Выйти из системы

Сменить пользователя

Защита персональных данных. Как выполнить 152-ФЗ?

2022 год стал рекордным по количеству утечек данных и кибератак в РФ. «Лаборатория Касперского» зафиксировала 168 публикаций значимых (более 5 тысяч строк пользовательских данных) баз – в сумме 2,1 млрд строк. Если распределить утечки равномерно в течение года, выяснится, что персональные данные российских пользователей оказывались в открытом доступе практически каждый второй день.

За первый квартал 2023 года Роскомнадзор зафиксировал 27 утечек, в результате которых персональные данные 165 млн пользователей оказались в интернете.

В 2022 году появился ряд новых требований и дополнений регуляторов – активнее всего обсуждается ФЗ-152 «О персональных данных», а также введение оборотных штрафов и уголовной ответственности.


В статье расскажем о последних изменениях и защите персональных данных без головной боли.

Как изменилось законодательство по персональным данным?

Поправки в Федеральный закон «О персональных данных» проходили в 2 «волны». 1 сентября 2022 года вступили в силу первые изменения, например, введение персональной ответственности за нарушение закона о ПДн. Директор и ИТ Директор несут ответственность как физлица, включая:
– гражданско-правовую;
– уголовную;
– административную;
– дисциплинарную и иную.

Штрафы увеличили вдвое, а также убрали административные предупреждения по некоторым статьям. Например, за обработку ПДн без письменного согласия субъекта штраф вырос с 75 до 150 тыс. рублей. А за повторное нарушение – до 500 тыс. рублей. При этом, штрафы могут суммироваться.


Полный перечень нарушений и ответственности со всеми актуальными изменениями размещён здесь.

Чек-лист по выполнению требований к 01.09.2022 года разместили здесь.

Следующие поправки поступили второй волной – 1 марта 2023 года, включающие аспекты о трансграничной передаче данных, обнаружении требований к подтверждению отказа от хранения данных и т.д.

– О введении оборотных штрафов

От 1 до 3% годового оборота составят оборотные штрафы. К 1 июля 2023 года будет исполнен перечень поручений Президента РФ об их установлении за утечку персональных данных, а также персональная ответственность:

●   200-400 тыс. руб. штраф на главу компании , если в открытом доступе оказалась база на 10-100 тыс. строк.

●    0,02% оборота, но не менее 1 млн руб. штраф для индивидуальных предпринимателей и юридических лиц за аналогичный инцидент 

●   Штраф для крупных компаний составит от 1 до 3% годовой выручки и будет варьироваться в сумме от 5 до 500 млн. рублей.

О введении уголовной ответственности

14 декабря 2022 года в Минцифры сообщили, что законопроект об уголовной ответственности за кражу, неправомерное распространение и продажу данных россиян согласован и поступил в кабмин. Законопроект предусматривает штрафы до 2 миллионов рублей и уголовную ответственность до 10 лет на физлиц в особо тяжких случаях. 

– Внеплановых проверок будет больше
Правительство расширило список оснований для внеплановых проверок по персональным данным.

– Наказать могут и без выезда в компанию
В некоторых ситуациях зафиксировать правонарушение в сфере ПДн и привлечь к ответственности могут даже без выездных контрольных мероприятий.

Какие барьеры есть ещё?

Усложнение закупок оборудования
Благодаря параллельному импорту, в РФ завозится всё санкционное оборудование. Однако, сроки и цены выросли в 1,5 — 2 раза. При этом, важно учесть повсеместное отсутствие гарантий, лицензий и технической поддержки. 

Персонал
В 2022 году Россию покинуло более 100 тыс ИТ-специалистов, в том числе, по информационной безопасности. Существующий дефицит значительно обострился, как и требования кандидатов российского рынка. 

Что делать?

В зависимости от выбранного подхода к реализации защиты информации, организации обязаны обеспечивать выполнение требований ФЗ-152 по защите обработки персональных данных в сегментах: 

  • ЦОД (при его наличии в контролируемой зоне или аренде в соответствующих организациях).
  • Серверный сегмент (от конкретного сервера внутри инфраструктуры до коммутационного оборудования).
  • Пользовательский сегмент (от уровня защиты автоматизированных рабочих мест с точки зрения выполнения физических мер ИБ до уровня защиты ОС и ИС).

Однако, согласно результатам опроса «К2 Интеграция», только 3% готовы к выполнению требований закона № 152-ФЗ, вступивших в силу 1 марта 2023 года. 

75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года:

  • 66% компаний не начинали подготовку; 
  • 56% компаний сталкиваются с проблемами уведомления об инцидентах;
  • 53% не разобрались с нюансами оценки вреда субъектам.

На практике, те, кто принимают меры по защите ПДн, делятся на 2 категории:
– Пытаются самостоятельно решить вопросы с реализацией мер обеспечения безопасности информации, занимаются поиском оборудования и АРМ или наоборот – ищут отечественные решения по защите информации, подходящие под конкретные задачи.

– Вторые делегируют этот вопрос профильным компаниям. По данным исследования «Лаборатории Касперского», 42% компаний в России обращаются к поставщикам управляемых ИТ- и ИБ-услуг (MSP/MSSP) в связи с нехваткой собственных специалистов. 

Сервис-провайдеры также делятся на 2 типа. В материале об аттестации информационных систем по требованиям ФСТЭК привели два реальных сценария взаимодействия с поставщиками услуг. 

Кратко:

– В первом случае потенциальному заказчику предложили публичное облако. При этом все СЗИ и необходимость соответствия требованиям ФЗ-152 считались отдельно – процесс согласования занял примерно 2 недели.

– Во втором у заказчика сразу уточнили, какой тип информационных систем необходимо защищать, на каких уровнях – и предложили сервис “под ключ”, где провайдер реализовал все меры защиты сразу, а весь процесс занял всего 2 дня. 

Для тех, кто не готов нести капитальные затраты на собственную инфраструктуру, тратить время на длительное прохождение этапов ИТ-закупок, а также поиск и тестирование отечественных СЗИ под требования регулятора, мы создали сервис «Safe Cloud 152-ФЗ», реализующий весь комплекс мер защиты персональных данных.

Как устроен Safe Cloud 152-ФЗ для обработки персональных данных?

Федеральный закон № 152 разрешает операторам персональных данных размещать информацию у стороннего провайдера. При выборе поставщика услуг необходимо ориентироваться на 3 аспекта:

– Дата-центр, включая весь серверный сегмент, обязан находиться на территории РФ, в соответствии с поправками в закон «О персональных данных» от 14.07.2022 года.

– Наличие аттестата ФСТЭК, подтверждающего выполнение провайдером требований законодательства по организации защиты персональных данных. 

– Возможность предоставить необходимый уровень защищённости персональных данных. О том, как его определить, рассказали здесь.

Safe Cloud 152-ФЗ соответствует перечисленным критериям и подходит для информационных систем ИСПДн, требующих четвёртого, третьего и второго уровня защищенности, включая:

  • размещение медицинской тайны;
  • специальных категорий;
  • данных несовершеннолетних; 
  • биометрических данных; 
  • государственных информационных систем 1 и 2 класса.
Архитектура Safe Cloud для выполнения ФЗ-152

Сценарии защиты. Зоны ответственности

3 варианта обеспечения защиты под требования законодательства:

СценарийЧто предоставляемОтветственность CORTELОтветственность заказчикаКомментарий
1Предоставление защищенной инфраструктуры по требованиям до уровня виртуальной машиныЗащита инфраструктуры – серверного и коммутационного оборудования по требованиям ФЗ-152– Построение системы защиты от уровня развертывания виртуальной машины до уровня защиты ИС и АРМ.
– Выполнение организационных мер: документация, физическая безопасность, инструктаж, обучение персонала.
Перед заключением договора заказчику необходимо реализовать перечисленные меры защиты. На иных условиях риску подвергается и заказчик, и инфраструктура, поэтому мы имеем право отказать в предоставлении услуги.
2Предоставление защищенной инфраструктуры по требованиям до уровня операционной системы– Защита  серверной инфраструктуры и коммутационного оборудования по требованиям ФЗ-152
– Защита операционной системы (предоставляем рекомендации согласно требованиям к ОС, устанавливаем и обеспечиваем защиту)
Построение системы защиты:
– Информационных систем
– Пользовательского сегмента
– АРМ
– Выполнение организационных мер (документация, физическая безопасность, инструктаж, обучение персонала)
В данном сценарии на заказчике лежит ответственность за защиту информации от уровня операционной системы.
3Предоставление комплексной защиты –  от уровня оборудования, до подготовки и предоставления всей необходимой документации по требованиям регулятора– ЦОД.
– Серверный сегмент.
– ОС
– Информационные системы, приложения.
– Готовим всю необходимую документацию.
Защита АРМВся ответственность за защиту информации, размещенной в Safe Cloud 152-ФЗ, лежит на CORTEL. Заказчик обеспечивает только защиту АРМ. Также заказчик предоставляет необходимую информацию для защиты ИС.
Сценарии защиты

Какие задачи решает Safe Cloud 152-ФЗ

1.Сервис «под ключ»
Мы учли опыт отрасли и уделили особое внимание компонентам, которые не представлены на рынке имеющихся решений. Например, реализовали все технические меры защиты в одном удобном сервисе. Всё, что необходимо сделать клиенту – выбрать сценарий под свои цели.

2. Возможность разделить ответственность
Мы заключаем договор SLA, в котором подробно фиксируем зоны финансовой и регуляторной ответственности. Например, в случае проверки регулятором при третьем сценарии, мы будем отчитываться о комплексной защите ПДн – от уровня железа до согласия об обработке персданных. Заказчики получают сервисный контракт с делегированием ответственности за обработку ПДн, размещенных в инфраструктуре под SLA 99,00. Статус по инфраструктуре доступен онлайн в корпоративном Status page.

3. Соответствуем всем требованиям законодательства
Аттестат, выданный лицензиатом ФСТЭК, подтверждает соответствие требованиям безопасности информации на государственном уровне. Соответственно, размещая персональные данные в Safe Cloud 152-ФЗ, компания страхует себя от санкций регуляторов на случай утечки или утраты персональных данных и другой конфиденциальной информации.

4. Гарантируем лучший показатель совокупных затрат на инфраструктуру
О том, что такое ТСО и как посчитать – рассказывали здесь.

Пример расчёта TCO

5. Сопровождаем и решаем задачи вместе с вами
Мы не просто предоставляем сервис, но и сопровождаем клиентов во всех аспектах защиты информации и выполнения требований регуляторов, например:
– готовим необходимый пакет документов для выполнения ФЗ-152.
– Предоставляем перечень актуальных угроз для включения в Модель угроз на информационные системы заказчика.
– Сопровождаем аттестационные мероприятия по ИС заказчика до положительного результата.
– Подбираем и рекомендуем исключительно те решения, которые протестированы и подходят для конкретных целей, снимая с заказчика необходимость самостоятельно искать, выбирать и внедрять технологии.

6. Техподдержка, которой не всё равно
За 7 лет работы мы научились строить системы поддержки так, чтобы клиенты решали задачи быстрее. Поэтому и для Safe Cloud 152-ФЗ организовали отзывчивую техподдержку системы защиты информации и инфраструктуры до уровня ОС 24/7/365 на короткой связи с временем реагирования до 20 мин. Подробнее о работе техподдержки CORTEL можно прочитать здесь.

Если у вас остались вопросы по выполнению требований законодательства, защите обработки ваших персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.