Минцифры России совместно с Федеральной службой по техническому и экспортному контролю (ФСТЭК), Федеральной службой безопасности (ФСБ) и представителями отрасли информационной безопасности (ИБ) обсуждает перечень конкретных мероприятий, выполнение которых позволит компаниям получить смягчающие обстоятельства при назначении штрафов за утечку персональных данных. Об этом сообщила директор по стратегическим проектам Ассоциации больших данных Ирина Левова на форуме Positive Hack Days 2025.
Согласно новым требованиям закона «О персональных данных», вступающим в силу 30 мая, будут ужесточены требования к защите персональных данных и введены оборотные штрафы за повторную утечку. Закон предусматривает смягчение наказания для компаний, которые на протяжении минимум трех лет тратили не менее 0,1% годовой выручки на мероприятия по ИБ. Однако в законе не конкретизированы мероприятия, на которые должны направляться эти средства.
«В оборотных штрафах за утечки и нас, и вендоров интересуют смягчающие обстоятельства. Они написаны так, что мы должны потратить 0,1% от выручки на мероприятия по ИБ, что бы это ни значило. Хотелось бы узнать, что это значит и на что конкретно должно быть потрачено», – отметила Левова.
Представитель Минцифры подтвердил факт обсуждения с заинтересованными сторонами предложений бизнеса по перечню мероприятий, подчеркнув открытость ведомства для диалога. При этом он отметил, что окончательное решение о применении смягчающих обстоятельств принимают суды.
Одним из спорных вопросов, по информации источника «Ведомостей», является учет собственных разработок компаний и наличия ИБ-специалистов в штате. По мнению эксперта, в качестве смягчающих обстоятельств будут учитываться только расходы на программное обеспечение, сертифицированное ФСТЭК. Однако процесс такой сертификации длительный и сложный.
Директор департамента расследований T.Hunter Игорь Бедеров пояснил, что сертификация через ФСТЭК состоит из девяти этапов и занимает от 5 до 12 месяцев, а для сложных продуктов — до полутора лет. Это требует значительных временных, финансовых и кадровых ресурсов, что особенно проблематично для малого и среднего бизнеса.
Участники рынка предлагают включить в перечень комплекс технических мер (системы шифрования, защищенные хранилища данных, средства обнаружения утечек), организационно-правовых мер (аудиты ИБ, обучение сотрудников, внутренние политики безопасности) и страхование рисков.
Бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий считает странной позицию компаний, поскольку в России с 2013 года уже существуют обязательные требования по защите персональных данных, утвержденные 21-м приказом ФСТЭК. В 19-й статье закона «О персональных данных» определен высокоуровневый набор защитных мер, детализированный в нормативных документах ФСТЭК и ФСБ, которые содержат более 200 требований.
«Никаких иных правил, требований, рекомендаций, как тратить 0,1% на безопасность персональных данных, не нужно. Это уведение проблемы в сторону от ее решения. Достаточно операторам персональных данных просто начать выполнять то, что было разработано 12 лет назад», – подчеркнул Лукацкий.
Крупные российские компании уже внедряют различные меры защиты. Представитель МТС сообщил, что оператор одним из первых интегрировал собственные системы безопасности, сертифицированные ФСТЭК. Tele2 проводит полный комплекс мероприятий в соответствии с законодательством и регуляторными требованиями. Wildberries использует многоуровневую систему защиты с применением искусственного интеллекта собственной разработки. «Авито» регулярно проводит пентесты с привлечением сторонних специалистов и отслеживает потенциальные уязвимости через программу Bug Bounty.
По словам управляющего директора по юридическим вопросам «Авито» Александра Смирнова, компания выбирает средства защиты, соразмерные потенциальным угрозам, используя как сертифицированные ФСТЭК решения, так и собственные разработки.
