Журнал "Information Security/ Информационная безопасность" #6, 2025

Страхование Уже несколько лет в СМИ появляется информация о необходимости страхо- вания рисков утечки персональных дан- ных. Возможно, в 2026 г. мы увидим воплощение этой идеи 6 . На сегодняшний день существует две проблемы: 1. Невозможность определить размер ущерба без суда. 2. Низкий фактический размер выплат – до 5 тыс. руб. (по результатам анализа судебной практики). Прогноз: появится регламент для диф- ференциации размера ущерба в зави- симости от типа данных, будет определен порядок уведомления пострадавших, а также механизм формирования фонда страхования и контроля за выплатами. Реестр согласий Хочу отметить интересный блуждаю- щий тренд – реестр согласий. В конце октября активно обсуждался пакет поправок по борьбе с кибермошенника- ми, который подготовило Минцифры. Он включает в себя около двадцати инициатив, в том числе там содержалось упоминание о создании реестра согла- сий 7 . В первоначальной задумке к ст. 5 должно было появиться дополнение, позволяющее давать согласие на обра- ботку как непосредственно, так и с использованием федеральной госу- дарственной информационной системы ЕСИА в случаях, определенных Прави- тельством РФ, для отрасли финансов – с привлечением ЦБ РФ. Запуск данного механизма планировался на 1 сентября 2028 г. Однако в конце ноября упомина- ния реестра из текста законопроекта были полностью убраны. Прогноз: единый реестр согласий вполне может появиться. Если, впрочем, не воплотится в жизнь следующий по списку тренд. Отказ от согласий Со стороны регулятора прозвучала идея полного отказа от согласий на обработку персональных данных. Пред- лагается заменить согласия на отрасле- вые стандарты, например для сферы образования или туризма 8 . Прогноз: скорее всего, исчезновение из текста антифрод-поправок упомина- ния реестра согласий и появление в информационном поле заявлений регу- лятора о необходимости менять подход и переходить к отраслевым стандартам перерастет в устойчивый тренд. Однако создание стандартов займет какое-то время, останутся также частные ситуа- ции, например касающиеся микробиз- неса и прямых продаж физическим лицам, поэтому согласия будут актуаль- ны еще долгое время. Спецоператоры Несмотря на то, что в СМИ регулярно появляется упоминание спецоператоров, представители регулятора пока видят затруднения с формированием института спецоператоров 9 . В первую очередь, из- за перегрузки потенциальных исполни- телей – ИТ-компаний. Во вторую, из-за неготовности бизнеса, потенциальных заказчиков услуги. Прогноз: возможно, не дожидаясь созревания рынка, спецоператоры появятся в виде требования подключения к ним в определенных случаях. Микротренды Законопроекты, которые, скорее всего, будут приняты в следующем году: 1. Надзор за лицами, освобожденными из мест лишения свободы. Законопроект о внесении изменений в ст. 11 ФЗ "О персональных данных" № 1076160- 8 10 . Будет осуществляться передача пер- сональных данных, в том числе биомет- рических, поднадзорных лиц третьей стороне без их письменного согласия при осуществлении наблюдения и (или) розыска. 2. Трансграничная передача. Законо- проект о внесении изменений в ст. 12 ФЗ "О персональных данных" № 951518- 8 11 . Снижается важность Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. 3. Реестр операторов. Законопроект о внесении изменения в ст. 22 ФЗ "О пер- сональных данных" № 928282-8 12 . Добав- лены сведения об адресе оператора, если он является физическим лицом или индивидуальным предпринимате- лем. 4. Штрафы за несоблюдение правил при переходе железнодорожных путей. Законопроект № 162505 13 . Новое осно- вание для обработки биометрии без согласия в соответствии с законода- тельством Российской Федерации о железнодорожном транспорте. Что же делать? Персональные данные стали новой валютой. Злоумышленники их воруют, перепродают, шантажируют ими, исполь- зуют их для проведения маркетинговых исследований, а также незаконно соби- рают, подделывают, уничтожают и рас- пространяют персональные данные без согласия. Уберечь свои базы данных становится все более сложно, но воз- можно, если защита носит системный характер. l Работайте над защитой персональных данных не для галочки и как можно под- робнее всё документируйте. l Изучайте все доступные кейсы – как представленные в СМИ, так и переска- занные коллегами, услышанные на кон- ференциях и круглых столах. Учитесь на чужих ошибках! l Будьте всегда готовы к атаке. Удачного года! • 61 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 6 https://iz.ru/1962134/mariia-kolobova/v-rf-gotovyatsya-zapustit-strahovanie-ot- utechek-personalnyh-dannyh 7 https://regulation.gov.ru/projects/159652/ 8 https://www.interfax.ru/russia/1055703 9 https://cisoclub.ru/v-roskomnadzore-nazvali-dve-prichiny-meshajushhie-zapusku-spec- operatorov-po-zashhite-personalnyh-dannyh-v-rossii 10 https://sozd.duma.gov.ru/bill/1076160-8 11 https://sozd.duma.gov.ru/bill/951518-8 12 https://sozd.duma.gov.ru/bill/928282-8 13 https://regulation.gov.ru/projects/162505/ Фото: Гротек