28 января прошел Privacy Forum 2026 - конференция о персональных данных в бизнесе, организованная Lukash & Partners.
В мероприятии приняли участие более 20 практикующих специалистов в области персональных данных и информационной безопасности.
Среди экспертов представители ФГУП ГРЧЦ (Роскомнадзор), ДИП г. Москва, Центра биометрических технологий, ТБанка, Сбербанка, Авито, ГК "Гарда", Городисский и партнеры, АЛРУД, RTM GROUP и других крупных российских и международных компаний.
На панельной дискуссии о разделении функций ИБ и DPO эксперты-практики обсудили ключевые вопросы взаимодействия двух подразделений: последовательность аудита, подготовку модели угроз, место DPO и CISO в организационной структуре, границы контроля DPO над ИБ, распределение ответственности.
Модератор:
Денис Лукаш, управляющий партнер «Lukash & Partners»
Участники:
Евгений Царев, руководитель RTM Group, эксперт в области персональных данных.
Артемий Новожилов, руководитель архитекторов систем ИБ ГК «ГАРДА»
Валерий Комаров, начальник отдела обеспечения осведомленности управления информационной безопасности Департамента информационных технологий города Москвы
Запись секции доступна VKvideo
Ниже краткий обзор обсуждений по затронутым темам.
Аудит оператора персональных данных
Обеспечение защиты персональных данных как вопрос ИБ является обязательным для любого оператора, без исключений для государственных или коммерческих структур.
Существует концепция, где DPO выступает оркестратором процессов внутри компании — между бизнесом, правами субъектов, государством и ИБ. Данные защищаются разными способами и от разных угроз: DPO оценивает легитимность обработки, а ИБ реализует техническую защиту разрешённых данных.
Выработана оптимальная последовательность действий: специалист по защите изучает технологию обработки, формирует границу системы, проводит классификацию и делает экономическую оценку.
На этом этапе подключается DPO и начинается оптимизация: анализ целей обработки, необходимости данных, обоснованности категорий. Уменьшаются категории защищаемых данных и требования к защите. Дальше процесс разделяется на два направления: DPO легализует обработку документарно, ИБ продумывает техническую обвязку для защиты разрешённых данных.
Есть смысл перед построением системы защиты пересмотреть все данные — это может существенно снизить требования к защите.
Модель угроз: разделённая ответственность
Существует подход с чётким разделением: за наличие модели угроз в организации отвечает DPO (он контролирует, чтобы документ был, утверждён и актуализируется), за качество модели отвечает подразделение ИБ. Методические документы ФСТЭК прописывают, что модель угроз пишет группа технических экспертов с высокой квалификацией.
Как отметил эксперт, на практике проекты обычно делятся на две части с разными командами — правовую и техническую. Их объединяет один человек, разбирающийся в обеих областях.
Место DPO и CISO в организационной структуре
Высказывалась позиция, что DPO должен находиться на уровне заместителя руководителя организации, поскольку 152-ФЗ — это закон о защите прав, и ответственный за его выполнение должен быть правовиком с соответствующим статусом.
В идеальном мире это две должности — CISO и DPO. При объединении ролей в одном человеке может возникнуть конфликт интересов, поскольку DPO выступает регулирующим органом внутри организации, в том числе для ИБ.
Европейская практика (комментарий финского надзорного органа при вступлении в силу GDPR) указывает, что CISO не может быть DPO из-за конфликта интересов. Однако в российской практике даже крупные компании совмещают эти роли.
Контроль: кто кого аудирует?
Должен ли DPO аудировать службу ИБ, как он аудирует кадры и бухгалтерию? 152-ФЗ прописывает три ключевые обязанности DPO, включая осуществление внутреннего контроля обработки персональных данных, в том числе в области защиты информации.
По мнению спикера, DPO должен контролировать работу подразделения ИБ - какие результаты она выдаёт — в рамках организации внутреннего контроля. Он будет взаимодействовать и с субъектом, и с регуляторами.
Была также предложена концепция плоских систем: функциональные руководители могут контролировать друг друга через репортные точки и отчётные истории. Контроль — широкое понятие, это необязательно подчинённость.
Ответственность за утечку
Вопрос об ответственности при утечке данных вызвал разные мнения.
Существует подход коллективной ответственности, при котором важно понять причины утечки. Если утекли данные, собранные без правовых оснований — вопрос к DPO. Если проникли через технические уязвимости — вопрос к ИБ.
Была также отмечена позиция регулятора и судов: «Если утекло, значит недостаточно защитили». Попытки доказать достаточность защиты не имеют смысла.
Высказывалась и другая позиция: за утечку отвечает первое лицо организации.
Административная ответственность (иное)
В рамках дискуссии был разъяснен следующий важный момент относительно административной ответственности.
Существуют две статьи КоАП РФ:
Ст. 13.11 — за нарушение законодательства в области персональных данных (наказывает Роскомнадзор)
Ст. 13.12 — за нарушение требований по защите информации (наказывают ФСБ и ФСТЭК)
Если Роскомнадзор выписывает нарушение правил обработки (отсутствие модели угроз, аттестатов, сертификатов) — штраф получит DPO. Если пришёл ФСБ или ФСТЭК — оштрафуют специалистов по ИБ.
Создание бэкапов
Созданием резервных копий обеспечивается доступность — одно из трёх свойств безопасности наряду с конфиденциальностью и целостностью.
DPO должен дать исходную информацию CISO — какие свойства информации надо защитить. Если DPO говорит, что важна только конфиденциальность, а потеря копии не критична — бизнес-решение принято. Вопрос не в количестве бэкапов, а в том, учёл ли CISO угрозы для СХД, архива, контролирует ли, кто снимает копии, кто разворачивает образы.
Спикеры отмечают, что отсутствие бэкапов — странное решение ради галочки об отсутствии лишней копии. Бэкап может стать спасением для бизнеса при инциденте. Тема контроля — это не вопрос подчинённости, а правильно выстроенные процессы. Если DPO понимает, что должен спросить у CISO, а CISO понимает, что нужно ответить и как реализовать защиту — компания будет защищена.
Дисклеймер:
Представленные в материале позиции отражают мнения экспертов-участников дискуссии и носят информационно-ознакомительный характер. Данная информация не является юридической консультацией. При принятии решений по вопросам обработки персональных данных рекомендуется учитывать специфику конкретной ситуации и обращаться за профессиональной юридической помощью. Организатор и спикеры не несут ответственности за последствия применения представленных подходов.
