Постепенно обновляется и формируется законодательная база в отрасли информационной безопасности. В текущих реалиях стало ясно, что существующие законы регулируют не все инциденты кибербезопасности, соответственно Минцифры принимает меры по урегулированию данного вопроса.
Правки в законе о КИИ
Ключевой момент закона заключался в том, что собственник сам определяет объекты КИИ, сам классифицирует, что относится, а что нет. Соответственно сам несет за это ответственность. Но зачастую компании этим правом пренебрегают и минимизируют количество систем, которые определяются как КИИ, ведь это предполагает выполнение определенных регламентов и обязанностей перед законом. Проанализировав отрасль, Минцифры пришли к выводу, что значимая часть систем умышленно не квалифицировалась как КИИ.
В итоге правки в законопроекте предполагают наличие у правительства полномочий сверху определять по каждой отрасли типы информационных систем, которые будут обязательно к КИИ. Соответственно по ним будут устанавливать сроки перехода на российские решения.
Ужесточение штрафов за утечку
Минцифры предлагает понять штрафы за утечку данных о здоровье, национальности, судимости, политических взглядах и сведениях об интимной жизни. Данные правки предполагается внести в новую версию законопроекта об оборотных штрафах за утечку ПДн.
Утечка таких ПДн будет считаться отягчающим обстоятельством и будет жесткой ответственностью.
Смягчающие обстоятельства при утечке данных
Если есть пункт об ужесточении штрафов, соответственно должен присутствовать и смягчающий фактор. Одним из таких факторов предлагают сделать выплату компенсации большинству пострадавших от утечки.
На данный момент Минцифры обсуждает возможность реализации данной конструкции о смягчении оборотного штрафа, рассматриваются различные варианты с назначением минимального и максимального порога урегулирования инцидента с пострадавшими.
Урегулирование предполагается исключительно в добровольном порядке, все данные должны быть подтверждены в суде.