Ассоциация больших данных (АБД) подготовила концепцию отраслевого стандарта защиты данных, узнал Forbes. Концепция предполагает в том числе независимый аудит для IT-компаний на соответствие предложенному стандарту.
В ассоциации, членами которой являются «Яндекс», Сбербанк, «Газпромбанк», VK, «Тинькофф Банк», Qiwi, МТС и другие крупные компании, предлагают «надежные подходы» к сбору и хранению данных. Свои методики АБД предлагают в качестве альтернативы поправкам в КоАП.
«Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и ее безопасности», — поясняют принципы своей концепции в АБД.
Там добавляют, что, согласно документу, оценка компании на соответствие новому стандарту будет добровольной.
К критериям оценки, предложенным в документе, относятся процессы организации и управления защитой данный, политики о защите информации, план мероприятий по отработке угроз. На оценку также повлияет и то, каким образом компания обнаруживает уязвимости, как реагирует на внештатные ситуации и обучает ли свой персонал.
В АБД предлагают проводить такой аудит ежегодно. А оценивать степень защищенности информации и эффективность методов будут организации на добровольной основе в ходе внутреннего аудита.
Как предлагается проводить аудит
По плану, оператор персональных данных будет собирать экспертную группу в подразделениях по защите информации. Эта группа, в свою очередь, изучают сведения о процессах и IT-инфраструктуре оператора персональных данных. На основе этого формируется план по повышению эффективности защиты. Затем будут анализироваться результаты выполнения плана.
На следующем этапе должна проводиться валидация результатов аудита. Согласно концепции, это должно произойти не позднее трех месяцев после выводов экспертной группы. Для этого отраслевой стандарт предлагает специально разработанные критерии и метрики, позволяющие сделать вывод об эффективности процессов обеспечения защиты информации в компании.
За каждый параметр, например, «Безопасность приложений и ПО», начисляются баллы. При этом внешний аудит должны проводить внешние компании.
По данным исследования Infowatch, свыше половины эпизодов утечек данных происходят по вине сотрудников компаний. За 2023 год по протоколам Роскомнадзора российские суды назначили штрафов на 3,7 млн рублей по делам об утечках.
В 2022 году глава Минцифры Максут Шадаев предложил задействовать в отношении компаний, допустивших подобные инциденты, оборотные штрафы. Летом 2023 года соответствующий законопроект был направлен российскому премьеру Михаилу Мишустину.
Фото на обложке: Michael Traitov /
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 «Осторожно, данные»: как безопасно взаимодействовать с LLM
- 2 Как нейросеть распознаёт страницы паспорта и находит подделки
- 3 Face ID нового времени: как работают алгоритмы распознавания лиц и можно ли их обмануть
- 4 Как заставить кибермошенника плакать? Соблюдайте цифровую гигиену при работе с корпоративной почтой
- 5 Как среднему бизнесу защищаться от новейших киберугроз
ВОЗМОЖНОСТИ
19 мая 2024
19 мая 2024
19 мая 2024