Защита персональных данных. Как выполнить 152-ФЗ?
2022 год стал рекордным по количеству утечек данных и кибератак в РФ. «Лаборатория Касперского» зафиксировала 168 публикаций значимых (более 5 тысяч строк пользовательских данных) баз – в сумме 2,1 млрд строк. Если распределить утечки равномерно в течение года, выяснится, что персональные данные российских пользователей оказывались в открытом доступе практически каждый второй день.
За первый квартал 2023 года Роскомнадзор зафиксировал 27 утечек, в результате которых персональные данные 165 млн пользователей оказались в интернете.
В 2022 году появился ряд новых требований и дополнений регуляторов – активнее всего обсуждается ФЗ-152 «О персональных данных», а также введение оборотных штрафов и уголовной ответственности.
В статье расскажем о последних изменениях и защите персональных данных без головной боли.
Как изменилось законодательство по персональным данным?
Поправки в Федеральный закон «О персональных данных» проходили в 2 «волны». 1 сентября 2022 года вступили в силу первые изменения, например, введение персональной ответственности за нарушение закона о ПДн. Директор и ИТ Директор несут ответственность как физлица, включая:
– гражданско-правовую;
– уголовную;
– административную;
– дисциплинарную и иную.
Штрафы увеличили вдвое, а также убрали административные предупреждения по некоторым статьям. Например, за обработку ПДн без письменного согласия субъекта штраф вырос с 75 до 150 тыс. рублей. А за повторное нарушение – до 500 тыс. рублей. При этом, штрафы могут суммироваться.
Полный перечень нарушений и ответственности со всеми актуальными изменениями размещён здесь.
Чек-лист по выполнению требований к 01.09.2022 года разместили здесь.
Следующие поправки поступили второй волной – 1 марта 2023 года, включающие аспекты о трансграничной передаче данных, обнаружении требований к подтверждению отказа от хранения данных и т.д.
– О введении оборотных штрафов
От 1 до 3% годового оборота составят оборотные штрафы. К 1 июля 2023 года может быть исполнен перечень поручений Президента РФ об их установлении за утечку персональных данных, а также персональная ответственность:
● 200-400 тыс. руб. штраф на главу компании , если в открытом доступе оказалась база на 10-100 тыс. строк.
● 0,02% оборота, но не менее 1 млн руб. штраф для индивидуальных предпринимателей и юридических лиц за аналогичный инцидент
● Штраф для крупных компаний составит от 1 до 3% годовой выручки и будет варьироваться в сумме от 5 до 500 млн. рублей.
– О введении уголовной ответственности
14 декабря 2022 года в Минцифры сообщили, что законопроект об уголовной ответственности за кражу, неправомерное распространение и продажу данных россиян согласован и поступил в кабмин. Законопроект предусматривает штрафы до 2 миллионов рублей и уголовную ответственность до 10 лет на физлиц в особо тяжких случаях.
– Внеплановых проверок будет больше
Правительство расширило список оснований для внеплановых проверок по персональным данным.
– Наказать могут и без выезда в компанию
В некоторых ситуациях зафиксировать правонарушение в сфере ПДн и привлечь к ответственности могут даже без выездных контрольных мероприятий.
Какие барьеры есть ещё?
Усложнение закупок оборудования
Благодаря параллельному импорту, в РФ завозится всё санкционное оборудование. Однако, сроки и цены выросли в 1,5 — 2 раза. При этом, важно учесть повсеместное отсутствие гарантий, лицензий и технической поддержки.
Персонал
В 2022 году Россию покинуло более 100 тыс ИТ-специалистов, в том числе, по информационной безопасности. Существующий дефицит значительно обострился, как и требования кандидатов российского рынка.
Что делать?
В зависимости от выбранного подхода к реализации защиты информации, организации обязаны обеспечивать выполнение требований ФЗ-152 по защите обработки персональных данных в сегментах:
- ЦОД (при его наличии в контролируемой зоне или аренде в соответствующих организациях).
- Серверный сегмент (от конкретного сервера внутри инфраструктуры до коммутационного оборудования).
- Пользовательский сегмент (от уровня защиты автоматизированных рабочих мест с точки зрения выполнения физических мер ИБ до уровня защиты ОС и ИС).
Однако, согласно результатам опроса «К2 Интеграция», только 3% готовы к выполнению требований закона № 152-ФЗ, вступивших в силу 1 марта 2023 года.
75% компаний до сих пор не выполнили требования первых поправок, действующих с 1 сентября 2022 года:
- 66% компаний не начинали подготовку;
- 56% компаний сталкиваются с проблемами уведомления об инцидентах;
- 53% не разобрались с нюансами оценки вреда субъектам.
На практике, те, кто принимают меры по защите ПДн, делятся на 2 категории:
– Пытаются самостоятельно решить вопросы с реализацией мер обеспечения безопасности информации, занимаются поиском оборудования и АРМ или наоборот – ищут отечественные решения по защите информации, подходящие под конкретные задачи.
– Вторые делегируют этот вопрос профильным компаниям. По данным исследования «Лаборатории Касперского», 42% компаний в России обращаются к поставщикам управляемых ИТ- и ИБ-услуг (MSP/MSSP) в связи с нехваткой собственных специалистов.
Сервис-провайдеры также делятся на 2 типа. В материале об аттестации информационных систем по требованиям ФСТЭК привели два реальных сценария взаимодействия с поставщиками услуг.
Кратко:
– В первом случае потенциальному заказчику предложили публичное облако. При этом все СЗИ и необходимость соответствия требованиям ФЗ-152 считались отдельно – процесс согласования занял примерно 2 недели.
– Во втором у заказчика сразу уточнили, какой тип информационных систем необходимо защищать, на каких уровнях – и предложили сервис “под ключ”, где провайдер реализовал все меры защиты сразу, а весь процесс занял всего 2 дня.
Для тех, кто не готов нести капитальные затраты на собственную инфраструктуру, тратить время на длительное прохождение этапов ИТ-закупок, а также поиск и тестирование отечественных СЗИ под требования регулятора, мы создали сервис «Safe Cloud 152-ФЗ», реализующий весь комплекс мер защиты персональных данных.
Как устроен Safe Cloud 152-ФЗ для обработки персональных данных?
Федеральный закон № 152 разрешает операторам персональных данных размещать информацию у стороннего провайдера. При выборе поставщика услуг необходимо ориентироваться на 3 аспекта:
– Дата-центр, включая весь серверный сегмент, обязан находиться на территории РФ, в соответствии с поправками в закон «О персональных данных» от 14.07.2022 года.
– Наличие аттестата ФСТЭК, подтверждающего выполнение провайдером требований законодательства по организации защиты персональных данных.
– Возможность предоставить необходимый уровень защищённости персональных данных. О том, как его определить, рассказали здесь.
Safe Cloud 152-ФЗ соответствует перечисленным критериям и подходит для информационных систем ИСПДн, требующих четвёртого, третьего и второго уровня защищенности, включая:
- размещение медицинской тайны;
- специальных категорий;
- данных несовершеннолетних;
- биометрических данных;
- государственных информационных систем 1 и 2 класса.
Сценарии защиты. Зоны ответственности
3 варианта обеспечения защиты под требования законодательства:
Сценарий | Что предоставляем | Ответственность CORTEL | Ответственность заказчика | Комментарий |
1 | Предоставление защищенной инфраструктуры по требованиям до уровня виртуальной машины | Защита инфраструктуры – серверного и коммутационного оборудования по требованиям ФЗ-152 | – Построение системы защиты от уровня развертывания виртуальной машины до уровня защиты ИС и АРМ. – Выполнение организационных мер: документация, физическая безопасность, инструктаж, обучение персонала. | Перед заключением договора заказчику необходимо реализовать перечисленные меры защиты. На иных условиях риску подвергается и заказчик, и инфраструктура, поэтому мы имеем право отказать в предоставлении услуги. |
2 | Предоставление защищенной инфраструктуры по требованиям до уровня операционной системы | – Защита серверной инфраструктуры и коммутационного оборудования по требованиям ФЗ-152 – Защита операционной системы (предоставляем рекомендации согласно требованиям к ОС, устанавливаем и обеспечиваем защиту) | Построение системы защиты: – Информационных систем – Пользовательского сегмента – АРМ – Выполнение организационных мер (документация, физическая безопасность, инструктаж, обучение персонала) | В данном сценарии на заказчике лежит ответственность за защиту информации от уровня операционной системы. |
3 | Предоставление комплексной защиты – от уровня оборудования, до подготовки и предоставления всей необходимой документации по требованиям регулятора | – ЦОД. – Серверный сегмент. – ОС – Информационные системы, приложения. – Готовим всю необходимую документацию. | Защита АРМ | Вся ответственность за защиту информации, размещенной в Safe Cloud 152-ФЗ, лежит на CORTEL. Заказчик обеспечивает только защиту АРМ. Также заказчик предоставляет необходимую информацию для защиты ИС. |
Какие задачи решает Safe Cloud 152-ФЗ
1.Сервис «под ключ»
Мы учли опыт отрасли и уделили особое внимание компонентам, которые не представлены на рынке имеющихся решений. Например, реализовали все технические меры защиты в одном удобном сервисе. Всё, что необходимо сделать клиенту – выбрать сценарий под свои цели.
2. Возможность разделить ответственность
Мы заключаем договор SLA, в котором подробно фиксируем зоны финансовой и регуляторной ответственности. Например, в случае проверки регулятором при третьем сценарии, мы будем отчитываться о комплексной защите ПДн – от уровня железа до согласия об обработке персданных. Заказчики получают сервисный контракт с делегированием ответственности за обработку ПДн, размещенных в инфраструктуре под SLA 99,00. Статус по инфраструктуре доступен онлайн в корпоративном Status page.
3. Соответствуем всем требованиям законодательства
Аттестат, выданный лицензиатом ФСТЭК, подтверждает соответствие требованиям безопасности информации на государственном уровне. Соответственно, размещая персональные данные в Safe Cloud 152-ФЗ, компания страхует себя от санкций регуляторов на случай утечки или утраты персональных данных и другой конфиденциальной информации.
4. Гарантируем лучший показатель совокупных затрат на инфраструктуру
О том, что такое ТСО и как посчитать – рассказывали здесь.
5. Сопровождаем и решаем задачи вместе с вами
Мы не просто предоставляем сервис, но и сопровождаем клиентов во всех аспектах защиты информации и выполнения требований регуляторов, например:
– готовим необходимый пакет документов для выполнения ФЗ-152.
– Предоставляем перечень актуальных угроз для включения в Модель угроз на информационные системы заказчика.
– Сопровождаем аттестационные мероприятия по ИС заказчика до положительного результата.
– Подбираем и рекомендуем исключительно те решения, которые протестированы и подходят для конкретных целей, снимая с заказчика необходимость самостоятельно искать, выбирать и внедрять технологии.
6. Техподдержка, которой не всё равно
За 7 лет работы мы научились строить системы поддержки так, чтобы клиенты решали задачи быстрее. Поэтому и для Safe Cloud 152-ФЗ организовали отзывчивую техподдержку системы защиты информации и инфраструктуры до уровня ОС 24/7/365 на короткой связи с временем реагирования до 20 мин. Подробнее о работе техподдержки CORTEL можно прочитать здесь.
Если у вас остались вопросы по выполнению требований законодательства, защите обработки ваших персональных данных или Safe Cloud 152-ФЗ – просто напишите нам.