Банк России готовит законопроект о квалификационных требованиях и деловой репутации руководителей финансовых организаций, отвечающих за информационную безопасность, пишет Forbes. Закон введет персональную ответственность профильных заместителей руководителя за утечки личных данных клиентов, банковской тайны или иной защищаемой информации. В частности, тех, кто допустил неоднократные утечки, ЦБ предлагает дисквалифицировать на 10 лет с лишением права занимать аналогичный пост в другой финансовой организации в течение этого срока. Банкиров и компании, занимающиеся информационной безопасностью, беспокоят спорные моменты готовящегося законопроекта.
По мнению партнера Comply Сергея Сайганова, 10 лет дисквалификации — это очень много, особенно с учетом того, что управленцев такого уровня на рынке мало. Если и говорить конкретно о дисквалификации, то нужно все-таки устанавливать разумные сроки. Сейчас распространена практика сливать похищенные данные частями, имитируя повторные взломы. То есть хакеры в рамках одной кибератаки выгрузили базу данных, часть данных слили сразу, а вторую часть — через полгода, при этом заявляя о повторной атаке. В этом случае компании и управленцам достаточно тяжело оправдать себя и свою инфраструктуру.
Кейсов, когда за утечки привлекли конкретно топ-менеджеров, крайне мало, отмечает Сергей Сайганов. Чаще ответственность ложится на исполнителей или генерального директора, а директор по информационной безопасности обычно остается с дисциплинарным взысканием, максимум увольнением. Равно как и рядовые сотрудники: в моей практике не было случаев, когда сотрудника наказывали в рамках административного или уголовного судопроизводства за непредотвращение утечки.
Подробнее читайте в полной версии статьи на сайте Forbes.