Крупные российские IT-компании, операторы связи и банки договорились ежегодно проводить аудит своих систем безопасности. Это зафиксировано в отраслевом стандарте защиты данных, подготовленном Ассоциацией больших данных (АБД, входят «Яндекс», VK, «Сбер», Газпромбанк, банк «Тинькофф», Россельхозбанк, «Мегафон», «Ростелеком», «Билайн», МТС, ВТБ, «Авито» и др.). «Ведомости» ознакомились с документом. Правила предусматривают основные критерии надежной системы хранения и защиты данных для повышения безопасности их оборота.

Предполагается, что соблюдение этого стандарта позволит уменьшить размер оборотного штрафа за утечки данных из компаний. Законопроект о таких штрафах обсуждается с весны 2022 г. Летом 2023 г. правительство подготовило отзыв на законопроект, в ближайшее время он должен быть внесен в Госдуму.

Сейчас КоАП предусматривает штрафы за утечку персональных данных (ПД) для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. В новом законопроекте предусмотрен штраф в размере 1% от годового оборота компании, допустившей утечку. Размер штрафа вырастет до 3%, если компания пыталась скрыть проблему, но может быть и меньше, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности.

В документе АБД предусмотрена балльная система оценки по метрикам, которые позволяют сделать вывод об эффективности организационных и управленческих процессов обеспечения защиты информации операторов ПД. 

Компания, которая хранит более 500 000 записей в базах данных или имеет критический профиль рисков, то есть «в силу своего геополитического положения, отраслевого сектора или конкретного профиля предприятие работает в условиях повышенного уровня угроз», может получить 18 баллов при соблюдении ряда условий.

В частности, в компании должно быть предусмотрено управление учетными записями пользователей и оперативное изменение доступа к различным системам организации, например, в случае перехода сотрудника на другую позицию. Также в организациях должна быть введена двухфакторная аутентификация и сформирован перечень использования доступных и запрещенных наименований ПО и программно-аппаратных средств (ПАК). Еще одним требованием может быть создание подразделения по защите информации внутри организаций.

В случае возникновения инцидента информационной безопасности (ИБ) также должен быть определен временной интервал в 36 часов на реагирование, а также разработан план действий при возникновении отказов (сбоев) в работе при условии, что персонал должен понимать, какие действия стоит предпринимать в такой ситуации.

Документ является важной инициативой ключевых игроков IT-отрасли, говорит директор по стратегическим проектам Ассоциации больших данных Ирина Левова. Предложенная мера позволит гарантировать наивысшую степень защиты данных на уровне отрасли, добавляет она.

Минимум у четырех членов АБД за последние годы были зафиксированы крупные утечки ПД, широко обсуждавшиеся общественностью и пользователями, обращает внимание ведущий консультант по ИБ Innostage Татьяна Никонорова. Описанные в стандарте требования должны были выполняться и ранее многими организациями, обрабатывающими ПД в России, указывает она. Проблема именно в мотивации и стимулировании данного процесса, которую и должен решить готовящийся законопроект об оборотных штрафах, отмечает эксперт.

«Яндекс» постоянно совершенствует системы хранения и защиты данных и регулярно проходит аудиты безопасности, единый стандарт нужен отрасли, говорит руководитель службы комплаенса и обучения ИБ компании Анна Зинчук. Введение института добровольного аудита информационных систем безопасности компаний позволит реально контролировать их внедрение и использование, говорит руководитель департамента по взаимодействию с федеральными органами власти МТС Александр Мацкевич.

Рисков, связанных с безопасностью данных, достаточно много, отметил руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. «Это могут быть хакерские атаки из-за незащищенности данных или, скорее, из-за недостаточного спектра возможностей операторов данных. Это могут быть технические сбои, которые могут спровоцировать кражу или утечку данных, это же может быть спровоцировано халатностью ответственных лиц, в том числе и из-за того, что нет спецподразделения или же профильного образования», – говорит он.

Риски связаны с нарушениями конфиденциальности, целостности и доступности данных, перечисляет директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павел Кузнецов. Информация может «утечь», измениться или стать временно или полностью недоступной после атаки шифровальщика, приводит примеры он. Также сюда можно отнести репутационные риски и риски, связанные с потерей прибыли, добавляет Никонорова.

Несмотря на предложенные стандарты, должна быть конкретная ответственность за нарушения очевидных требований и регламентов, поэтому законопроект об оборотных штрафах за утечку данных по-прежнему актуален, считает Шицле. «Добровольное исполнение сводов правил не сможет держать ситуацию с обращением с данными под должным контролем», — говорит он.

Законопроект и отраслевой стандарт не могут заменить друг друга, у них разное назначение, поэтому они должны друг друга дополнять, считает директор по сервисам IT-компании RooX Егор Леднев. «Законопроект об оборотных штрафах за утечки персданных содержит информацию о том, какие объекты нужно защищать и какие меры ответственности предусмотрены за недостаточный уровень защиты этих объектов. Стандарты же в свою очередь описывают, как именно нужно защищать эти данные», — отмечает он.

Вероятнее всего о замене штрафных санкций за утечки данным стандартом речь не идет, согласен Кузнецов. «Проект выглядит скорее как формализованный набор мер, который оператор ПД сможет применить для того, чтобы максимально снизить риск утечки», – указывает он. В то же время эксперт отмечает практическую применимость перечисленных в стандарте мер.

Источник: https://www.vedomosti.ru