Аналитика и комментарии
07 марта 2024
«Дисквалификация на 10 лет? Позвольте…»: какими должны быть степень ответственности руководителя по ИБ в банке и наказание за утечки
Топ-менеджеров банков, ответственных за информационную безопасность, предложили дисквалифицировать за утечки информации сразу на 10 лет. Законопроект разработали при участии ЦБ РФ, теперь его должны согласовать в различных ведомствах. NBJ предложил экспертам рынка ответить на два вопроса. Первый – насколько адекватным является такое наказание, и как в данном случае банки будут выходить из ситуации. Второй – какие меры могли бы помочь, если говорить про решение вопроса ИБ на уровне топ-менеджмента.
Ведущий консультант по информационной безопасности AKTIV.CONSULTING Александр МОИСЕЕВ:
Подобное наказание может быть вполне адекватным, но только при соблюдении справедливых критериев и при определённых условиях.
Во-первых, должно быть доказано, что утечка действительно имела место быть в реальности: все мы помним, что некоторые утечки являются «фейковыми». К примеру, когда злоумышленники под видом новой базы данных пытаются перепродать старую, или когда под видом «слитой» базы данных пытаются продать базу данных, собранную из различных открытых источников, или же, наконец, это может быть просто вброс с целью очернить репутацию компании и должностных лиц в ней.
Во-вторых, должно быть доказано, что утечка произошла из-за халатности, попустительства или из-за отсутствия контроля топ-менеджера, ответственного за ИБ. Какую бы систему ИБ компания ни выстраивала, нет гарантий 100 защиты в силу ряда специфических особенностей, связанных как с ИТ-технологиями, так и с организацией операционной деятельности.
Первая особенность (если говорить о «внешнем» нарушителе) связана с тем фактором, что всегда может быть найдена новая уязвимость, т.н. «уязвимость нулевого дня», с помощью которой можно будет обойти механизмы защиты и скомпрометировать сеть или информационную систему финансовой организации. Тут уже нужно разбираться, как выстроены процессы управления уязвимостями в организации, как выстроены процессы мониторинга, с какой периодичностью, как они контролируются и т.д. Если эти процессы не дотягивают до некого минимально требуемого уровня, к примеру по ГОСТ Р 57580.1, то тогда за это можно справедливо наказывать. Если же утечка произошла в силу иных факторов, то это повод взвесить все «за» и «против» столь серьёзного наказания, ведь опытные кадры со знанием отраслевой специфики на рынке труда и так в дефиците.
Вторая особенность (если говорить о «внутреннем» нарушителе) обусловлена тем, что сотрудник, имеющий доступ к конфиденциальной информации финансовой организации, может её разгласить со злым умыслом (инсайдер) или без такового (поддавшись на уловки социальной инженерии). Конечно, сегодня существует немало систем, способных предотвратить такую угрозу, к примеру, система предотвращения утечек (DLP), поведенческого анализа (UBA) и совсем продвинутые системы машинного зрения и машинного обучения, которые способны невидимым человеческому глазу образом маркировать информацию, выводимую на экран монитора или печать на принтере, или фиксировать попытку фотографирования монитора со смартфона. Однако сотрудник всегда может запомнить и воспроизвести какие-либо данные за пределами контура безопасности финансовой организации. И сколько инструктажей, тренингов, киберучений ни проводи, сколько соглашений о конфиденциальности ни подписывай, умышленные действия сотрудника это остановить не сможет, даже несмотря на ответственность и грозящее наказание.
Кроме того, должно быть доказано, что финансирование внедрения подсистемы ИБ организации велось в должном объёме и в соответствии с план-графиком. К сожалению, очень часто случается ситуация, когда ИБ финансируется не в полном объёме, несвоевременно и по остаточному принципу. И это несмотря на то, что в финансовой отрасли традиционно культура ИБ более развита, чем в других отраслях. Поэтому стоит ли наказывать руководителя, которому не выделили должных ресурсов, – большой вопрос.
Могу предположить ряд сценариев, которые могут быть реализованы для решения проблемы ИБ в банках.
Например, реальное усиление ИБ, т.е. создание условий, минимизирующих утечки информации (сценарий маловероятен, однако именно на него нацелены регуляторные изменения).
Более вероятный сценарий в реалиях отечественного бизнеса – разделение полномочий между условным «номиналом», сотрудником, на которого формально возложили обязанности «топ-менеджера по ИБ», и «реальным» ответственным за ИБ в компании. Таким образом можно менять «номиналов», выводя из-под удара опытные кадры.
Считаю, что существует ряд мер, которые могли бы помочь решению вопроса ИБ на уровне топ-менеджмента.
Во-первых, это разработка справедливых критериев, по которым можно однозначно судить, что виновато в утечке определённое должностное лицо.
Во-вторых, это выстраивание процессов ИБ не ниже того минимального уровня, который требует регуляторика ЦБ. Речь об упомянутом стандарте ГОСТ Р 57580.1, грядущем ГОСТ Р 57580.4 и ряде Положений и Указаний Банка России, а также их независимой оценке и надзоре регулятора.
В-третьих, это стабильное финансирование ИБ в требуемом объёме и даже более (с учётом проактивной позиции).
Генеральный директор компании IW GROUP Александр ШИБАЕВ:
С одной стороны, подобное предложение адекватно: руководители финансовых организаций должны нести ответственность за утечку персональных данных своих клиентов. С другой стороны, самая частая причина подобных утечек – внутренний инсайд, за который топ-менеджеры банков будут не в состоянии отвечать, если кто-то из их сотрудников решит намеренно слить базу данных.
Что можно предпринять? Кажется логичным самим банкам использовать возможности белых хакеров, которые правильными методами в даркнете могут делать контрольные закупки баз данных и выходить на поставщиков. Это большая кропотливая и недешёвая работа, но банки могут её организовать.
Вторая причина утечек персональных данных – это дыры в ИБ-системах, установленных в банках. Через них в том числе утекают биометрические данные клиентов, когда организации обмениваются ими друг с другом. Вот здесь как раз более жёсткие меры со стороны государства не будут лишними. Можно, например, ввести более высокие административные штрафы, чтобы обратить внимание банков на усиление мер по ИТ-защите подобной информации.
Справедливости ради, необходимо отметить, что утечка информации – это не только проблема банков, но и многих других организаций (такси, парковки, ГИБДД, службы доставки, медицинские учреждения, телекомоператоры и др.). Поэтому вводимые меры со стороны государства должны касаться абсолютно всех организаций, в том числе государственных сервисов типа «Госуслуг».
Заместитель директора Аналитического центра Уральского центра систем безопасности Евгений БАКЛУШИН:
Конечно, в текущей версии законопроект не выглядит вполне адекватным. Первые вопросы – по каким критериям будут определять виновного в утечке, и кто будет определять виновного? Слишком много сценариев и вводных нужно проработать. Топ-менеджер не может уследить за всеми сотрудниками, не может знать о всех уязвимостях в средствах защиты и программном обеспечении. Как быть с развитием событий, когда утечки ПДн станут инструментом конкурентной борьбы, чтобы убрать нежеланного менеджера с его позиции?
Ещё один момент – это необходимость кадрового ресурса. Сейчас и так наблюдается недостаток опытных специалистов по информационной безопасности, особенно с сильными менеджерскими навыками. После появления риска получить «дисквалификацию» на 10 лет и загубить всю свою карьеру и жизнь, кто пойдет работать на эти должности? Боюсь, что ни у кого такие карьерные перспективы не вызовут радости. Риск «дисквалификации» не решит проблем должной ответственности по вопросам информационной безопасности со стороны топ-менеджмента компаний, а скорее оттолкнёт, спровоцирует волну попыток избежать ответственности.
Меры по взыванию к ответственности должны разрабатываться не только на уровне менеджеров по информационной безопасности, они и так понимают необходимость защиты информации и т.п. Нужно включение всего бизнеса в проблематику, чтобы все воспринимали риски и угрозы информационной безопасности как операционные. Должны понимать, что инфобез сегодня влияет на устойчивое развитие и существование бизнеса, точно так же, как финансы и инвестиции. Справедливо и обратное, топ-менеджеры по информационной безопасности должны сильнее погружаться в проблематику бизнес-целей своей организации.
Законопроект нужно дорабатывать. Вводить понятные критерии оценки, стандартизировать процесс расследования утечек ПДн, ввести инструмент объективности и независимости. И, конечно, никаких 10 лет «дисквалификации» там не должно быть.
Генеральный директор «Сайтсофт» Николай КОЛОГОЙДА:
Законопроект в настоящее время находится в стадии межведомственного согласования, а не общественных обсуждений. Таким образом, комментировать его положения не представляется возможным.
Но основываясь на информации из статьи «Известий» от 22 января 2024 г. – лишение права занимать должность на 10 лет является очень суровым наказанием. Исходя из сроков, указанных в КоАП по дисквалификации – до 3-х лет, УК РФ – до 5 лет и 3 лет (в зависимости от наказания, исключая Особую часть кодекса). Это может привести к недостатку кадрового состава с требуемой квалификацией, в задачи которых входит выработка стратегии безопасности и приоритетности реализации мероприятий по борьбе с нарушениями. А также организация процессов по поддержанию информационной безопасности на должном уровне, умение понимать и интерпретировать организационные процессы и бизнес-процессы организации (вне зависимости от сферы деятельности) в область безопасности и наоборот.
Всё это может привести к тому, что потребность в кадрах на высокую должность по информационной безопасности увеличится в разы, а найти на неё человека будет крайне затруднительно. Возможен и второй сценарий: специалист, пришедший на данную должность, будет максимально ограждаться от любой ответственности и перекладывать её, максимально удаляясь от непосредственных обязанностей.
Отдельно следует отметить вопрос ответственности. Например, исходя из законодательства, должна быть доказана персональная вина, чтобы к человеку можно было применить санкции. А осуществить «утечку» данных или поспособствовать ей может не только топ-менеджер. Тут можно перечислять уйму нарушителей, которые могут осуществить злонамеренные действия.
Топ-менеджер явно не занимается непосредственным мониторингом событий безопасности или не осуществляет контроль утечек информации. Несмотря на то, что в его обязанности входит контроль защищённости, на его плечи ложится, в первую очередь, вопрос организации процесса контроля и соблюдения этого процесса контроля, но никак не управление средствами защиты.
Защитит ли дисквалификация работника от «утечек» – вопрос, скорее, риторический. Но отсутствие специалиста, способного организовать процесс безопасной обработки данных, явно не будет способствовать повышению уровня безопасности. К тому же, если поставить нового человека на данную должность, ему потребуется ещё время, чтобы разобраться во всех нюансах конкретной системы. Тем более при необходимости выявить или закрыть «дыры» для злоумышленников как внутри периметра, так и снаружи. Или как тогда дисквалификация специалиста будет происходить после устранения «дыр» в безопасности при участии этого специалиста? Остаётся загадкой.
Руководитель направления безопасности финансовых организаций Infosecurity a Softline Company Юлия ЗАДУБРОВСКАЯ:
К топ-менеджерам, ответственным за информационную безопасность, предъявляются жёсткие требования к образованию, знаниям и навыкам.
Такие люди должны иметь высшее образование по направлению обеспечения информационной безопасности либо соответствующую профессиональную переподготовку, разбираться в особенностях основных процессов компании и процессов защиты информации, разбираться в информационных технологиях, понимать угрозы информационной безопасности и методы защиты от них, разбираться в нормативных документах регуляторов, планировать стратегию защиты информации в компании и контролировать её реализацию.
Кроме того, топ-менеджеры банков дополнительно должны соответствовать требованиям Центрального Банка к руководящему составу, так как именно он согласовывает такие назначения.
Сочетание всех этих требований сильно ограничивает круг лиц, которые могут занимать такие должности, именно поэтому введение такого наказания может вызвать ещё больший дефицит кадров на рынке труда.
Адвокат, управляющий партнёр Адвокатского бюро г. Москвы «Матюнины и Партнёры», председатель комиссии Гильдии российских адвокатов по защите и безопасности бизнеса Олег МАТЮНИН:
В открытом доступе проекта нет, он пока не внесён в Государственную Думу. Судя по сообщениям СМИ, журналисты либо не знают, какие конкретно законы планируется изменить и дополнить, либо не считают нужным сейчас об этом сообщать. Дело в том, что дисквалификация является административным наказанием, которое устанавливается на срок от шести месяцев до трёх лет. А вот лишение права занимать определённые должности или заниматься определённой деятельностью уже является уголовным наказанием, сроки которого устанавливаются в разных случаях разные: до трёх, до пяти и до двадцати лет.
Поэтому для адекватного комментария надо иметь в общем доступе текст проекта. Понимаете, то, о чем пишут СМИ – это либо административное наказание, либо уголовное. И то, и другое назначается к тем, в чьих действиях доказана вина. Всегда может произойти нечто исключающее виновность заместителя руководителя банка по информационной безопасности. Привлечение к административной и уголовной ответственности не сводится к сопоставлению события и того, в чьей зоне ответственности оно находилось. Этого мало. Надо важные моменты выяснить и свести воедино, и только потом с учётом собранных доказательств принимать решение.
Информационная безопасность – результат работы разнонаправленных специалистов, и эта коллективная работа напоминает бесконечное строительство и перестраивание крепости. Причём там каждый участок создаётся узкими специалистами, плюс зависимость от программного обеспечения и «железа». И прежде, чем наказывать, надо устанавливать причину с конкретным именем, фамилией и отчеством.
Важно также выяснить, идёт ли речь о запрете одной конкретной должности, либо работы в банковской сфере вообще, либо работы в сфере информационной безопасности. В первом случае человека как ценного сотрудника можно сохранить на другой должности в том же или другом банке и некредитной финансовой организации. Во втором случае человек может сменить банковскую или финансовую сферу на другую – торговлю, ИT, промышленную, туристическую, развлекательную и т.д. В третьем случае тоже есть свои проблемы, связанные с поиском новой работы, но и они решаемы.
Ничего более конкретного, не видя текста законопроекта, сказать нельзя.
Подготовила Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (январь-февраль 2024)
Ведущий консультант по информационной безопасности AKTIV.CONSULTING Александр МОИСЕЕВ:
Подобное наказание может быть вполне адекватным, но только при соблюдении справедливых критериев и при определённых условиях.
Во-первых, должно быть доказано, что утечка действительно имела место быть в реальности: все мы помним, что некоторые утечки являются «фейковыми». К примеру, когда злоумышленники под видом новой базы данных пытаются перепродать старую, или когда под видом «слитой» базы данных пытаются продать базу данных, собранную из различных открытых источников, или же, наконец, это может быть просто вброс с целью очернить репутацию компании и должностных лиц в ней.
Во-вторых, должно быть доказано, что утечка произошла из-за халатности, попустительства или из-за отсутствия контроля топ-менеджера, ответственного за ИБ. Какую бы систему ИБ компания ни выстраивала, нет гарантий 100 защиты в силу ряда специфических особенностей, связанных как с ИТ-технологиями, так и с организацией операционной деятельности.
Первая особенность (если говорить о «внешнем» нарушителе) связана с тем фактором, что всегда может быть найдена новая уязвимость, т.н. «уязвимость нулевого дня», с помощью которой можно будет обойти механизмы защиты и скомпрометировать сеть или информационную систему финансовой организации. Тут уже нужно разбираться, как выстроены процессы управления уязвимостями в организации, как выстроены процессы мониторинга, с какой периодичностью, как они контролируются и т.д. Если эти процессы не дотягивают до некого минимально требуемого уровня, к примеру по ГОСТ Р 57580.1, то тогда за это можно справедливо наказывать. Если же утечка произошла в силу иных факторов, то это повод взвесить все «за» и «против» столь серьёзного наказания, ведь опытные кадры со знанием отраслевой специфики на рынке труда и так в дефиците.
Вторая особенность (если говорить о «внутреннем» нарушителе) обусловлена тем, что сотрудник, имеющий доступ к конфиденциальной информации финансовой организации, может её разгласить со злым умыслом (инсайдер) или без такового (поддавшись на уловки социальной инженерии). Конечно, сегодня существует немало систем, способных предотвратить такую угрозу, к примеру, система предотвращения утечек (DLP), поведенческого анализа (UBA) и совсем продвинутые системы машинного зрения и машинного обучения, которые способны невидимым человеческому глазу образом маркировать информацию, выводимую на экран монитора или печать на принтере, или фиксировать попытку фотографирования монитора со смартфона. Однако сотрудник всегда может запомнить и воспроизвести какие-либо данные за пределами контура безопасности финансовой организации. И сколько инструктажей, тренингов, киберучений ни проводи, сколько соглашений о конфиденциальности ни подписывай, умышленные действия сотрудника это остановить не сможет, даже несмотря на ответственность и грозящее наказание.
Кроме того, должно быть доказано, что финансирование внедрения подсистемы ИБ организации велось в должном объёме и в соответствии с план-графиком. К сожалению, очень часто случается ситуация, когда ИБ финансируется не в полном объёме, несвоевременно и по остаточному принципу. И это несмотря на то, что в финансовой отрасли традиционно культура ИБ более развита, чем в других отраслях. Поэтому стоит ли наказывать руководителя, которому не выделили должных ресурсов, – большой вопрос.
Могу предположить ряд сценариев, которые могут быть реализованы для решения проблемы ИБ в банках.
Например, реальное усиление ИБ, т.е. создание условий, минимизирующих утечки информации (сценарий маловероятен, однако именно на него нацелены регуляторные изменения).
Более вероятный сценарий в реалиях отечественного бизнеса – разделение полномочий между условным «номиналом», сотрудником, на которого формально возложили обязанности «топ-менеджера по ИБ», и «реальным» ответственным за ИБ в компании. Таким образом можно менять «номиналов», выводя из-под удара опытные кадры.
Считаю, что существует ряд мер, которые могли бы помочь решению вопроса ИБ на уровне топ-менеджмента.
Во-первых, это разработка справедливых критериев, по которым можно однозначно судить, что виновато в утечке определённое должностное лицо.
Во-вторых, это выстраивание процессов ИБ не ниже того минимального уровня, который требует регуляторика ЦБ. Речь об упомянутом стандарте ГОСТ Р 57580.1, грядущем ГОСТ Р 57580.4 и ряде Положений и Указаний Банка России, а также их независимой оценке и надзоре регулятора.
В-третьих, это стабильное финансирование ИБ в требуемом объёме и даже более (с учётом проактивной позиции).
Генеральный директор компании IW GROUP Александр ШИБАЕВ:
С одной стороны, подобное предложение адекватно: руководители финансовых организаций должны нести ответственность за утечку персональных данных своих клиентов. С другой стороны, самая частая причина подобных утечек – внутренний инсайд, за который топ-менеджеры банков будут не в состоянии отвечать, если кто-то из их сотрудников решит намеренно слить базу данных.
Что можно предпринять? Кажется логичным самим банкам использовать возможности белых хакеров, которые правильными методами в даркнете могут делать контрольные закупки баз данных и выходить на поставщиков. Это большая кропотливая и недешёвая работа, но банки могут её организовать.
Вторая причина утечек персональных данных – это дыры в ИБ-системах, установленных в банках. Через них в том числе утекают биометрические данные клиентов, когда организации обмениваются ими друг с другом. Вот здесь как раз более жёсткие меры со стороны государства не будут лишними. Можно, например, ввести более высокие административные штрафы, чтобы обратить внимание банков на усиление мер по ИТ-защите подобной информации.
Справедливости ради, необходимо отметить, что утечка информации – это не только проблема банков, но и многих других организаций (такси, парковки, ГИБДД, службы доставки, медицинские учреждения, телекомоператоры и др.). Поэтому вводимые меры со стороны государства должны касаться абсолютно всех организаций, в том числе государственных сервисов типа «Госуслуг».
Заместитель директора Аналитического центра Уральского центра систем безопасности Евгений БАКЛУШИН:
Конечно, в текущей версии законопроект не выглядит вполне адекватным. Первые вопросы – по каким критериям будут определять виновного в утечке, и кто будет определять виновного? Слишком много сценариев и вводных нужно проработать. Топ-менеджер не может уследить за всеми сотрудниками, не может знать о всех уязвимостях в средствах защиты и программном обеспечении. Как быть с развитием событий, когда утечки ПДн станут инструментом конкурентной борьбы, чтобы убрать нежеланного менеджера с его позиции?
Ещё один момент – это необходимость кадрового ресурса. Сейчас и так наблюдается недостаток опытных специалистов по информационной безопасности, особенно с сильными менеджерскими навыками. После появления риска получить «дисквалификацию» на 10 лет и загубить всю свою карьеру и жизнь, кто пойдет работать на эти должности? Боюсь, что ни у кого такие карьерные перспективы не вызовут радости. Риск «дисквалификации» не решит проблем должной ответственности по вопросам информационной безопасности со стороны топ-менеджмента компаний, а скорее оттолкнёт, спровоцирует волну попыток избежать ответственности.
Меры по взыванию к ответственности должны разрабатываться не только на уровне менеджеров по информационной безопасности, они и так понимают необходимость защиты информации и т.п. Нужно включение всего бизнеса в проблематику, чтобы все воспринимали риски и угрозы информационной безопасности как операционные. Должны понимать, что инфобез сегодня влияет на устойчивое развитие и существование бизнеса, точно так же, как финансы и инвестиции. Справедливо и обратное, топ-менеджеры по информационной безопасности должны сильнее погружаться в проблематику бизнес-целей своей организации.
Законопроект нужно дорабатывать. Вводить понятные критерии оценки, стандартизировать процесс расследования утечек ПДн, ввести инструмент объективности и независимости. И, конечно, никаких 10 лет «дисквалификации» там не должно быть.
Генеральный директор «Сайтсофт» Николай КОЛОГОЙДА:
Законопроект в настоящее время находится в стадии межведомственного согласования, а не общественных обсуждений. Таким образом, комментировать его положения не представляется возможным.
Но основываясь на информации из статьи «Известий» от 22 января 2024 г. – лишение права занимать должность на 10 лет является очень суровым наказанием. Исходя из сроков, указанных в КоАП по дисквалификации – до 3-х лет, УК РФ – до 5 лет и 3 лет (в зависимости от наказания, исключая Особую часть кодекса). Это может привести к недостатку кадрового состава с требуемой квалификацией, в задачи которых входит выработка стратегии безопасности и приоритетности реализации мероприятий по борьбе с нарушениями. А также организация процессов по поддержанию информационной безопасности на должном уровне, умение понимать и интерпретировать организационные процессы и бизнес-процессы организации (вне зависимости от сферы деятельности) в область безопасности и наоборот.
Всё это может привести к тому, что потребность в кадрах на высокую должность по информационной безопасности увеличится в разы, а найти на неё человека будет крайне затруднительно. Возможен и второй сценарий: специалист, пришедший на данную должность, будет максимально ограждаться от любой ответственности и перекладывать её, максимально удаляясь от непосредственных обязанностей.
Отдельно следует отметить вопрос ответственности. Например, исходя из законодательства, должна быть доказана персональная вина, чтобы к человеку можно было применить санкции. А осуществить «утечку» данных или поспособствовать ей может не только топ-менеджер. Тут можно перечислять уйму нарушителей, которые могут осуществить злонамеренные действия.
Топ-менеджер явно не занимается непосредственным мониторингом событий безопасности или не осуществляет контроль утечек информации. Несмотря на то, что в его обязанности входит контроль защищённости, на его плечи ложится, в первую очередь, вопрос организации процесса контроля и соблюдения этого процесса контроля, но никак не управление средствами защиты.
Защитит ли дисквалификация работника от «утечек» – вопрос, скорее, риторический. Но отсутствие специалиста, способного организовать процесс безопасной обработки данных, явно не будет способствовать повышению уровня безопасности. К тому же, если поставить нового человека на данную должность, ему потребуется ещё время, чтобы разобраться во всех нюансах конкретной системы. Тем более при необходимости выявить или закрыть «дыры» для злоумышленников как внутри периметра, так и снаружи. Или как тогда дисквалификация специалиста будет происходить после устранения «дыр» в безопасности при участии этого специалиста? Остаётся загадкой.
Руководитель направления безопасности финансовых организаций Infosecurity a Softline Company Юлия ЗАДУБРОВСКАЯ:
К топ-менеджерам, ответственным за информационную безопасность, предъявляются жёсткие требования к образованию, знаниям и навыкам.
Такие люди должны иметь высшее образование по направлению обеспечения информационной безопасности либо соответствующую профессиональную переподготовку, разбираться в особенностях основных процессов компании и процессов защиты информации, разбираться в информационных технологиях, понимать угрозы информационной безопасности и методы защиты от них, разбираться в нормативных документах регуляторов, планировать стратегию защиты информации в компании и контролировать её реализацию.
Кроме того, топ-менеджеры банков дополнительно должны соответствовать требованиям Центрального Банка к руководящему составу, так как именно он согласовывает такие назначения.
Сочетание всех этих требований сильно ограничивает круг лиц, которые могут занимать такие должности, именно поэтому введение такого наказания может вызвать ещё больший дефицит кадров на рынке труда.
Адвокат, управляющий партнёр Адвокатского бюро г. Москвы «Матюнины и Партнёры», председатель комиссии Гильдии российских адвокатов по защите и безопасности бизнеса Олег МАТЮНИН:
В открытом доступе проекта нет, он пока не внесён в Государственную Думу. Судя по сообщениям СМИ, журналисты либо не знают, какие конкретно законы планируется изменить и дополнить, либо не считают нужным сейчас об этом сообщать. Дело в том, что дисквалификация является административным наказанием, которое устанавливается на срок от шести месяцев до трёх лет. А вот лишение права занимать определённые должности или заниматься определённой деятельностью уже является уголовным наказанием, сроки которого устанавливаются в разных случаях разные: до трёх, до пяти и до двадцати лет.
Поэтому для адекватного комментария надо иметь в общем доступе текст проекта. Понимаете, то, о чем пишут СМИ – это либо административное наказание, либо уголовное. И то, и другое назначается к тем, в чьих действиях доказана вина. Всегда может произойти нечто исключающее виновность заместителя руководителя банка по информационной безопасности. Привлечение к административной и уголовной ответственности не сводится к сопоставлению события и того, в чьей зоне ответственности оно находилось. Этого мало. Надо важные моменты выяснить и свести воедино, и только потом с учётом собранных доказательств принимать решение.
Информационная безопасность – результат работы разнонаправленных специалистов, и эта коллективная работа напоминает бесконечное строительство и перестраивание крепости. Причём там каждый участок создаётся узкими специалистами, плюс зависимость от программного обеспечения и «железа». И прежде, чем наказывать, надо устанавливать причину с конкретным именем, фамилией и отчеством.
Важно также выяснить, идёт ли речь о запрете одной конкретной должности, либо работы в банковской сфере вообще, либо работы в сфере информационной безопасности. В первом случае человека как ценного сотрудника можно сохранить на другой должности в том же или другом банке и некредитной финансовой организации. Во втором случае человек может сменить банковскую или финансовую сферу на другую – торговлю, ИT, промышленную, туристическую, развлекательную и т.д. В третьем случае тоже есть свои проблемы, связанные с поиском новой работы, но и они решаемы.
Ничего более конкретного, не видя текста законопроекта, сказать нельзя.
Подготовила Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (январь-февраль 2024)