Минцифры совместно с ФСТЭК, ФСБ и представителями отрасли информационной безопасности (ИБ) разрабатывают перечень мер, выполнение которых компаниями может стать смягчающим обстоятельством при назначении штрафов за утечки персональных данных.
Как сообщают «Ведомости», инициатива связана с ужесточением требований к защите персональных данных и введением оборотных штрафов за повторные утечки, которые вступят в силу 30 мая. Согласно изменениям в закон «О персональных данных», компании, которые направляют не менее 0,1% годовой выручки на информационную безопасность в течение трёх лет, смогут рассчитывать на снижение штрафа в случае утечки.
Тем не менее, как обращают внимание представители бизнеса, в законопроекте не определены конкретные меры по ИБ, в которые нужно инвестировать для смягчения штрафа.
«В оборотных штрафах за утечки и нас, и вендоров интересуют смягчающие обстоятельства. Они написаны так, что мы должны потратить 0,1% от выручки на мероприятия по ИБ, что бы это ни значило. Хотелось бы узнать, что это значит и на что конкретно [должно быть потрачено]. Мы сейчас как раз работаем с министерством [Минцифры] по поводу формирования такого списка. Мы собрались у замминистра, и коллеги из ФСБ и ФСТЭК тоже делали некие предложения», — рассказывает директор по стратегическим проектам Ассоциации больших данных Ирина Левова.
Представитель Минцифры подтвердил, что совместно с заинтересованными органами и организациями обсуждают предложения представителей рынка по перечню мероприятий по ИБ, которые предполагается учитывать при назначении смягчающих обстоятельств за утечку данных.
При этом, как напоминает бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий, в России с 2013 г. существуют обязательные требования по защите персональных данных, утверждённые 21-м приказом ФСТЭК России. Он считает странной позицию компаний относительно перечня мер для защиты данных. По его словам, в 19-й статье закона «О персональных данных» определен высокоуровневый набор защитных мер, а детализация этих требований раскрыта в нормативных документах в ФСТЭК и ФСБ. И среди более чем 200 требований компании могут выбрать те, что лучше всего подходят для них, добавляет он.
«Никаких иных правил, требований, рекомендаций, как тратить 0,1% на безопасность персональных данных, не нужно. Это уведение проблемы в сторону от её решения. Достаточно операторам персональных данных просто начать выполнять то, что было разработано 12 лет назад», — заключил Лукацкий.