Как компании избежать штрафов за утечку персональных данных

В июне президент подписал закон об увеличении штрафов за незаконное разглашение персональных данных, теперь они вырастут в 10 раз. Речь в законе идет только об информации ограниченного доступа и сведениях о защищаемых лицах: прокурорах, следователях, сотрудниках ФСБ, Следственного комитета России. Это отдельные виды персональных данных – конфиденциальная информация. Но риск нарушить этот закон есть почти у любого бизнеса, а ответственность предусмотрена немалая.

Раньше за разглашение «информации ограниченного доступа» физлицо получало штраф до 1000 руб., теперь – до 10 000 руб. Должностные лица за утечку получали штраф до 5000 руб., теперь – до 50 000 руб. Если же данные будут касаться работников силовых структур, то штраф за утечку для физлиц составит 40 000 руб., для юрлиц – до 300 000 руб. Утечка информации о гражданах под государственной защитой для физлица обойдется максимум в 70 000 руб., для юрлица – в 500 000 руб.

Для крупного бизнеса такие штрафы покажутся незначительными. Но в России миллионы малых и средних предприятий, которые в зоне риска, поскольку занимаются сбором, обработкой и хранением персональных данных. Каждая компания, которая это делает, является оператором персональных данных, но в Роскомнадзоре как оператор может быть не зарегистрирована. В результате в реестре регулятора операторов персональных данных более 417 000, а по факту – около 5 млн.

Отсутствие регистрации не избавляет от ответственности за безопасное хранение данных, и оштрафовать на сотни тысяч рублей могут даже небольшую гостиницу, если в ней поселился сотрудник прокуратуры, судья или охраняемый свидетель, а данные о госте «утекли». Только в текущем году Роскомнадзор получил 42 436 обращений от граждан по проблемам обработки персональных данных.

Очевидно, что многочисленные утечки приведут к ужесточению контроля. И операторам стоит ожидать увеличения числа проверок. Я рекомендую каждому оператору обеспечить должный уровень защиты персональных данных уже сегодня. Вот конкретные действия:

1. Проверьте свою организацию на соответствие обязательным требованиям для операторов персональных данных. Разбираться придется в трех документах: 152-ФЗ «О персональных данных», требованиях к защите персональных данных, установленных правительством РФ, и требованиях Роскомнадзора. Разобраться в терминологии документов и отсылках к приказам других регуляторов (в частности, ФСЭК) без опыта будет сложно. Вы сэкономите, если привлечете к работе специалиста.

2. Наймите специалиста по информационной безопасности (ИБ). Он проведет первичный аудит бизнес-процессов и IT-инфраструктуры, чтобы понять ситуацию с ИБ. Он обозначит риски и угрозы, сформирует систему защиты информации. На эту позицию не подойдет сисадмин – перекладывать задачи ИБ на администратора категорически не рекомендуется, это спровоцирует разногласия.

3. Переведите всю критичную информацию в электронный вид, систематизируйте и обеспечьте ее адекватное хранение. Только в цифровом виде информация подлежит полноценному аудиту и, следовательно, защите. Старайтесь использовать меньше публичных сервисов, отдавая предпочтение внутренним корпоративным порталам, CRM-системам, мессенджерам, почтовым серверам. Так у вас будет информация о том, как и где хранятся данные. Российский закон требует, чтобы персональные данные были локализованы на территории страны.

4. Максимально задействуйте функции безопасности, встроенные в ваши IT-платформы. Организуйте разграничение прав доступа, системы единого входа, встроенные криптофункции, введите запрет на любой софт, который реально не требуется в работе. Всегда держите обновления системного и прикладного ПО в актуальном состоянии. В идеальной ситуации всеми этими задачами и настройками должен заниматься штатный ИБ-специалист.

5. Приобретите технические средства защиты. К ним относятся решения класса DLP, специализированные инструменты предотвращения утечек. Альтернативой может быть DCAP-система, которая за счет контроля доступа сотрудников к информационным ресурсам предприятия обеспечит безопасность данных. На крайний случай можно использовать систему контроля рабочего времени, но только со специальным функционалом, к примеру с функцией скриншотов экрана. Система будет мониторить все действия сотрудников в компьютере и тщательно их фиксировать. Утечку она не предотвратит, но поможет оперативно разобраться в ситуации.

6. Усиливайте информационную безопасность с помощью собственных сотрудников. Они должны знать базовые понятия ИБ, понимать свою роль в защите данных, особенно если они непосредственно работают с персональными данными. Проводите тренинги, повышайте ИБ-грамотность персонала, не ограничиваетесь только запретительными мерами.

Если все это для вашего бизнеса сложно, долго и дорого, а защита от утечек данных все равно нужна, то решение – аутсорсинг ИБ. Тогда все заботы по обеспечению ИБ-защиты возьмет на себя специализированная организация.

Долгое время бизнес мог не обращать внимания на вопрос обработки персональных данных. Сейчас требования к бизнесу будут ужесточаться, и лучше к этому подготовиться: следить за законодательными нововведениями, оценивать риски утечек, менять свои бизнес-процессы и IT-инфраструктуру, чтобы не получить штрафы.