Журнал "Information Security/ Информационная безопасность" #5, 2021

• 35 УПРАВЛЕНИЕ www.itsec.ru Малый бизнес в зоне риска Размеры компании не влияют на степень сложности взлома, но зача- стую именно малый бизнес меньше внимания уделяет информационной безопасности, так как в первую оче- редь нацелен на получение прибыли. В крупном бизнесе к информацион- ной безопасности подходят более серьезно. Это связано с тем, что у больших компаний в случае утечек данных возникают репутационные проблемы, которые привлекают повышенное внимание со стороны регуляторов и т.д. Сейчас затраты на информационную безопасность напрямую связаны с затратами на ИТ-инфраструктуру. Поэтому стоимость системы защиты может сильно варьироваться: это могут быть затраты на сотрудника, который занимается обеспечением безопасно- сти с помощью встроенных механизмов защиты в ИТ-устройствах или исполь- зованием Open Source – решений, или же затраты на полноценный отдел и коммерческие ИБ-продукты. Проблема внедрения систем защиты информации заключается в нехватке грамотных специалистов, которые могут осваивать решения, учитывая бизнес- требования (эффективность, удобство использования, доступность, скорость и т.д.) и требования регуляторов. В чем заключается проблема? Основные проблемы защиты персо- нальных данных в России заключаются в том, что нет точного определения информации, которая относится к пер- сональным данным, а также отсут- ствуют адекватные требования по их защите. В КоАП не предусмотрены штрафы за утечки и невыполнение тре- бований по техническим и организа- ционным мерам защиты персональных данных. Роскомнадзор не осуществляет проверку технической защиты инфор- мации и запрашивает определенный перечень документов, которые зача- стую создаются по шаблонам с един- ственной целью – пройти проверку. Организации не заинтересованы в излишних тратах на обеспечение сохранности персональных данных и при проверках используют документы, которые не имеют ничего общего с реальной безопасностью. Для юридических лиц при сборе избыточных данных предусмотрен штраф в соответствии с ч. 1 ст. 13.11 КоАП РФ. Первичный штраф состав- ляет 60–100 тыс. руб., повторный – 100–300 тыс. У регулятора нет средств, чтобы отслеживать такие сайты, но интернет-пользователи могут сами опо- вестить Роскомнадзор, когда сталки- ваются с нарушениями. Ответственные пользователи, имеющиеся администра- тивные и технологические инструменты в совокупности могли бы сформиро- вать эффективную систему борьбы с подобными сайтами. Европейский стандарт Для эффективного регулирования необходимо задать определение, кото- рое будет трактоваться однозначно. Нужно ввести административные штра- фы в КоАП за утечку персональных данных и за отсутствие адекватных организационно-технических мер по обеспечению их безопасности. Штрафы должны быть соизмеримы со степенью нарушений, как это есть в европейском общем регламенте по защите данных – General Data Protection Regulation (GDPR). Наказание должно зависеть от характера, тяжести, причины и продол- жительности нарушения, а также от способа оповещения о нем (непосред- ственно самой организацией или дру- гими источниками). Одним из успешных примеров регу- лирования защиты персональных дан- ных является GDPR. В отличие от оте- чественного аналога – 152-ФЗ в GDPR явно определено, что относится к пер- сональным данным, а также обозначе- на ответственность за их защиту как для оператора, так и для непосред- ственного обработчика персональных данных. Кроме того, в GDPR установ- лены большие штрафы за недостаточ- ные технические и организационные меры по обеспечению безопасности, они могут доходить до сотен миллионов евро для юридических лиц. В россий- ском же законодательстве таких штра- фов не предусмотрено вовсе. Таким образом, в GDPR одним из мотивато- ров обеспечения сохранности персо- нальных данных являются большие штрафы, в то же время в данном доку- менте предусмотрены четкие требова- ния по обеспечению безопасности, при выполнении которых организации не грозят штрафы. Что делать пользователям? Чтобы свести к минимуму риск утечки персональных данных, необходимо мини- мизировать свой цифровой след в сети. При регистрации на сайтах, в социаль- ных сетях и мессенджерах не публико- вать (не указывать) дату рождения, адрес, номер телефона, сведения о род- ственниках и другую личную информа- цию. Лучше завести отдельный ящик электронной почты для приватных пере- писок и отдельный – для регистрации в соцсетях, на форумах, сайтах и т.д. В случае необходимости передачи личных данных необходимо убедиться в том, что получателем является именно тот, кому предназначена информация. На личных устройствах рекомендуется избегать использования нелицензиро- ванного ПО и хотя бы раз в неделю проводить сканирование на наличие вирусов. l Защита ПДн – есть или нет ороться с нелегальными сайтами, распространяющими утекшие базы данных, нет смысла. В случае прекращения работы одного подобного источника есть вероятность появления еще нескольких, что способствует привлечению внимания пользователей к базе, которую пытаются удалить. Поэтому необходимо создавать комплексную систему защиты и, в случае утечки данных, проводить расследование, в том числе с привлечением правоохранительных органов, а также готовить подробный отчет с причинами и объяснением того, как произошла утечка, и впоследствии публиковать результаты расследования. Б Андрей Слободчиков , эксперт по информационной безопасности Лиги Цифровой Экономики Ваше мнение и вопросы присылайте по адресу is@groteck.ru