Comply. | Комплаенс-бутик

Как институт уполномоченных операторов ПД (не)поможет бизнесу

Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.

Комментарии от управляющего партнера Comply Артема Дмитриева:

🔵Эффективность будет во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет. Например, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации. Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт что повысится. Увы.

🔵И наоборот, если передача ПД будет добровольной, то и инициатива возможно окажется полезной для рынка. Так, например, бизнес, который не планирует инвестировать в ИБ, не планирует монополизировать данные, сможет передать данные «уполномоченному» оператору с тем, чтобы сократить риски из утечек ПД именно из своей инфраструктуры.

🔵Судя по всему, ПД в любом случае будут первоначально оседать на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». А далее осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача. Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с «внешними» источниками по запросу. Еще сложнее это делать в real-time. Это все временные и денежные затраты.

🔵Неясен механизм передачи ПД от «неуполномоченных» операторов «уполномоченным»: насколько он будет безопасен, бюрократичен, быстр, как и чем будет регулироваться, как распределяются риски в момент передачи, как и кто доказывает источник утечки ПД и другие вопросы. Пока что вопросов больше, чем ответов. А как показывает практика, когда так происходит, то «в конце дня» это вряд ли приносит рынку пользу.

🔵Да, передача хранения ПД в руки уполномоченных операторов могла бы снять с бизнеса ответственность за защиту ПД и тем самым снизить риски. А могла бы и ограничить абсолютное большинство компаний в имеющихся у них сейчас правах без явной пользы кому-либо. Но все будет зависеть от названных выше нюансов этой регуляторной инновации.

Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/sg/comply_ru.com/365

894 viewsAug 7, 2024 at 15:21

Как институт уполномоченных операторов ПД (не)поможет бизнесу

Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать такой институт для того, чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако инициатива требует тщательной проработки, чтобы, наоборот, не привести к лишь только одним дополнительным издержкам и обременениям.

Комментарии от управляющего партнера Comply Артема Дмитриева:

🔵Эффективность будет во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет. Например, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации. Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт что повысится. Увы.

🔵И наоборот, если передача ПД будет добровольной, то и инициатива возможно окажется полезной для рынка. Так, например, бизнес, который не планирует инвестировать в ИБ, не планирует монополизировать данные, сможет передать данные «уполномоченному» оператору с тем, чтобы сократить риски из утечек ПД именно из своей инфраструктуры.

🔵Судя по всему, ПД в любом случае будут первоначально оседать на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». А далее осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача. Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с «внешними» источниками по запросу. Еще сложнее это делать в real-time. Это все временные и денежные затраты.

🔵Неясен механизм передачи ПД от «неуполномоченных» операторов «уполномоченным»: насколько он будет безопасен, бюрократичен, быстр, как и чем будет регулироваться, как распределяются риски в момент передачи, как и кто доказывает источник утечки ПД и другие вопросы. Пока что вопросов больше, чем ответов. А как показывает практика, когда так происходит, то «в конце дня» это вряд ли приносит рынку пользу.

🔵Да, передача хранения ПД в руки уполномоченных операторов могла бы снять с бизнеса ответственность за защиту ПД и тем самым снизить риски. А могла бы и ограничить абсолютное большинство компаний в имеющихся у них сейчас правах без явной пользы кому-либо. Но все будет зависеть от названных выше нюансов этой регуляторной инновации.

Подробнее о том, как нововведение отразится на компаниях, читайте в материале RSpectr.