Министерство цифрового развития, связи и массовых коммуникаций предлагает вывести компании, занимающиеся информационной безопасностью, из-под действия закона о персональных данных.
Изображение: recraft
Как сообщили представители крупных игроков отрасли и специалисты профильной IT-ассоциации, это касается профессионалов, которые в силу своих обязанностей имеют доступ к личной информации граждан, не опасаясь уголовного преследования.
С конца ноября 2024 года в России ужесточились меры ответственности за утечки персональных данных. Закон, подписанный Владимиром Путиным, внёс поправки в Федеральный закон № 152, усилив наказание не только в административной, но и в уголовной сфере. Теперь, согласно статье 272 Уголовного кодекса Российской Федерации, незаконные действия с такими данными могут привести к тюремному заключению сроком до десяти лет.
Эти изменения затронули широкий круг специалистов в области кибербезопасности, включая аналитиков по расследованию цифровых преступлений, экспертов по сбору данных из открытых источников (OSINT) и специалистов по тестированию систем на наличие уязвимостей.
Руслан Пермяков, занимающий должность заместителя директора Центра компетенций Национальной технологической инициативы «Технологии доверенного взаимодействия» при Томском государственном университете систем управления и радиоэлектроники, отметил, что в процессе своей работы такие специалисты могут получать доступ к личной информации без прямого согласия её владельцев.
Обсуждение возможных послаблений в регулировании для компаний, занимающихся информационной безопасностью, началось ещё в ноябре 2024 года на закрытом мероприятии в «Кибердоме». Источник из профильной ассоциации уточнил, что изначально планировалось внести изменения во втором чтении законопроекта, но этого не произошло. Теперь необходимость разработки отдельного документа находится на стадии обсуждения.
Как выяснили «Ведомости», среди участников диалога присутствуют ведущие компании отрасли, включая Positive Technologies, «Лабораторию Касперского» и «Солар».
Александр Зубриков, генеральный директор ITGLOBAL.COM Security, заявил редакции CISOCLUB: «Это закономерное и давно ожидаемое изменение, которое должно было быть реализовано ещё на этапе рассмотрения обновлённого закона о персональных данных в Государственной думе. В нашей практике во время тестирования на проникновение мы часто получаем доступ к личной информации: от отдельных строк до обширных баз данных. Формально это незаконно, но в то же время неизбежно, поскольку именно в этом и заключается цель тестирования на проникновение.
Однако нельзя утверждать, что такие изменения значительно повлияют на деятельность компаний, занимающихся информационной безопасностью, поскольку в договоре об оказании услуг обычно указывается, что в рамках тестирования на проникновение доступ к данным может быть получен, а исполнитель обязуется обеспечить их безопасность. Скорее всего, это просто устранение правовой коллизии».
Екатерина Витенбург, руководитель направления информационной безопасности, и Максим Шаманаев, ведущий специалист по информационной безопасности, заявили CISOCLUB: «Относительно предложения Министерства цифрового развития, связи и массовых коммуникаций вывести компании, занимающиеся информационной безопасностью, из-под действия закона о персональных данных, стоит отметить, что полное исключение невозможно. Речь должна идти о разработке исключений и разрешений для определённых действий. Например, можно предоставить разрешение компаниям с лицензиями Федеральной службы по техническому и экспортному контролю на техническую защиту информации или выделить эту деятельность в отдельную сферу с лицензированием».
Существует мнение, что компании, занимающиеся расследованием инцидентов, мониторингом утечек или тестированием на проникновение, защищены договорами с клиентами. Однако при расследовании утечек персональных данных может возникнуть ситуация, когда в дампе окажутся данные не только сотрудников клиента, но и других лиц. Важно различать случайное ознакомление с данными в ходе расследования и целенаправленный сбор информации, например, для создания цифровых портретов.
Полностью исключить такие работы в условиях постоянных кибератак и фейковых утечек невозможно. Поэтому необходимо разработать законодательную базу для легализации и регулирования деятельности специализированных организаций. На законодательном уровне должно быть чётко определено, что можно делать, а что нельзя».
Павел Карасев, бизнес-партнёр ООО «Компьютерные технологии», прокомментировал инициативу Министерства цифрового развития, связи и массовых коммуникаций: «Предложение вывести компании, занимающиеся информационной безопасностью, из-под действия закона о персональных данных — это предложение, которое требует тщательного анализа и обсуждения с профессиональным сообществом.
С одной стороны, такая мера может упростить работу организаций, занимающихся информационной безопасностью, особенно в части реагирования на инциденты и угрозы.
С другой стороны, компании, занимающиеся информационной безопасностью, действительно сталкиваются с необходимостью обработки персональных данных в рамках расследования кибератак, тестирования систем на уязвимости и мониторинга событий. Жёсткие регуляторные ограничения могут затруднить оперативное реагирование, вынуждая организации дополнительно согласовывать обработку информации или соблюдать сложные юридические процедуры, что увеличит время реагирования на инциденты.
Освобождение компаний, занимающихся информационной безопасностью, от соблюдения требований 152-ФЗ может привести к рискам для конфиденциальности и защиты прав граждан. Без чётко прописанных механизмов контроля остаётся открытым вопрос о том, кто и с какой целью сможет обрабатывать персональные данные, какие гарантии получат пользователи и как предотвратить возможные злоупотребления».