Готовясь к BIS Summit, в том числе к проведению уже второй секции по стандартизации в сфере ИБ, точнее — защиты данных от утечек информации (первая была на предыдущем BIS Summit), задумался — а зачем ряд компаний и ассоциаций в последнее время так активно взялись за разработку стандартов ИБ? На данный момент знаю три: проект национального стандарта ИБ в сфере защиты от утечек данных (ТК 362), отраслевого стандарта ИБ (принят в апреле Ассоциацией больших данных), корпоративный стандарт ГК InfoWatch (разработали с коллегой еще в 2021 году).
Прежде всего, все готовятся к возможному сценарию в сфере борьбы с утечками информации — к принятию закона об оборотных штрафах за утечку персональных данных. Но при этом надеются, что будет и смягчающее обстоятельство в виде того, что организация приняла все необходимые меры для предотвращения утечки. При этом факт выполнения достаточных мер защиты информации, по мнению многих операторов данных, будет подтверждаться принятием организацией этих стандартов и следованием им (внедрению лучших практик, которые пропишут в стандартах).
Интересно, что никто из опрошенных мной не сказал про требования нормативных правовых актов и рекомендации методических документов от регуляторов в сфере защиты информации, оборота персональных данных. И никто не отметил, что, например, в приказах ФСТЭК России нет прямых обязательных мер по предотвращению утечек данных из программной среды ИС (АС). Я писал об этом и дважды публиковал статьи на сайте, BISA направляла письмо во ФСТЭК России в ноябре прошлого года.
Но ведь даже если приказы регуляторов не распространяются на организации — операторов данных, то возможно принять в рамках отрасли или самой организации их требования, реализовать указанные в приказах меры по защите от утечек как обязательные.
Но большинство не подозревало о такой возможности, а те двое коллег по работе в сфере ИБ сказали, что в целом принимать и всё выполнять будет накладно, а частями — не будет выглядеть достаточным для суда.
Но, предположим, что в НПА появились обязательные меры по предотвращению утечек данных из программной среды ИС (АС).
Ведь многие организации, обрабатывающие конфиденциальную и другую важную для граждан информацию, не имеют государственных информационных систем, АСУ КВО, систем, являющихся значимыми объектами КИИ.
Например, Интернет-магазины, службы доставки и т.п. — а там не только ФИО, но и фактические адреса проживания, вплоть до кодов домофонов и режима работы — времени нахождения дома! И покупки, по которым видны пристрастия, уровень доходов и ещё много другое. Помните пример с Интернет-картой, составленной на базе ряда утечек из организаций доставки, Интернет-провайдеров и т.д.? Очень показательно было.
На данный момент все эти организации попадают под регулирование деятельности операторов ПДн, с набором мер из 21 приказа и с обязанностью сообщать об утечках персональных данных, оценивать вред. И у всех у них есть перспектива попасть под оборотный штраф (если будет принят соответствующий закон).
Здесь им стандарт и пригодится — и как набор лучших практик, и как декларация следования требованиям безопасности и выполнения законодательства.
И, если действительно внедрить хороший стандарт и следовать этим практикам, то есть шанс, что и число утечек данных снизится.
Фантастика? Пишите — обсудим.