Что произошло?
Официально: Принят закон об увеличении объемов наказаний за утечку персональных данных.
Фактически:
Наш комментарий
По замыслу законодателей, поправки в КоАП мотивируют компании к внедрению СЗИ и выполнению требований по ИБ. Благодаря изменениям, бизнесу будет выгоднее минимизировать риск инцидента и инвестировать в эффективные инструменты защиты, чем платить миллионные штрафы. Поскольку под статус оператора персданных попадает почти каждая организация в стране, за утечку может быть оштрафован любой бизнес. Однако особому риску подвержены:
Поправки вступят в силу в конце мая, а значит, у компаний есть время, чтобы:
Что произошло?
Официально: Принят и вступил в силу закон «О внесении изменений в УК РФ».
Фактически: за неправомерный доступ, использование и передачу персданных – штраф до 300 тыс. рублей или лишение свободы до 4 лет. Инсайдерам в организациях грозят до 6 лет заключения со штрафом до 1 млн рублей.
Наш комментарий
Осуждены могут быть как киберпреступники или участники «пробива», так и просто сотрудники, по вине которых произошла утечка. Чтобы минимизировать риски и защитить непричастных лиц, организациям следует предупреждать инциденты на ранних стадиях и расследовать их с помощью эффективных инструментов ИБ.
Сейчас в тексте закона не предусмотрены исключения для аналитиков, расследующих публичные утечки, и операторов сервисов проверки утечек, поэтому новые положения требуют избирательного применения.
Что произошло?
Заместитель руководителя Роскомнадзора предложил:
Наш комментарий
Компании, особенно МСБ, часто не имеют средств для эффективной защиты, но хранят большие объемы персданных, в том числе, устаревших и уже ненужных.
Для таких организаций актуально применение более дешевых и «легких» ИБ-средств, например, DCAP-систем. Подобные системы обнаружат чувствительные данные в файлах и блокируют их порчу, кражу и удаление. Чтобы еще больше сократить затраты на защиту данных, можно использовать ИБ-аутсорсинг от специализированных провайдеров.
Что произошло?
Официально: на портал проектов нормативных актов загружен проект Приказа ФСТЭК об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, госучреждений.
Фактически:
Наш комментарий
Документ отражает актуальные реалии информационной безопасности. В нем более понятно и практико-ориентированно отражены ИБ-задачи организаций госсектора. Поскольку приняты новые нормы об ответственности за инциденты с персданными, проект упорядочивает положения об их защите в ИС госорганизаций.
Важное новое требование, которого нет в 17-м Приказе – обязанность операторов ИС госсектора предотвращать утечки любой конфиденциальной информации. Также в новом акте будет установлено, что подрядчики госорганизаций будут ответственны за защиту доверенных им данных. Поэтому компаниям, работающим с госзаказами, нужно заняться повышением защищенности информации при работе с контрагентами.
Проект не несет невыполнимых или абсолютно новых требований: фактически многие госорганизации реализуют его положения и сейчас, но теперь выполнение требований к ИБ в госсекторе будет более системным, единообразным и всеобъемлющим.
Автор: Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ»