Госдума усилила ответственность за утечки персданных

Госдума усилила ответственность за утечки персданных

Госдума усилила ответственность за утечки персданных

Госдума приняла во втором и третьем чтениях поправки в законодательство, которые повышают ответственность за утечки и неправомерный оборот персональных данных. Они предусматривают многократное увеличение штрафов, вводят оборотные штрафы и уголовную ответственность.

Законопроект был внесен в Госдуму в начале декабря 2023 года и был принят в первом чтении практически сразу после новогодних каникул. С того времени в документ были внесены несколько поправок.

В частности, усилена ответственность за утечку биометрических данных, при этом размер штрафов для должностных лиц наоборот, уменьшен. Всего, как отметил член комитета по государственному строительству и законодательству Дмитрий Вяткин, который представлял документы, поступило 30 поправок, из которых было принято 14.

26 ноября, эти поправки, как сообщил «Интерфакс», были приняты Госдумой сразу в двух чтениях.

За незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов предлагается установить штрафы для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц — от 300 тыс. до 500 тыс. руб.; для юридических лиц — от 5 млн до 10 млн руб.

Если было скомпрометировано более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов, размер штрафа вырастет до 400 тыс., 600 тыс. и до 15 млн рублей.

При рецидиве — до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Вводится административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных — штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц — от 30 тыс. до 50 тыс. руб.; на юридических лиц — от 100 тыс. до 300 тыс. руб.

Также вводится ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.

В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в ИБ не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с соблюдением мер информационной безопасности; уровень цифровой зрелости.

Незаконное использование персональных данных влечет уже уголовную ответственность. В качестве наказания по новой статье УК виновнику грозит штраф до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок. Ответственность за утечку биометрических данных, персданных несовершеннолетних, при установлении корыстного мотива или в особо крупном размере ответственность может быть до 10 лет лишения свободы.

Закон в случае его подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.

«Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников», - говорится в разъяснениях Минцифры, выпущенных сразу после принятия Госдумой законопроектов.

Вместе с тем целый ряд вопросов остается пока без ответа. В частности, высказывались опасения, что ужесточение ответственности может рикошетом ударить по компаниям, занимающимся мониторингом утечек данных.

UserGate SIEM получила сертификат ФСТЭК по 4-му уровню доверия

Система UserGate SIEM получила сертификат соответствия ФСТЭК России по 4-му уровню доверия к средствам технической защиты информации. Это подтверждает, что платформа для мониторинга событий безопасности, анализа данных и реагирования на инциденты соответствует требованиям регулятора.

Сертификация важна для организаций, которым необходимо использовать сертифицированные средства защиты информации.

Речь, в частности, о компаниях из финансового сектора, промышленности, нефтегаза, здравоохранения, сферы критической информационной инфраструктуры, а также о государственных организациях.

UserGate SIEM, или uSIEM, предназначена для сбора и анализа событий информационной безопасности. Система помогает отслеживать подозрительную активность, выявлять угрозы и реагировать на инциденты. После получения сертификата решение можно применять в инфраструктурах, где действуют регуляторные требования к использованию сертифицированных СЗИ.

В компании отмечают, что сертификация проходила не только как формальная процедура включения продукта в перечень средств защиты. По словам менеджера по развитию uSIEM Дмитрия Чеботарёва, система прошла полный цикл испытаний в аккредитованной лаборатории. Проверялись, в том числе, работа под нагрузкой, корректность выявления инцидентов и безопасность хранения чувствительных журналов.

uSIEM входит в продуктовую систему UserGate SUMMA и может использоваться вместе с другими решениями вендора, включая UserGate NGFW. При этом система открыта для интеграции с инфраструктурой заказчика и может применяться не только действующими клиентами UserGate, но и новыми организациями.

Для рынка это означает ещё один сертифицированный вариант SIEM-системы, который можно использовать в проектах с повышенными требованиями к информационной безопасности и регуляторному соответствию.

RSS: Новости на портале Anti-Malware.ru