К2 Кибербезопасность и К2 Cloud провели анонимный опрос среди более чем 120 ИТ- и ИБ-специалистов средних и крупных российских компаний. Целью исследования было оценить уровень защиты персональных данных в соответствии с требованиями Федерального закона №152-ФЗ.
Согласно результатам, только 30% респондентов подтвердили, что их компании полностью соответствуют установленным требованиям. Это включает актуализацию политик безопасности, регулярный аудит обработки персональных данных и обновление средств защиты с учётом обезличивания.
Из числа тех, кто еще не соответствует закону, 39% разработали план мероприятий и находятся в процессе выполнения работ. В то же время 31% опрошенных либо не знают, с чего начать, либо не имеют необходимых для этого ресурсов. Как отметила старший аналитик по кибербезопасности К2 Кибербезопасность Анна Шарлай, текущие требования законодательства являются лишь базовым уровнем. Для реальной защиты данных необходим комплексный подход, включающий подготовленную инфраструктуру, актуальные средства защиты, мониторинг, реагирование на инциденты и регулярные проверки.
Отдельное внимание в исследовании уделено использованию зарубежных облачных сервисов, таких как Google и Office 365, что запрещено поправками к №152-ФЗ. Несмотря на это, 44% респондентов сообщили об их использовании в работе. Это создает правовые и операционные риски, включая возможность незапланированной трансграничной передачи данных.
Руководитель практики импортозамещения K2 Cloud Максим Завьялов подчеркнул, что размещение данных россиян на зарубежных серверах является прямым нарушением закона и лишает компанию контроля над информацией. В связи с этим выбор российского провайдера, работающего в рамках отечественного правового поля, становится стратегической необходимостью.
Также в ходе опроса выяснилось, что 54% респондентов учитывают наличие сертификации ФСТЭК при выборе средств защиты информации. Хотя обязательное использование таких сертифицированных решений законодательно закреплено только для организаций в сфере критической информационной инфраструктуры, его отсутствие в других случаях требует от компании самостоятельного проведения оценки соответствия.