Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Ужесточение ответственности за нарушение 152-ФЗ: разбор изменений в области защиты персональных данных
11 декабря 2024
Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.
За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.
30 ноября были подписаны:
Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:
Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.
За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.
30 ноября были подписаны:
- Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» (далее – Закон о внесении изменений в УК РФ);
- Федеральный закон от 30.11.2024 № 420‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Закон о внесении изменений в КоАП РФ).
Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:
- граждан;
- должностных лиц;
- юридических лиц;
- индивидуальных предпринимателей.
Поправки поясняют, что за административные нарушения, предусмотренные ст. 13.11 КоАП РФ, индивидуальные предприниматели несут административную ответственность как юридические лица
В статье мы рассмотрим ответственность за нарушение требований:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152‑ФЗ) и смягчающие обстоятельства, предусмотренные новыми изменениями;
- Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – 572-ФЗ).
ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.
Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.
Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.
Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.
Изменения в КоАП РФ
1.Основные изменения
Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.
Закон также вводит следующие новые составы правонарушений:
Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).
1.1.Незаконная обработка ПДн
В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице таблице 1 приведена актуальная информация о размере административных штрафов.
Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.
Закон также вводит следующие новые составы правонарушений:
- отсутствие уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн;
- отсутствие уведомления в Роскомнадзор об утечке ПДн;
- утечка иных* категорий ПДн;
- утечка специальных или биометрических категорий ПДн;
- повторная утечка ПДн.
Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).
1.1.Незаконная обработка ПДн
В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице таблице 1 приведена актуальная информация о размере административных штрафов.
1.1.Отсутствие уведомления в Роскомнадзор о намерении осуществлять обработку ПДн
В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.
В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.
Если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации, то он вправе не уведомлять Роскомнадзор.
Таблица 2– Административная ответственность по ч. 10 ст. 13.11 КоАП РФ
1.1.Отсутствие уведомления в Роскомнадзор об утечке ПДн
В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.
В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.
Таблица 3 – Административная ответственность по ч. 11 ст. 13.11 КоАП РФ
1.1.Утечка иных категорий ПДн
В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).
В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).
Под идентификатором понимается любая запись в базе данных, прямо или косвенно относящаяся к субъекту ПДн.
В таблице 4 приведена зависимость размера штрафа от объема неправомерно переданных ПДн.
Таблица 4 – Административная ответственность по ч. 12, 13, 14 ст. 13.11 КоАП РФ
Отмечаем, что во всех частях есть оговорка о том, что эти действия (бездействие) не должны содержать признаков уголовно наказуемого деяния.
1.1.Утечка специальных или биометрических категорий ПДн
Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:
1.1.Утечка специальных или биометрических категорий ПДн
Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:
- специальные категории ПДн в ч. 16 ст. 13.11 КоАП РФ;
- биометрические ПДн в ч. 17 ст.13.11 КоАП РФ.
Специальные категории ПДн – это данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
В таблице 5 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
Таблица 5 – Административная ответственность по ч. 16 и ч. 17 ст. 13.11 КоАП РФ
Исключением в ч. 17 ст. 13.11 КоАП РФ являются случаи, попадающие под ст. 13.11.3 КоАП РФ, которые касаются нарушения требований по обработке ПДн в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).
1.1.Повторная утечка ПДн
Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.
1.1.Повторная утечка ПДн
Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.
Выручка оператора — совокупность размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение.
Так, в ч. 15 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 12, 13, 14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-14, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Иными словами, штраф за повторную утечку иных категорий ПДн.
И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.
И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.
В соответствии с п. 2 ст. 4.6 КоАП РФ утечка считается «повторной» в течение одного года с момента уплаты административного штрафа.
Таблица 6 – Административная ответственность по ч. 15 и ч. 18 ст. 13.11 КоАП РФ
В новой редакции КоАП РФ для ч. 15 и ч. 18 ст. 13.11 предусмотрены два важных смягчающих обстоятельства, которые будут приниматься во внимание при определении ответственности за нарушения:
- ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, а сумма таких расходов должна составлять не менее 0,1% годовой суммы выручки. В Законе отмечается, что такие мероприятия должны проводить организации, имеющие лицензию ФСБ России или ФСТЭК России, либо операторы самостоятельно при наличии такой лицензии.
- соблюдение требований к защите ПДн при их обработке в информационных системах ПДн при условии наличия документально зафиксированных результатов за последние 12 месяцев. Что еще раз обращает внимание оператора на нормы, установленные в ч. 12 – 18 ст. 13.11, то есть оператором должны приниматься все необходимые и достаточные меры по обеспечению безопасности ПДн, установленные действующим законодательством РФ.
Фактом подтверждения соблюдения требований по защите ПДн могут являться, например, Акт оценки эффективности системы защиты ПДн или Аттестат соответствия требованиям по обеспечению безопасности ПДн.
Защита биометрических ПДн в ЕБС
Принятый Закон вводит новые административные составы за нарушения, в части обработки и защиты биометрических в ПДн в ЕБС, предусмотренные ст. 13.11.3 КоАП РФ.
Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.
Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.
Под уполномоченными органами понимаются государственные органы, Центральный банк РФ, организации, прошедшие аккредитацию и осуществляющие аутентификацию на основе биометрических ПДн физических лиц.
В ч. 3 ст. 13.11.3 КоАП РФ ответственность вводится за непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов.
И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена.
В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена.
В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
Таблица 7 – Административная ответственность по ч. 2-4 ст. 13.11.3 КоАП РФ
Изменения в УК РФ
Уголовный кодекс РФ дополнен статьей 272.1 за незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.
В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.
Таблица 8 – Уголовная ответственность по ст. 272.1 Уголовного кодекса РФ
Что нужно сделать Операторам, чтобы снизить риски нарушения требований законодательства
при обработке ПДн?
1. Провести аудит процессов организации обработки и обеспечения безопасности ПДн:
- определить цели, перечень ПДн, состав ПДн, операции над ПДн, условия обработки и третьих лиц, кому передаются ПДн;
- определить (и назначить) ответственного за организацию обработки ПДн;
- провести оценку эффективности системы защиты ПДн;
- заполнить форму уведомления о намерении осуществлять обработку ПДн и направить ее в Роскомнадзор;
- осуществить контроль за соответствием информации, зафиксированной в уведомлении о намерении осуществлять обработку ПДн, действительности и, по мере необходимости, направить уведомление об изменениях в Роскомнадзор.
- регламентировать процесс реагирования на инциденты;
- подготовить условия для мониторинга инцидентов информационной безопасности и обеспечить реагирование на них или подключиться к корпоративному центру мониторинга (например, USSC-SOC);
- обеспечить информирование Роскомнадзора в случае утечки ПДн.
Авторы:
Ксения Кузнецова, руководитель группы Аналитического центра УЦСБ
Александра Остапова, старший аналитик Аналитического центра УЦСБ
Ксения Кузнецова, руководитель группы Аналитического центра УЦСБ
Александра Остапова, старший аналитик Аналитического центра УЦСБ
Проведем аудит и поможем привести в соответствие требованиям
152-ФЗ процессы обработки и защиты ПДн
152-ФЗ процессы обработки и защиты ПДн
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных