Оборотные штрафы за утечку персональных данных: как минимизировать риски
По данным Роскомнадзора, в 2023 г. в открытый доступ попало около 300 млн записей, что на 40% больше, чем годом ранее. В 2024 г. этот показатель вырос более чем в два раза: утекло более 710 млн записей. Изменился и характер инцидентов: увеличилось количество целенаправленных атак и сложных мошеннических схем. Все это послужило причиной для изменения законодательства.
В результате Госдума приняла Федеральный закон от 30.11.2024 № 420-ФЗ, который вступил в силу 30 мая 2025 г. Теперь за утечки и нелегальное использование персональных данных (ПДн) компаниям грозят крупные оборотные штрафы. Помимо этого в документе определены смягчающие обстоятельства и предусмотрен термин «идентификатор». Так назвали уникальное обозначение сведений о физическом лице, которые содержатся в информационной системе персональных данных (ИСПДн) оператора.
Закон не имеет обратной силы. Если утечка произошла до 30 мая 2025 г., то наступит ответственность, действовавшая на момент правонарушения. Если первичная утечка была до 30 мая, то за повторную ответственность применяться не будет. По сути, старые утечки обнуляются.
Однако, если утечка случилась до 30 мая, а инцидент зафиксирован и обнародован после, необходимо доказать, что произошла именно новая утечка, а не обнародована компиляция старых данных — информация из предыдущих утечек.
Кратно увеличились штрафы за незаконную обработку персональных данных. Добавились штрафы, если не уведомить Роскомнадзор о намерении обрабатывать ПДн и об утечках.
На то, чтобы сообщить об инциденте и его предполагаемых причинах, отведено 24 часа. На уведомление о результатах внутреннего расследования (что привело к утечке, как организация обеспечила безопасность) — не более 72 часов. В такие жесткие сроки можно уложиться, если в компании уже выстроены процессы реагирования на инциденты, в том числе на утечки ПДн.
Размер штрафа зависит от нескольких факторов:
- первичная утечка или повторная,
- категория ПДн,
- количество субъектов, данные которых попали в открытый доступ,
- количество записей.
Размер штрафов, которые предусмотрены для юридических лиц за утечку ПДн, кроме биометрических и специальных категорий, смотрите в таблице ниже.
| КоАП РФ | Нарушение | Введен штраф, ₽ |
|---|---|---|
Утечка ПДн, кроме биометрических и специальных категорий ПДн | ||
| Ч. 12, ст. 13.11 |
|
3–5 млн |
| Ч. 13, ст. 13.11 |
|
5–10 млн |
| Ч. 14, ст. 13.11 |
|
10–15 млн |
Размер штрафов для юридических лиц за утечки ПДн специальных категорий и биометрических, в том числе повторных, — в таблице ниже.
| КоАП РФ | Нарушение | Введен штраф, ₽ |
|---|---|---|
Утечка специальных категорий ПДн или биометрических ПДн | ||
| Ч. 16, ст. 13.11 |
Утечка специальных категорий ПДн |
10 млн — 15 млн |
| Ч. 17, ст. 13.11 |
Утечка биометрических ПДн, за исключением случаев, предусмотренных ст. 13.11.3 КоАП РФ |
15 млн — 20 млн |
Повторная утечка ПДн | ||
| Ч. 15, ст. 13.11 |
При утечке иных категорий ПДн, если:
|
1–3% от выручки за 1 год, но не менее 20 млн и не более 500 млн |
| Ч. 18, ст. 13.11 |
При утечке специальных категорий ПДн или биометрических, если:
|
1–3% от выручки за 1 год, но не менее 25 млн и не более 500 млн |
Штрафы для юридических лиц за нарушения правил обработки и защиты биометрических ПДн в Единой биометрической системе (ЕБС) приведены в таблице ниже.
| КоАП РФ | Нарушение | Введен штраф, ₽ |
|---|---|---|
Нарушения правил защиты биометрических ПДн в ЕБС (Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн) | ||
| Ч. 2, ст. 13.11.3 |
|
500 тыс. — 1 млн |
| Ч. 3, ст. 13.11.3 |
Не приняты организационные и технические меры по обеспечению безопасности биометрических ПДн при их обработке в ЕБС или других ИС, использующих биометрические ПДн для аутентификации |
1 млн — 1,5 млн |
| Ч. 4, ст. 13.11.3 |
|
1 млн — 2 млн |
При выполнении некоторых условий размер оборотного штрафа составит 0,1 минимального размера административного штрафа, но не менее 15 млн рублей и не более 50 млн рублей. Так штраф 20 млн рублей снизится до 15 млн. На значениях, близких к минимальному порогу, выгода не кажется очевидной. Но если у компании серьезные обороты и назначенный штраф составляет, например, 300 млн рублей, то при соблюдении смягчающих условий он снизится до 30 млн.
| Смягчающие обстоятельства | Меры соблюдения |
|---|---|
Инвестирование в кибербезопасность не менее 0,1% от выручки (или размера капитала) ежегодно в течение последних 3 лет |
Закупить у лицензиатов ФСБ России или ФСТЭК России товары, работы или услуги в сфере кибербезопасности:
Если организация является лицензиатом ФСБ России или ФСТЭК России, она может организовать кибербезопасность собственными ресурсами, учитывая требования к размеру расходов |
Документы, подтверждающие, что организация соблюдала требования по защите ПДн в течение 1 года до утечки |
Ежегодно оценивать соответствие требованиям по защите ПДн с привлечением лицензиата ФСТЭК России и обязательным изданием подтверждающего документа в одной из следующих форм:
|
Отсутствие отягчающих обстоятельств |
Исключить противоправное поведение. Если человек на момент нарушения (или когда выносится постановление) уже был наказан за нарушения, связанные с обработкой персональных данных (по статьям 13.11, 13.6 или 13.12 КоАП РФ), то это будет учитываться как повторное правонарушение |
В Уголовный кодекс РФ добавили новую статью 272.1, которая касается незаконного обращения с компьютерной информацией.
Есть несколько вариантов наказаний за неправомерную обработку компьютерной информации, содержащей ПДн:
- Штраф в размере 300 тыс. рублей, или в размере зарплаты, или иного дохода за период до одного года.
- Принудительные работы на срок до 4 лет или лишение свободы на тот же срок.
Незаконная обработка специальных, биометрических ПДн, данных несовершеннолетних лиц может обернуться штрафом в сумме до 700 тыс. рублей или лишением свободы на срок до 5 лет.
Всего в статье 6 частей, которые предусматривают деяния:
- совершенные из корыстных целей,
- с причинением крупного ущерба,
- группой лиц по предварительному сговору,
- с использованием служебного положения.
Другие меры ответственности по статье: 3 млн руб. штрафа, 10 лет лишения свободы, запрет занимать определенные должности до 5 лет.
Чтобы минимизировать риски, необходимо:
- Назначить ответственного за обработку и защиту ПДн.
- Определить перечень, состав субъектов и процессы обработки ПДн.
- Обеспечить контроль сроков и способов обработки, хранения, а также уничтожения ПДн.
- Уведомить Роскомнадзор о текущих процессах обработки ПДн.
- Зафиксировать информационные системы, участвующие в обработке ПДн.
- Разработать комплект ОРД, включая типовые формы согласий на обработку.
- Опубликовать документ, определяющий политику обработки ПДн в организации.
- Заключить договор по обработке и защите ПДн с контрагентами.
- Оценить вред, который может быть причинен субъектам ПДн.
- Провести моделирование угроз безопасности в ИСПДн.
- Внедрить средства защиты ПДн, соответствующие требованиям регуляторов.
- Обеспечить взаимодействие с ГосСОПКА и регуляторами.
- Организовать обработку обращений субъектов ПДн.
- Обучать сотрудников работе с данными и регулярно повышать осведомленность клиентов.
- Проводить периодический аудит соответствия требованиям в области обработки и защиты ПДн.
- Следить за изменениями в законодательстве и своевременно обновлять документы.
Еще один актуальный вопрос: как определить требования к защите ПДн при их обработке в ИСПДн? На уровень защищенности влияют следующие факторы:
- категории ПДн (специальные, биометрические, общедоступные, иные),
- количество субъектов, данные которых обрабатываются в системе (более или менее 100 тыс.),
- типы субъектов ПДн (работники или агенты, контрагенты, клиенты и т. д.),
- типы актуальных угроз безопасности ПДн.
15 групп мер защиты персональных данных регулируются Приказом ФСТЭК России № 21. Согласно ему, обеспечивать безопасность ПДн должны средства, которые прошли процедуру оценки соответствия. Состав мер определяется согласно уровню защищенности ПДн, подлежит адаптации, уточнению на основе реализованных в системе технических средств и актуальных угроз.
Существует три типа актуальных угроз:
- Первый — есть недокументированные возможности в системном ПО.
- Второй — есть недокументированные возможности в прикладном ПО.
- Третий — другие угрозы.
Распространенные ошибки при построении системы защиты ПДн связаны с использованием ресурсов центра обработки данных (ЦОД). Считается, если система размещена в аттестованном дата-центре, она автоматически защищена. Такое заблуждение возникает потому, что заказчики мыслят слишком поверхностно и не понимают, что соответствие ЦОД требованиям — это не то же самое, что соответствие им всей информационной системы.
При оценке дата-центра смотрят на физическую и сетевую безопасность, защиту периметра на уровне платформ виртуализации. Даже если ЦОД соответствует этим требованиям, то на уровне конкретных виртуальных машин все не так однозначно. Требования к безопасности определяют конкретные договоры. И, как правило, положение об обеспечении безопасности не входит в договор по умолчанию. Поэтому важно определить зоны ответственности в кибербезопасности между поставщиком услуг ЦОД и клиентом.
Еще одна рекомендация — провести мероприятия по защите виртуальных машин, систем. Это можно сделать самостоятельно, привлечь оператора услуг дата-центра или третьих лиц. В таблице ниже представлен типовой вариант распределения ответственности за безопасность персональных данных в ЦОД.
| Направление | Модели облачных услуг |
|||
|---|---|---|---|---|
| Colocation | IaaS | PaaS | SaaS | |
| Управление доступа к данным |
− |
− |
− |
− |
| Резервирование данных |
− |
− |
− |
+ |
| Безопасность приложений |
− |
− |
- |
+ |
| Безопасность ОС |
− |
− |
+ |
+ |
| Логирование событий |
− |
+ / − |
+ / − |
+ |
| Шифрование каналов связи |
− |
+ / − |
+ / − |
+ / − |
| Защита платформы виртуализации |
− |
+ |
+ |
+ |
| Периметровая сетевая безопасность |
− |
+ |
+ |
+ |
| Резервирование компонентов инфраструктуры |
− |
+ |
+ |
+ |
| Физическая безопасность |
+ |
+ |
+ |
+ |
В таблице ниже представлены меры защиты ПДн в соответствии с требованиями приказа ФСТЭК России № 21 и средства, которые позволят их реализовать.
| Меры защиты | Средства реализации |
|---|---|
Идентификация и аутентификация субъектов и объектов доступа (ИАФ) |
|
Управление доступом субъектов доступа к объектам доступа (УПД) |
|
Ограничение программной среды (ОПС) |
|
Защита машинных носителей персональных данных (ЗНИ) |
|
Регистрация событий безопасности (РСБ) |
|
Антивирусная защита (АВЗ) |
Средство антивирусной защиты |
Обнаружение вторжений (СОВ) |
Средство обнаружения вторжений (IDS/IPS) |
Контроль (анализ) защищенности персональных данных (АНЗ) |
Средство анализа защищенности (выявления уязвимостей) |
Обеспечение целостности информационной системы и персональных данных (ОЦЛ) |
|
Обеспечение доступности персональных данных (ОДТ) |
|
Защита среды виртуализации (ЗСВ) |
|
Защита технических средств (ЗТС) |
Организационные меры |
Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) |
|
Выявление инцидентов и реагирование на них (ИНЦ) |
Организационные меры |
Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) |
Организационные меры |
Системный подход к организации обработки персональных данных можно представить в виде плана из семи шагов.
Проект системы защиты выглядит масштабным. Но после его реализации компания сможет системно управлять процессами обработки и защиты ПДн, получит документацию для проверок регуляторами и документальное подтверждение, что требования по защите персональных данных соблюдены, что необходимо для смягчения наказания. Тем более все это снизит риски успешных атак.
В то же время такой проект — это не финал, а начало пути, ведь обеспечивать безопасность нужно постоянно. Во время эксплуатации системы защиты потребуются:
- непрерывное управление активами, доступом, уязвимостями и инцидентами кибербезопасности,
- оптимизация средств защиты,
- периодический контроль защищенности,
- повышение осведомленности сотрудников в области кибербезопасности,
- поддержание системы процессов в актуальном состоянии и т. д.
В условиях ужесточающегося регулирования и роста числа киберугроз компаниям необходимо не только внедрять меры защиты, но и системно управлять процессами обработки персональных данных. BI.ZONE GRC — это комплексное решение, которое помогает автоматизировать ключевые задачи: от инвентаризации активов до аудитов соответствия.
Среди ключевых возможностей платформы для защиты ПДн:
- Сбор информации о процессах обработки персональных данных и ведение реестра.
- Составление модели угроз и ее самоактуализация при изменении архитектуры систем.
- Разработка документации по ПДн.
- Автоматическое обновление материалов при изменении законодательства, инфраструктуры или процессов компании.
- Автоматизация технического проектирования системы защиты для ГИС.
- Автоматизация разработки всех документов по приказу ФСТЭК России № 77, включая техническое задание, пояснительную записку и модель угроз.
Кому будет полезно
- Компаниям, обрабатывающим большие объемы ПДн (финансы, телеком, ритейл).
- Холдингам и распределенным организациям, где критична централизация контроля.
- Командам DPO и комплаенса, которые хотят сфокусироваться на стратегии, а не на Excel-отчетах.
Новый закон ввел крупные оборотные штрафы за утечки и незаконную обработку персональных данных. Но также предусмотрел ряд смягчающих обстоятельств. Компаниям следует системно подходить к защите ПДн.
Для комплексного управления обработкой и защитой персональных данных, оптимизации ресурсов и сокращения трудозатрат рекомендуется использовать системы класса GRC, например BI.ZONE GRC. Платформа позволит контролировать ключевые процессы кибербезопасности, автоматизировать выполнение требований по защите ПДн, ГИС и КИИ, упрощать управление IT‑активами, уязвимостями и угрозами, а также проводить аудиты.