Локализация данных набирает обороты

По данным Softline, более 70% проектов компании в области аудита систем защиты персданных в прошлом году были связаны с их локализацией. "Поправки о повышении штрафов за неисполнение требований ст.13.11 КОАП РФ, в п.8 и п.9 вступили в силу год назад. Формально статья действовала с 2015 г., но не все стремились ее соблюдать, - рассказывает представитель управления информационной безопасности Softline Илья Тихонов. - Если ранее штраф за отказ от локализации составлял 3000 руб., то сейчас за повторное нарушение юридическое лицо могут оштрафовать до 18 млн руб.". Прямого запрета не передачу персданных за границу из России нет. Специалист говорит, что проблемы в области локализации персданных чаще всего связаны с техническими особенностями информационных систем: не каждую такую систему, которая находится за рубежом, можно разделить или выделить из потоков данных, курсирующих между странами.

"Штрафы за неисполнение требований ст.13.11 КОАП РФ пока редки. Регуляторы приглядываются к крупным игрокам, - описывает ситуацию представитель Softline. Тем не менее общая тенденция - усиление контроля безопасности персданных со стороны государства. Первые, кого уже подвергли штрафным санкциям за несоблюдение требования о локализации персональных данных, - крупные зарубежные информационные ресурсы. Скорее всего, в этом году тенденция сохранится. Массового применения регуляторного воздействия мы не ожидаем, но это означает лишь то, что у бизнеса пока есть время к этому подготовиться. Общая тенденция ужесточения требований и наказания за их невыполнение несомненно говорит о том, что в какой-то момент регуляторы начнут применять этот инструмент воздействия массово".

По словам директора департамента информационной безопасности компании Oberon Евгения Суханова, локализованные решения пользуются все большим спросом из-за импортозамещения. "Цифровизация российской экономики тесно связана с хранением и обработкой больших объемов информации, в том числе персональных данных. Одновременно с цифровизацией растут риски компрометации таких данных, которые напрямую влияют на репутацию и выручку бизнеса, поэтому мы видим рост зрелости и повышение уровня ответственности операторов при построении систем ПДн и их защите", - сказал Евгений Суханов.

Руководитель направления ИБ облачного провайдера "Техносерв Cloud" Владимир Чикин заметил повышение интереса к теме персональных данных у малого и среднего бизнеса в 2020 г. "Если раньше соблюдение законодательства в этой области интересовало только крупные и международные компании, то сейчас к ним добавились и небольшие локальные организации. Про кратный рост говорить преждевременно. С нашей точки зрения, повышение интереса связано со стабилизацией законодательства в этой области и накоплением практики на рынке", - считает эксперт. Среди основных рисков он выделил потери данных на зарубежных площадках, а не штрафы. "Первой ласточкой была блокировка данных иранских разработчиков в GitHub. А в момент удаления всей IT-инфраструктуры социальной сети Parler инструмент управления окончательно сформировался. И если раньше этот риск рассматривался как маловероятный и экзотичный, то сейчас он перешел из категории "если" в категорию "когда", - добавил Владимир Чикин.

По его мнению, локализация инфраструктуры в российской юрисдикции в 2021 г. может проходить так и, вероятно, затмит угрозы проверок. То, от чего раньше требовалось защищаться только критической информационной инфраструктуре (КИИ), теперь требуется всем, кто имеет конкурентоспособный бизнес.

"Для крупного корпоративного сегмента использование облачных платформ, аттестованных по ФЗ-152, стало актуальным уже давно. Мы не заметили, что рост штрафов как-то глобально повлиял на мотивацию этой целевой аудитории, - говорит директор по развитию облачных сервисов "Крок" Сергей Зинкевич. - Возможно, это характерно больше для малого и среднего бизнеса, где риски из-за несоблюдения законодательства раньше оценивались ниже".

Плановые и внеплановые проверки операторов ПДн проводит Роскомнадзор. В пресс-службе ведомства сообщили, что, по итогам прошлого года, в реестре операторов персональных данных, предоставивших информацию о месте хранения баз данных, было более 392 тыс. компаний - на 12% больше, чем годом ранее. За невыполнение требований о локализации баз данных предусмотрена административная ответственность в виде штрафа в размере до 18 млн руб.