8330 подписчиков

Осуществится ли переход от комплаенса к реальной кибербезопасности из-за больших штрафов?

Автор — Федор Музалевский, директор технического департамента RTM Group.

В последние несколько лет наблюдается устойчивая тенденция к увеличению штрафов за нарушения в сфере информационной безопасности. На слуху недавняя инициатива Минцифры, предполагающая введение оборотных штрафов за утечки персональных данных – обсуждается введение максимального штрафа в 1% от выручки компании за год.

Примечательно, что идея оборотных штрафов за нарушения в процессах обработки персональных данных уже была представлена ранее в другом документе – Общем регламенте по защите данных (GDPR). В худшем случае с компании потребуют оплатить штраф, составляющий 4% от её выручки.

В чем причина ужесточения штрафов? Основная – в том, утечек стало слишком много, а существующие меры нематериального убеждения недостаточны. Актуальная нормативная база устанавливает требования к защите информации – персональным данным, платежным данным и так далее – и обязывает различные организации выполнять их. Правила простые: обрабатываешь ПДн – защищай их, как этого требует 152-ФЗ, обрабатываешь клиентские платежи – соответствуй требованиям Положения Банка России 719-П. Но какова ответственность за невыполнение?