Бизнес предложил концепцию отраслевого стандарта защиты данных

Для смягчения поправок об оборотных штрафах
03 ноября 2023, 14:17
Бизнес предложил концепцию отраслевого стандарта защиты данных
Бизнес
Кибербезопасность
IT
Россия

Ассоциация больших данных (АБД) подготовила концепцию отраслевого стандарта защиты данных, узнал Forbes. Концепция предполагает в том числе независимый аудит для IT-компаний на соответствие предложенному стандарту.

В ассоциации, членами которой являются «Яндекс», Сбербанк, «Газпромбанк», VK, «Тинькофф Банк», Qiwi, МТС и другие крупные компании, предлагают «надежные подходы» к сбору и хранению данных. Свои методики АБД предлагают в качестве альтернативы поправкам в КоАП.

«Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и ее безопасности», — поясняют принципы своей концепции в АБД.

Там добавляют, что, согласно документу, оценка компании на соответствие новому стандарту будет добровольной.

К критериям оценки, предложенным в документе, относятся процессы организации и управления защитой данный, политики о защите информации, план мероприятий по отработке угроз. На оценку также повлияет и то, каким образом компания обнаруживает уязвимости, как реагирует на внештатные ситуации и обучает ли свой персонал.

В АБД предлагают проводить такой аудит ежегодно. А оценивать степень защищенности информации и эффективность методов будут организации на добровольной основе в ходе внутреннего аудита.

Как предлагается проводить аудит

По плану, оператор персональных данных будет собирать экспертную группу в подразделениях по защите информации. Эта группа, в свою очередь, изучают сведения о процессах и IT-инфраструктуре оператора персональных данных. На основе этого формируется план по повышению эффективности защиты. Затем будут анализироваться результаты выполнения плана.

На следующем этапе должна проводиться валидация результатов аудита. Согласно концепции, это должно произойти не позднее трех месяцев после выводов экспертной группы. Для этого отраслевой стандарт предлагает специально разработанные критерии и метрики, позволяющие сделать вывод об эффективности процессов обеспечения защиты информации в компании.

За каждый параметр, например, «Безопасность приложений и ПО», начисляются баллы. При этом внешний аудит должны проводить внешние компании.

По данным исследования Infowatch, свыше половины эпизодов утечек данных происходят по вине сотрудников компаний. За 2023 год по протоколам Роскомнадзора российские суды назначили штрафов на 3,7 млн рублей по делам об утечках.

В 2022 году глава Минцифры Максут Шадаев предложил задействовать в отношении компаний, допустивших подобные инциденты, оборотные штрафы. Летом 2023 года соответствующий законопроект был направлен российскому премьеру Михаилу Мишустину.

Фото на обложке: Michael Traitov / Shutterstock

Авторы
Наталья Гормалева
Наталья Гормалева
Новостной редактор RB.RU
Подписаться на телеграм-канал
Публикации по теме
Новости по теме