В стране насчитывается 32 тыс. субъектов, которые нуждаются в контроле в плане информационной безопасности.
По словам сенатора Евгения Больгерта, госконтроль в отношении госорганов осуществляется в форме периодических и внеплановых проверок, а в отношении иных субъектов контроля, физических или юридических лиц, государственный контроль предлагается осуществляеть только в форме внеплановой проверки, передает inbusiness.kz.
"Тогда как, согласно Предпринимательскому кодексу, внеплановая проверка проводится после сообщения об имевших место нарушениях требований законодательства, то есть постфактум. Учитывая участившиеся случаи утечки персональных данных физических лиц, будет ли достаточно, по вашему мнению, осуществление госконтроля только в форме внеплановой проверки?" – спросил он.
На это мажилисмен Екатерина Смышляева рассказала, что исторически контроль в сфере защиты персональных данных, информационной безопасности не был у администратора, у регулятора МЦРИАП.
"То есть до этого он был в отраслевых госорганах, фактически не осуществлялся, и только в июне 2020 года вот этот контроль был передан минцифры, то есть только с июня 2020 года мы начали реагировать на обращения граждан в отношении утечки данных, а также на инциденты, связанные с информационной безопасностью. Это первый момент, то есть фактически институту контроля в этой сфере всего два полных года", – ответила она.
Второй момент, по словам депутата, предлагается ввести госконтроль как институт.
"И параллельно у нас в рамках законопроекта о ведении бизнеса, который сейчас находится в мажилисе, новая регуляторная политика, там идёт детализация проведения такого рода контроля. То есть наша задача в этом проекте закона была учесть госконтроль для госорганизации, потому что, согласно новой регуляторной политике, для госорганизаций прописывается порядок госконтроля в отраслевых законах, а для предпринимателей – в Предпринимательский кодекс. И порядок для предпринимателей будет рассмотрен в рамках новой регуляторной политики, там порядок несколько меняется", – пояснила Смышляева.
Таким образом, по её словам, остаются внеплановые проверки, профилактический контроль тоже подразумевается в рамках новой регуляторной политики и сами субъекты делятся.
"Если говорить о персональных данных, то таких субъектов у нас на сегодня 20 миллионов! Субъектов, которые нуждаются в контроле в плане информационной безопасности – 32 тыс., субъектов, которые являются критически важными объектами информационной инфраструктуры, – 500. То есть огромный массив субъектов. И на сегодня контроль осуществляет комитет информационной безопасности МЦРИАП, в котором этим занимаются четыре человека. То есть на сегодня у нас просто физически нет ещё пока такой инфраструктуры контроля, которая позволила бы нам осуществлять в том числе плановые виды контроля для 20 млн субъектов персональных данных и для 32 тыс. субъектов информационной безопасности. Поэтому с организационной точки зрения говорить о плановых проверках как о какой-то постоянной системе, пока, пожалуй, рано", – считает депутат.
Что делается, чтобы этот вопрос решать?
"Во-первых, в самое ближайшее время мы будем в рамках закона о данных и национальной статистике работать над определением персональных данных, и, таким образом, далеко не все субъекты, которые считаются операторами, останутся ими, то есть мы сократим этот пул, потому что сегодня мы учитываем каждый вариант использования персональных данных, даже когда эти данные персональными не являются на самом деле", – продолжила Смышляева.
Второй момент, по её словам, безусловно, необходимо создать систему контроля. Здесь рассматриваются разные варианты.
"Сейчас мы ходатайствуем об увеличении штата комитета информационной безопасности. Есть вариант создания, и вообще он правильный, отдельного агентства по информационной безопасности, независимого госоргана. Есть вариант развития событий с привлечением частных операторов контроля, и есть вариант с привлечением саморегулируемых организаций. Мы насчет правовой конструкции сейчас уже думаем, и, думаю, в самое ближайшее время предложим вариант, который усилит администрирование и инфраструктуру госконтроля. Полагаю, этот правовой механизм будет отражен в Цифровом кодексе, который ожидается в конце 2024 года, там мы уже детально этот момент учтем. Пока даже если бы все варианты контроля предусмотрели, они бы просто не работали, потому что некому на сегодня их осуществлять", – резюмировала депутат.
Изображение methodshop с сайта Pixabay