изображение: recraft
Минцифры, Совет Федерации и специалисты в области информационной безопасности рассматривают возможность изменения регулирования для ИБ-компаний, позволяя им работать без ограничений, предусмотренных законом «О персональных данных». Как сообщили журналистам топ-менеджеры крупных игроков отрасли и представитель профильной IT-ассоциации, это касается профессионалов, которые в силу своих обязанностей имеют доступ к персональной информации граждан, не рискуя при этом столкнуться с уголовным преследованием.
С конца ноября 2024 года в России действуют ужесточённые нормы ответственности за утечки персональных данных. Закон, подписанный Владимиром Путиным, внёс поправки в ФЗ-152, усилив наказание не только в административной, но и в уголовной плоскости. Теперь, согласно статье 272 УК РФ, незаконные операции с такими сведениями могут повлечь за собой тюремное заключение сроком до 10 лет.
Принятые изменения затронули широкий круг специалистов, работающих в сфере кибербезопасности, среди которых аналитики по расследованию цифровых преступлений, эксперты по сбору данных из открытых источников (OSINT) и специалисты по тестированию систем на наличие уязвимостей.
Руслан Пермяков, занимающий пост заместителя директора Центра компетенций НТИ «Технологии доверенного взаимодействия» при ТУСУРе, отметил, что в процессе своей деятельности такие специалисты могут получать доступ к персональным данным, не запрашивая согласие их владельцев напрямую.
Обсуждение возможных послаблений в регулировании для ИБ-компаний велось ещё в ноябре 2024 года на закрытом мероприятии в «Кибердоме». Источник из профильной ассоциации уточнил, что изначально планировалось внести изменения во втором чтении законопроекта, но этого не произошло. Теперь необходимость разработки отдельного документа находится на стадии обсуждения.
Как выяснили «Ведомости», среди участников диалога присутствуют ведущие компании отрасли, в том числе Positive Technologies, «Лаборатория Касперского» и «Солар».
Александр Зубриков, CEO ITGLOBAL.COM Security, заявил редакции CISOCLUB: «Закономерное, давно напрашивавшееся изменение, которое должно было быть реализовано еще на этапе чтений обновленного закона о персональных данных в Госдуме. В нашей практике, во время пентестов практически всегда удается получить доступ к персональным данным: от единичных строк, до массивных баз данных. Формально, эти действия незаконны, однако, в то же время – неизбежны, ведь именно в этом и заключается цель тестирования на проникновение. В то же время, нельзя утверждать, что такие изменения значительно повлияют на какие-либо процессы в ИБ-компаниях, ведь в договоре об оказании услуг, как правило, прописывается, что в рамках пентеста этот доступ может быть получен, а исполнитель, в свою очередь, обязуется обеспечить безопасность данных. Скорее похоже на устранение очередной правовой коллизии».
Екатерина Витенбург, Руководитель направления ИБ, Б-152 и Максим Шаманаев, Ведущий специалист по ИБ, Б-152, заявили CISOCLUB: «Относительно предложения Минцифры вывести ИБ-компании из-под закона о персональных данных, стоит отметить, что полное исключение невозможно. Речь должна идти о проработке исключений и разрешений для определённых действий. Например, можно давать разрешение компаниям с лицензиями ФСТЭК на техническую защиту информации или выделить эту деятельность в самостоятельное направление с лицензированием.
Существует мнение, что компании, занимающиеся расследованием инцидентов, мониторингом утечек или тестированием на проникновение, защищены договорами с клиентами. Однако, при расследовании утечек персональных данных может возникнуть ситуация, когда в дампе окажутся данные не только сотрудников клиента, но и других субъектов. Важно различать случайное ознакомление с данными в ходе расследования и целенаправленный сбор информации, например, для составления цифровых портретов.
Полностью исключить такие работы в условиях постоянных кибератак и фейковых утечек невозможно. Поэтому необходимо проработать законодательную базу для легализации и регулирования этой деятельности специализированных организаций. На законодательном уровне должно быть четко обозначено, что можно делать, а что нельзя».
Павел Карасев, бизнес-парнер, ООО «Компьютерные технологии»: «Предложение Минцифры о выводе ИБ компаний из-под действия закона о персональных данных – инициатива, требующая детального анализа и обсуждения с профессиональным сообществом. С одной стороны, такая мера может упростить работу организаций, занимающихся информационной безопасностью, особенно в части работы с инцидентами и угрозами.
С другой стороны, ИБ компании действительно сталкиваются с необходимостью обработки персональных данных в рамках расследования кибератак, тестирования систем на уязвимости и мониторинга событий. Жесткие регуляторные ограничения могут усложнять оперативное реагирование, вынуждая организации дополнительно согласовывать обработку информации или соблюдать сложные юридические процедуры, что увеличит время реагирования на инциденты. Освобождение ИБ компаний от соблюдения требований 152-ФЗ может повлечь риски для конфиденциальности и защиты прав граждан. Без четко прописанных механизмов контроля остается открытым вопрос, кто и в каких целях сможет обрабатывать персональные данные, какие гарантии получат пользователи, и как предотвратить возможные злоупотребления.
Важно, чтобы любая корректировка законодательства сохраняла баланс между эффективностью защиты информации и соблюдением прав субъектов персональных данных. Возможным решением могло бы стать создание специального регуляторного режима для ИБ компаний – с особыми условиями обработки данных, но при этом с жесткими мерами контроля за их использованием. В целом, инициатива требует взвешенного подхода, чтобы облегчить работу специалистов по кибербезопасности, но при этом не ослабить защиту персональных данных и доверие пользователей к цифровым сервисам».
Алексей Рябинин, менеджер по информационной безопасности Cloud Networks: «Вывести ИБ-компании из-под закона о персональных данных — решение довольно спорное. ИБ-компании работают с ПДн точно так же, как и другие, и это ещё не значит, что их деятельность не должна отслеживаться и регламентироваться. По аналогии нужно было бы вывести из-под закона о ПДн и те компании, которые имеют лицензии ФСБ на соответствующие виды деятельности и обрабатывают ПДн в «закрытых» контурах, которые по уровню защиты перекрывают любые требования Постановления Правительства РФ от 01.11.2012 №1119 и Приказа ФСТЭК от 18 февраля 2013 г. №21. Остаётся лишь вопрос о разграничении доступа к персональным данным и целях их обработки. Как быть с этим? У ИБ-компаний другие правила?».
Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT: «Хочется отметить, какие здесь видятся тонкости. С одной стороны, такие компании действительно работают с конфиденциальной информацией в рамках своей профессиональной деятельности, и это может создавать дополнительные бюрократические сложности. Однако важно понимать, что подобный подход может привести к прецеденту, когда и другие организации, имеющие доступ к персональным данным в рамках своей работы, также захотят получить аналогичные исключения. Например, финансовые аудиторы, которые анализируют документы, содержащие персональные данные, или разработчики, которые имеют доступ к производственным системам и, соответственно, к данным пользователей.
На мой взгляд, стоит подумать о более гибком подходе. Например, можно разработать специальные регламенты или упрощенные процедуры, которые учитывали бы специфику работы таких компаний, но при этом не снижали бы уровень защиты данных. Это позволило бы сохранить баланс: с одной стороны, данные оставались бы под защитой, а с другой — компании могли бы работать эффективно, не тратя ресурсы на излишнюю бюрократию. Ведь в конечном итоге все мы хотим одного — чтобы данные были в безопасности, а бизнес мог развиваться без лишних препятствий».
Оригинал публикации на сайте CISOCLUB: "Минцифры предлагает вывести ИБ-компании из-под закона о персональных данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.