К2 Кибербезопасность и К2 Cloud (подразделения К2Тех) провели анонимный опрос 120+ ИТ- и ИБ-специалистов средних и крупных российских компаний об их уровне защиты персональных данных (ПДн) с учетом требований № 152-ФЗ.

Главный итог — только 30% респондентов заявили, что их компании соответствуют установленным регуляторами требованиям: актуализация политики безопасности и проведение регулярного аудита ПДн, обновление средств защиты с учетом необходимости обезличивания данных.

Анна Шарлай

старший аналитик по кибербезопасности K2 Кибербезопасность

Каждая компания является оператором персональных данных, т. к. к ним относится информация о клиентах, партнерах и сотрудниках. В ходе анонимного опроса мы выяснили, что из тех, кто еще не соответствует требованиям закона о защите ПДн: 39% разработали маршрутную карту и находятся в процессе апгрейда, а 31% даже не знают, с чего начать и/или не имеют необходимых ресурсов. Это сигнализирует о масштабной проблеме, т. к. при текущем уровне киберугроз предписания законодательства — это база. Для практической же кибербезопасности данных бизнесу необходим еще более комплексный подход: подготовленная ИТ-инфраструктура, актуальные СЗИ, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов, регулярные аудиты и кибериспытания

С вступлением в силу поправок к № 152-ФЗ компаниям запрещаются сбор, обработка и хранение персональных данных в облачный сервисах иностранных вендоров, т. к. их серверы находятся за рубежом. При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365, CRM и т. д. Подобный подход создает серьезные правовые и операционные риски для бизнеса, т. к. в процессе использования зарубежных «облаков» возможна незапланированная трансграничная передача персональных данных.

Максим Завьялов

руководитель практики импортозамещения K2 Cloud

Если информация граждан РФ физически размещается на серверах за пределами юрисдикции России, это является прямым нарушением закона. Кроме того, компания-владелец данных лишается реального контроля над их движением и защитой, поскольку вынуждена полагаться на политику иностранного провайдера. А она может изменяться в одностороннем порядке и не учитывать требования российских регуляторов. В связи с этим выбор российского провайдера, работающего в рамках отечественного правового поля и прошедшего необходимые аттестации в сфере ИБ, становится не просто вопросом предпочтения, а стратегической необходимостью для обеспечения бизнес-непрерывности и избежания многомиллионных штрафов.

Чуть больше половины (54%) респондентов обращают внимание на сертификации ФСТЭК при выборе продуктов для защиты данных. При этом закон обязывает использовать исключительно сертифицированные решения все организации с ГИС и КИИ — это широкий список отраслей: энергетика, транспорт, ИТ и телеком, финсектор, здравоохранение, образование и т. д. Для всех остальных такого «прямого» требования нет, но если компания не использует сертифицированные средства защиты, ей нужно будет самостоятельно проводить оценку соответствия требованиям законодательства РФ.

Используемые продукты и решения

Сервисы кибербезопасности