21 Марта 2025 09:32 21 Мар 2025 09:32 |

Поделиться

Из-за обещанных оборотных штрафов спрос на аудит защиты данных в России вырос более чем вдвое

Рынок подстраиваться по новые правила

Крупные оборотные штрафы за утечки персональных данных, вступающие в силу с 30 мая 2025 г., подстегнули российские компании к активному аудиту своих систем информационной защиты, пишет «Коммерсант».

Компании, выступающие операторами персональных данных, все активнее заказывают аудит своих ИТ-систем хранения и защиты информации, поделились с «Коммерсант» эксперты по кибербезопасности и юристы, специализирующиеся в этой области. По словам участников рынка, бизнес вкладывает средства в проверку ИТ-систем защиты данных по двум ключевым причинам: во-первых, чтобы избежать наказания со стороны регуляторов, а во-вторых, чтобы в случае утечки иметь возможность претендовать на смягчение штрафа. Такой подход отражает стремление предприятий не только формально соответствовать требованиям, но и выстраивать аргументы для минимизации финансовых рисков при потенциальных инцидентах.

По данным юридической компании ЭБР, спрос на аудит ИТ-систем хранения и защиты данных вырос более чем в два раза в 2025 г. по сравнению с весной 2024 г. Советник практики интеллектуальной собственности компании Артем Евсеев отмечает, что если раньше аудит могли делать для галочки, то сейчас цена вопроса стала слишком высокой для подобного формализма. «Его проведение необходимо, чтобы заранее выявить риски и минимизировать их до привлечения к ответственности. Это актуально и на фоне снятия моратория на внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)»,— добавляет он.

В ноябре 2024 г. было 330 запросов от компаний на услуги специалистов по защите данных, но к концу месяца - уже 920, по итогам же декабря был пятикратный рост. «В начале 2025 г. ознаменован повышенным спросом на услуги по защите персональных данных. Еще одна волна интереса может возникнуть летом этого года, когда начнут выписываться первые штрафы», - заметил глава отдела консалтинга и аудита в Angara Александр Хонин.

Для проведения аудита компании чаще всего привлекают юристов и консультантов, работающих с защитой персональных данных, а также специалистов по кибербезопасности, имеющих сертификацию в области защиты данных Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) России. Проекты по проведению порядка обработки персональных данных состоят из нескольких этапов, отмечает директор департамента консалтинга и аудита компании «Информзащита» Александр Барышников. Сначала происходит обследование текущего состояния процессов обработки данных, информационных систем, ИТ-инфраструктуры и принятых мер защиты данных. В рамках последующих этапов специалисты определяют угрозы безопасности данных, проводят классификацию систем по уровням защищенности в соответствии с требованиями регуляторов. Дальше для заказчика аудита готовится пакет необходимой нормативной и организационно-распорядительной документации по порядку обработки информации, в рамках аудита юристы также могут проверить правомерность ее получения.

Самым важным критерием при подготовке аудита руководитель отдела консалтинга и аудита защиты информации «Бастион» Ирина Якунина называет именно соответствие требованиям нормативных правовых актов России. «Существующая законодательная документация сопровождает процесс обработки данных на этапах от начала обработки до полного уничтожения, и на всех этих этапах важно привести системы заказчика в соответствие с нормами закона»,— отмечает она.

Рост штрафов

В конце ноября 2024 г. Президент России Владимир Путин подписал закон, усиливающий ответственность за утечки персональных данных и их незаконный оборот, об этом писал CNews. За утечки компании будут наказываться штрафом в размере до 300 тыс. руб. Если указанное деяние совершено в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические данные, нарушителям будет грозить штраф до 700 тыс. руб. или лишение свободы на срок до пяти лет.

С конца 2023 г. российские компании уже вынуждены платить до 700 тыс. руб. за одно неправильно заполненное согласие на обработку данных работника, приводят пример в ЭБР. В декабре 2024 г. была введена отдельная статья в Уголовный кодекс (УК) России, посвященная ответственности за нарушение 152-ФЗ «О персональных данных». С мая 2025 г. будут введены оборотные штрафы за утечки персональных данных. Если раньше максимальный штраф составлял 18 млн руб., то уже этим летом компании могут столкнуться с санкциями до 500 млн руб. Таким образом, максимальный размер штрафов вырос в 27 раз.

Оборотные штрафы за повторные утечки данных для российских компаний установлены в диапазоне от 1% до 3% годового оборота, при этом минимальная сумма составляет 25 млн руб., а максимальная ограничена 500 млн руб.

Согласно данным Роскомнадзора, на 20 марта 2025 г. в реестре операторов персональных данных зарегистрировано 942,5 тыс. организаций и предприятий, работающих с такими данными. Новые меры ответственности, вероятно, затронут значительное число участников рынка, особенно тех, кто уже сталкивался с ИТ-инцидентами, что подчеркивает масштаб потенциального воздействия штрафов на бизнес.

Выявленные ИТ-инциденты

По данным Роскомнадзора, количество утечек в 2022 г. было на уровне 140. В 2023 г. было зафиксировано еще 168 утечек, в 2024 г. — еще 135, а в первые месяцы текущего года ведомство уже отчиталось о 19 выявленных утечках. Общее число записей о россиянах, попавших в открытый доступ с 2021 г., перевалило за 1,6 млрд

«За январь—февраль 2025 г. сотрудники ведомства зафиксировал 19 фактов распространения в интернете баз данных, содержащих более 24 млн записей», — говорится в сообщении Роскомнадзора. В российском ведомстве добавили, что по этим ИТ-инцидентам против компаний, допустивших утечки персональных данных, составлено пять протоколов об административном правонарушении.

По данным Роскомнадзор зафиксировал больше всего утечек данных пользователей в 2024 г. у компаний, работающих в сфере торговли и оказания услуг. Причем суммарно по этим утечкам регулятор выписал протоколы, а суд назначил штрафы на 2 млн руб.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка