10 апреля 2024 г. состоялось заседание Рабочей группы по информационной безопасности и критической инфраструктуре Совета ТПП РФ по развитию информационных технологий и цифровой экономики. В ходе мероприятия рассмотрен вопрос законодательной инициативы об ужесточении ответственности за утечку персональных данных.

Заместитель председателя Совета ТПП РФ по развитию информационных технологий и цифровой экономики – руководитель рабочей группы по информационной безопасности и критической инфраструктуре, советник генерального директора РТРС по информационной безопасности Дмитрий Фролов отметил важность и актуальность обсуждения проекта федерального закона № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» с учетом фиксации ежегодного роста массовых утечек персональных данных. Им отмечено наличие в законопроекте недостатков, требующих рассмотрения членами рабочей группы, связанных с предлагаемыми мерами административного наказания за утечку персональных данных. В ходе своего выступления он также озвучил предложения, подготовленные ФГУП «Российская телевизионная и радиовещательная сеть» по данному вопросу.

Директор Департамента цифровых технологий ТПП РФ Владимир Маслов рассказал о сборе и обобщении предложений экспертов по законодательной инициативе для подготовки консолидированного мнения и оценки регулирующего воздействия на предпринимательское сообщество для направления в Правительство РФ или в федеральный орган исполнительной власти, а также акцентировал внимание участников на необходимости в обсуждении данного вопроса на встрече с министром Минцифры М.И. Шадаевым. Также в ходе своего выступления он отметил, что практически любой предприниматель является субъектом персональных данных и соответственно попадает под предлагаемые проектом закона меры воздействия и предложил членам рабочей группы направить свои предложения по законопроекту в ТПП РФ для обобщения и подготовки обращения в органы власти.

Заместитель начальника Департамента управления информационной безопасностью ОАО «РЖД» Владимир Шемякин рассказал о состоянии информационной безопасности в ОАО «РЖД» в условиях кибератак со стороны внешних диструктивных сил. Отметил наличие в законопроекте ответственности, вне зависимости от принятых мер компанией мер по обеспечению защиты данных, возможности для нанесения финансового ущерба организации, за счет скомпилированных баз данных или создания видимости множественности утечек информации. Он также сообщил, что поправки в проект закона РЖД были направлены в Российский союз промышленников и предпринимателей, депутатам Государственной Думы ФС РФ и в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

Руководитель направления по информационной безопасности ДЦТ ТПП РФ Андрей Дворянкин озвучил ряд основных предложений, подготовленных ТПП РФ совместно с другими общественными организациями и направленных в Государственную Думу ФС РФ по данному проекту.

Амбоссадор Ассоциации развития цифровой промышленности "Клуб цифровых директоров" Светлана Леонова обратила внимание на отсутствие в законопроекте смягчения ответственности за утечку персональных данных для тех, кто предпринимал шаги по защите информации.

GR-директор ООО «СерчИнформ» Ольга Минаева рассказала о мероприятиях, проведенных в её компании по проблеме утечки персональных данных, и высказала предложение о необходимости применения технических средств для защиты информации.

Заведующий кафедрой РГУ (НИУ) нефти и газа имени И.М. Губкина Дмитрий Правиков отметил необходимость активизации работы по созданию профессионального стандарта «Специалист по защите персональных данных».

Научный консультант АО «Глонас» Николай Мурашов сообщил, что, во-первых, любая информационная система должна быть надлежащим образом защищена и такие системы существуют. По его мнению, если регулярно осуществляются проверки на защищенность компанией, имеющей соответствующие сертификаты, а также своевременно устраняются выявленные недостатки, то компания – субъект персональных данных должна освобождаться от административной ответственности, в случае утечки. Во-вторых, должно быть стимулирование тех организаций, которые обязаны хранить персональные данные, а кому не обязательно хранить – должно быть соответствующее наказание. В-третьих, использовать безопасность как услугу, если сами организации и компании не в состоянии хранить персональные данные, то обращаться к соответствующему оператору, который это обеспечит. Он также высказал мнение о необходимости подготовки специалистов по деперсонализации данных и включении этого вопроса в образовательный процесс при подготовке специалистов по информационной безопасности.

Директор Департамента по взаимодействию с госорганами АО «Позитив Текнолоджис» Ирина Пантина отметила необходимость ужесточения мер ответственности за утечку персональных данных, при этом высказано предложение по использованию части функций государственных систем «Антифрод», «Антифишинг», «Мультисканер» для предотвращения использования утекших персональных данных. Также, ею предложено включать меры по снижению ответственности за утечку персональных данных, в том числе совместную ответственность для тех, кто осуществлял проверку системы, консультации по информационной безопасности. Она также отметила, что разрабатывается проект закона о независимой оценке защищенности и поиску уязвимости, куда привлечены эксперты для формирования прозрачности по принимаемым мерам в вопросе защищенности.

Президент Национальной Ассоциации международной информационной безопасности (НАМИБ), вице-президент ООО «Гарда» Борис Мирошников отметил опасность утечки персональных данных и принуждение к их сбору в разных инстанциях и организациях у населения, даже когда в этом отсутствует необходимость. Также, он указал на существование двух подходов при защите данных – действительные мероприятия по обеспечению информационной безопасности и формальный подход, при подготовке к проверке со стороны регуляторов. Он также обратил внимание, что указанный в проекте закона разброс по величине штрафа за утечку создает почву для коррупции.

Директор по безопасности ФГУП «ГРЧЦ» Мария Васильева рассказала об опыте хранения персональных данных в КНР.

По результатам заседания внесено предложение о подготовке и направлении предложений по законопроекту об административной ответственности за утечку персональных данных в ТПП РФ для их обобщения и направления в соответствующую инстанцию.

Департамент цифровых технологий, А. Дворянкин