70% компаний не соответствуют требованиям закона о защите персональных данных

К2 Кибербезопасность и К2 Cloud (подразделения К2Тех) провели анонимный опрос 120+ ИТ- и ИБ-специалистов средних и крупных российских компаний об их уровне защиты персональных данных (ПДн) с учетом требований №152-ФЗ. Главный итог — только 30% респондентов заявили, что их компании соответствуют установленным регуляторами требованиям: актуализация политики безопасности и проведение регулярного аудита ПДн, обновление средств защиты с учетом необходимости обезличивания данных

«Каждая компания является оператором персональных данных, т.к. к ним относится информация о клиентах, партнерах и сотрудниках. В ходе анонимного опроса мы выяснили, что из тех, кто еще не соответствует требованиям закона о защите ПДн: 39% разработали маршрутную карту и находятся в процессе апгрейда, а 31% даже не знают, с чего начать и/или не имеют необходимых ресурсов. Это сигнализирует о масштабной проблеме, т.к. при текущем уровне киберугроз предписания законодательства — это база. Для практической же кибербезопасности данных бизнесу необходим еще более комплексный подход: подготовленная ИТ-инфраструктура, актуальные СЗИ, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов, регулярные аудиты и кибериспытания», — прокомментировала Анна Шарлай, старший аналитик по кибербезопасности в K2 Кибербезопасность.

С вступлением в силу поправок к №152-ФЗ компаниям запрещаются сбор, обработка и хранение персональных данных в облачный сервисах иностранных вендоров, т.к. их серверы находятся за рубежом. При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365, CRM и т.д. Подобный подход создает серьезные правовые и операционные риски для бизнеса, т.к. в процессе использования зарубежных «облаков» возможна незапланированная трансграничная передача персональных данных.

«Если информация граждан РФ физически размещается на серверах за пределами юрисдикции России, это является прямым нарушением закона. Кроме того, компания-владелец данных лишается реального контроля над их движением и защитой, поскольку вынуждена полагаться на политику иностранного провайдера. А она может изменяться в одностороннем порядке и не учитывать требования российских регуляторов. В связи с этим выбор российского провайдера, работающего в рамках отечественного правового поля и прошедшего необходимые аттестации в сфере ИБ, становится не просто вопросом предпочтения, а стратегической необходимостью для обеспечения бизнес-непрерывности и избежания многомиллионных штрафов», — отметил Максим Завьялов, руководитель практики импортозамещения K2 Cloud.

Чуть больше половины (54%) респондентов обращают внимание на сертификации ФСТЭК при выборе продуктов для защиты данных. При этом закон обязывает использовать исключительно сертифицированные решения все организации с ГИС и КИИ — это широкий список отраслей: энергетика, транспорт, ИТ и телеком, финсектор, здравоохранение, образование и т.д. Для всех остальных такого «прямого» требования нет, но если компания не использует сертифицированные средства защиты, ей нужно будет самостоятельнопроводить оценку соответствия требованиям законодательства РФ.