Последние посты
Тег: #itsecurity · 1 постов
🔐Введение штрафов за нарушения в сфере кибербезопасности анонсировали сегодня на конференции IT Security представители Национального центра кибербезопасности. В Палате представителей уже прошло второе чтение законопроекта о внесении изменений в Кодекс об административных правонарушениях. Документ дополнят две новые статьи — 23.11 и 23.12, которые вводят ответственность за нарушения требований по кибербезопасности и защите информации. За что именно будут наказывать, пояснил представитель Национального центра кибербезопасности Илья Мячин. Статья 23.11 🔹Часть 1 вводит ответственность за нарушение базовых требований по кибербезопасности. Они утверждены приложением 4 к приказу ОАЦ №130. С 17 августа 2023 года эти требования обязательны для всех организаций независимо от вида обрабатываемой ими информации. Части 2 и 3 касаются систем защиты информации, которые нужно создавать, например, в случае обработки в информационной системе информации ограниченного распространения: 🔹Часть 3 (более высокая ответственность) вводит ответственность руководителя организации, если система защиты не создана вовсе. Критерий: отсутствие аттестата соответствия. 🔹Часть 2 (меньшая ответственность) применяется, если система создана, но в ходе эксплуатации ей пренебрегли (перестали контролировать подрядчиков, внешние подключения), что в итоге привело к инциденту. Если вина руководителя подразделения или ответственного лица доказана — отвечает он, если нет — организация. 🔹Часть 4 касается центров кибербезопасности. Ответственность наступает, если центр, выявив инцидент, не уведомил о нем в установленном порядке. За сам факт инцидента наказывать центры не будут, "иначе они просто перестанут фиксировать проблемы". Статья 23.12 Это отдельная статья для критически важных объектовинформатизации. "Подходы те же, но ответственность выше". Максимальные штрафы (в базовых величинах) предусмотрены для ситуаций, когда организация должна была отнести свои объекты к критически важным, но не сделала этого и, соответственно, не создала для них систему безопасности. Когда будут привлекать к ответственности? Только при наступлении киберинцидента. В ОАЦ это объясняют "балансом интересов: задача специалистов по кибербезопасности — не мешать бизнесу и госорганам работать, а помогать защищаться от рисков". #кибербезопасность#ит#itsecurity#цкб#кибербез#итвбеларуси#административнаяответственность