Компании не готовы к защите персональных данных

С 1 сентября вступили в силу новые законодательные требования по защите персональных данных. В опросе, проведенном "Крок", участвовало около 100 российских компаний из разных отраслей экономики. Результаты исследования показали, что в конце августа 2022 г. лишь 4% компаний полностью адаптировали процессы обработки персональных данных (ПДн) к новым требованиям. 28% опрошенных ответили, что успели подготовиться частично. Более 20% организаций не планируют в ближайшее время проводить работы по внедрению мер для соответствия 266-ФЗ.

Также исследование "Крок" показывает низкую осведомленность российского бизнеса о требованиях законодательства по защите персональных данных. Шестая часть опрошенных заявили, что их организация не отправляла уведомление о начале обработки персональных данных, так как не являются операторами. Также, по результатам исследования, 17% организаций не ведут и не контролируют реестр лиц, которым поручают обработку ПДн, а это одно из ключевых нововведений, которые вступили в силу 1 сентября. При этом подавляющее большинство респондентов (70%) ответили, что необходимо вводить штрафы за утечки личных данных.

Заместитель технического директора по пресейлу Cross Technologies Алексей Курских назвал результаты исследования "Крок" близкими к реальности: "При общении с компаниями малого и среднего бизнеса часто выясняется, что они не считают себя операторами персональных данных, хотя попадают под букву закона даже в первой его редакции. Соответственно, такие компании не принимают никаких мер по защите персональных данных. Складывается парадоксальная ситуация, что люди не хотят, чтобы их персональные данные оказались в общем доступе в интернете, но на своем рабочем месте не предпринимают меры, чтобы персональные данные не утекали в Сеть".

"Операторов персональных данных существенно больше, чем тех, кто зарегистрирован в таком качестве в Роскомнадзоре. В Реестре операторов ПДн зарегистрировано сегодня 445 845 компаний, в то время как в России действует 3,44 млн юрлиц, которые так или иначе имеют дело с ПДн. Получается, что компании либо не знают, либо игнорируют требование признать себя оператором. Раз так - вряд ли они предпринимают какие-то активные действия по подготовке к выполнению требований закона", - делится наблюдениями начальник отдела аналитики "СёрчИнформ" Алексей Парфентьев.

"В целом мы наблюдаем, что постепенно компании начинают осознавать ценность персональных данных, необходимость внедрения мер по их безопасной обработке и введения ответственности за утечки. Например, опрос показал, что 70% организаций считают необходимым введение штрафов за утечку ПДн. При этом также мы видим, что пока не все компании готовы к изменениям, предстоит большая работа по приведению процессов и документации в соответствие новым требованиям", - так прокомментировала результаты исследования руководитель групп аналитики, аудита и техподдержки ИБ "Крок" Анастасия Федорова.

Руководитель службы исследований, кибераналитики и развития группы Т1 Александр Новиков обращает внимание, что приведение информационных систем в соответствие изменившимся требованиям законодательства потребует серьезных трудозатрат, причем остается много вопросов: "Изменения затрагивают не только вопросы защиты, но в большей степени - процесс обработки ПДн. Необходимо перестроить часть устоявшихся процессов, переработать документацию и т.д. Особенный интерес представляет отслеживание и информирование об инцидентах и внедрение ГосСОПКА. Порядок такого взаимодействия не определен. Только 1 сентября на сайте Роскомнадзора появилось сообщение, как и в какой форме должно происходить информирование об утечках. На мой взгляд, должны быть определенные условия для такого информирования. Например, есть разница между утечкой ПДн двух субъектов и 2 млн субъектов. Остаются вопросы и по защите БПДн, методике определения угроз безопасности информации и т.д.".

Эксперт Центра продуктов Dozor "РТК-Солар" Алексей Кубарев также считает, что организационные и технические мероприятия для выполнения требований законодательства являются весьма затратными: "Кроме приведения в соответствие с законом организационной документации компании, нужно еще внедрять и средства защиты. В том числе теперь нужно информировать об инцидентах безопасности ФСБ и начать взаимодействие с центрами ГосСОПКА. Объем работ существенный".

"Мы предлагаем руководствоваться порядком, установленным приказом ФСБ России от 24.07.2018 №367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации". Для взаимодействия с Роскомнадзором действующей нормативной базы, которая регламентирует данный процесс, нет, но мы не считаем это помехой", - рекомендует директор центра информационной безопасности "Ланит-Интеграция" Николай Фокин.

"На 1 сентября 2022 г. реализация проекта до конца неясна. Более того, примерно полгода будет представлять проблемы для операторов персональных данных - то есть до тех пор, пока не будут разработаны четкие и подробные нормативные акты. Кроме того, на данный момент не до конца понятен процесс уведомления об инцидентах в течение 24 часов. Поскольку инцидент может стать известен операторам не сразу, а также с учетом времени, необходимого на сбор подтверждающих материалов, заявленный срок видится далеким от реальности", - на такие практические сложности обращает внимание начальник отдела кадров "Аурига" Елена Козякина.

Заместитель генерального директора Zecurion Александр Ковалев считает, что все-таки большая часть организаций будут постепенно выполнять требования закона, для чего существует несколько причин: "Во-первых, нормативная база будет еще дорабатываться, профильные ведомства будут уточнять важные моменты - например, что является инцидентом, а что нет, что является значимыми последствиями, что нет. Например, если говорить о частных случаях вроде пропуска в бизнес-центр, то в нужное состояние приводиться все бизнес-центры будут долго, чего бы ни требовал закон. Во-вторых, ответственность будет расти. Штрафы должны исчисляться большими цифрами. Для крупных компаний, утечки из которых более критичны и значимы, штраф 500 тыс., 1 млн или 1,5 млн - это не очень большие цифры. Даже если мы посмотрим на зарубежный опыт, там в большей степени идет речь об имиджевых потерях. Когда компанию штрафуют даже на миллионы долларов, например крупные банки, а у нее утечки продолжаются, то встает вопрос, что в целом система защиты персональных данных и та логика, которая есть, она достаточно сложная и для реализации в первую очередь. Нельзя сказать, что компании не хотят защитить данные, но надо понимать, что есть бизнес-процессы, которые приносят определенные деньги. И если мы начнем тратить прибыль в большом количестве на бюрократические задачи, которые неизбежны в случае выполнения подобных законов, то это не приведет ни к чему хорошему, потому что надо и данные везде собрать, а с одной стороны, мы не можем их собирать, с другой стороны, нам надо данные защитить. Иногда это противоречит логике работы в информационных системах. Понятно, что мы не можем защитить данные на 100%, но есть DLP-системы, DCAP, NGFW и другие подобные решения, которые защищают. Тут нужна какая-то балансировка, и тогда все будет постепенно налаживаться".

Директор по безопасности "МойОфис" Александр Буравцов считает, что 266-ФЗ радикально меняет правила соответствия информационных систем персональных данных: "Это приведет к трансформации многих организаций: придется пересмотреть процессы реагирования на запросы субъектов и регулятора в целях сокращения сроков подготовки ответов. Например, теперь оператор обязан обеспечивать взаимодействие с ГосСОПКА, также необходимо сообщать Роскомнадзору обо всех утечках в течение 24 часов, а в течение 72 часов уведомить о результатах внутреннего расследования по инциденту и виновниках утечки, если таковые есть. Закон также сокращает срок для исполнения запросов Роскомнадзора до 10 рабочих дней. Также ужесточается работа с биометрией".

По мнению Алексея Парфентьева, в наиболее сложной ситуации оказывается малый и средний бизнес: "Даже в средних компаниях наличие ИБ-специалистов - это редкость. Таким компаниям приходится выстраивать процесс с нуля. А чтобы выполнить требования закона, формальной отчетности будет недостаточно: регулятору нужны детали и доказательства инцидента. При этом, учитывая объем обработки персональных данных даже в небольшой компании, собрать вручную такие данные фактически невозможно. Значит, операторам предстоит взять на вооружение системы выявления утечек информации, решения для категоризации информации, защиты электронных каналов передачи и прочее. Даже в крупных организациях такая оснащенность - редкость. Также единовременная закупка защитных систем, включая оборудование, необходимое для передачи отчетов, - большая финансовая нагрузка для компаний. А вот для тех, кто раньше занимался защитой ПДн, в целом нет ничего нового".

Николай Фокин считает, что привести информационные системы персональных данных в соответствие требованиям законодательства не станет слишком трудоемкой задачей для операторов, но следует внимательно проработать локальные акты для отражения в них новых изменений. Также, по его мнению, объем работ зависит от объема и типа персональных данных, обрабатываемых оператором.

Вторая часть изменений вступает в силу с 1 марта будущего года. При этом не до конца подготовлена вся нормативная база. "Если по трансграничной передаче задачи понятны, то для оценки вреда понадобится методика от Роскомнадзора. Только после этого можно будет корректно оценить объем работ", - считает Александр Новиков.

Алексей Парфентьев предлагает, чтобы требования по защите данных были частью закона, а не ведомственной нормативной базы: "Существует много детализированных нормативных документов, из которых понятно, как защищать персональные данные: приказы ФСТЭК, стандарты ЦБ. По большому счету если следовать им, можно организовать добротную систему ИБ. Если в компании нет ИБ-отдела, она о приказах ФСТЭК, скорее всего, ничего не знает. Поэтому мы всегда выступаем за то, чтобы четкие требования к защите данных были прописаны прямо в законе, а не отсылали к приказам. Так бизнесу будет гораздо легче понять, как защититься и выполнить требования".

Александр Буравцов призывает начинать работу уже сейчас: "С 1 марта 2023 г. дополнительно ужесточается трансграничная обработка ПДн. Организациям, осуществляющим такую передачу, к 1 марта 2023 г. нужно определить перечень государств, на территорию которых осуществляется передача, и запросить предусмотренные изменениями сведения у иностранных контрагентов. Необходимо будет провести аудит внутренних документов по данному направлению, учесть и применять новые требования к сбору персональных данных. Это объемная работа".

"До 1 марта 2023 г. операторам персональных данных предстоит пересмотреть и актуализировать не менее 10 видов документов - например, договор-поручение на обработку персональных данных и формы согласий, порядок публикации политики и проч.", - уточняет Николай Фокин.

Однако, как напоминает Алексей Кубарев, новшества, которые вступают в силу 1 марта 2023 г., касаются не всех компаний, а только тех, которые работают за рубежом, - например, иностранных представительств российских компаний.