BIS Journal №2(57)2025

22 апреля, 2025

Заветные 0,1%. Заметки безопасника

В этом году в действие вступают «долгожданные» оборотные штрафы за повторную утечку персональных данных. Пока трудно сказать, какова будет правоприменительная практика и начнёт ли государство кошмарить компании по новым правилам.

Я не являюсь большим экспертом по регуляторным нормам и их последствиям, но, по моему впечатлению, предыдущие подобные акты к массовым изменениям ландшафта кибербезопасности не приводили. Тем не менее мне как человеку, далёкому от уютных кресел топ-менеджеров, приятно видеть, что внимание небожителей-законотворцев нет-нет да и обратится к нашей многострадальной отрасли. 

В новом законе прописаны поистине драконовские штрафы, но вместе с тем — и смягчающие обстоятельства, одно из которых — расход не менее чем 0,1% от выручки на «мероприятия по обеспечению кибербезопасности, проведённые лицензированной организацией». Много ли это? На мой личный взгляд — вполне умеренно, хотя один мой уважаемый коллега, который куда лучше ориентируется в бизнесе, считает, что это очень даже солидный и ощутимый уровень инвестиций. В любом случае приятно наконец увидеть жёсткие требования к затратам, а не туманные абстракции. Давно пора! 

Интересно, что в новом законе нет чёткого указания, на какие именно направления должны расходоваться эти средства: хоть наймите людей, хоть разверните аппаратные или программные решения, хоть закажите аудит, пентест или ещё чего. Это даёт бизнесу большую гибкость — хочется верить, что ей не будут злоупотреблять, списывая требуемые расходы на виртуальные, существующие только на бумаге, мероприятия. Также интересно, что заветные 0,1% нужно отдать лицензированным подрядчикам. А чтобы иметь возможность тратить эти деньги самостоятельно, придётся получать лицензию самому. Ждём повышения спроса на лицензии по криптографии и ТЗКИ? 

И в заключение ещё одна мысль. По-хорошему, компания должна обрабатывать лишь необходимый минимум персональных данных, и по завершении обработки они должны удаляться. На практике же зачастую собираются сильно избыточные массивы данных, которые удаляются примерно раз в никогда, потому что времени, желания и денег с этим разбираться нет. Между тем процесс удаления обязательно должен быть отлажен — хотя бы для случаев, когда пользователь, реализуя своё право, требует прекратить обработку его ПДн. С новым законом появляется шанс (хоть и призрачный), что компании станут более ответственными и внедрят-таки процедуры периодического удаления неактуальных массивов данных. В конце концов, нельзя украсть данные, которых нет в системе, верно? 

Что ж, посмотрим, как новый закон отразится на практиках инвестирования в обеспечение ИБ. Будем надеяться на лучшее и верить, что увидим ощутимый рост интереса топ-менеджмента к стоящим перед всеми нами проблемам — с соответствующим ростом бюджетов. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.07.2025
ИБ-платформа Security Vision вошла в реестр ГосСОПКА
15.07.2025
«ИИ попросту не может заменить ценную человеческую экспертизу»
15.07.2025
Кибермошенники вовсю используют авиаповестку
15.07.2025
К национальному мессенджеру — национальный скам-фильтр?
15.07.2025
Positive Technologies провели ремонт своей «Хакбазы»
14.07.2025
19% предприятий запустило системную автоматизацию после 2022 года
14.07.2025
Только 6% осужденных по ИКТ-статьям получает реальный срок
14.07.2025
LLM-система МТС экономит «десятки миллионов рублей»
14.07.2025
Решения Servicepipe позволят Innostage комплексно защитить клиентов от DDoS, ботов и других автоматизированных L3-L7 атак
14.07.2025
PT: ИБ-игроки должны научиться дополнять друг друга

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных