Эксперт Хонин: перечень расходов на ИБ необходим для справедливого применения штрафов за утечки данных
Изображение: recraft
Директор центра консалтинга Angara Security Александр Хонин прокомментировал для CISOCLUB инициативу российских компаний по пересмотру штрафов за утечки данных при условии инвестиций в информационную безопасность.
По словам эксперта, тема смягчения ответственности за утечки обсуждается уже не первый раз.
«С самого начала истории с оборотными штрафами в области обработки ПДн компании обозначали проблему «несправедливости» данного законопроекта. А именно: при утечке данных компания, которая вкладывалась в ИБ, и компания, которая не занималась ИБ, могут подвергнуться одинаковым штрафам. При этом, как мы знаем, остаточные риски есть всегда. Даже обеспечивая должный уровень ИБ, инциденты могут происходить», — пояснил Александр Хонин.
Он отметил, что хотя поправки о смягчающих критериях уже предложены, сама формулировка вызвала дополнительные вопросы.
«Можно выделить два основных момента. Первый: какие именно затраты будут относить к засчитанным. Как пример, ФОТ сотрудников подразделения ИБ — в крупных компаниях только эта статья расходов может составлять значительную сумму. Второй момент: в текущей редакции есть фраза про необходимость наличия лицензии ФСБ России или ФСТЭК России (в части ИБ) у организации, выполняющей мероприятия по ИБ. Таким образом, если читать закон прямолинейно, если у вас нет соответствующей лицензии и вы самостоятельно занимаетесь ИБ, то данные мероприятия не попадут в ежегодные расходы по ИБ», — подчеркнул эксперт.
В заключение Александр Хонин отметил, что создание чёткого перечня расходов является важной задачей, которая позволит снять многие вопросы при применении штрафов.
«Поэтому, на наш взгляд, обсуждаемый перечень жизненно необходим, в том числе, он снимет массу вопросов, которые могут возникать в будущем при назначении оборотных штрафов за повторные утечки ПДн», — резюмировал эксперт.
