Что касается количества и объёмов утечек, то числа — статистика — это то, что заставляет нас равнять свою картину мира, свои представления о ситуации с фактическим положением дел.
Да, мы видим только часть айсберга, но потому постоянно совершенствуем методики, ищем и оцениваем источники информации, исследуем проблему латентности утечек данных. Кстати, экспертно-аналитический центр ГК InfoWatch публикует уже второй в этом году отчёт по теме.

Утечки информации — не пора ли сделать меры обязательными

Продолжая тему мер защиты и угроз утечек информации, угроз безопасности информации, отмечу, что, как оказалось, в предыдущей статье я прямо не сказал, не подчеркнул то, что мер по противодействию утечкам информации (не по техническим каналам) в двух приказах ФСТЭК России нет, а в двух они не обязательны!

А ведь действительно так. Наверное, когда приказы готовились, разработчикам, в том числе экспертам из ИБ-сообщества, это не представлялось важным. Но теперь, когда утечки персональных данных признаются одной из основных угроз безопасности, наверное, пришло время прямо сказать руководителям про обязательность мер защиты от утечек информации, снять бремя доказывания опасности утечек данных с разработчиков моделей угроз, главных инженеров проектов и ответственных за ИБ в организации.

Я отправил свои предложения в экспертное сообщество DLP, опубликовал здесь статьи. Пора и с официальной инициативой выходить.

Национальный стандарт, защита информации и утечки данных

Два года назад в ГК InfoWatch был разработан стандарт организации в сфере контроля потоков информации, предотвращения утечек данных, оценки зрелости организаций.

Позже, в плане работ ТК 362 «Защита информации» появилось мероприятие по разработке национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем». В сентябре разработчики проекта стандарта – «Солар Секьюрити» и «Центр безопасности информации» (ЦБИ) — представили экспертному сообществу DLP первую версию, а также рассказали о нём на специальной секции в рамках BIS Summit-2023.

Кстати, большой интерес вызвал рассказ заместителя директора ДИБ Банка России Выборнова Андрея об опыте стандартизации данной темы в банковской сфере.

Параллельно на онлайн-платформе BIS Summit и в Телеграм чате BISA задали вопрос «Считаете ли вы необходимым создание новой области стандартизации в части контроля потоков компьютерной информации?»

49% ответивших согласны, что надо создавать новую область стандартизации. Но 32% респондентов не согласны с этим и предполагают, что достаточно уточнения терминов и описания мер и методов, что, собственно говоря, и пытаются реализовать разработчики нацстандарта.

Не регуляторные вопросы

А в нашу рубрику «Прямая линия с регулятором» пришли два вопроса, которые совсем не для регуляторов. Без подписи. Вот такие:

1. «Почему студенты мединститутов дают клятву Гипократа, а айтишники, получающие специальные знания в ИТ, нет? Почему навык ИТ не рассматривается как отягчающие обстоятельства при совершении преступлений с использованием ИТ технологий?»
2. «Как можно повысить усилия по образованию и повышению осведомленности обычных пользователей в области кибербезопасности, не только с целью снижения риска утечек данных из-за человеческих ошибок, но и для формирования культуры безопасности данных, в которой защита личной информации стала непременной частью цифровой жизни? Какие инновационные методы и практики могут быть применены, чтобы обеспечить, что каждый человек, вне зависимости от возраста или уровня технической грамотности, более проактивно защищал свои данные и придерживался лучших практик в сфере кибербезопасности?»

Вот так — от саммита и утечек к вопросам про людей. 
Ведь люди — это всегда главное.

Ваше мнение, коллеги? Присылайте свои предложения, идёт работа!