Банк России предлагает повысить персональную ответственность зампредов по ИБ за утечку данных.
В России обсуждается новый законопроект, который вводит специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Документ, подготовленный с участием Банка России, находится на стадии межведомственного согласования, сообщили «Известиям» в ЦБ.
Согласно законопроекту, предполагается повышение уровня персональной ответственности замглавы банка по информационной безопасности за нарушения в защите информации, влекущие за собой утечку персональных данных или банковской тайны. Эти изменения затронут не только банки, но и страховые компании, пенсионные фонды, а также микрофинансовые организации.
Законопроект вводит десятилетний срок, в течение которого зампреду по ИБ запрещается занимать эту должность — в том случае, если до этого он работал в финансовой организации на этой же должности в период, когда там допускались нарушения требований к защите информации (и в течение года к ней неоднократно применялись некие меры).
Законопроект вызвал критику со стороны Национального совета финансового рынка (НСФР). Представители НСФР выразили опасения, что такие меры могут усугубить и без того сложную ситуацию с нехваткой профильных специалистов.
Кроме того, по мнение НСФР, в текущей версии законопроекта отсутствует прямая связь между деятельностью конкретного человека и его дисквалификацией. Например, если базу данных слил подчиненный-инсайдер, то его руководителя автоматически дисквалифицируют на 10 лет, даже если он никак не причастен к происшествию.
Также в отзыве НСФР подчеркивается, что предлагаемые меры наказания значительно жестче, чем существующие санкции за должностные преступления, предусмотренные уголовным и административным законодательством. Так, в УК лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет. По административному кодексу, который регулирует в том числе сами нарушения в финансовой деятельности, сроки еще меньше — от полугода до трех лет.
В Национальном совете финансового рынка предлагают сократить срок дисквалификации с десяти до трех лет.
Эксперты подчеркивают, что не всегда утечка информации связана с неправильными действиями руководства. Часто за утечками стоят конечные исполнители или сложные целенаправленные атаки, на которые влияние топ-менеджеров ограничено.
«Известия» направили запросы в крупнейшие российские банки о том, как там относятся к законопроекту, а также в Минцифры и Минюст.
Собираем и анализируем опыт профессионалов ИБ