В третьем квартале 2025 года на горизонте информационной безопасности ожидаются значительные изменения, которые коснутся всех организаций. При этом и регуляторы, и компании должны будут адаптироваться к новым условиям, связанным с усилением контроля и защиты данных.
Внедрение обязательного взаимодействия с ГосСОПКА
Правительство разработало законопроект № 960721-8, что включает требования для государственных и муниципальных информационных систем. Теперь каждая организация, работающая с государственными информационными системами (ГИС), будет обязана взаимодействовать с ГосСОПКА. Это включает в себя:
- Установление непрерывной связи с регулятором.
- Своевременное обнаружение и уведомление об инцидентах в области информационной безопасности (ИБ).
- Создание отчетов о выявленных инцидентах с детальным описанием технических параметров и последствий.
Таким образом, теперь организациям придется не только наладить канал коммуникации, но и повысить свою ИБ-культуру. Для этого потребуется внедрение SIEM-систем, которые помогут автоматизировать обнаружение угроз и реагирование на инциденты.
Новые меры ответственности за киберпреступления
Минцифры России предлагает поправки в Уголовный кодекс, направленные на ужесточение наказаний за кибератаки, особенно те, что применяют технологии искусственного интеллекта (ИИ). В числе новшеств:
- Определение ИИ как квалифицирующего признака преступления.
- Введение отдельных статей для разных видов кибератак.
- Ужесточение ответственности для сотрудников организаций, допустивших нарушения.
Так, за атаки с использованием ИИ предусматриваются штрафы до 500 тысяч рублей и лишение свободы на срок до 4 лет. Для сотрудников, нанесших ущерб организации, наказание может возрасти до 8 лет заключения. Кроме того, важным будет признание организаций потерпевшими, что позволит им требовать возмещения убытков от нарушителей.
Обезличивание персональных данных
С вступлением в силу новых правил, принятых Роскомнадзором, организации должны будут уделить внимание требованиям по обезличиванию персональных данных. Принятые меры включают:
- Использование методов, таких как замена имен на идентификаторы.
- Изменение состава данных и их перемешивание для защиты идентифицирующей информации.
Если данные будут обезличены, их можно будет использовать в целях, не предусмотренных первоначальным согласием на обработку. Однако предприятия должны помнить о необходимости защиты таких данных и отделении их от необезличенных.
Таким образом, изменения в правилах ИБ в 2025 году ставят перед организациями новые вызовы и возможности. Успех будет зависеть от их готовности к быстрому реагированию на изменения и внедрению современных технологий для повышения уровня безопасности своих данных.
