70% компаний не соответствуют требованиям закона о защите персональных данных

Такие данные опубликованы по итогам анонимного опроса более чем 120 ИТ- и ИБ-специалистов средних и крупных российских компаний об их уровне защиты персональных данных (ПДн) с учетом требований закона №152-ФЗ, который провели К2 Кибербезопасность и К2 Cloud (подразделения К2Тех).

«Каждая компания является оператором персональных данных, поскольку к ним относится информация о клиентах, партнерах и сотрудниках. В ходе анонимного опроса мы выяснили, что из тех, кто еще не соответствует требованиям закона о защите ПДн, 39% разработали маршрутную карту и находятся в процессе апгрейда, а 31% даже не знают, с чего начать и/или не имеют необходимых ресурсов. Это сигнализирует о масштабной проблеме, так как при текущем уровне киберугроз предписания законодательства — это база. Для практической же кибербезопасности данных бизнесу необходим еще более комплексный подход: подготовленная ИТ-инфраструктура, актуальные СЗИ, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов, регулярные аудиты и кибериспытания», — прокомментировала Анна Шарлай, старший аналитик по кибербезопасности в K2 Кибербезопасность.

С вступлением в силу поправок к закону №152-ФЗ компаниям запрещаются сбор, обработка и хранение персональных данных в облачный сервисах иностранных вендоров, поскольку их серверы находятся за рубежом. При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365, CRM и т.д. Подобный подход создает серьезные правовые и операционные риски для бизнеса, так как в процессе использования зарубежных облаков возможна незапланированная трансграничная передача персональных данных.

«Если информация граждан РФ физически размещается на серверах за пределами юрисдикции России, это является прямым нарушением закона. Кроме того, компания — владелец данных лишается реального контроля над их движением и защитой, поскольку вынуждена полагаться на политику иностранного провайдера. А она может изменяться в одностороннем порядке и не учитывать требования российских регуляторов. В связи с этим выбор российского провайдера, работающего в рамках отечественного правового поля и прошедшего необходимые аттестации в сфере ИБ, становится не просто вопросом предпочтения, а стратегической необходимостью для обеспечения бизнес-непрерывности и избежания многомиллионных штрафов», — отметил Максим Завьялов, руководитель практики импортозамещения K2 Cloud.

Чуть больше половины (54%) респондентов обращают внимание на сертификации ФСТЭК при выборе продуктов для защиты данных. При этом закон обязывает использовать исключительно сертифицированные решения все организации с ГИС и КИИ — это широкий список отраслей: энергетика, транспорт, ИТ и телеком, финсектор, здравоохранение, образование и т.д. Для всех остальных такого прямого требования нет, но если компания не использует сертифицированные средства защиты, ей нужно будет самостоятельно проводить оценку соответствия требованиям законодательства РФ.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!