Такую оценку привел президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев на пресс-конференции. Вместе с тем, по его словам, согласно экспертным оценкам, сама потребность в такой защите в стране оценивается в несколько раз выше — до 40 млрд р. «В настоящее время годовые сборы на рынке добровольного страхования киберрисков составляют 1 млрд р.», — сказал глава ВСС (пока в основном действующие полисы обеспечивают защиту оборудования и программного обеспечения от ущерба в результате кибератак).
Уфимцев считает правильным подход, выбранный разработчиками законопроекта из Совета Федерации о создании финансовых гарантий для операторов, работающих с персональными данными граждан, и о возмещении ущерба от утечек персональных данных. Речь пока идет только об ответственности перед гражданами за такие утечки, пишет Интерфакс.
«Информация становится стратегическим товаром, эта тенденция будет только усиливаться, — заявил Уфимцев. — Таким образом, подход, избранный законодателями, правильный — клиентоцентричный».
Президент ВСС подчеркнул , что данный законопроект «не предусматривает введения обязательного страхования рисков утечки данных», но требует обязательного «создания финансовых гарантий оператором». «Просто мы считаем, что страховой полис — самый выгодный и удобный для операторов инструмент. Однако еще важно определить ключевые позиции договора, чего пока не сделано», — добавил он.
В числе инструментов для финансовых гарантий, как пояснил на пресс-конференции автор законопроекта, член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин, оператор данных может также «выбрать формирование собственного финансового резервного фонда или использовать банковские гарантии». Предполагается, что создавать финансовые гарантии потребуется как госструктурам, которые работают с персональными данными граждан, так и бизнесу, а значит, потребуется предусмотреть определенные расходы в бюджетах.
Он добавил, что целый ряд обсуждений по законопроекту уже состоялись. В числе замечаний к нему были высказаны следующие пожелания: «Для операторов, которые обрабатывают большое количество персональных данных, необходимо обязать проходить специальную аккредитацию, которая даст им право на такую работу». Кроме того, по его словам, «необходимо развивать институт независимой оценки информационной защищенности объектов, а также предусмотреть в законе орган, осуществляющий контроль, и порядок контроля по наличию такого обеспечения у операторов. Потребуется учесть необходимость выделения дополнительных бюджетных средств в РФ для реализации законопроекта».
По мнению сенатора, «требования к страхованию в рамках обсуждаемого законопроекта можно разработать отдельно во внутреннем стандарте по условиям договора страхования».
В числе дискуссионных, по словам сенатора, пока остаются вопросы о том, «на какие категории компаний распространять требования закона», а также, «что считать страховым событием — факт утечки персональных данных, заявление на эту тему от человека или решение суда», подтверждающее факт причинения ущерба и его размер. Также обсуждаются подходы к компенсации морального вреда, по определению категорий вреда в зависимости от значимости ущерба, по исключениям из страхового покрытия.
Шейкин отметил, что в условиях, когда в РФ обсуждается законопроект об оборотных штрафах для операторов за несоблюдение условий сохранения персональных данных, введение варианта страхования ответственности — не столько дополнительная нагрузка по уплате премий, сколько гарантированная финансовая помощь при наступлении ответственности оператора.
«Ответственность операторов за утечки персональных данных закреплена в КоАП РФ, и на данный момент в Государственную Думу внесен законопроект, усиливающий ответственность операторов за утечки персональных данных, соавтором которого я являюсь», — пояснил сенатор.
В свою очередь президент ВСС добавил, что, по оценкам рабочей группы экспертов ВСС, тариф «не будет драконовским» при четком определении границ ответственности и пределов выплат. Правда, для компаний, которые не соблюдают требования по защите персональных данных, цена полиса может быть выше на порядок, либо страховщики вообще откажутся принимать на страхование риски такой компании. «Возможно, ей вообще не следует работать с персональными данными, если установленные законом и регулятором правила безопасности не соблюдаются», — продолжил Уфимцев. Предметное обсуждение тарифной политики, в том числе на площадке РСПП, еще предстоит страховщикам на более поздних этапах рассмотрения документа, сказал он.
«Предварительные консультации ВСС показывают, что такие держатели больших объемов персональных данных, как банки, проявляют интерес к новому виду страхования, если их собственная ответственность будет законодательно определена», — сообщил Уфимцев.
Вместе с тем Шейкин обратил внимание журналистов еще на один аспект. Если страхователь исполнил все требования законодательства и регулятора в сфере защиты данных, но «не избежал взлома» системы «по вине поставщика программного обеспечения или оборудования», то он будет иметь право регрессного требования к ответственным за это сторонам (а таких случаях решения об установлении ответственности принимаются только судами — ИФ). В этой связи сенатор предположил, что «поставщикам оборудования и ПО также будет целесообразно страховать свою ответственность», но это уже последствия принятия данного закона, который пока только обсуждается, страхование «второго уровня». Сенатор полагает, что принятие законопроекта послужит стимулом как для операторов по совершенствованию системы защиты данных, так и для самих страховщиков — для развития сегмента страхования киберрисков.
Источник: https://www.asn-news.ru/news/85914
Уфимцев считает правильным подход, выбранный разработчиками законопроекта из Совета Федерации о создании финансовых гарантий для операторов, работающих с персональными данными граждан, и о возмещении ущерба от утечек персональных данных. Речь пока идет только об ответственности перед гражданами за такие утечки, пишет Интерфакс.
«Информация становится стратегическим товаром, эта тенденция будет только усиливаться, — заявил Уфимцев. — Таким образом, подход, избранный законодателями, правильный — клиентоцентричный».
Президент ВСС подчеркнул , что данный законопроект «не предусматривает введения обязательного страхования рисков утечки данных», но требует обязательного «создания финансовых гарантий оператором». «Просто мы считаем, что страховой полис — самый выгодный и удобный для операторов инструмент. Однако еще важно определить ключевые позиции договора, чего пока не сделано», — добавил он.
В числе инструментов для финансовых гарантий, как пояснил на пресс-конференции автор законопроекта, член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин, оператор данных может также «выбрать формирование собственного финансового резервного фонда или использовать банковские гарантии». Предполагается, что создавать финансовые гарантии потребуется как госструктурам, которые работают с персональными данными граждан, так и бизнесу, а значит, потребуется предусмотреть определенные расходы в бюджетах.
Он добавил, что целый ряд обсуждений по законопроекту уже состоялись. В числе замечаний к нему были высказаны следующие пожелания: «Для операторов, которые обрабатывают большое количество персональных данных, необходимо обязать проходить специальную аккредитацию, которая даст им право на такую работу». Кроме того, по его словам, «необходимо развивать институт независимой оценки информационной защищенности объектов, а также предусмотреть в законе орган, осуществляющий контроль, и порядок контроля по наличию такого обеспечения у операторов. Потребуется учесть необходимость выделения дополнительных бюджетных средств в РФ для реализации законопроекта».
По мнению сенатора, «требования к страхованию в рамках обсуждаемого законопроекта можно разработать отдельно во внутреннем стандарте по условиям договора страхования».
В числе дискуссионных, по словам сенатора, пока остаются вопросы о том, «на какие категории компаний распространять требования закона», а также, «что считать страховым событием — факт утечки персональных данных, заявление на эту тему от человека или решение суда», подтверждающее факт причинения ущерба и его размер. Также обсуждаются подходы к компенсации морального вреда, по определению категорий вреда в зависимости от значимости ущерба, по исключениям из страхового покрытия.
Шейкин отметил, что в условиях, когда в РФ обсуждается законопроект об оборотных штрафах для операторов за несоблюдение условий сохранения персональных данных, введение варианта страхования ответственности — не столько дополнительная нагрузка по уплате премий, сколько гарантированная финансовая помощь при наступлении ответственности оператора.
«Ответственность операторов за утечки персональных данных закреплена в КоАП РФ, и на данный момент в Государственную Думу внесен законопроект, усиливающий ответственность операторов за утечки персональных данных, соавтором которого я являюсь», — пояснил сенатор.
В свою очередь президент ВСС добавил, что, по оценкам рабочей группы экспертов ВСС, тариф «не будет драконовским» при четком определении границ ответственности и пределов выплат. Правда, для компаний, которые не соблюдают требования по защите персональных данных, цена полиса может быть выше на порядок, либо страховщики вообще откажутся принимать на страхование риски такой компании. «Возможно, ей вообще не следует работать с персональными данными, если установленные законом и регулятором правила безопасности не соблюдаются», — продолжил Уфимцев. Предметное обсуждение тарифной политики, в том числе на площадке РСПП, еще предстоит страховщикам на более поздних этапах рассмотрения документа, сказал он.
«Предварительные консультации ВСС показывают, что такие держатели больших объемов персональных данных, как банки, проявляют интерес к новому виду страхования, если их собственная ответственность будет законодательно определена», — сообщил Уфимцев.
Вместе с тем Шейкин обратил внимание журналистов еще на один аспект. Если страхователь исполнил все требования законодательства и регулятора в сфере защиты данных, но «не избежал взлома» системы «по вине поставщика программного обеспечения или оборудования», то он будет иметь право регрессного требования к ответственным за это сторонам (а таких случаях решения об установлении ответственности принимаются только судами — ИФ). В этой связи сенатор предположил, что «поставщикам оборудования и ПО также будет целесообразно страховать свою ответственность», но это уже последствия принятия данного закона, который пока только обсуждается, страхование «второго уровня». Сенатор полагает, что принятие законопроекта послужит стимулом как для операторов по совершенствованию системы защиты данных, так и для самих страховщиков — для развития сегмента страхования киберрисков.
Источник: https://www.asn-news.ru/news/85914