Все необходимые средства защиты персданных есть лишь у половины российских компаний
Лишь половина организаций в России — 51% — внедрила все средства защиты персональных данных (ПДн), требуемые российским законодательством, следует из результатов опроса более 100 IT-директоров и директоров по информационной безопасности средних и крупных компаний разных отраслей, проведенного компанией «К2 Кибербезопасность».
Цель опроса — оценить соответствие текущей деятельности компаний требованиям ФЗ № 152 «О персональных данных» в части обработки и защиты ПДн. По итогам опроса, с которым ознакомился Forbes, выяснилось, что, кроме отсутствия всех необходимых средств защиты информации, бизнес также пренебрегает и такой обязательной мерой, как регулярный аудит процессов обработки и защиты ПДн. Лишь 34% проводят его не реже одного раза в три года, как того требует законодательство.
При этом большинство компаний куда более осознанно подходит к выполнению требований, связанных с разработкой локальных нормативных документов в области обработки и защиты ПДн. Так, 71% респондентов ответили, что разработали и политику, и полный набор документов, регламентирующих порядок реализации этих процессов. Кроме того, респонденты заявили, что ознакомили с указанными документами всех сотрудников компании, а также выделили в своих компаниях ответственного за организацию обработки ПДн.
Сейчас в Госдуме ожидают рассмотрения в рамках второго чтения двух законопроектов, ужесточающих ответственность за утечки и незаконное использование персональных данных. Согласно этим документам, размер штрафа будет зависеть от объема утечки: за потерю данных от 1000 до 10 000 субъектов наказание для юрлиц составит до 5 млн рублей, до 100 000 субъектов — до 10 млн рублей, более 100 000 — до 15 млн рублей. За повторное нарушение предусмотрен оборотный штраф в размере до 500 млн рублей (от 0,1% до 3% от выручки за календарный год).
В первом чтении законопроекты об усилении административной и уголовной ответственности за утечку персональных данных были приняты в январе 2024 года. Поправки стали предметом оживленной дискуссии еще на стадии подготовки.
«Несмотря на грядущее повышение штрафов вплоть до 3% от выручки и даже возможную уголовную ответственность для должностных лиц, многие компании все еще не выполнили все требования по защите ПДн, установленные законодательством, — констатирует руководитель направления консалтинга в «К2 Кибербезопасность» Ольга Трофимова. — При этом в ходе опроса мы увидели и положительный тренд на организацию более комплексного и зрелого подхода к снижению рисков утечки ПДн за счет использования SOC (Security Operation Center, Центр мониторинга кибербезопасности)».
Почти половина (46%) опрошенных заявили, что планируют внедрить SOC для защиты персональных данных. А 18% из них уже применяют SOC и имеют позитивный опыт использования его возможностей для предотвращения утечек ПДн, говорит Трофимова.