Журнал "Information Security/ Информационная безопасность" #6, 2024

• 53 ЗащИТа персональных данных www.itsec.ru Ксения Шудрова: Считаю, что увеличение штрафов пой- дет на пользу отрасли. Многие годы самым трудным в нашей работе было обоснование необходимости защиты персональных данных при низких штра- фах и практически отсутствующей судеб- ной практике: мы уповали на совесть руководства и грозили рисками для репутации. Оборотные штрафы наконец привлекли внимание широкой обще- ственности к существующим пробле- мам. Алексей Мунтян: Введение оборотных штрафов вряд ли сразу отразится на количестве и мас- штабе утечек данных, но существенным образом изменит правоприменительную и судебную практику в отношении рас- следования утечек, а также заставит компании более осознано и дотошно подходит к выбору и контролю постав- щиков ИТ-сервисов. Константин Саматов: На мой взгляд, кардинально ситуация не изменится, но улучшения все же будут. По крайней мере, уже видно повышение внимания к теме защиты персональных данных со стороны биз- нес-руководителей, которые ранее счи- тали эту тему не важной. В связи с этим я ожидаю активную реализацию мер по защите персональных данных в тех орга- низациях, где ранее этим вообще не занимались. Ну и конечно, абсолютной защиты не существует, поэтому утечки все равно будут случаться, но реже. Валерий Нарежный: Оборотные штрафы, безусловно, под- стегнут крупные компании к существен- ному увеличению инвестиций в инфра- структуру информационной безопасно- сти – ведь это может послужить по новому закону смягчающим обстоя- тельством при назначении наказания. Вероятно, со временем, когда начнет проявляться эффект от таких инвести- ций, крупных утечек станет меньше. Для малого бизнеса, скорее всего, тренд на рост числа утечек сохранится, поскольку у него нет достаточных средств на построение защиты и доро- гостоящих специалистов в области при- ватности. Алексей Плешков: К сожалению, анализируя публично подтвержденные компаниями утечки 2023–2024 гг., а также статистику по утечкам из выступлений представителей Роскомнадзора, можно с уверенностью сказать, что все, что могло в части ПДн утечь из отечественных компаний, уже давно утекло, размещено в Даркнете, накоплено на серверах за пределами Рунета и в любой момент может быть использовано для организации целевых атак. Введение с оборотных штрафов на эту ситуацию с утечками в ретро- спективе никак не повлияет. Денис Лукаш: Компании со временем начнут более зрело относиться к рискам утечек пер- сональных данных и выбирать испол- нителей различных услуг. Возрастет фактор репутации компании, связанный с отсутствием утечек, при выборе ее со стороны клиентов. Правда, это не коснется сервисов, для которых нет альтернативы, или массовых услуг, где репутацию можно повысить маркетин- говыми инструментами. Динамика изменений сильно зависит от практики правоприменения. Но компании в любом случае должны понимать, что они управляют риском, что есть зави- симость возможных наказаний от их усилий. Валерий Нарежный: 1. Выстраивание системы комплаенса в области персональных данных. 2. Наличие в компании высококвали- фицированных DPO и специалиста по информационной безопасности, а также привлечение соответствующих профес- сиональных и, в необходимых случаях, лицензированных подрядчиков. 3. Недопущение возникновения отяг- чающих обстоятельств, предусмотрен- ных КоАП РФ. Алексей Плешков: 1. Внутренняя инвентаризация в ком- пании мест хранения, автоматизирован- ной (в том числе смежной) обработки ПДн, а также прав доступа работников ко всем учтенным системам. 2. Регулярное проведение в организа- ции тестирований на проникновение (пентестов) с последовательной реали- зацией организационно-технических мер, направленных на устранение выявленных уязвимостей. 3. Оптимизация внутренних процес- сов, связанных с автоматизированной обработкой ПДн, в первую очередь – минимизация фактов, каналов, объе- мов любой передачи ПДн третьим лицам. Изменит ли введение оборотных штрафов ситуацию с утечками персональных данных? Три первоочередные меры, которые помогут избежать оборотных штрафов Новогодние рецепты против оборотных штрафов ведение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек. В Эксперты: Денис Лукаш, управляющий партнер юридической компании Lukash & Partners Алексей Мунтян, СЕО в Privacy Advocates, соучредитель RPPA.pro Валерий Нарежный, советник, ООО “Юридическая фирма Городисский и Партнеры” Алексей Плешков, независимый эксперт по информационной безопасности Константин Саматов, член Правления Ассоциации руководителей Служб информационной безопасности Ксения Шудрова, независимый эксперт по информационной безопасности, блогер