Об аудите договорились крупнейшие ИТ-компании и операторы связи, зафиксировав положение в отраслевом стандарте защиты данных, подготовленным Ассоциацией больших данных (АБД), сообщают Ведомости.
Согласно представлениям участников рынка, соблюдение стандарта позволит уменьшить размер оборотного штрафа за утечки данных из компаний. Законопроект о введении оборотных штрафов находится на стадии разработки и уже получил положительный отзыв от правительства.
Стандарт АБД предусматривает балльную систему оценки по метрикам, которые позволяют определить эффективность организационных и управленческих процессов в системе обеспечения защиты. Также, стандарт закрепляет необходимость двухфакторной аутентификации и оперативное изменение доступа к различным системам организации при переходе сотрудника на другие рабочие позиции. Помимо этого, в стандарт входит формирование перечня использования доступных и запрещенных ПО и в некоторых случаях – создание подразделения по защите информации внутри компании. Кроме того, предполагается определение временного интервала в 36 часов на решение проблемы, при возникновении инцидента компьютерной безопасности.
В настоящий момент, действительно, активно разрабатывается законопроект об оборотных штрафах, напомнил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «Напомню, что сейчас КоАП для юридических лиц предусматривает штрафы за утечку данных в размере от 60 000 до 100 000 рублей, а при повторном нарушении до 500 000. Конечно, это недостаточные штрафы
в отношении операторов персональных данных, не стимулирующие осуществление мероприятий, направленных на повышение эффективности функционирования информационной безопасности. В какой-то момент началась складываться практика, при которой оператор данных просто предпочел выплату штрафа, поскольку для оборота крупного бизнеса это действительно небольшие деньги. Сейчас предлагается ввести штраф от 0,1 до 3% выручки за предшествующий календарный год, но не менее 15 млн и не более 500 млн рублей», – пояснил Антон Немкин.
Участники рынка не раз говорили о «жестких» мерах, которые содержатся в законопроекте, отметил депутат. «Действительно, законопроект предполагает достаточно жесткие санкции. Но в условиях участившихся утечек данных и развития мошенничества как одного из следствий утечек, такие меры являются самыми эффективными в части исполнения бизнесом обязательств по защите данных. Мы видим подвижки со стороны частного сектора уже сейчас и предложенный компаниями стандарт – яркий тому пример. То, что бизнес так быстро среагировал на предложенные регуляторные изменения – положительная тенденция. Такой стандарт дополнит как сам законопроект, так и другие меры, направленные на регулирование ПД. Фактически у нас появляется еще один независимый институт проверки бизнеса в части исполнения обязательств по ПД», – считает эксперт.
В настоящий момент государство определяет сохранение персональных данных как приоритет информационной безопасности во всех секторах экономики, считает депутат. «Достижение полноценной защиты возможно только при сотрудничестве бизнеса и государства, и мы видим, что шаги навстречу друг другу уже сделаны», – заключил парламентарий.