В России топ-менеджеров отечественных финансовых учреждений хотят на десять лет отстранять от профессиональной деятельности на занимаемой должности за допущенные неоднократные утечки конфиденциальной информации. Об этом заявлено в проекте закона, который был подготовлен с участием ЦБ РФ, сообщает издание «Известия».
Как заявили журналисты издания «Известия», в России в ближайшее время с высокой долей вероятности будут введены специальные требования к квалификации и деловой репутации топ-менеджеров кредитных учреждений, отвечающих за кибербезопасность в своих организациях. Соответствующий проект закона был подготовлен при участии ЦБ РФ. На данный момент документ находится на стадии межведомственного согласования, что подтвердили в Банке России.
В представленном документе, как рассказали журналисты, успевшие с ним ознакомиться, говорится о том, что у заместителя главы финансового учреждения по информационной безопасности будет повышен уровень личной ответственности за нарушение требований в сфере защиты данных, которые стали причиной утечки конфиденциальной информации или банковской тайны. Отдельно уточняется, что действие документа будет распространяться не только на крупнейшие российские банки, но также на страховые компании, пенсионные фонды и микрофинансовые организации.
В том числе, с помощью проекта закона вводится десятилетний срок, в течение которого заместителю главы банка по информационной безопасности будет запрещено занимать эту должность во всех ситуациях, если до этого он работал в кредитном учреждении на такой же должности в период, когда там были допущены нарушения требований к защите данных.
По сути, это требование вводит запрет на 10 лет на занятие должности зама по ИБ за сам факт наступление конкретных событий, о чём говорится в отзыве на проект закона Национального совета финансового рынка.
Андрей Мишуков, генеральный директор iTPROTECT: “На мой взгляд, повышение личной ответственности топ-менеджеров за утечку личных данных клиентов – хорошая практика, которая позволит должностным лицам больше концентрироваться на своей основной зоне ответственности в части кибербезопасности, и приоритезировать такие задачи в своей работе. В таких законопроектах очень важно четко описывать критерии событий, на основании которых будут производиться отстранения, учитывая предлагаемый длительный срок.
В первую очередь стоит прописать такие моменты, как определение термина «утечка» и создать перечень факторов, приведших к утечке, исходя из которых будут приниматься решения по отстранению ТОП менеджеров. Не во всех случаях данные “утекают” по вине топ-менеджмента. Часто мы видим кейсы, когда руководство все делает правильно и создает защищенные процессы обслуживания клиентов и защиты их данных, используя принцип «privacy by design», но человеческий фактор в виде сотрудников банка, которые могут быть подкуплены или принуждены к противоправным действиям, несет значительные риски утечек конфиденциальных данных. И если сотрудник совершит их по своей воле, топ-менеджер не должен нести ответственность за каждого несознательного работника.
Поэтому в законопроекте нужно явно описывать, что понимается под утечкой, какие причины привели к утечке и кто виноват в случившемся. Конечно случается, что банк не выделяет средства на защиту данных, не рассчитывает должным образом риски, и это приводит к утечке. Но если дело в умышленных деструктивных действиях сотрудника или кибератаке, использующей Zero-day уязвимости (по которым производитель не выпустил исправления), отстранение опытного руководителя на 10 лет может быть контрпродуктивным, т.к. за время адаптации нового руководителя, могут случиться новые утечки и его тоже придется отстранить от управления кибербезопасностью”.
Игорь Баранов, преподаватель АИС, адвокат, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности: “Предлагаемая мера ответственности направлена на повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны. Документ касается также страховых компаний, пенсионных фондов и МФО.
Это требование вводит десятилетний запрет на занятие должности заместителя по ИБ за сам факт наступления определенных событий. В нынешней версии документа получается, что связь непосредственно деятельности человека и его дисквалификации может вообще отсутствовать. Если базу данных слил подчиненный-инсайдер, то его руководителя автоматически дисквалифицируют на 10 лет, даже если он никак не причастен к происшествию.
Ответственность для руководителя за юрлицо, которым он руководит – давно работающая мера в РФ, предусмотренная законом, в том числе дисквалификация – запрет занимать должность руководителя. Как показывает практика, введение таких мер привело к более ответственному руководству компаниями, соблюдению закона, укреплению правопорядка и управленческой дисциплины. Поэтому сама идея введения персональной ответственности для руководителя кредитной организации является действенной и разумной.
С другой стороны, предложенный в законопроекте срок дисквалификации – 10 лет является явно избыточным. За это время любой человек потеряет свои навыки, а должность замруководителя по ИБ станет фактически “одноразовой”, что не отвечает интересам высококлассных специалистов по информационной безопасности. Также это может привести к дефициту кадров, отсутствию желающих замещать вакантную должность или вовсе сделает такую работу номинальной, которая будет выполняться формально нанятым “специалистом”.
Разумнее установить срок дисквалификации в 3 года, что достаточно для повышения квалификации работника, допустившего ошибки, сохранения его навыков и квалификации, а введение персональной ответственности должно рассматриваться исключительно как часть механизма по усилению информационной безопасности кредитных организаций, поскольку решить проблему утечек данных введением одной лишь ответственности руководителя невозможно, нужны меры по устранению самой возможности таких действий рядовыми сотрудниками и третьими лицами”.
Оригинал публикации на сайте CISOCLUB: "Топ-менеджеров банков будут отстранять от работы на 10 лет за неоднократную утечку данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.