Сегодня в условиях стремительного развития технологий и увеличения объёмов обрабатываемых данных, вопросы защиты персональной информации приобретают критическую значимость. Утечки данных, кибератаки и несанкционированный доступ (НСД) к информации стали серьёзными угрозами как для бизнеса, так и для общества в целом. Важно понимать, как грамотно выстроить защиту персональных данных и соответствовать требованиям законодательства.
Наш сегодняшний гость — Ксения Шудрова, кандидат технических наук, независимый эксперт по информационной безопасности, автор блога “Защита персональных данных и не только” — поделится своими глубокими знаниями в области защиты персональных данных. В рамках нашего интервью мы обсудим самые актуальные вопросы: от нормативно-правовых актов, регулирующих защиту персональных данных (ПДн) в России, до практических мер по минимизации рисков утечек. Мы также коснёмся недавних изменений в законодательстве и проанализируем, как эти изменения влияют на компании.
Особое внимание будет уделено построению модели угроз и нарушителей в соответствии с требованиями российского закондательства, а также обсуждению эффективности различных технических и организационных мер защиты. Мы поговорим о перспективе создания единого оператора персональных данных и о том, какие преимущества и риски это может принести. И, конечно, затронем юридические аспекты, связанные с получением и отзывом согласий на обработку персональных данных, а также трансграничную передачу данных.
Какие нормативно-правовые акты регулируют защиту персональных данных в России?
Вопрос гораздо сложнее, чем кажется на первый взгляд! Российское законодательство в сфере защиты персональных данных насчитывает сотни нормативно-правовых актов разного уровня. Наш основной закон – это Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Таже применяются и другие федеральные законы и Указы Президента РФ, в которых косвенно упоминаются персональные данные, например, Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» от 06.03.1997 N 188 или Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Далее по значимости идут Постановления Правительства, выделить здесь могу:

Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ «О федеральном государственном контроле (надзоре) за обработкой персональных данных» от 29 июня 2021 г. N 1046;
Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 N 687.

После Постановлений следуют приказы и разъяснения регуляторов: ФСТЭК России, ФСБ России, Роскомнадзора, Минцифры и прочие НПА.
Какие изменения и нововведения в нормативно-правовых актах РФ относительно защиты персональных данных произошли в последнее время?
В конце прошлого года выросли штрафы по статье 13.11 КоАП. Теперь, при повторном нарушении юридическое лицо может получить штраф до 1,5 миллионов рублей. Также в Кодексе появилась новая статья 13.11.3 «Нарушение требований в области размещения биометрических персональных данных», здесь также предусмотрены солидные штрафы для должностных и юридических лиц – до 1 миллиона рублей.
В Федеральный закон «О персональных данных были внесены изменения (Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных»). Добавлен пункт о применении для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации. Была добавлена статья 13.1 «Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним», но вступит в силу она только 01 сентября 2025 года.
Как правильно построить модель угроз и нарушителя для защиты персональных данных в соответствии с требованиями российского законодательства?
Хорошо составленная модель угроз – это показатель мастерства специалиста. С одной стороны она должна полностью отражать особенности информационной системы персональных данных, с другой стороны – соответствовать нормам законодательства. Сложности возникают в обоих случаях. Выбрать актуальные угрозы, ничего не пропустить, но и не создать «бумажного монстра» очень сложно. Один из вариантов построении модели я описала в своей книге, но надо понимать, что универсального способа не существует, это процесс творческий.
В Федеральном законе «О персональных данных» лишь кратко упоминается, что обеспечение безопасности персональных данных достигается, в частности … определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Также три типа угроз безопасности персональных данных описаны в Постановлении Правительства 1119. Определить актуальный тип угроз нужно обязательно, чтобы определить уровень защищенности персональных данных. Далее необходимо руководствоваться требованиями ФСТЭК России и ФСБ России (если используются криптографические средства защиты информации).
Со стороны ФСТЭК России 05 февраля 2021 была утверждена Методика оценки угроз безопасности информации, в дополнение к ней используется Банк данных угроз безопасности информации и Базовая модель угроз безопасности персональных данных при их обработке в информационных системах.
Для построения модели по требованиям ФСБ России используются:

Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

Какие технические и организационные меры наиболее эффективны для обеспечения безопасности персональных данных?
Всё очень индивидуально. Своим клиентам я всегда советую начинать с самых дешёвых или бесплатных вариантов. Организационные меры хорошо работают, но они обязательно должны быть закреплены на бумаге. Большинство утечек происходит от того, что сотрудники действуют по своему разумению. А потом выясняется, что не обновили вовремя антивирусную базу, не создали резервную копию, забыли закрыть помещение архива, оставили важные документы на столе или кто-то прихватил флешку, чтобы поработать дома. Нужны подробные инструкции и технологические карты на все случаи жизни. В защите персональных данных важны детали. Как закрываются шкафы? Где хранится ключ от помещения серверной? Каков порядок обновления баз антивируса?
Что касается технических мер, то в большинстве случаев необходимо будет приобрести средство антивирусной защиты, межсетевой экран, средство защиты от НСД и далее по списку. Многие производители предлагают сейчас комплексные решения, стоит присмотреться к ним в первую очередь. Опять же из соображений экономии. Но если применять средства защиты информации, то только сертифицированные.
Насколько актуально создание единого оператора персональных данных в России, и какие преимущества и риски это может принести?
Идея создания единого оператора горячо обсуждается не первый год. Приводится аналогия с читальным залом, где вместо книг будут записи о субъектах. Плюсом будет поддержание актуальности данных. Исправить ошибочные данные, внести изменения и удалить лишнюю информацию можно будет в одном месте. Исчезнут надоедливые звонки коллекторов новым владельцам телефонного номера в поисках старого владельца, например. Также маленьким организациям будет легче, по договору функции защиты персональных данных лягут на плечи единого оператора. Минусы также очевидны: притягательность этой базы, в том числе для мошенников, будет огромной. Получить доступ ко всей информации о россиянах захотят многие. Уязвимости будут как со стороны техники, так и со стороны обслуживающего систему персонала.
Какие юридические аспекты необходимо учитывать при получении согласия на обработку персональных данных, чтобы избежать правовых рисков?
Если в моделировании угроз важен творческий подход, то при составлении формы согласия важнее всего четко следовать требованиям. В 152 Федеральном законе перечислено по пунктам, какие сведения должны быть указаны в согласии на обработку. Стоит с карандашом в руке проверить все свои формы на соответствие формулировок. Обратить особое внимание нужно на термин «распространение», его не стоит употреблять без надобности. Субъекты крайне негативно относятся к необоснованному распространению своих данных неограниченному кругу лиц. Но уж если речь идет действительно о публикации в открытом доступе, то еще раз напомню, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта.
Насколько эффективен механизм отзыва согласий на обработку ПДн с помощью Госуслуг?
Само существование механизма простого отзыва согласий радует. Всё, что там отображается, отрабатывает корректно. Но сейчас в сервисе нет информации о бумажных согласиях на обработку и электронных, но оформленных без использования ЕСИА. Возможно, при создании единого оператора, например, в сервисе будут видны все согласия. Тогда пользователь сможет со своего мобильного устройства управлять всеми согласиями на обработку. Что опять же породит новые угрозы информационной безопасности.
Каковы правовые и практические последствия массового отзыва согласий на обработку персональных данных?
Я не наблюдаю сейчас массового отзыва согласий. Но даже если такое произойдет, мы должны помнить, что обрабатывать персональные данные можно и без согласия, например, в целях исполнения договорных обязательств перед субъектом. Согласия нужны при передаче данных третьим лицам, их распространении, при обработке специальных категорий или биометрии. Но и там есть исключения. В случае отсутствия согласия и других законных оснований для обработки персональных данных обработку ПДн необходимо будет прекратить. Соответственно, каждый оператор должен заранее продумать механизмы оперативного удаления информации о субъектах из своих баз данных.
Какие меры можно принять для минимизации рисков утечек персональных данных и предотвращения звонков мошенников?
Ждем март 2025 года, чтобы установить самозапрет на выдачу потребительских кредитов или займов через Госуслуги. Обязательно устанавливаем на мобильный телефон программу определения спам-звонков. Их сейчас очень много, есть и бесплатные решения. Незнакомые номера также можно проверять в сети Интернет через обычный запрос в поисковике. Приведу рекомендации, которые я как-то публиковала в своем блоге.
Когда стоит насторожиться:

Звонки из других регионов.
Двухкратные звонки. Первый длинный, несколько секунд. Второй сразу следом очень короткий.
Здравствуйте, это следователь….
Любые звонки с незнакомых номеров. Проверяем их в специальных программах для телефона и в сети Интернет. По некоторым номерам сразу есть информация, что спам. Другие выглядят безобидно. Помните, что мошенники сами выдают себе там милые имена типа “мама Люда” или “банк”.
Здравствуйте, это служба безопасности банка … Что-нибудь про безопасный счёт.
Ваш сын попал в аварию.

В мессенджерах и социальных сетях:

Любые сообщения от незнакомцев, состоящие из одного только приветствия.
Привет, проголосуй за меня/дочь/собаку по ссылке.
Привет, одолжи денег на карту срочно. Позвонить не могу.
Сообщения от руководства с незнакомых номеров с просьбой держать беседу в секрете.
Чат для сотрудников, где никто не знает админа.

Каковы последствия предусмотрены для организаций за утечки персональных данных?
В случае утечки оператор обязан с момента выявления такого инцидента оператором, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор. Также оператор – субъект КИИ обязан обеспечивать непосредственное взаимодействие с ГосСОПКА. Наказание за утечку согласно ч. 1 ст. 13.11 КоАП РФ предусматривает штраф до 100.000 рублей для юридических лиц. Сейчас активно обсуждается создание правового механизма получения субъектом компенсации вреда в результате таких утечек без суда с нерадивым оператором.
Как планируемые оборотные штрафы за утечки персональных данных могут изменить подходы компаний к защите информации?
Повышение штрафов сделает тему защиты персональных данных «горячей», даже «перегретой», многие субъекты узнают о своих правах, многие руководители компаний-операторов наконец-то задумаются об обязанностях. В нашей отрасли самое грустное – это ресурсы, как человеческие, так и финансовые, временные. Руководство часто занимается защитой персональных данных по остаточному принципу, ведь штрафы малы, а выгода от защитных мероприятий неочевидна. Однако защита ПДн так или иначе ведется в честных компаниях, присутствует лишь некоторая халатность. Но также есть вполне осознанные нарушители, те, кто без зазрения совести передает персональные данные субъектов в микрофинансовые организации, продает информацию о своих клиентах третьим лицам, способствует рассылке спама, для этих организаций оборотные штрафы просто необходимы. Я считаю, что определять размер наказания нужно по наличию преступного умысла.
Какие особенности необходимо учитывать при трансграничной передаче персональных данных, чтобы соответствовать требованиям российского законодательства?
Детально эту тему сложно раскрыть в рамках интервью, расскажу кратко. Трансграничная передача персональных данных должна быть организована в соответствии с требованиями Федерального закона «О персональных данных» и требованиями, указанными в соответствующих Постановлениях Правительства и документах Роскомнадзора. Роскомнадзор утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Оператор до начала осуществления трансграничной передачи персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять такую передачу. До подачи уведомления оператор обязан получить от иностранных лиц, которым передаются данные (юридических, физических) определенный набор сведений, к которым относятся, например, сведения о мерах защиты и информация о правовом регулировании в области персональных данных иностранного государства.
Какие рекомендации можно дать операторам персональных данных и компаниям для повышения уровня защиты и соответствия законодательным требованиям?
Я бы рекомендовала честно отвечать себе на вопрос о слабых местах защиты и методично закрывать уязвимости. Безусловно, важен порядок работ, в первую очередь стоит привести в порядок сайт, доску с информацией в клиентской зоне, документы в отделе кадров и другие бумажные носители. Потом уже можно будет двигаться в сторону защиты серверов, сети, клиентских устройств. Если бюджет ограничен, то и технологии обработки должны быть простыми. Никаких мобильных устройств и удаленных доступов в корпоративной сети. Если бюджета практически нет, то подумайте о переводе обработки персональных данных на бумагу или автономный компьютер. Для профилактики утечек нужно сосредоточиться на контроле во всех его проявлениях. Всё должно быть учтено и закреплено на бумаге. Что есть, то зафиксировано, а что зафиксировано, то должно быть в наличии. Тогда сложностей с проверками или реагированием на инциденты не будет.
Какие изменения в нормативно-правовом регулировании защиты персональных данных ожидаются в ближайшие годы, и на что компаниям стоит обратить внимание?
Ждем новые требования по обезличиванию и правовой механизм компенсации вреда субъектам. Также, возможно, изменятся штрафы и появится единый оператор. Операторам я бы посоветовала следить за официальными сайтами регуляторов, а также мониторить федеральные и региональные новости, по ключевым словам, «персональные данные», «оператор персональных данных», «штрафы персональные данные» и изучать судебную практику по статье 13.11 КоАП.