Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Минцифры продвигает законопроект об увеличении штрафов за утечки персональных данных
В сообщении издания Коммерсантъ приводятся слова главы Минцифры Максута Шадаева, который сообщил о последних доработках законопроекта об оборотных штрафах для компаний за утечки персональных данных: размер штрафов в последней версии документа на данный момент варьируется от 5 до 500 млн руб. Изменения должны вступить в силу в сентябре 2023 года. По ранее озвученной им информации, смягчающими обстоятельствами будут «возмещение ущерба двум третям пострадавших от утечки», а также сертификация «всей инфраструктуры в соответствии с требованиями безопасности».
«Важный момент, который обсуждается сейчас на уровне регулятора – это смягчающие факторы: закрытие регуляторных требований по части защиты персональных данных и/или «возмещение ущерба двум третям пострадавших от утечки»*. Однако остается " за бортом" вопрос компенсации возможных потерь, а они не маленькие. Думаю,что пора самым серьезным образом думать о страховании возможных рисков, связанных с наложением оборотных штрафов. К сожалению, тенденция в целом не настраивает на мажорный лад: объем утечек только растет. Не думаю, что введение оборотных штрафов радикально изменит ситуацию, хотя конечно повлияет на отношение руководства компаний к вопросам информационной безопасности. Ключ к решению проблемы в другом месте: резком повышении качества защиты и контроля , а также ответственности за эту работу. Поэтому к выполнению формальных требований необходимо подготовиться в ближайшие 9 месяцев (предполагается, что соответствующие изменения могут вступить в силу в сентябре 2023 года). Разумеется, одних лишь технических и организационных мер, как подметили наши коллеги, недостаточно для предотвращения утечки и последующих штрафов. Необходимо усилить контроль за качеством защиты и в первую очередь, чаще, в инициативном порядке проводить тестирование на проникновение и контроль уязвимостей, а также тренировки персонала. ¹
В 2022 году ситуация с утечками достигла беспрецедентных масштабов. По данным InfoWatch в прошедшем году в сети оказалось 305 баз данных (+45% относительно 2021 года). И это очень важный момент в контексте готовящихся изменений: преступники часто компилируют базы и «повторность» инцидента доказать становится крайне сложно. Также возникает вопрос: какая сторона должна будет подтвердить или опровергнуть информацию о возникновении повторной утечки.
Необходимо также понимать, что полностью устранить риски возникновения утечки невозможно. Возникает резонный вопрос: что может сделать организация для того, чтобы максимально купировать риск возникновения подобного инцидента? Первое, о чем следует подумать в этом контексте – это стоимость данных. Оценку стоимости данных пока в России проводят крайне редко, но грядущие законодательные изменения будут способствовать развитию данной практики. Мы смотрим на данное направление с большим интересом так как видим неоспоримые преимущества данного подхода: осознанный риск-ориентированный подход к обеспечению защиты данных и минимизация финансовых и репутационных потерь. О том, как на практике реализуется данный метод купирования рисков утечек мы будем уже говорить отдельно в самое ближайшее время в рамках статей и вебинаров для клиентов компании FBK CyberSecurity и ФБК»
1 – из комментария Максута Шадаева для Коммерсантъ.
В 2022 году ситуация с утечками достигла беспрецедентных масштабов. По данным InfoWatch в прошедшем году в сети оказалось 305 баз данных (+45% относительно 2021 года). И это очень важный момент в контексте готовящихся изменений: преступники часто компилируют базы и «повторность» инцидента доказать становится крайне сложно. Также возникает вопрос: какая сторона должна будет подтвердить или опровергнуть информацию о возникновении повторной утечки.
Необходимо также понимать, что полностью устранить риски возникновения утечки невозможно. Возникает резонный вопрос: что может сделать организация для того, чтобы максимально купировать риск возникновения подобного инцидента? Первое, о чем следует подумать в этом контексте – это стоимость данных. Оценку стоимости данных пока в России проводят крайне редко, но грядущие законодательные изменения будут способствовать развитию данной практики. Мы смотрим на данное направление с большим интересом так как видим неоспоримые преимущества данного подхода: осознанный риск-ориентированный подход к обеспечению защиты данных и минимизация финансовых и репутационных потерь. О том, как на практике реализуется данный метод купирования рисков утечек мы будем уже говорить отдельно в самое ближайшее время в рамках статей и вебинаров для клиентов компании FBK CyberSecurity и ФБК»
1 – из комментария Максута Шадаева для Коммерсантъ.
Другие материалы