Журнал "Information Security/ Информационная безопасность" #3, 2025

Нормы ФЗ–152 "О персональных дан- ных" (ст. 18.1 и ст. 19) имеют множество нюансов, превращающих их практиче- ское применение поистине в науку и искусство. К сожалению, еще не все избавились от заблуждения о тождестве понятий "защита информации" и "техни- ческая защита информации". Защита ПДн в МСБ – это не только программно- аппаратные и технические меры, но в большей степени – обязательные орга- низационные меры по требованиям тех- нической защиты ПДн. Нормативно-правовая база по ПДн стремительно меняется. Так, с 2006 г. в 152–ФЗ "О персональных данных" изме- нения вносились более тридцати раз. Государственные регуляторы – ФСБ России, ФСТЭК России, Роскомнадзор – постоянно принимают новые норма- тивные акты, отраслевые министерства и ведомства также вносят свой вклад. Большие дискуссии вызвали нашумев- шие изменения, внесенные недавно в Уголовный кодекс РФ, КоАП РФ, Тру- довой кодекс РФ. Все эти обновления требуют исполнения. Если не испол- няются – это уязвимость и для субъектов, и для операторов ПДн. Мы проанализировали динамику составов правонарушений в области обработки ПДн и штрафов за эти право- нарушения в 2007–2025 гг. – она впе- чатляет. Если в 2007 г. мы имели дело только с одним составом, то сегодня, в 2025 г., составов уже 18. И если в 2007 г. штраф для руководителя составлял 500–1000 руб., то сегодня эта сумма поднялась до 2 млн руб. Еще более рискует организация: штраф за правонарушение в области ПДн может составить 500 млн руб. Что это за соста- вы? Каковы штрафы за правонарушения в МСБ? Каковы три условия, чтобы получить смягчающие обстоятельства? Неспособность МСБ детально разобрать- ся в составах правонарушений, оценить и минимизировать риски потенциального ущерба за неправильную работу с пер- сональными данными – это серьезная уязвимость для МСБ как оператора. Как избавиться от таких уязвимостей? Новая норма сегодня – не ждать, пока грянет гром, а, согласно ст. 22.1 ФЗ–152, назначить ответственного за организа- цию обработки ПДн в своей организации. Целесообразнее на эту роль выбрать не ИТ-специалиста, а того, кто понимает бизнес-процессы организации и движе- ние ПДн внутри этих процессов. А вот штатного ИТ-специалиста следует назна- чить ответственным за защиту ПДн, как это рекомендовал операторам персо- нальных данных Роском- надзор 8 августа 2023 г. 5 Что дальше? Чтобы не отставать от нормативной базы и новых технологий несанкционированного доступа к защищаемой информации, ответствен- ные за ПДн в организа- циях МСБ обязаны посто- янно обновлять свои ком- петенции в этой области6. Эта обязанность пред- усмотрена ст. 18.1 п. 6 ФЗ–152 "О персональных данных" как мера, направ- ленная на обеспечение выполнения оператором обязанностей, предусмот- ренных этим Федераль- ным законом: "ознаком- ление работников опера- тора, непосредственно осуществляющих обра- ботку персональных дан- ных, с положениями зако- нодательства Российской Федерации о персональ- ных данных, в том числе требованиями к защите персональных данных, документами, определяю- щими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обра- ботки персональных данных, и (или) обучение указанных работников". Своевременными были бы, конечно, институциональные решения – норма- тивное закрепление обязательности и периодичности обучения и повышения квалификации, внедрение обязательных краткосрочных курсов по 152–ФЗ для ответственных за ПДн, как это пред- усмотрено, например, постановлением Правительства РФ№ 399. Но пока таких решений нет, требуется обучать их на курсах профессиональной переподго- товки или повышения квалификации по ПДн и далее регулярно обновлять их компетенции. Ответственные, в свою очередь, могут обучать сотрудников своих организаций, вовлеченных в про- цесс обработки ПДн. Проактивные инвестиции в обучение, как известно, гораздо эффективнее реактивных расходов после инцидентов с утечками ПДн. Но хочется предосте- речь МСБ от бесполезных трат и без того ограниченных средств на формаль- ные "корочки". Курсы необходимо выби- рать у организаций-лицензиатов, имею- щих реальную практику оказания услуг по обработке и защите ПДн, состоящих в перечне организаций, осуществляю- щих образовательную деятельность, и имеющих дополнительные профес- сиональные программы в области информационной безопасности, согла- сованные с ФСТЭК России. Только они имеют опыт системного подхода к адек- ватному, персонализированному реше- нию этих задач, в том числе – в условиях ограниченных ресурсов малых и средних организаций с учетом их специфики. В заключение Итак, персональные данные в малом и среднем бизнесе становятся все более привлекательной мишенью для зло- умышленников. А учитывая игнориро- вание проблем ПДн в МСБ-организа- циях, ограниченные ресурсы МСБ и недостаточное внимание к обновлению знаний о меняющихся нормах и техно- логиях работы с ПДн, – еще и более легкой добычей. МСБ не может сегодня, как раньше, игнорировать вопросы обучения и непрерывного повышения квалификации своих работников, ответ- ственных за организацию обработки ПДн. Это – главный, первоочередной шаг. Да и регуляторы, и судебная система отнесутся к вам благосклонней, если ваши ответственные за организацию обработки и защиту ПДн будут иметь актуальные знания и умения в области их обработки и защиты. l • 19 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 4 https://www.comnews.ru/content/231651/2024-02-20/2024-w08/1008/rossiyskie- sayty-zabyli-pro-politiki-konfidencialnosti 5 https://rkn.gov.ru/press/news/news74733.htm 6 https://imoib.ru/institute/news/obuchenie-v-oblasti-personalnyh-dannyh-eto-ne-vre- mennyy-trend-norma-novoy-realnosti