16.01.2018

Компании обяжут получать финансовые гарантии от утечки персональных данных

Интернет-портал Сейчас.ру, январь, 2018<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Как Вы оцениваете идею по введению обязательному страхованию рисков утечки персональных данных?

Во-первых, сама постановка задачи требует уточнения. В плане мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" сказано: "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность (в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищённости ПДн (для высококритичных классов информационных систем)". В качестве финансовой гарантии могут быть использованы: собственные средства, банковская гарантия, полис страхования. Предложения позволят издать НПА, закрепляющие ответственность оператора персональных данных. Нормативное закрепление ответственности обеспечит гарантию компенсации субъектам персональных данных в случае инцидентов. Также это повысит степень ответственности операторов персональных данных, а также стимулирует приобретение полисов страхования киберрисков. Работа поручается Минкомсвязи, Роскомнадзору и Министерству финансов, начиная с марта 2018 года.

В постановке "проработать вопрос" задача имеет совсем другое звучание. Вопрос будет проработан. Другое дело, будут ли приняты соответствующие решения? Вот в этом можно сильно сомневаться. Готовы ли страховые компании оценивать риски и страховать возможные утечки персональных данных (ПДн) граждан? Отвечаю заранее: не готовы. У нас нет развитых методик менеджмента рисков для операторов ПДн различного подчинения. Страховые компании не смогут в короткие сроки разработать такие методики с учётом российской специфики. Если, как обычно, оценки рисков будут весьма приблизительные и страховые взносы слишком высокие, то встанет другой вопрос: "Готовы ли в свою очередь операторы ПДн платить (заранее понятно) немалые средства страховым компаниям?" Ответ будет также отрицательный.