BIS Journal №2(57)2025

22 апреля, 2025

Заветные 0,1%. Заметки безопасника

В этом году в действие вступают «долгожданные» оборотные штрафы за повторную утечку персональных данных. Пока трудно сказать, какова будет правоприменительная практика и начнёт ли государство кошмарить компании по новым правилам.

Я не являюсь большим экспертом по регуляторным нормам и их последствиям, но, по моему впечатлению, предыдущие подобные акты к массовым изменениям ландшафта кибербезопасности не приводили. Тем не менее мне как человеку, далёкому от уютных кресел топ-менеджеров, приятно видеть, что внимание небожителей-законотворцев нет-нет да и обратится к нашей многострадальной отрасли. 

В новом законе прописаны поистине драконовские штрафы, но вместе с тем — и смягчающие обстоятельства, одно из которых — расход не менее чем 0,1% от выручки на «мероприятия по обеспечению кибербезопасности, проведённые лицензированной организацией». Много ли это? На мой личный взгляд — вполне умеренно, хотя один мой уважаемый коллега, который куда лучше ориентируется в бизнесе, считает, что это очень даже солидный и ощутимый уровень инвестиций. В любом случае приятно наконец увидеть жёсткие требования к затратам, а не туманные абстракции. Давно пора! 

Интересно, что в новом законе нет чёткого указания, на какие именно направления должны расходоваться эти средства: хоть наймите людей, хоть разверните аппаратные или программные решения, хоть закажите аудит, пентест или ещё чего. Это даёт бизнесу большую гибкость — хочется верить, что ей не будут злоупотреблять, списывая требуемые расходы на виртуальные, существующие только на бумаге, мероприятия. Также интересно, что заветные 0,1% нужно отдать лицензированным подрядчикам. А чтобы иметь возможность тратить эти деньги самостоятельно, придётся получать лицензию самому. Ждём повышения спроса на лицензии по криптографии и ТЗКИ? 

И в заключение ещё одна мысль. По-хорошему, компания должна обрабатывать лишь необходимый минимум персональных данных, и по завершении обработки они должны удаляться. На практике же зачастую собираются сильно избыточные массивы данных, которые удаляются примерно раз в никогда, потому что времени, желания и денег с этим разбираться нет. Между тем процесс удаления обязательно должен быть отлажен — хотя бы для случаев, когда пользователь, реализуя своё право, требует прекратить обработку его ПДн. С новым законом появляется шанс (хоть и призрачный), что компании станут более ответственными и внедрят-таки процедуры периодического удаления неактуальных массивов данных. В конце концов, нельзя украсть данные, которых нет в системе, верно? 

Что ж, посмотрим, как новый закон отразится на практиках инвестирования в обеспечение ИБ. Будем надеяться на лучшее и верить, что увидим ощутимый рост интереса топ-менеджмента к стоящим перед всеми нами проблемам — с соответствующим ростом бюджетов. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.09.2025
Греф: «Сбер» отстаёт от мировых ИИ-вендоров всего на полгода — год
10.09.2025
Ставки на спорт! Даже в шатдаун
10.09.2025
Кибератака на GitHub привела к раскрытию тысяч секретов
10.09.2025
«Цифровой суверенитет должен соблюсти правила конкурентоспособного рынка»
09.09.2025
Две трети компаний США пострадало от действий инсайдеров
09.09.2025
SAS MFASOFT совместим со службой каталога ALD Pro
09.09.2025
Войлуков: Цифровой рубль вытащит из банков десять триллионов
09.09.2025
Непальские зумеры вышли на улицы из-за блокировки соцсетей
09.09.2025
Экосистема Security Vision сертифицирована Минобороны по НДВ-2
09.09.2025
Мессенджер Signal представил первую коммерческую опцию

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных