Российские ИТ-компании разработали концепцию отраслевого стандарта защиты данных

Ассоциация больших данных сообщила, что группа по безопасности данных из числа членов ассоциации создала концепцию отраслевого стандарта для ИТ-компаний по работе с данными. Группа начала работу в январе 2023 г. По данным АБД, подписание стандарта завершится в течение ближайших месяцев.

В АБД входят такие компании, как ГК "ВК", ГК "Яндекс", АО "Газпромбанк", ПАО "Сбербанк", АО "Тинькофф Банк", ПАО "МегаФон", ПАО "Ростелеком" (ГК "Солар"), АО "Киви Банк", ПАО "ВымпелКом" ("Билайн"), ПАО "МТС", АНО "Аналитический центр при правительстве РФ", фонд "Сколково", ПАО "Банк ВТБ", фонд "Центр стратегических разработок", АО "Россельхозбанк".

В документе перечислены основные критерии надежной системы хранения и защиты данных - процессы организации и управления защитой данных, политики о защите информации, план мероприятий по отработке угроз.

По словам пресс-службы АБД, стандарт будет представлять собой открытый документ, который содержит рекомендации использовать, например, bug bounty и пентесты, а также обращать пристальное внимание на то, каким образом компания должна организовать процессы защиты персональных данных.

Пресс-служба АБД объяснила, что цель стандартов - содействие повышению безопасности персональных данных через проведение регулярных внутренних аудитов ИТ-компаний на соответствие предложенному стандарту. Как отметила Ирина Левова, директор по стратегическим проектам АБД, компании планируют проводить такой аудит не реже раза в год и таким образом подтверждать высокий уровень их систем информационной безопасности.

"Обязательность стандартов мы не предполагали, однако интересным было бы закрепление статуса разработанного стандарта в качестве рекомендуемого. Мы понимаем, что защититься от утечки на 100% нельзя, но можно суммировать и постоянно обновлять лучшие практики защиты данных. Разработанный документ предполагает балльную систему, и любая компания может ориентироваться, помимо обязательных требований, также и на стандарт", - добавил представитель пресс-службы АБД.

В России в части стандартизации работы с данными существует ГОСТ Р 52633.6-2012 "Защита информации. Техника защиты информации" и другие ГОСТы. Государственным органом, отвечающим за разработку стандартов, является Федеральное агентство по техническому регулированию и метрологии (Росстандарт). По информации АБД, новые стандарты будут содержать дополнительные к имеющимся ГОСТам рекомендованные меры, а в будущем ассоциация планирует установить диалог с регуляторами для совершенствования и доработки стандарта.

Роман Чаплыгин, директор по консалтингу "Солар", объяснил что обеспечение безопасности - многофакторный процесс, который основан как на личной киберкультуре владельца данных, так и на сбалансированной работе по формированию комплексной системы защиты данных и минимизации рисков возникновения киберинцидентов.

"Организации смогут повысить эффективность работы по защите информации, имея инструменты самоконтроля с возможностью проверить правильность сделанных выводов с независимыми экспертами. Разработка и реализация добровольного стандарта продемонстрирует высокий уровень личной ответственности и киберкультуры операторов персональных данных", - считает Роман Чаплыгин.

"В "Яндексе" мы постоянно совершенствуем системы хранения и защиты данных и регулярно проходим многочисленные аудиты безопасности. Создание в России стандарта - важный и логичный этап развития ИТ-отрасли", - отметила Анна Зинчук, руководитель службы комплаенса и обучения информационной безопасности "Яндекса".

Руководитель департамента по взаимодействию с федеральными органами власти МТС Александр Мацкевич считает, что разработка отраслевых подходов к внедрению эффективных систем безопасности - давно назревшая потребность. "Введение института добровольного аудита информационных систем безопасности компаний может стать качественным инструментом контроля над реальным внедрением и использованием таких систем. Это позволит повысить уровень безопасности российских операторов данных. Ужесточение ответственности за возможные утечки требует проработки механизма расследования таких фактов и оценки всех мероприятий, которые применялись для защиты от злоумышленников", - добавил Александр Мацкевич.