разработку криптосистем или привлечение организации с такой лицензией.
Ирина Левова отметила, что сейчас ведется работа с Минцифры по формированию перечня мероприятий по ИБ, которые могут учитываться при смягчении штрафов. Представитель Минцифры подтвердил, что обсуждения продолжаются, и финальное решение о критериях принимает суд.
Источник "Ведомостей", участвующий в обсуждениях, указал на проблему: закон не учитывает вложения компаний в собственные разработки и наличие ИБ-штата как смягчающие обстоятельства. В частности, расходы на сертифицированное ФСТЭК программное обеспечение могут учитываться, а собственные разработки — нет, поскольку их сертификация длительная и сложная. Процесс сертификации занимает от 5 до 12 месяцев или до полутора лет для сложных продуктов.
Эксперт Игорь Бедеров из T. Hunter подчеркнул сложности самостоятельной сертификации и рекомендовал сотрудничество с аккредитованными центрами для ускорения процесса. Участники рынка предлагают включить в перечень технические и организационные меры: шифрование данных, системы обнаружения утечек, проведение аудитов и обучение сотрудников.
Алексей Лукацкий из Positive Technologies отметил, что в России с 2013 года действуют обязательные требования по защите персональных данных (21-й приказ ФСТЭК), а детали этих требований раскрыты в нормативных документах. Он считает странным подход компаний к перечню мер защиты данных и напоминает о необходимости просто выполнять существующие нормативы.
Некоторые крупные операторы уже реализуют меры по защите данных: МТС интегрировала сертифицированные системы безопасности; T2 придерживается комплекса мер согласно законодательству; Wildberries использует многоуровневую систему защиты с искусственным интеллектом и внутренние команды по устранению уязвимостей; "Авито" регулярно проводит пентесты и использует решения как сторонних специалистов, так и собственные разработки.
Напомним, как ранее писал "Кабельщик", компании не готовы к введению оборотных штрафов за утечку персональных данных.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии
