Минцифры и ФСБ обсуждают смягчающие обстоятельства для компаний при утечке персональных данных

Минцифры с ФСТЭК, ФСБ и бизнесом обсуждают перечень мероприятий, которые компании должны выполнять для получения смягчающих обстоятельств в случае получения штрафа за утечку персональных данных Читать далее

Минцифры определит смягчающие обстоятельства по штрафам за утечку информации Минцифры совместно с Федеральной службой по техническому и экспортному контролю ФСТЭК , Федеральной службой безопасности ФСБ и участниками отрасли информационной безопасности ИБ обсуждают перечень мероприятий, которые компании должны выполнять для получения смягчающих обстоятельств в случае получения штрафа за утечку персональных данных. Об этом сообщила директор по стратегическим проектам Ассоциации больших данных Ирина Левова на форуме Positive Hack Days 2025. Речь идет о новелле в законе «О персональных данных». Новые требования вступят в силу 30 мая, они предполагают ужесточение требований к защите персональных данных, а также вводят оборотные штрафы за повторную утечку.

Бизнес просит уточнений — Минцифры определит обстоятельства, которые позволяют снизить штрафы за утечку данных Минцифры совместно с ФСТЭК, ФСБ и участниками отрасли работает над конкретизацией законодательства в сфере информационной безопасности. В планах создать конкретный список мероприятий, которые считаются смягчающими обстоятельствами в случае получения компанией штрафа за утечку персональных данных, сообщила представитель Ассоциации больших данных. Это касается изменений, которые внесли в закон «О персональных данных». Они предполагают ужесточение требований к защите ПД и оборотные штрафы за повторные утечки. Поправки вступают в силу 30 мая. В них также указано, что если компания тратила не менее 0,1% от годовой выручки на мероприятия, посвященные ИБ, на протяжении 3 лет, то в случае утечки это будет смягчающим обстоятельством. Это и планируется конкретизировать, потому что сейчас нет понимания, какие мероприятия имеются в виду. Представитель Минцифры подтвердил, что сейчас идут такие обсуждения, но деталей не привел. В отрасли отмечают, что в настоящее время закон не учитывает вложения компаний в разработки, не прошедшие сертификацию ФСТЭК, и наличие ИБ-штата. Однако некоторые эксперты отмечают, что уже с 2013 года существуют более 200 конкретных требований по защите ПД, утвержденных приказом ФСТЭК.

В России ведётся активное обсуждение мер, которые смогут служить смягчающими обстоятельствами при наложении штрафов за утечку персональных данных. Как сообщила Ирина Левова, директор по стратегическим проектам Ассоциации больших данных, соответствующие предложения обсуждаются на уровне Минцифры, ФСТЭК, ФСБ и представителей ИБ-индустрии. С 30 мая 2025 года вступают в силу изменения в законе «О персональных данных», ужесточающие требования к защите информации и вводящие оборотные штрафы за повторные утечки. При этом предполагается, что если компания в течение трёх лет инвестировала не менее 0,1% годовой выручки в кибербезопасность, это может считаться смягчающим фактором. Однако закон не уточняет, какие конкретно меры подпадают под эти инвестиции. Также необходимо наличие лицензии ФСБ на криптографические разработки либо привлечение соответствующего подрядчика. Участники рынка отмечают, что вложения в собственные разработки и ИБ-штат пока не признаются смягчающими обстоятельствами, что вызывает споры с регуляторами. Что по страхованию? Подпишись

Со дня на день российский бизнес ожидает вступления в силу оборотных штрафов за утечки персональных данных: с 30 мая Роскомнадзор сможет оштрафовать за утечку на сумму до 500 млн рублей, или 3% от оборота. Между тем, уровень утечек продолжает оставаться критическим. Коммерсантъ написал сегодня, что в I квартале этого года в сеть утекли 67 баз данных российских компаний, включая 99,7 млн строк персональной информации. В зоне риска — как раз-таки IT-процессы. Для разработки продуктов — особенно, для их тестирования — используется большое количество данных, и, как правило, без особой защиты. Сейчас под прицелом хакеров будут крупные компании с большими базами b2c-клиентов. По текущей статистике больше всего утечек 46% в ритейле и IT. Но понятно, что в зоне риска сейчас и банки, и экосистемы, и образовательные порталы. О проблеме безопасности данных в тестовых средах в материале Ъ упомянул Виталий Фомин из Лиги Цифровой Экономики. Без тестирования решений в разработке никуда, иначе выявить ошибки и уязвимости в коде до ввода в эксплуатацию не выйдет. И настоящие базы данных применяются разработчиками вовсе не случайно: для тестов нужны реальные или приближенные к реальным условия. При этом, поскольку продукт ещё не вышел в эксплуатацию, он не так хорошо защищен с точки зрения безопасности. Именно поэтому тестовые среды — лакомый кусок для хакеров. Интересно, что решение этой проблемы на рынке уже есть — это различные инструменты маскирования данных, которые позволяют обезличить их с сохранением всех исходных характеристик, критичных для тестирования. В случае утечки маскированных данных бизнесу не страшен штраф: у хакеров не получится выудить из такой базы персональную информацию. Гендиректор «Спутника» Андрей Буланов рассказал, что его компания разрабатывала свои алгоритмы обезличивания совместно с Национальным технологическим центром цифровой криптографии НТЦЦК — они уже показали свою эффективность в различных проектах. Предчувствуем, что обязательное использование компаниями инструментов обезличивания данных — лишь вопрос времени. Особенно с таким ужесточением регулирования.

Умный помощник, который всегда под рукой

Минцифры, ФСТЭК и ФСБ обсудят с ИБ-отраслью перечень мероприятий для компаний, которые позволят получить смягчающие обстоятельства в случае штрафа за утечку персональных данных. Речь идет о новых требованиях в законе "О персональных данных", вступающих в силу 30 мая. Они предполагают ужесточение требований к защите персональных данных и вводят оборотные штрафы за повторную утечку информации.

Минцифры подготовит список обстоятельств, смягчающих штрафы за утечки персональных данных Уже с 30 мая начнут действовать повышенные штрафы за неправильную работу с персональными данными, а также оборотные штрафы за утечки. Пока что федеральный закон от 30 ноября 2024 № 420-ФЗ не предусматривает никаких смягчающих обстоятельств, но Минцифры планирует это изменить. Об этом пишут «Ведомости» со ссылкой на директора по стратегическим проектам Ассоциации больших данных Ирину Левову. Эксперты считают, что смягчающими обстоятельствами должны быть инвестиции в информационную безопасность. К этому относится не только покупка софта, сертифицированного в ФСТЭК, но и разработка фирмой своих собственных решений. Также в качестве смягчающих мер могут принять списки технических, организационно-правовых мер и страхование рисков. Например, использование систем шифрования, средств обнаружения утечек и защищенных хранилищ.

Минцифры, ФСТЭК, ФСБ и участники рынка информбезопасности ИБ обсуждают предложения о том, какие ИБ-мероприятия можно будет учитывать при назначении смягчающих обстоятельств за утечки персональных данных Однако «говорить о конкретных деталях и мероприятиях ещё рано» Речь идет о законе «О персональных данных» Новые требования вступят в силу 30 мая, они предполагают ужесточение требований к защите персональных данных, а также вводят оборотные штрафы за повторную утечку Если компания тратила не менее 0,1% от годовой выручки на мероприятия, посвященные ИБ, на протяжении хотя бы трех лет, то в случае утечки это будет считаться смягчающим обстоятельством и размер штрафа может быть меньше Однако в законе не названы конкретные меры, на которые должны идти эти средства При этом там есть уточнение, что помимо вкладывания инвестиций компания должна иметь лицензию ФСБ на разработку систем с использованием криптографии или привлечь организацию, обладающую такой лицензией Подписаться

Минцифры предлагает ввести меры смягчения ответственности за утечку персональных данных В связи с ужесточением ответственности за нарушения при обработке персональных данных Минцифры задумался о ее смягчении. Дело в том, что уже с 30 мая вступят в силу поправки к Закону от 30.11.2024 № 420-ФЗ в КоАП РФ, существенно усиливающие санкции в этой сфере, включая ввод оборотных штрафов за повторные нарушения. Так, за повторную утечку персданных любой категории оператора смогут оштрафовать на сумму от 1 до 3 процентов годовой выручки. При этом законодатель не предусмотрел никаких смягчающих обстоятельств. Именно поэтому министерство совместно с профильными ведомствами обсуждает, какие меры в этом отношении могут предпринять операторы. Как сообщают «Ведомости», ими могут стать: — инвестиции в информационную безопасность. Например, приобретение сертифицированного Федеральной службой по техническому и экспортному контролю софта; — собственные разработки в области информационной безопасности; — меры по страхованию рисков, такие как применение систем шифрования, средств выявления утечек, защищенных хранилищ данных.

С 30 мая в России начали действовать новые штрафы за утечки персональных данных — до 15 млн рублей. За первый квартал 2025 года уже утекло 67 баз.