Компании обяжут получать финансовые гарантии от утечки персональных данных
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Как Вы оцениваете идею по введению обязательному страхованию рисков утечки персональных данных?
Во-первых, сама постановка задачи требует уточнения. В плане мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" сказано: "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность (в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищённости ПДн (для высококритичных классов информационных систем)". В качестве финансовой гарантии могут быть использованы: собственные средства, банковская гарантия, полис страхования. Предложения позволят издать НПА, закрепляющие ответственность оператора персональных данных. Нормативное закрепление ответственности обеспечит гарантию компенсации субъектам персональных данных в случае инцидентов. Также это повысит степень ответственности операторов персональных данных, а также стимулирует приобретение полисов страхования киберрисков. Работа поручается Минкомсвязи, Роскомнадзору и Министерству финансов, начиная с марта 2018 года.
В постановке "проработать вопрос" задача имеет совсем другое звучание. Вопрос будет проработан. Другое дело, будут ли приняты соответствующие решения? Вот в этом можно сильно сомневаться. Готовы ли страховые компании оценивать риски и страховать возможные утечки персональных данных (ПДн) граждан? Отвечаю заранее: не готовы. У нас нет развитых методик менеджмента рисков для операторов ПДн различного подчинения. Страховые компании не смогут в короткие сроки разработать такие методики с учётом российской специфики. Если, как обычно, оценки рисков будут весьма приблизительные и страховые взносы слишком высокие, то встанет другой вопрос: "Готовы ли в свою очередь операторы ПДн платить (заранее понятно) немалые средства страховым компаниям?" Ответ будет также отрицательный.