ФСТЭК и ФСБ в случае внеплановой проверки в составе не менее
двух человек могут без предупреждения прийти к операторам персональных данных, включая банки. ФСБ
определила порядок проведения как внеплановых, так и плановых проверок.
Порядок проверки
надзорными органами
ФСБ определила порядок проведения проверок контроля и
надзора за обеспечением безопасности персональных данных (ПД) и применения
средств защиты информации при использовании единой биометрической системы
госорганами, организациями финансового рынка (в том числе банками), ИП,
нотариусами и др. Проект разработанного ФСБ соответствующего постановления
Правительства опубликован на сайте regulation.gov.ru.
Согласно документу, контроль и надзор осуществляются ФСТЭК и
ФСБ путем проведения плановых и внеплановых выездных проверок. Для плановой
проверки создается комиссия в составе не менее трех человек. Срок контрольных
мероприятий не должен превышать 20 рабочих дней. Для внеплановых мероприятий предусмотрено
как минимум два проверяющих, а срок проверки ограничен 10 рабочими днями. Однако
в исключительных случаях, например, при расследованиях срок может затянуться,
но не более чем на 20 рабочих дней, сказано в проекте.
При этом проверка тех операторов, которые используют информсистемы
на правах собственности и аренды, или которым принадлежат эти системы
(Минобороны, Служба внешней разведки, ФСО и Главное управление специальных
программ Президента), проводится по согласованию с руководителями указанных
органов.
Порядок проверок
Согласно проекту постановления, ФСТЭКом и ФСБ при плановых
проверках проверяется соблюдение оператором персональных данных требований по
обеспечению безопасности ПД при их обработке в ИС, а также требований по
использованию средств защиты информации, в том числе средств криптографии. При
внеплановых проверках речь идет также о выполнении предписания органа
госконтроля и проведении мероприятий по предотвращению негативных последствий,
возникших в результате инцидента.
Среди оснований для проведения проверки — истечение трех лет
со дня окончания последней плановой проверки. Руководителем органа госконтроля
утверждается ежегодный план проверки до 20 декабря, предшествующего году
проведения плановых проверок. В него входят наименование контролирующего
органа, сведения об операторе ПД, наименование органа, проводящего проверку и
квартал ее проведения. О дате проведения плановой проверки оператор ПД
уведомляется не менее чем за три рабочих дня до ее начала.
Основаниями для внеплановой проверки, согласно
постановлению, являются истечение срока выполнения оператором ПД предписания об
устранении нарушения требований по обеспечению безопасности данных, возникновение
компьютерного инцидента в ИС персональных данных, повлекшего негативные
последствия, приказ контролирующего органа и возникновение угрозы жизни,
здоровью граждан, либо угрозы безопасности государства. О внеплановой проверке
оператор предупреждается не менее чем за 24 часа до ее начала «любым доступным
способом, обеспечивающим возможность подтверждения факта такого уведомления».
Если внеплановая проверка проходит в случае возникновения
инцидента или угрозы жизни, здоровью граждан или безопасности государства, она
может быть проведена незамедлительно.
Алгоритм проверок
Проверка начинается с предъявления служебного удостоверения
должностными лицами и ознакомления руководителя оператора ПД о проведении
проверки, а также предъявления ему под расписку копии приказа о проведении
проверки. Руководитель обязан предоставить проверяющим доступ к документам,
связанным с предметом проверки, а также беспрепятственный доступ на территорию
и к ИС персональных данных.
При этом должностные лица не в праве проверять требования,
которые не относятся к полномочиям контролирующего органа, требовать
представления документов и информации, если они не относятся к предмету
проверки, а также изымать оригиналы таких документов, распространять
информацию, полученную в результате проведения проверки (государственную,
коммерческую, служебную тайну),
превышать установленные сроки, а также выдавать оператору ПД предписания или
предложения о проведении за их счет мероприятий по контролю.
По результатам проверки оформляется акт. Один экземпляр акта
с приложениями вручается руководителю оператора персональных данных. В случае
выявления нарушений, проверяющие выдают предписание об устранении выявленного
нарушения с указанием срока его устранения. Впоследствии надзорный орган
контролирует устранение выявленных нарушений.
Суммы штрафов
Согласно федеральному закону от 24 февраля 2021 г. № 19-ФЗ,
административная ответственность по статье 13.11 предусматривает штрафы в
зависимости от последствий нарушения. Так, ответственность для юридического
лица предусматривает наложение штрафа в размере от 30 тыс. руб. до 6 млн руб.,
а при повторном нарушении — до 18 млн руб. Такой штраф компания или ИП
заплатят, если повторно нарушат обязанность по обеспечению записи,
систематизации, накопления, хранения, уточнения или извлечения персональных данных,
собранных в интернете.
Бизнес
Штраф за обработку персональных данных без согласия владельца
ПД достигает 500 тыс. руб. Максимальный совокупный штраф для должностного лица
составляет 336 тыс. руб., а при повторном нарушении может превышать 1 млн руб.
В мае 2021 г. CNews писал,
что депутаты «Единой России» хотят в десять раз увеличить штрафы за разглашение
персональных данных.
Комментарии экспертов
Как рассказал CNews эксперт RTM Group Евгений Царев, документ в текущей редакции «очень сырой», в нем
присутствуют проблемы с терминологией и с описательной частью. «По сути,
проведение проверок именно операторов персональных данных — это новая история,
и раньше такой тип проверок не выделялся, — рассказывает Царев. — Проверки по
обработке персональных данных проводились и раньше, но только государственных
органов или лицензиатов в ходе проверки лицензионных требований». При этом он
отмечает, что данных поправок недостаточно, «так как необходимы соответствующие
регламенты проверок и в них должна быть конкретика».
«С одной стороны, можно только приветствовать упорядочивание
деятельности контролирующих и надзорных органов, — рассказал CNews Демьян Раменский, руководитель
направления «Хостинг испдн» компании CorpSoft24. — C другой стороны, есть риск
увеличения давления на средний и малый бизнес».
Сейчас проверки по персональным данным проводит в основном
Роскомнадзор, они направлены на выполнение требований 152-ФЗ, поясняет
Раменский. Новое постановление резко увеличит число проверок со стороны ФСТЭК и
ФСБ, причем они будут касаться не только организационных, но и технических мер,
предусмотренных приказами ФСТЭК №21 и ФСБ №378. Реализация требований ФСТЭК и
ФСБ — задача долгая и дорогая, поскольку требует не только закупки
дорогостоящих СЗИ/СКЗИ, но и наличия компетентных специалистов по
кибербезопасности, чей дефицит сейчас на рынке труда подстегивает рост зарплат,
отмечает Раменский. В то же время, принятие данного постановления, безусловно,
станет драйвером роста рынка облачных услуг информационной безопасности, считает
он.
Что такое единая
биометрическая система
В июле 2018 г. CNews
писал о том, что в России запущена Единая
биометрическая система (ЕБС). Вместе с логином и паролем от Госуслуг ЕБС
позволяет гражданам дистанционно получать финансовые услуги. Идентификация
пользователя в ЕБС происходит по двум параметрам — голосу и лицу, одновременное
использование которых позволяет определить живого человека, а не имитацию его
биометрических данных в цифровом канале.
Создание системы инициировано ЦБ совместно с Минцифры,
разработчиком и оператором системы является «Ростелеком». Драйвером ее создания
стала нацпрограмма «Цифровая экономика», целью которой также является повышение
доступности цифровых сервисов для граждан в отдаленных регионах и
маломобильного населения.
Случаи утечки
персональных данных
В апреле 2020 г. издание
РБК сообщало, что в Сеть попали данные граждан, обращавшихся за оформлением
займов в микрофинансовых организациях. Данные клиентов были выставлены на продажу
в конце марта 2020 г. на специализированном сайте. Речь шла о 12 млн записей с
номерами паспортов, телефонами и сведениями об электронных кошельках.
ТАСС в феврале 2021 г сообщал,
что за январь-сентябрь 2020 г. в России утекло 96,5 млн записей персональных
данных и платежной информации. Около 80% утечек персональных данных при этом
происходит из-за внутренних нарушений, а не в результате хакерских атак.
Согласно исследованию
Tinkoff Data, более 90% россиян сталкиваются со звонками спамеров и мошенников.
Номера телефонов у мошенников появляются, в том числе из-за утечек данных.