Одна из самых сложных и нервных задач ИБ-специалиста – согласовать увеличение бюджета. Чтобы при этом хватило на продление лицензий, внедрение новых решений, обучение сотрудников и прочее. Волшебной кнопки для решения этой задачи нет. Но «железные» аргументы в пользу инвестиций в ИБ, есть.
Алексей Парфентьев, заместитель гендиректора по инновационной деятельности «СёрчИнформ», рассказал, как поправки в Налоговый кодекс и в закон об «оборотных» штрафах упрощают согласование ИБ-бюджетов, снижают налоговую нагрузку на компанию, обосновывают важность вложений в информационную безопасность.
ПОПРАВКИ В НАЛОГОВЫЙ КОДЕКС
С начала этого года заказчики ПО и ПАК, включенных в Реестр Минцифры РФ, могут платить налог на прибыль в сниженном объеме. Цель изменений – форсировать переход на отечественные решения.
Если кратко, работают так: компания может указать в налоговой декларации сумму затрат на ПО и ПАК в два раза большую, чем реальные затраты. Это уменьшит базу налога на прибыль (доходы – расходы = налоговая база) и, соответственно, сумму . Ранее подобное распространялось только на ИИ-решения, но сейчас мера доступна для всех программных ИТ- и ИБ-средств и программно-аппаратных комплексов. Единственный критерий – решение должно быть включено в реестр российского ПО и БД.
Эти изменения – возможность согласовать увеличение ИБ-бюджета, перейти на отечественные решения, а также масштабировать защиту. Конечно, угрозы и сценарии их реализации индивидуальны для каждой компании. Но есть темы «на острие» для всех операторов персональных данных – снижение вероятности утечек ПДн и, как следствие, рисков попасть под «оборотные» штрафы.
«ОБОРОТНЫЕ» ШТРАФЫ
Проблематика утечек данных и «оборотных» штрафов похожа на видео с грузовиком, который никак не может доехать. Но финал не за горами: в мае 2025 года закон об «оборотных» штрафах вступит в силу.
Ожидается, что это станет переломным моментом для всех операторов персданных. Кто желает погрузиться в «букву» закона – подробности . Если резюмировать парой строк: материальная ответственность за первую и повторные утечки вырастет в 10-ки раз. Появится ответственность для бизнеса и должностных лиц госорганизаций за неуведомление об обработке или факте утечки ПДн.
Хорошие новости: есть смягчающие обстоятельства. Сумма штрафа за повторную утечку может быть снижена, если оператор финансово вкладывался в ИБ и соблюдал требования по защите ПДн: например, принял меры, чтобы снизить риск слива данных – обеспечил их безопасное хранение и использование. Такими мерами может являться внедрение DLP и DCAP-систем. Более того, именно эти системы служат основными инструментами расследований инцидентов, которые требуются согласно требованиям РКН.
ЖИЗНЬ ДАЕТ ЛИМОНЫ, ДЕЛАЙТЕ ЛИМОНАД
Там, где одни видят риски, другие видят возможности и точки роста. По-модному это называется риск-менеджмент, а по-простому – предприимчивость. В текущей ИБ-ситуации предприимчивость и инициатива превратят регуляторные изменения в возможность снизить риски и вырасти: увеличить бюджет, масштабировать защиту и перейти на отечественное ПО за счет налоговых льгот.
Но инициативу нужно оформить правильно – «упаковать» ИБ-риски в понятные для руководства аргументы. Например, риск утечки данных минимизируется внедрением DLP и DCAP-систем. С их помощью можно не только нормативные требования, что уменьшит вероятность и объем возможных штрафов, но и снизить налоговую нагрузку на компанию.
Подробнее об этих и других актуальных ИБ-проблемах, и о том, как легко и эффективно с ними справляться, расскажем 18 февраля на бесплатном «Простые решения острых ИБ-проблем».
