Поделиться
Ответственные замы по ИБ в российских банках получат 10-летний запрет на профессию за утечки данных
Проект закона, подготовленный при участии Банка России, предусматривает десятилетний срок, в течение которого зампреду по ИБ будет запрещено занимать эту должность из-за нарушений, которые привели к утечке персональных данных. В Национальном совете финансового рынка считают, что это слишком строгая мера, которая может усугубить сложную ситуацию с нехваткой профильных специалистов.
10 лет без права на должность
Процедуру межведомственного согласования проходит законопроект, согласно которому в России будут вводиться специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ), как выяснили «Известия».
Проект закона подготовлен при участии Банка России. Он предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили изданию в ЦБ.
Документ вводит десятилетний срок, в течение которого зампреду по ИБ запрещается занимать эту должность в том случае, если до этого он работал в финансовой организации на этой же должности в период, когда там допускались нарушения требований к защите информации (и в течение года к ней неоднократно применялись некие меры).
Законопроект касается не только банков, но также страховых компаний, пенсионных фондов и МФО.
Останемся без кадров
Все это направлено на повышение уровня защищенности чувствительной информации в финансовой сфере и делается это в том числе через ужесточение персональной ответственности руководства, сказал изданию старший партнер коллегии адвокатов Pen&Paper Валерий Зинченко.
Однако в Национальном совете финансового рынка (НСФР) считают срок отлучения от должности несоразмерным и предлагают снизить его с 10 до трех лет.
«При этом в уголовном и административном законодательстве даже для лиц, признанных виновными в совершении должностных преступлений, сроки наказаний в виде запрета занимать определенные должности составляют существенно меньше, чем 10 лет», — говорится в отзыве НСФР на этот законопроект (документ от 19 декабря, есть в распоряжении «Известий»).
Например, в УК лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет. По административному кодексу, который регулирует в том числе сами нарушения в финансовой деятельности, сроки еще меньше — от полугода до трех лет, отметил глава НСФР Андрей Емелин.
Емелин напомнил, что несколько лет назад аналогичные требования к дисквалификации предлагалось ввести для специалистов по противодействию отмыванию денег и финансированию терроризма (ПОД/ФТ). И тогда банки также говорили о том, что работать в этой сфере станет попросту некому. В результате от подобной идеи отказались.
Для российского рынка ИБ характерен хронический дефицит кадров. Нехватка специалистов измеряется сотнями тысяч.
Также мера может усугубить ситуацию, считают в НСФР. Если же человек не может долгое время работать по специальности, он рискует утратить необходимые навыки
Количество утечек растет
В России растет количество утечек персональных данных. 2023 г. ознаменовался свыше 290 случаями утечек персональных данных россиян. Киберпреступники получили доступ к 123 млн адресов электронной почты и выяснили 240 уникальных номеров телефонов граждан страны, как сообщил CNews сервис разведки утечек данных и мониторинга даркнета DLBI.
8 января 2023 г., например, в интернете была опубликована база данных клиентов «Альфа-банка». По словам хакеров, база содержит более, чем 115 млн клиентских записей. Корреспондент CNews обнаружил среди опубликованных данных свои и своих знакомых имена, номера банковских карт и счетов в «Альфа-банке», хотя банк опроверг сообщение об утечке.
«Впрочем, сейчас ситуация с утечками в банковской отрасли не то чтобы прекрасная, но она выглядит лучше на фоне общей удручающей ситуации. Банкам удалось практически побороть инсайдеров, повсеместно внедрив DLP-системы, что привело к минимизации предложения баз и росту цен на пробив», — сказал «Известиям» основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
«Не всегда утечка — следствие халатного или ненадлежащего исполнения обязанностей зампреда по ИБ. Даже напротив, гораздо чаще в этом виноваты конечные исполнители», — добавил гендиректор Safetech Lab Александр Санин.
Кроме того, по его словам, это может быть и в целом очень направленная целевая атака с задействованием различных техник и тактик, повлиять на которые это должностное лицо может лишь опосредованно.
Короткая ссылка
