Эксперты: контроль за соблюдением требований 152-ФЗ усиливается


Linxdatacenter провел серию семинаров по защите персональных данных в Москве и Санкт-Петербурге в октябре 2019 года. Участники семинаров пришли к выводу о том, что в современных условиях комплекс работ по обработке и защите ПДн представляет собой бесконечный цикл.

Такое мнение высказали участники семинаров по защите персональных данных, организованных Linxdatacenter для представителей бизнеса в Москве и Санкт-Петербурге в октябре 2019 года. Семинары стали продолжением летних мероприятий «152-ФЗ: ожидания и реальность».

Личные данные пользователей играют все более значимую роль для создания новых бизнес-моделей, сервисов и продуктов, где используются аналитика данных, различные виды распознавания и идентификации личности, онлайн-транзакции и т.д. Вместе с этим увеличивается и нагрузка на бизнес по обеспечению корректной обработки этой информации в соответствии с законодательством РФ. При невыполнении требований регулятор будет штрафовать компании.

Однако Вадим Перевалов, старший юрист BakerMcKenzie, считает, что штрафы для бизнеса – еще не самое страшное последствие нарушений в области работы с ПДн сегодня. «За обработку ПДн без письменного согласия лица предусмотрен административный штраф. Также Роскомнадзор выписывает предписание об устранении в срок до 6 месяцев. Однако самый неприятный момент – это опубликование информации о нарушении закона в открытых источниках. Для крупных компаний попадание в такие источники и далее в СМИ означает репутационные риски, которые могут оказаться существенно более дорогими по сравнению с любыми штрафами и предписаниями», - обращает внимание эксперт.

Также, по его словам, «на карандаш» регулятора можно попасть в случае, если поступает определенное количество жалоб на компанию по поводу нарушения закона, если на сайте компании не опубликована политика об обработке ПДн, не поданы соответствующие уведомления об обработке ПДн в РКН и т.д.

Участники семинаров пришли к выводу о том, что в современных условиях комплекс работ по обработке и защите ПДн представляет собой бесконечный цикл, поскольку в большинстве компаний конфигурации ИБ-систем и утвержденные бизнес-процессы отстают от скорости развития кибер-угроз и требуют обновления по мере изменения бизнес-процессов.

По словам Бориса Меркулова, инженера по облачным решениям и информационной безопасности Linxdatacenter, одним из факторов риска становится развитие облаков. По прогнозам аналитиков, около 83% корпоративных ИТ-систем крупных компаний вскоре мигрирует на облачные платформы, что уже сейчас приводит к трансформации кибер-атак в сторону комбинированного типа (использование шифровальщиков, ботнетов на 0-day и т.д.).

Главный же вызов для большинства компаний сегодня – это фишинг. В среднем, на каждый бизнес в мире приходится до 200 фишинговых писем в день. Более того, в связи с распространением утечек ПДн фишинг становится таргетированным и более эффективным.

«Применительно к России можно сказать, что наличие 152-ФЗ и 242-ФЗ гарантирует выполнение необходимого минимума мер информационной безопасности по защите персональных данных. Однако регуляторы слишком медленно реагируют на изменения кибер-угроз, выпуская запоздалые оповещения и рекомендации по борьбе с давно выявленными на практике видами угроз. В этой ситуации бизнес должен брать на себя все функции по самостоятельному исследованию ландшафта угроз и принятию адекватных мер по их предотвращению и устранению. Сервис-провайдерам необходимо как отслеживать текущее состояние ИБ-направления, так и предоставлять решения по инфраструктурному и правовому соответствию ИБ-решений для конечных клиентов», - рассказал Борис Меркулов.

По словам Ольги Ермаковой, старшего юрисконсульта и комплаенс специалиста Linxdatacenter, согласно требованиям статьи 19 закона 152-ФЗ в области защиты ПДн, бизнес обязан принимать три вида мер по ее обеспечению – организационные, правовые и технические. Данные меры должны быть необходимыми и достаточными для выполнения требований закона.

«Сегодня любая организация может сама строить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным передачу этой сферы под контроль компетентного подрядчика. Это позволяет обеспечить дополнительный взгляд на задачу «со стороны», правовую и техническую экспертизу, подтвержденную необходимыми сертификатами в области ИБ», - говорит эксперт.

«Интересный пример передового решения по обработки ПДн в современном контексте требований регулятора представила Дарья Прохорова, руководитель направления по правовому сопровождению проектов «Газпром нефть».

На фоне идущей в компании цифровой перестройки всех бизнес-процессов было принято решение разработать процедуры получения согласия на обработку персональных данных, альтернативные оформлению в письменной форме, которые будут использованы при прохождении в помещения компании. Так, в настоящий момент Научно-Технический Центр «Газпром нефти» прорабатывает решение, которое позволяет посетителю ознакомиться с соглашением об обработке ПДн в электронном виде и подписать его – без ручки и бумаги. Действующие нормы Гражданского кодекса позволяют подтверждать достоверность соглашений без подписи, посредством конклюдентных действий, например, путем сканирования паспорта.

Планируемая к созданию для Научно-Технического Центра «Газпром нефти» система согласно разработанной концепции будет распознавать фото из паспорта, делать фото посетителя, сопоставлять их, считывать реквизиты паспорта и автоматически заносить их в базу электронных согласий.

Такие действия позволяют получить согласие на обработку биометрических ПДн в форме электронного документа, а необходимость работы с бумагой устраняется.

Управления Роскомнадзора по-разному отзываются об идее получения согласия в электронной форме с помощью электронной подписи, и как резюмирует Дарья Прохорова: «Нужно быть готовым к тому, что правоприменительная практика по данному вопросу в России пока недостаточно проработана, и возможно различное толкование норм права регулятором и операторами персональных данных. В то же время, со своей стороны, мы надеемся, что реализация проекта будет проходить в единомыслии с уполномоченными органами».

Эксперты резюмировали, что бизнесу пока не хватает экспертизы для самостоятельного выполнения требований 152-ФЗ, и, что еще важнее, компании не стремятся приобрести эти знания в силу сложности процедур. В этой ситуации одним из главных векторов развития сферы защиты ПДн остается аутсорсинг, когда весь комплекс ИБ-задач решается в защищенном облаке стороннего сервис-провайдера, обладающего необходимыми сертификатами от регуляторов, встроенными инструментами безопасности, а также защитой на уровне архитектуры решения (например, за счет гибридного облака). Специалисты Linxdatacenter фиксируют постоянно растущий спрос на такую комплексную услугу от клиентов, оперирующих личными данными потребителей.


***
Краткая справка о Linxdatacenter
Linxdatacenter (штаб-квартира в Амстердаме, Нидерланды) – один из лидеров международного рынка высокотехнологичных ИТ-решений для бизнеса. География предоставления услуг Linxdatacenter охватывает рынки Центральной и Восточной Европы, России, Азии и Скандинавии.

Компания предоставляет облачные решения и сервисы в области хранения данных в собственных дата-центрах уровня TIER III в Москве и Санкт-Петербурге, а также на базе партнерских дата-центров в Варшаве, Шанхае и Гонконге. Портфолио Linxdatacenter включает услугу частного доступа к глобальным облачным сервисам, таким как Amazon Web Services и Google Cloud Platform.

Дата-центры компании имеют сертификацию ISO 27001, ISO 9001, PСI DSS, SAP Cloud and Infrastructure и соответствуют стандарту Management & Operations Stamp of Approval (Uptime Institute). Опыт работы компании составляет более 18 лет.

Подробнее о решениях Linxdatacenter на сайте https://ru.linxdatacenter.com/