«Авито», «Вымпелком» (бренд «Билайн»), «Тинькофф» и «Яндекс» подписали отраслевой стандарт защиты данных, разработанный на площадке Ассоциации больших данных. Ее постоянными членами являются VK, Сбербанк и другие крупные ИТ-компании. Цель документа: сформулировать принципы безопасного хранения и защиты данных. А теперь подробнее.
Что такое Ассоциация больших данных и почему она разработала стандарт защиты данных
Ассоциация больших данных (АБД) основана в России в 2018 году, она объединяет ведущие ИТ-компании: VK, Сбербанк, Газпромбанк, «Тинькофф» Банк, «МегаФон», Ростелеком, «Вымпелком», МТС, Аналитический центр при Правительстве РФ, «Авито», «Яндекс», Центр стратегических разработок (ЦСР).
Главная цель АБД: развитие безопасных технологий и продуктов в сфере Big Data в России. Ассоциация разрабатывает единые принципы и стандарты обработки, хранения, передачи и использования больших данных. Соблюдение этих правил позволяет гарантировать клиентам безопасность их данных. Кроме того, АДБ формирует этические правила использования больших данных для защиты интересов пользователей.
Отраслевой стандарт защиты данных нужен для повсеместного внедрения организационных и технических мер безопасности при работе с данными, включая чувствительную информацию. Предполагается, что чем больше компаний-операторов персональных данных начнут соблюдать ОСЗД, тем реже будут появляться новости об очередной утечке персональных данных россиян.
Зачем ОСЗД нужен бизнесу
Новый стандарт разработан в ответ на законодательные изменения, вводящие значительные штрафы за утечки персональных данных. Последние поправки к Уголовному кодексу предусматривают штрафы от 5 до 500 млн рублей в зависимости от размера утечки и регулярности нарушений. Например, утечка данных 100 тыс. человек грозит компаниям штрафом до 10 млн рублей, а повторное нарушение может привести к штрафу от 0,1% до 3% от оборота компании. Законопроект о внесении таких поправок пока что находится на стадии рассмотрения в первом чтении Госдумой.
В текущей же версии законодательства максимальный штраф за первую утечку персональных данных составляет 100 тыс. рублей, а за последующие нарушения — до 300 000 рублей.
В чем суть отраслевого стандарта защиты данных
Важно понимать, что новый стандарт не является обязательным. Компании могут добровольно пройти независимый аудит на соответствие ОСЗД. Что это дает?
- Обеспечение безопасности персональных данных.
- Соответствие законодательству.
- Повышение доверия клиентов.
- Минимизация рисков.
- Унификация подходов к защите персональных данных.
Введенный стандарт предполагает, что в принявших его компаниях проведут независимый аудит, процедуру будут повторять ежегодно. Аудитом займутся специалисты компаний, имеющие соответствующую лицензию. Эксперты оценят процессы организации и управления защитой данных, политику о защите информации и план мероприятий по отработке угроз. Также они проверят, как у компаний выстроена система выявления уязвимостей, как они реагируют на внештатные ситуации и подготовлены ли к ним сотрудники.
Зачем ОСЗД нужен пользователям
В 2023 году Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах. Пострадали такие компании, как Gloria Jeans, GeekBrains, «СберСпасибо», «Леруа Мерлен». По факту некоторых утечек уже были назначены штрафы на общую сумму в размере 4,6 млн рублей.
Такое количество утечек — лучшее доказательство того факта, что даже крупные компании недостаточно серьезно относятся к защите персональной информации. Об этом свидетельствует и аналитическое исследование ИБ-угроз компании Positive Technologies. Есть еще один нюанс: большинство кибератак не предаются огласке из-за репутационных рисков. Поэтому подсчитать точное число угроз невозможно.
Утечки персональных данных могут иметь серьезные последствия. Чаще всего мошенники используют полученную информацию, чтобы обманом заставить людей сообщить данные своих банковских карт или перевести деньги. Еще бывает много случаев сталкинга, когда злоумышленники используют украденную личную информацию для преследования и домогательств, компрометации человека.
Разработка ОСЗД — это попытка бизнеса скоординировать общие усилия по защите чувствительной информации, добиться ответственного подхода к хранению и обработке персональных данных. Для пользователей новый стандарт станет своего рода маркером, показывающим, можно ли доверять компании свои данные.
Какую еще пользу может принести новый стандарт
Компании-лидеры рынка призывают и другие компании подключиться к инициативе АБД и внедрить новый стандарт в свои бизнес-процессы. Дело в том, что, помимо развития внутренней экспертизы в области ИБ, это способствует повышению общего уровня осведомленности о концепциях и инструментах защиты данных.
Компании, которые не имеют большого опыта в защите данных, получают возможность настроить свои ИБ-системы, используя актуальный документ: ОСЗД. Это позволяет им успешнее предотвращать потенциальные угрозы и эффективнее реагировать на них.