Алена Игнатьева – о разделении ответственности между оператором персональных данных и поставщиками ИБ-продуктов

Общественная организация «Деловая Россия» выступила с предложением о разделении ответственности компании, которая допустила утечку конфиденциальной информации, с поставщиком соответствующего продукта по защите данных. Руководитель отдела консалтинга и аудита информационной безопасности в комментарии для CISOCLUB предположила, как эта инициатива может повлиять на отечественный рынок.

По мнению Алены, важен не столько размер штрафа, сколько прозрачность контроля и неотвратимость наказания. Важно не убить одним штрафом малые и средние предприятия, которые в большинстве своем не обрабатывают больших объемов данных, а дать крупным компаниям четкий посыл, что нарушение неотвратимо приведет к серьезным последствиям для бизнеса. Поэтому бизнес-процессы надо изначально выстраивать и модернизировать с учетом рисков ИБ.

Алена Игнатьева, руководитель консалтинга и аудита информационной безопасности STEP LOGIC:
«Текущий подход, в котором ответственность за утечку лежит на операторе, мне кажется более правильным. К тому же есть действующие механизмы по взысканию ущерба в рамках регресса. Сейчас оператор не только несет ответственность, но и определяет цели обработки и условия защиты обрабатываемых персональных данных. И в его интересах описать соответствующие требования в договорах с поставщиками услуг, обеспечить контроль их соблюдения».