Ольга Трофимова, руководитель направления консалтинга в К2 Кибербезопасность, заявила, что сейчас происходит то, что рынок ожидал уже очень давно — существенное усиление ответственности организаций за инциденты, приводящие к утечке ПДн. Об этом эксперт рассказала редакции CISOCLUB.
«На наших глазах происходит то, что рынок ожидал уже очень давно — существенное усиление ответственности организаций за инциденты, приводящие к утечке ПДн. Увеличение штрафов в данном случае ожидаемо, т.к. на данный момент средний и крупный бизнес практически не чувствует на себе суммы выплат — сейчас они в среднем составляют всего 60-100 тысяч рублей вне зависимости об объема утечки и последствий для граждан», — отметила Ольга Трофимова.
По словам специалиста, в процессе чтений законопроект не претерпел кардинальных изменений. Так, в новой редакции ст. 13.11 КоАП РФ штрафы для юридических лиц за первичную утечку ПДн могут достигать 20 млн рублей в случае утечки биометрических ПДн и 15 млн рублей для остальных категорий ПДн. Штраф за повторную утечку может достигать 3% от годовой выручки компании, при это он будет составлять не менее 25 000 000 (в случае утечки биометрических ПДн) или 20 000 000 (в случае утечки иных категорий ПДн) рублей. При этом максимальная граница штрафа беспрецедентно высока для законодательства в области ИБ и составляет 500 000 000 рублей.
Руководитель направления консалтинга в К2 Кибербезопасность отметила, что приятная новость заключается в добавлении в законопроект смягчающих обстоятельств. Если ранее законопроект предполагал только отягчающие обстоятельства, то теперь организация, допустившая повторную утечку ПДн, может рассчитывать на штраф в размере не более 50 000 000 рублей. Это в 10 раз меньше размера штрафа, который организация может получить без смягчающих обстоятельств. Для этого организации необходимо выполнить все три условия, предусмотренных законопроектом, а именно:
- В течение 3х лет до момента утечки организация должна инвестировать не менее 0, 1 % своей выручки на мероприятия по ИБ с привлечением компаний, имеющих лицензию на ТЗКИ.
- Необходимо обеспечить соответствие процессов защиты ПДн при их обработке в ИСПДн требованиям 152-ФЗ и документально это подтвердить.
- Не попадать под отягчающие обстоятельства.
«Далеко не все компании готовы к такому ужесточению законодательства. За последние полгода мы провели несколько анонимных опросов ИТ- и ИБ-директором крупного и среднего бизнеса по этому вопросу. В итоге мы выясняли, что меньше половины (44%) организаций уже пересмотрели систему защиты ПДн с учетом планируемых изменений законодательства и актуальных киберугроз. 45% заявили, что адаптация к новым реалиям займет около года. Бизнес также часто пренебрегает и такой обязательной мерой, как регулярный аудит процессов обработки и защиты ПДн, который может показать положение дел с выполнением требований законодательства РФ. Лишь 34% проводят его не реже 1 раза в 3 года, как того требует законодательство», — заявила Ольга Трофимова.
Как подчеркнула эксперт, при этом большинство компаний куда более осознанно подходят к выполнению требований, связанных с разработкой локальных нормативных документов в области обработки и защиты ПДн. Так, 71% респондентов ответили, что разработали и политику и полный набор документов, регламентирующих порядок реализации данных процессов. Кроме того, респонденты заявили, что ознакомили с указанными документами всех сотрудников компании, а также выделили в своих компаниях ответственного за организацию обработки ПДн.
«Теперь мы входим в абсолютно новую эру в части наказаний за невыполнение требований законодательства в области обработки и защиты ПДн — штрафы будут определяться по факту утечек и, при отдельных условиях, могут быть снижены. Это означает, что компании больше не смогут позволить себе обеспечивать только формальный комплаенс, а должны будут обеспечить реальную защищенность обрабатываемых у них ПДн и управление недопустимыми событиями ИБ. В противном случае компании могут столкнуться с беспрецедентно высокими для законодательства в области ИБ штрафными санкциями.
Наша основная рекомендация сейчас — провести аудит вашего текущего состояния как с точки зрения выполнения требований 152-ФЗ, так и с точки зрения общей эффективности системы защиты и ее способности обеспечить реальную защищенность для обрабатываемых у вас ПДн. Это должно быть первым шагом на пути планирования и реализации необходимых организационных и технических мероприятий по усилению вашей системы защиты», — прокомментировала принятие законопроектов руководитель направления консалтинга в К2 Кибербезопасность.
Особенный акцент при этом должен быть на процессе управления инцидентами ИБ, зрелость которого теперь будет напрямую влиять на вероятность получения штрафов за утечку ПДн. Для быстрого повышения эффективности процесса управления инцидентами ИБ участники рынка все активнее смотрит в сторону более комплексного решения против угроз — SOC (Центра мониторинга кибербезопасности) на аутсорсе, в которых входят и технологический стек, и команда специалистов, и налаженные процессы для управления ИБ, резюмировала Ольга Трофимова.
Оригинал публикации на сайте CISOCLUB: "Эксперт Трофимова: рынок давно ожидал существенного усиления ответственности организаций за утечки данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
