Эксперт Хонин: инициатива Минэка по оборотным штрафам для разработчиков ИБ-продуктов должна быть реализована
Изображение: Crew (unsplash)
Александр Хонин, руководитель отдела консалтинга и аудита Angara Security, заявил, что предложение Минэкономразвития РФ по распространению оборотных штрафов за утечки на разработчиков профильного защитного ПО имеет право на жизнь и, наверное, в текущих реалиях должно быть реализовано. Об этом он рассказал редакции CISOCLUB.
По словам Александра Хонина, данное предложение имеет право на жизнь и, наверное, в текущих реалиях должно быть реализовано. Ведь поставщики ИБ должны гарантировать качество своих услуг, а как следствие и их эффективность.
«Но здесь необходимо опять же понимать механизм таких штрафов. А вернее установление причин произошедших утечек. Здесь не всегда все так понятно. Обеспечение ИБ — это комплексный и непрерывный процесс. И большая часть этого процесса лежит в зоне ответственности оператора ПДн. Что мы хотим этим сказать — не всегда причиной утечек являются некачественные решения или услуги по ИБ», — уточнил эксперт.
Например, после проведения работ по внедрению средств защиты, дальнейшее сопровождение лежит на Заказчике. И, соответственно, невыполнение каких-либо мероприятий по ИБ может быть причиной инцидента. Аналогично в рамках проведенных аудитов ИБ (например пентесты) — после, как поставщик выполнил работы, в инфраструктуре заказчика могут быть выполнены новые изменения, которые приводят к новым уязвимостям.
«Соответственно, основной вывод, что на поставщиков такие штрафы могут быть распространены, но необходимо проработать механизмы определения вины поставщика в каждом подобном инциденте. При этом важно понимать также, кто будет определять такую вину и каким образом», — резюмировал руководитель отдела консалтинга и аудита Angara Security.
