Эксперт Вощуков: инициатива смягчения ответственности операторов за утечки отвечает интересам бизнеса и государства
Изображение: recraft
GR-специалист компании «СёрчИнформ» Дмитрий Вощуков прокомментировал для CISOCLUB инициативу о пересмотре штрафов для операторов персональных данных, которые добросовестно инвестируют в информационную безопасность.
По мнению Дмитрия Вощукова, вопрос смягчения ответственности для добросовестных операторов персональных данных стоит остро.
«Инициатива Ассоциации очень важна. Предложение отвечает интересам и операторов персональных данных, и ИБ-индустрии, и государства. Текущая же редакция закона вызывает две сложности», — отметил эксперт.
Первой проблемой Вощуков назвал отсутствие чёткого понимания условий снижения штрафов.
«Отсутствие чёткого понимания, что необходимо сделать, чтобы штраф был снижен, приводит к тому, что некоторые операторы занимаются «бумажной» безопасностью больше, чем внедрением и масштабированием средств защиты данных. Получить сертификат соответствия и отчитаться проще и понятнее. Но цель закона – мотивация к эффективной защите – не достигается», — пояснил он.
Эксперт считает важным разработать понятные рекомендации для бизнеса.
«Важно отразить, какие реальные технические меры следует принять оператору. Эти меры, фактически, уже отражены, например, в 21-м Приказе ФСТЭК, в Постановлении Правительства № 1119, в статье 19 152-го Закона. Уместно свести их в понятные бизнесу методические рекомендации, чтобы оператор мог сориентироваться, какие средства ему следует внедрить, чтобы решить ИБ-задачи: защита от утечки, разграничение доступа и так далее», — добавил Вощуков.
Во-вторых, Дмитрий Вощуков подчеркнул проблему высокой финансовой нагрузки штрафов за первые инциденты.
«Штрафы за первую утечку исчисляются миллионами рублей: для бизнеса, особенно для МСП, это серьёзные потери. Аналогичная ситуация и со штрафами для должностных лиц – ответственных за обработку персональных данных в госорганах и госучреждениях. Если вложения в ИБ смягчают ответственность за повторные инциденты, то такая возможность должна быть и у тех операторов, которые изначально добросовестно, а не «для галочки», подошли к задаче защиты персональных данных», — заключил специалист.
