С 2025 года в России вводятся оборотные штрафы за утечку персональных данных, достигающие 3% от годового оборота компании, но не более 500 млн. рублей. При этом уголовная ответственность за незаконное использование персональных данных может доходить до 10 лет лишения свободы. Штрафы могут быть снижены, если компания ранее инвестировала в сертифицированные проекты защиты данных, соблюдала все требования и использовала сертифицированные решения.
Для защиты от утечек данных рекомендуется использовать проактивный подход, включая пентестинг для выявления уязвимостей, аудит информационной безопасности для оценки соответствия нормам, управление доступом с использованием многофакторной аутентификации, автоматическую деактивацию учетных записей и сегментацию сети.
Также важными мерами являются разработка и внедрение проработанных процессов реагирования на инциденты, которые включают в себя этапы предотвращения, обнаружения, сдерживания, ликвидации, восстановления и извлечения уроков. Кроме этого необходимо обеспечить надежное шифрование данных, как при передаче, так и при хранении, используя надежные алгоритмы и программное обеспечение.
Несмотря на фокус на усиление штрафных санкций и практическую защиту данных, существует проблема с тем, что контролирующие органы могут ориентироваться не только на реальные меры защиты, но и на формальное соответствие документации. Кроме того, госорганы могут быть менее подвержены финансовым штрафам из-за отсутствия оборота, что ставит под вопрос их ответственность за утечки.
Изображение носит иллюстративный характер
Для защиты от утечек данных рекомендуется использовать проактивный подход, включая пентестинг для выявления уязвимостей, аудит информационной безопасности для оценки соответствия нормам, управление доступом с использованием многофакторной аутентификации, автоматическую деактивацию учетных записей и сегментацию сети.
Также важными мерами являются разработка и внедрение проработанных процессов реагирования на инциденты, которые включают в себя этапы предотвращения, обнаружения, сдерживания, ликвидации, восстановления и извлечения уроков. Кроме этого необходимо обеспечить надежное шифрование данных, как при передаче, так и при хранении, используя надежные алгоритмы и программное обеспечение.
Несмотря на фокус на усиление штрафных санкций и практическую защиту данных, существует проблема с тем, что контролирующие органы могут ориентироваться не только на реальные меры защиты, но и на формальное соответствие документации. Кроме того, госорганы могут быть менее подвержены финансовым штрафам из-за отсутствия оборота, что ставит под вопрос их ответственность за утечки.
