Безопасность информации: как обезопасить бизнес от утечек данных

Со временем актуальность знаменитого афоризма не снижается. Растет влияние информации, а вместе с ним – масштабы мошенничества с ее использованием. По данным Роскомнадзора в 2023 года было зафиксировано 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 миллионов записей о россиянах. Кроме того, Роскомнадзор сообщил, что объем штрафов за подобные нарушения с 2021 года вырос в 23 раза. Не обошлось и без громких дел — недавно за утечки персональных данных были назначены административные штрафы Минпросвещения, «ЭКСМО», «МТВ.РУ» и «Роза Хутор». Безусловно, указанная статистика связана с повышенным вниманием к проблеме безопасности персональных данных, однако, такие результаты совершенно точно нельзя назвать утешительными.

Такая «волна» спровоцировала необходимость принятия новых законопроектов, ужесточающих ответственность за утечку персональных данных. 23 января текущего года Госдума приняла в 1 чтении законопроекты об административной (законопроект №502104-8) и уголовной ответственности (законопроект №502113-8) за нарушение законодательства о персональных данных. Согласно информации, размещенной на сайте Государственной думы, данные законопроекты вводят оборотные штрафы, которые будут составлять до 3 % выручки, для компаний, допустивших утечку личной информации граждан. За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 миллионов рублей, юридических лиц — на сумму до 15 миллионов рублей. Размеры штрафов дифференцированы в зависимости от масштаба утечек, при этом, наибольший размер штрафа предусмотрен для тех, чьё нарушение привело к неправомерной передаче персональных данных более ста тысяч субъектов. Тем, кто уже был оштрафован за действие или бездействие, повлекшее утечку данных, грозит оборотный штраф, который может достигать 500 миллионов рублей. За использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные, вводится уголовная ответственность, где максимальный срок лишения свободы может составить до 10 лет. Председатель Госдумы Вячеслав Володин отметил, что это — «справедливое наказание за преступление, которое может в буквальном смысле разрушить жизнь человека». Велика вероятность того, что данные законопроекты еще будут дорабатываться. Уже сейчас есть информация о том, что Ассоциация больших данных направила в комитет Госдумы по госстроительству и законодательству письмо с просьбой уточнить формулировки законопроекта об уголовной ответственности, так как существующий текст законопроекта предусматривает соответствующее наказание вне зависимости от наличия умысла.

По сообщениям СМИ, в России также планируют ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность. Если сотрудник работал в финансовой организации на этой должности в период, когда там допускались нарушения требований к защите информации, то занимать эту должность ему будет запрещено в течение 10 лет. Новые правила, как предполагается, коснутся не только банков, но также страховых компаний, пенсионных фондов и МФО.

Однако важно помнить, что обеспечивать систему информационной безопасности следует в любом бизнесе. Если вовремя не принять меры, бизнесу грозят не только утечки данных, но и остановка обеспечения услуг компании в целом. В 2024 году каждая организация обязана: разработать и обеспечить работающую систему обработки персональных данных, их учета и хранения в соответствии с актуальными требованиями законодательства; внедрить и использовать надлежащие регламенты работы с персональными данными; разработать документы, необходимые для организации работы с персональными данными по их обработке, учету, хранению, согласно требованиям закона №152-ФЗ «О персональных данных», а также разъяснениям и уточнениям Роскомнадзора; вести своевременную отчетность перед Роскомнадзором.

Что касается внутренней конфиденциальной информации компании — то, как и какую именно информацию защищать, — определяют в каждой организации самостоятельно. Это могут быть уникальные технологии производства, информация о поставщиках и клиентах, условия сделок с ними, отчетности, стратегии развития, а также любая информация, которая содержит в себе коммерческую тайну.

Чтобы ввести в организации режим коммерческой тайны, следует разработать соглашение о неразглашении конфиденциальной информации, в соответствии с Федеральным законом от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», ознакомить с ним сотрудников, получить их подписи, сформировать систему хранения секретных документов, обозначить всю ценную документацию грифом «Коммерческая тайна», а также ввести в компании журнал доступа к конфиденциальным сведениям. Как показывает судебная практика, именно режим коммерческой тайны является одним из наиболее эффективных способов защиты личной информации компании (дело № А71-23503/2018, дело № А45-47738/2018, дело № 2-5196/2020). Важно также превентивно просчитать риски и заключить с сотрудниками договоры на создание продуктов, если они создают что-то уникальное, например, коды и тексты (в том числе, для получения прав интеллектуальной собственности).

Есть случаи, при которых информация защищена сама по себе. Например, секретная информация, рассказанная партнеру на переговорах. В данном случае, он не может передавать ее или использовать в личных целях. Если подрядчику передана конфиденциальная информация, необходимая для выполнения работ, он также имеет права ее разглашать.

Резюмируя сказанное, хочу отметить — сохранена может быть любая информация, главное знать, как именно ее защитить от потенциальной утечки. Чтобы выстроить грамотную систему, рекомендую обращаться к экспертам. Именно они обладают достаточными компетенциями для того, чтобы уберечь компанию от убытков, связанных с разглашением персональных данных и коммерческой тайны.