Бизнес разработал стандарт защиты данных для смягчения поправок о штрафах за утечки

«Стандартный» подход

В АБД (ее членами являются «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «МегаФон», «Ростелеком», Qiwi, билайн, МТС, Фонд «Сколково», Аналитический центр при правительстве Российской Федерации, ВТБ, Avito, Центр стратегических разработок) разработали концепцию отраслевого стандарта защиты данных, рассказали Forbes в ассоциации. В ней определяются «надежные подходы» к хранению и сбору данных, а также методики совершенствования системы информационной безопасности. «Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и ее безопасности», — объясняют в АБД, добавляя, что документ также предлагает механизм добровольной оценки соответствия компаний новому стандарту.

В числе ключевых критериев для оценки — процессы организации и управления защитой данных, политики о защите информации, план мероприятий по отработке угроз. Кроме того, на оценку повлияет то, как в компании выявляют уязвимости, реагируют на внештатные ситуации, тренируют и готовят персонал.

Как следует из концепции отраслевого стандарта защиты данных (есть в распоряжении Forbes), планируется, что компании будут проводить такой аудит не реже одного раза в год и таким образом подтверждать высокий уровень их систем информбезопасности. Оценку эффективности в области защиты информации будут проводить организации, обрабатывающие персональные данные (ПД), на добровольной основе в ходе внутреннего аудита и последующей валидации его результатов.

Как будет проводиться аудит

Согласно концепции, оператор ПД формирует экспертную группу из сотрудников подразделений по защите информации, IT-подразделения, куда могут быть включены эксперты других подразделений и сторонних организаций. Группа собирает информацию о процессах и IT-инфраструктуре оператора ПД в целом, оценивает их эффективность. Если максимальная оценка не достигается, формируется план-проспект мероприятий по повышению эффективности обеспечения защиты информации, после чего анализируются результаты реализации этого плана.

Кроме того, эксперты будут собирать и анализировать организационно-распорядительные документы по защите информации объекта и IT-инфраструктуре в целом, а также документы, подтверждающие реализацию процессов (свидетельства, отчеты, журналы регистраций и др.).

Проверка и закрепление

Следующий этап — валидация результатов внутреннего аудита, которая проводится не позднее трех месяцев после него для оценки объективности выводов экспертной группы и планирования работ по повышению эффективности защиты информации. Для этого отраслевой стандарт предлагает специально разработанные критерии и метрики, позволяющие сделать вывод об эффективности процессов обеспечения защиты информации в компании.

Каждый параметр (например, «Безопасность приложений и ПО», «Реагирование на инциденты» или «Контроль услуг внешних поставщиков») оценивается в определенное количество баллов, выставляемых экспертами. При этом внешним аудитом будут заниматься профильные организации, но не «дочки» или другие «зависимые общества» по отношению к оператору ПД.

Внеочередная оценка эффективности проводится в случае либо «значимого инцидента безопасности информации», либо «развития и (или) модернизации IT-инфраструктуры и объектов информатизации, вызванной слиянием или поглощением юрлица и (или) повлекшей изменение категории оператора».

Бороться с течением

Вопрос с защитой персональных данных россиян сегодня стоит особенно остро, на что власти регулярно обращают внимание. По оценкам F.A.C.C.T. (ранее Group-IB), общее количество строк данных пользователей, содержащихся во всех утечках за 2022 год, превысило 1,4 млрд. Всего за 2022 год в публичном доступе оказалось 311 баз персональных данных, тогда как годом ранее — только 61.

Поправки в КоАП, предполагающие наложение оборотных штрафов за утечки персональных данных, будут внесены на рассмотрение в Госдуму в течение осенней сессии. Они были представлены на рассмотрение правительству 26 июля сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном. Документ предполагает наложение штрафов не за факт утечки личной информации, а за «действия или бездействия оператора персональных данных, повлекшие неправомерную передачу информации, включающей персональные данные».

Предлагается установить штрафы за повторную утечку на уровне 0,1-3% от оборота, но не менее 15 млн и не более 500 млн рублей. Сейчас максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении.

«Мы видим запрос на диалог между бизнесом и государством о деталях практической реализации этого законопроекта. Среди прочих, бизнес интересует, будет ли размер налагаемого штрафа зависеть от степени защищенности инфраструктуры пострадавшей компании, — поясняет руководитель развития бизнеса по защите данных в компании Positive Technologies Виктор Рыжков. — Ведь стопроцентной защиты не существует, и если произошла утечка, но компания приложила максимум усилий, то это должно быть каким-то образом учтено». Ужесточение ответственности за возможные утечки требует проработки механизма расследования таких фактов и оценки всех мероприятий, которые применялись для защиты от злоумышленников, подчеркивает руководитель департамента по взаимодействию с федеральными органами власти ПАО МТС Александр Мацкевич.

В комитете Госдумы по информполитике не стали комментировать предложение АБД. В Минцифры же Forbes заявили, что обращение с персональными данными уже регулируется ФЗ №152 «О персональных данных». «Другое регулирование возможно только как дополнение к существующему законодательству. Составить итоговое мнение о концепции отраслевого стандарта защиты данных можно будет только после обсуждения документа с другими госрегуляторами, АБД, отраслью и экспертами», — сообщили в министерстве.

Не российское ноу-хау

«Во многих странах есть, с одной стороны, базовые меры и, с другой, отраслевые или госстандарты дополнительных мер защиты, в том числе процедуры сертификации. К примеру, сертификат ISO 27001 — признанный международными организациями стандарт по информационной безопасности», — рассуждает генеральный директор Института исследований интернета Карен Казарян. По его словам, считается нормальной практикой, когда государство задает минимальную планку, а отраслевое сообщество само решает, какие лучшие практики и меры защиты принимать бизнесу. Он приводит в пример зарубежный опыт ряда стран, где уже давно существует практика саморегулирования вопросов, касающихся политик информбезопасности: в США, Великобритании, Бразилии, Индии, Южной Корее есть перечни мер дополнительной защиты персональных данных, которые принимают компании. «Кроме того, в России фактически такие меры уже есть в финансовой отрасли, где есть и требования ЦБ, и никто без PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт. — Forbes) далеко не уйдет», — заключает Казарян.

По словам юристов, основные требования к защите данных уже установлены государством и содержатся в значительном количестве подзаконных актов (правительства, ФСТЭК, ФСБ). «В представленном документе речь скорее идет о способе выполнения требований по защите данных, формирования эталонной практики, — размышляет преподаватель образовательной платформы Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович. — Создание чек-листов, сводов практик, в том числе по обеспечению защиты данных, — широко используемый инструмент в зарубежных государствах. США, Китай, ЕС активно пользуются таким инструментом не в качестве замены основного регулирования и нормативно установленных требований, а скорее как дополнительным механизмом, содержащим алгоритмы и способы реализации этих требований. Представляется, что идея разработчиков состоит в таком же подходе».

Понятные инструкции

Представители бизнеса в своих комментариях уповают на то, что создание в России собственного стандарта защиты данных — «важный и логичный этап развития отрасли», а организации смогут повысить эффективность защиты информации, имея на вооружении инструменты самоконтроля с возможностью проверить правильность сделанных выводов с независимыми экспертами.

«Мы последовательно выступаем за саморегулирование рынка. Создание в России собственного стандарта защиты данных — важный шаг в этом направлении, — сообщили Forbes в Ozon. — По нашему мнению, единый подход к работе с данными позволит защитить интересы всех участников рынка без создания дополнительных рисков для отрасли».

«Инфраструктура данных современной крупной компании — это большой и динамично меняющийся организм, состоящий из неоднородных элементов со сложными связями между ними. Вслед за ее трансформацией мы закономерно видим запрос на изменение подходов и к обеспечению ее безопасности, — рассуждает Рыжков. — Традиционные методы, которые основаны на решении локальных задач по защите данных, сегодня малоэффективны и не позволяют в любой момент времени ИБ-специалистам получить ответ на четыре основных вопроса: сколько в нашей компании данных, где они хранятся и как взаимодействуют друг с другом? Где хранятся наиболее критичные, чувствительные данные? Кто имеет доступ к таким данным? Кто и как к ним обращается?» По его мнению, инициатива АБД может стать позитивным трендом на пути адаптации подходов ИБ к новым условиям, а также повысить средний уровень защищенности российских компаний за счет понятных инструкций и измеримости полученных на каждом этапе результатов.