BIS Journal №2(57)2025

22 апреля, 2025

Заветные 0,1%. Заметки безопасника

В этом году в действие вступают «долгожданные» оборотные штрафы за повторную утечку персональных данных. Пока трудно сказать, какова будет правоприменительная практика и начнёт ли государство кошмарить компании по новым правилам.

Я не являюсь большим экспертом по регуляторным нормам и их последствиям, но, по моему впечатлению, предыдущие подобные акты к массовым изменениям ландшафта кибербезопасности не приводили. Тем не менее мне как человеку, далёкому от уютных кресел топ-менеджеров, приятно видеть, что внимание небожителей-законотворцев нет-нет да и обратится к нашей многострадальной отрасли. 

В новом законе прописаны поистине драконовские штрафы, но вместе с тем — и смягчающие обстоятельства, одно из которых — расход не менее чем 0,1% от выручки на «мероприятия по обеспечению кибербезопасности, проведённые лицензированной организацией». Много ли это? На мой личный взгляд — вполне умеренно, хотя один мой уважаемый коллега, который куда лучше ориентируется в бизнесе, считает, что это очень даже солидный и ощутимый уровень инвестиций. В любом случае приятно наконец увидеть жёсткие требования к затратам, а не туманные абстракции. Давно пора! 

Интересно, что в новом законе нет чёткого указания, на какие именно направления должны расходоваться эти средства: хоть наймите людей, хоть разверните аппаратные или программные решения, хоть закажите аудит, пентест или ещё чего. Это даёт бизнесу большую гибкость — хочется верить, что ей не будут злоупотреблять, списывая требуемые расходы на виртуальные, существующие только на бумаге, мероприятия. Также интересно, что заветные 0,1% нужно отдать лицензированным подрядчикам. А чтобы иметь возможность тратить эти деньги самостоятельно, придётся получать лицензию самому. Ждём повышения спроса на лицензии по криптографии и ТЗКИ? 

И в заключение ещё одна мысль. По-хорошему, компания должна обрабатывать лишь необходимый минимум персональных данных, и по завершении обработки они должны удаляться. На практике же зачастую собираются сильно избыточные массивы данных, которые удаляются примерно раз в никогда, потому что времени, желания и денег с этим разбираться нет. Между тем процесс удаления обязательно должен быть отлажен — хотя бы для случаев, когда пользователь, реализуя своё право, требует прекратить обработку его ПДн. С новым законом появляется шанс (хоть и призрачный), что компании станут более ответственными и внедрят-таки процедуры периодического удаления неактуальных массивов данных. В конце концов, нельзя украсть данные, которых нет в системе, верно? 

Что ж, посмотрим, как новый закон отразится на практиках инвестирования в обеспечение ИБ. Будем надеяться на лучшее и верить, что увидим ощутимый рост интереса топ-менеджмента к стоящим перед всеми нами проблемам — с соответствующим ростом бюджетов. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных