Кибербезопасность
В последние годы государство планомерно реализует стратегию по борьбе с утечками данных, чтобы мотивировать бизнес тщательнее оберегать персональные данные и наращивать надежность систем кибербезопасности. Параллельно наблюдается резкий рост инцидентов с информацией — как в рамках общемирового тренда, так и в результате направленных атак на российские инфраструктуры. В качестве ответной меры Госдума рассматривает законопроект об ужесточении ответственности компаний за утечки и о введении оборотных штрафов за повторное нарушение. В свою очередь, ГК “Солар” инициировала проект по разработке Национального стандарта “Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения”. Он включен в План работы Технического комитета по стандартизации “Защиты информации” (ТК 362) на 2023 год. О том, почему сегодня компаниям необходим единый формализованный подход к процессам защиты данных, рассказывает руководитель департамента клиентского сервиса Центра “Дозор” ГК “Солар” Анна Попова.
Ужесточение регулирования в сфере защиты информации стало одной из самых обсуждаемых сегодня тем индустрии ИБ: какой должна быть система штрафов и насколько она будет реально применима в нынешних условиях, когда закон даже не определяет, что считать утечкой. При этом проблема стоит довольно остро: 33% всех киберугроз, с которыми столкнулись российские компании за год, пришлось именно на утечки, а в среднем от одного инцидента крупный бизнес теряет 5,5 миллиона рублей.
Развитие регуляторики в отношении защиты данных — тренд последних пяти лет во всем мире. В Европе с 2018 года действует Общий регламент защиты персональных данных (GDPR), определяющий базовые понятия, принципы работы с информацией, порядок оповещения об утечках и ответственность — максимальный штраф достигает 20 миллионов евро либо 4% годовой выручки, если эта сумма больше. Впоследствии Китай, Индия и ряд других азиатских стран приняли законы, которые базируются на верхнеуровневых принципах GDPR, и продолжают работать над конкретикой. В США законодательство в этой сфере разнится от штата к штату, но общее направление, в котором оно развивалось и дополнялось в последний год — ужесточение порядка уведомления об инцидентах и расширение понятия персональных данных.