Как организации защитить данные от утечек и угроз

Обеспечение информационной безопасности бизнеса — это не только задача для ИТ-отдела или специалистов по безопасности, но и ответственность всего высшего руководства компании. Если руководители не понимают важности защиты данных или не поддерживают стратегию безопасности, любые усилия по защите информации окажутся недостаточными, а сам руководитель может понести административную (или даже уголовную) ответственность.

Руководители должны:

1. Определить стратегические цели безопасности: на уровне высшего менеджмента должно быть сформулировано четкое понимание, какие данные важны для бизнеса, какие угрозы наиболее опасны и как должны быть распределены ресурсы для защиты информации.
2. Назначить ответственных за безопасность: необходимо назначить команду или специалистов, которые будут отвечать за реализацию стратегии информационной безопасности, а также за мониторинг и защиту данных.
3. Создать культуру безопасности: безопасность данных должна быть частью корпоративной культуры. Сотрудники должны быть осведомлены о возможных угрозах, способах защиты данных и ответственности за их нарушение.

Таким образом, высшее руководство играет ключевую роль в создании эффективной системы защиты данных, поскольку именно от их поддержки зависит успешность внедрения всех необходимых мер.

Законодательство, регулирующее сферу информационной безопасности в России, в последние годы претерпело значительные изменения. Приняты новые законы, обновлены старые, что ставит перед компаниями необходимость не только обеспечивать защиту данных, но и соблюдать требования, установленные государством.

Основные законы и нормативные акты:

1. Федеральный закон №152-ФЗ "О персональных данных" — регулирует вопросы обработки и защиты персональных данных в России. Этот закон обязывает организации защищать данные своих клиентов, сотрудников и партнеров.
2. Федеральный закон №149-ФЗ "Об информации, информационных технологиях и о защите информации" — регулирует отношения в сфере информации и технологий, включая вопросы защиты информации в компьютерных системах.
3. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — используется для установления требований по защите значимых объектов критической информационной инфраструктуры, категорированию объектов, реализации организационных и технических мер безопасности, а также регламентирует обязанности субъектов КИИ по обеспечению устойчивости и защищённости их информационных систем, сетей и автоматизированных систем управлени
4. ГОСТ Р 57580-2017 — основной стандарт по требованиям к защите информации в организациях. Он устанавливает требования к созданию и внедрению системы управления информационной безопасностью (СУИБ) на уровне предприятия, охватывая идентификацию рисков, методы защиты и мониторинг. Применяется в государственных и частных компаниях, особенно в сферах критической инфраструктуры.
5. ГОСТ Р ИСО/МЭК 15408 и другие адаптированные международные стандарты — используются для оценки уровня безопасности информационных систем и средств защиты информации

Кроме того, для защиты информации в сфере финансов и других секторов существует ряд отраслевых стандартов, регулирующих использование и защиту данных, например, PCI DSS для финансовых организаций.

Нарушения в области защиты персональных данных или информационной безопасности могут привести к значительным штрафам и санкциям. Существует ряд последствий для организаций, не соблюдающих законодательство в этой сфере.

Примеры штрафов за нарушения для юридических лиц (до 30 мая 2025г):

• За несоответствие требованиям по защите персональных данных предусмотрены штрафы для юридических лиц до 100 000 рублей на первое нарушения или до 300тыс за повторные. До 500тыс составлял штраф при повторном нарушении, составляющем сбор и обработку ПДн, несовместимые с целями их сбора.
• За утечку или несанкционированный доступ к персональным данным могут быть наложены более серьезные санкции, вплоть до уголовной ответственности.

Таким образом, нарушения норм информационной безопасности могут нанести компании не только финансовые убытки, но и повредить ее репутации

С 30 мая 2025г существенно ужесточились требования к защите данных в облачных сервисах и увеличенные штрафы за утечку данных. Основные размеры штрафов определены Федеральным законом № 420-ФЗ, а также обновлениями в КоАП РФ.

Теперь для юридических лиц — штраф за отдельные нарушения может достигать 6 млн руб., при повторном нарушении — до 18 млн руб. В том числе за неудомление или несвоевременное уведомление Роскомнадзора о начале обработки ПДн - до 300тыс.руб.

Введены так называемые оборотные штрафы: за повторную утечку обычных персональных данных штраф для организации не может быть менее 20 миллионов рублей. Максимальный совокупный штраф для должностного лица — до 336 тыс. руб., при повторном нарушении — может превышать 1 млн руб.

Ужесточена административная и уголовная ответственность за инциденты с ПДн и утечку информации, вплоть до специальных составов преступлений в УК РФ.

С 1 сентября 2025 года по запросу регулятора операторы обязаны передавать обезличенные массивы персональных данных в государственные информационные системы (ГИС). Передаче не подлежат биометрия и медицинские данные. Субъекты ПДн могут заявить возражение на такую передачу.

Также планируется введение более строгих требований к использованию криптографии для защиты конфиденциальной информации, в том числе облачных технологий. Например, Усиливается контроль за использованием облачных технологий для хранения и обработки персональных данных и информации КИИ. Организации обязаны выбирать облачных провайдеров, прошедших сертификацию по требованиям ФСТЭК и ФСБ, а также обеспечивать хранение данных на территории РФ. Для КИИ и госструктур использование зарубежных облаков практически исключено, только сертифицированные отечественные решения.

На федеральном уровне обязательная двухфакторная аутентификация (2FA) пока не введена для всех компаний, на для значимых объектов КИИ, государственных информационных систем, банков и операторов персональных данных 2FA становится обязательным элементом средств аутентификации пользователей при доступе к чувствительным системам и данным. Для ряда отраслей (финансы, телеком, госсектор) требования к многофакторной аутентификации закрепляются во внутренних регламентах и стандартах регуляторов (Банк России, ФСТЭК, Минцифры)

Компании должны регулярно проходит оценку соответствия своих систем требованиям безопасности и устойчивость к воздействию актуальных угроз. Так, введено обязательное проведение аудита безопасности КИИ не реже одного раза в три года

Современные угрозы информационной безопасности становятся все более изощренными. Вот несколько типов атак, от которых организация должна защищать свои данные:

1. Фишинг — попытки украсть учетные данные сотрудников с помощью поддельных писем или веб-сайтов.
2. Шифровальщики — вирусы, которые блокируют доступ к данным и требуют выкуп.
3. Инсайдерские угрозы — утечка данных сотрудниками, как по незнанию, так и намеренно.
4. Атаки со стороны конкурентов или хакеров-энтузиастов — внешние угрозы, когда атакующие пытаются получить доступ к корпоративной информации для конкурентного преимущества или ради личной выгоды.

Для защиты от этих угроз необходимо использовать комплексный подход, включающий технические средства, обучение персонала и регулярное тестирование систем безопасности.

Основные шаги для предотвращения утечек данных: