- 19,455
- 40
- 8 Ноя 2022
Кто получит право легально работать с утечками?
Бизнес вместе с регулятором обсуждает возможность выведения из-под уголовной ответственности, которая сейчас грозит за незаконные использование и передачу персональных данных, расследование утечек последних. Об этом Для просмотра ссылки Войдиили Зарегистрируйся директор по стратегическим проектам АБД Ирина Левова на конференции Data Fusion. По её словам, как компании, непосредственно работающие в сфере кибербезопасности, так и бизнес «со зрелым уровнем ИБ», для которого эта деятельность не является профильной. Инициатива обсуждается на площадке Минцифры и, как уточняют в АБД, проект поправок пока не финален и будет доработан.
Закон, устанавливающий уголовную ответственность за незаконное использование, передачу, сбор или хранение персональных данных, был принят в ноябре 2024 года и вступил в силу в декабре. Согласно действующей редакции, за утечку предусмотрены штрафы, принудительные работы сроком до четырёх лет либо лишение свободы на тот же срок. В случае трансграничной утечки с тяжкими последствиями наказание может достигать 10 лет лишения свободы.
Согласно проекту изменений, действие этих норм не будет распространяться на компании и организации, проводящие исследования утечек на предмет компрометации персональных данных своих клиентов. Также предполагается, что уголовная ответственность не будет также грозить крупным участникам рынка кибербезопасности, ведущим такие исследования и имеющим лицензию на «техническую защиту конфиденциальной информации». В качестве критериев рассматриваются капитал в размере не менее 1 млрд рублей либо не менее 100 млн рублей при условии, что более 50% доходов поступает от деятельности в области защиты информации.
В Минцифры подтвердили Forbes, что предложения АБД в настоящее время прорабатываются совместно с заинтересованными ведомствами и отраслью.
В Ассоциации больших данных (АБД) считают ужесточение ответственности за утечки персональных данных «вполне логичной мерой». Однако, по мнению ассоциации, необходимо чётко определить законные случаи работы с подобной информацией, чтобы исключить неоднозначное толкование в рамках правоприменительной практики.
К числу ситуаций, которые оказались в «серой зоне», в АБД относят: расследования инцидентов ИБ-подразделениями, установление факта принадлежности утечки конкретной компании, действия по защите клиентов, чьи данные скомпрометированы, уведомление Роскомнадзора при подтверждённой утечке, а также проведение Для просмотра ссылки Войдиили Зарегистрируйся . Сейчас, как пояснили в ассоциации, обсуждается модель, при которой такую деятельность смогут вести либо компании с «зрелой» системой информационной безопасности, либо профессиональные участники рынка ИБ. У регулятора должно быть понимание, кто именно имеет на это право, и такие компании должны соответствовать установленным требованиям.
По словам одного из собеседников Forbes, существующие противоречия «ставят под угрозу ИБ-специалистов», поскольку их повседневная работа фактически приравнивается к уголовно наказуемой деятельности.
По словам другого источника издания, сейчас работа с утечками ведётся «на свой страх и риск», в том числе мониторинг даркнета на предмет появления скомпрометированных данных клиентов. Эксперт полагает, что установление минимального порога капитала необходимо для отсечения «серого» сегмента рынка, но призывает доработать критерии допуска к такой деятельности.
Инициатива, по мнению экспертов, может создать более прозрачные и безопасные условия для расследований инцидентов, связанных с утечками персональных данных. Сейчас даже ознакомление с файлами, содержащими скомпрометированные данные, без официального поручения может повлечь уголовную ответственность. Юристы подчёркивают, что любое взаимодействие с такими данными в рамках действующего законодательства запрещено.
В то же время специалисты предупреждают о возможных негативных последствиях. Поправки могут укрепить позиции крупных игроков на рынке и снизить конкуренцию: малые компании будут вынуждены передавать контракты более крупным, а сами — работать на подряде. Это, в свою очередь, может затруднить коммуникацию между участниками и привести к удорожанию услуг. Отмечается также, что предложенные изменения в большей степени учитывают интересы лидеров ИБ-рынка, пострадавших от ужесточения законодательства в конце 2024 года.
Бизнес вместе с регулятором обсуждает возможность выведения из-под уголовной ответственности, которая сейчас грозит за незаконные использование и передачу персональных данных, расследование утечек последних. Об этом Для просмотра ссылки Войди
Закон, устанавливающий уголовную ответственность за незаконное использование, передачу, сбор или хранение персональных данных, был принят в ноябре 2024 года и вступил в силу в декабре. Согласно действующей редакции, за утечку предусмотрены штрафы, принудительные работы сроком до четырёх лет либо лишение свободы на тот же срок. В случае трансграничной утечки с тяжкими последствиями наказание может достигать 10 лет лишения свободы.
Согласно проекту изменений, действие этих норм не будет распространяться на компании и организации, проводящие исследования утечек на предмет компрометации персональных данных своих клиентов. Также предполагается, что уголовная ответственность не будет также грозить крупным участникам рынка кибербезопасности, ведущим такие исследования и имеющим лицензию на «техническую защиту конфиденциальной информации». В качестве критериев рассматриваются капитал в размере не менее 1 млрд рублей либо не менее 100 млн рублей при условии, что более 50% доходов поступает от деятельности в области защиты информации.
В Минцифры подтвердили Forbes, что предложения АБД в настоящее время прорабатываются совместно с заинтересованными ведомствами и отраслью.
В Ассоциации больших данных (АБД) считают ужесточение ответственности за утечки персональных данных «вполне логичной мерой». Однако, по мнению ассоциации, необходимо чётко определить законные случаи работы с подобной информацией, чтобы исключить неоднозначное толкование в рамках правоприменительной практики.
К числу ситуаций, которые оказались в «серой зоне», в АБД относят: расследования инцидентов ИБ-подразделениями, установление факта принадлежности утечки конкретной компании, действия по защите клиентов, чьи данные скомпрометированы, уведомление Роскомнадзора при подтверждённой утечке, а также проведение Для просмотра ссылки Войди
По словам одного из собеседников Forbes, существующие противоречия «ставят под угрозу ИБ-специалистов», поскольку их повседневная работа фактически приравнивается к уголовно наказуемой деятельности.
По словам другого источника издания, сейчас работа с утечками ведётся «на свой страх и риск», в том числе мониторинг даркнета на предмет появления скомпрометированных данных клиентов. Эксперт полагает, что установление минимального порога капитала необходимо для отсечения «серого» сегмента рынка, но призывает доработать критерии допуска к такой деятельности.
Инициатива, по мнению экспертов, может создать более прозрачные и безопасные условия для расследований инцидентов, связанных с утечками персональных данных. Сейчас даже ознакомление с файлами, содержащими скомпрометированные данные, без официального поручения может повлечь уголовную ответственность. Юристы подчёркивают, что любое взаимодействие с такими данными в рамках действующего законодательства запрещено.
В то же время специалисты предупреждают о возможных негативных последствиях. Поправки могут укрепить позиции крупных игроков на рынке и снизить конкуренцию: малые компании будут вынуждены передавать контракты более крупным, а сами — работать на подряде. Это, в свою очередь, может затруднить коммуникацию между участниками и привести к удорожанию услуг. Отмечается также, что предложенные изменения в большей степени учитывают интересы лидеров ИБ-рынка, пострадавших от ужесточения законодательства в конце 2024 года.
- Источник новости
- www.securitylab.ru
