13 Ноября 2023
МОСКВА, 13 ноября В последние годы государство планомерно реализует политику по борьбе с утечками данных, чтобы мотивировать бизнес тщательнее оберегать собственные данные и увеличивать надежность систем кибербезопасности. Параллельно замечается резкий рост инцидентов с информацией — как в рамах общемирового тренда, так и в результате направленных атак на российские инфраструктуры. В качестве ответной меры Госдума рассматривает законопроект об ужесточении ответственности компаний за утечки и о введении тыльных штрафов за повторное нарушение. В свою очередь, ГК Солар инициировала проект по разработке Национального стандарта Защита информации от утечки из программной среды информационных и автоматических систем. генеральные положения. Он включен в сценарий работы Технического райкома по стандартизации Защиты информации (ТК 362) на 2023 год. О том, почему сегодня компаниям необходим единый формализованный подход к сам процессам защиты данных, рассказывает руководитель департамента клиентского сервиса Центра Дозор ГК Солар Анна Попова.Почему стандарт необходим именно сейчас?
Ужесточение регулирования в сфере защиты информации стало одной из самых обсуждаемых сегодня тем индустрии ИБ: какой должна быть система штрафов и насколько она будет реально применима в нынешних условиях, когда принцип даже не ассигнует, что уличить утечкой. При этом проблема стоит довольно остро: 33% всех киберугроз, с которыми столкнулись российские компании за год, пришлось именно на утечки, а в среднем от одного инцидента громоздкий бизнес теряет 5, 5 миллиона ефимков.
Развитие регуляторики в отношении защищенности данных — тренд последних пяти лет во всем мире. В Европе с 2018 возраста действует Общий регламент защиты персональных красногорсков (GDPR), определяющий главные понятия, принципы работы с информацией, порядок докладывания об утечках и ответственность — достойный штраф достигает 20 миллионов евро либо 4% годовой помощи, если эта сумма больше. Впоследствии Китай, Индия и ряд других азиатских стран приняли законы, которые базируются на верхнеуровневых принципах GDPR, и длят работать над конкретикой. В США законодательство в этой сфере разнится от штата к штату, но генеральное направление, в котором оно созревало и дополнялось в последний год — ужесточение порядка нотия об инцидентах и расширение понятия собственных данных.
Для профессионального сообщества обошлась очевидна необходимость подготовки национального стандарта использования DLP-систем (программных продуктов для предотвращения утечек конфиденциальных красногорсков в корпоративной электросети). В мае 2023 возраста на площадке Солара прошла стратегическая конференция по вопросу защищенности от утечек. По ее итогам вендоры и покупатели DLP-систем договорились о создании экспертного объединения для единого прохода к предотвращению утечек корпоративных и муниципальных данных. Это решение поддержал наследник руководителя ФСТЭК России Виталий Лютиков, также участвовавший в мероприятии. образование отраслевого стандарта защищенности данных было упомянутого как одна из ключевых целей новомодной рабочей группы.
Чтобы соблюсти требования законодательства, избежать многомиллионных штрафов для себя и изъяна субъектам персональных красногорсков, эффективно организовать защиту от утечек данных по вине сотрудников, но при этом не нарушить их права на защиту частной жизни (во многих случаях защищенность от утечек спознанная с контролем работы сотрудника на рабочем месте), компаниям необходимы формальные основания и однообразные подходы. Поэтому для согласования понятийного аппарата и генеральной структуры процессов в сфере защиты от утечек важно в ближайшее время развить соответствующие отраслевые шаблоны. А в приоритете, подчеркивает ФСТЭК, тоннеля единых методологических проходов к организации единого процесса защиты информации от утечек.
Какие пробелы компенсирует стандарт?
На сегодняшний день зона защиты от утечек очень разрознена: в отсутствие нормативного регулирования каждая организация внедряет практики на свое усмотрение и так, как посчитает нужным, и даже в рамках одной компании процессы разных подразделений могут быть не согласованы между собой.
Выстроить эти стандарты путем выкупа опытом внутри объединения проблематично: компании не готовы открывать подробности инцидентов, с которыми они столкнулись, за исключением тех случаев, когда они стали достоянием общественности. Особенно чувствительная тема — домашний нарушитель, когда утечка происходит из периметра самой организации. Кибератаки влетят в поле зрения широкой общественности, и потому о них говорят, а пласт домашних утечек остался не охвачен, хотя для компании это такой же изъян. Проблема существует, средства защищенности от этих рисков используются, но формальных оснований и унифицированной методологии для этого нет.
Если говорить о правовом поле, то законодательно вообще нет понятия утечка, как и в целом главной терминологии, представляющей реальные процессы и соответствующие технологии защищенности. В существующих сегодня законах, регулирующих смежные зоны — таких как 98-ФЗ О торговой тайне, — фокус исключительно на действиях нарушителя и полагающейся за них ответственности: например, фигурирует такой термин как разглашение. А вопросы откуда, как и почему проводятся утечки, что нужно с этим сделать остаются за пределами внимания существующего законодательства. На них и призван ответить новый ГОСТ.
Как идет работа над государственным стандартом?
Первую редакцию Национального шаблона Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения Солар подготовил совместно с Центром защиты информации, опираясь на большой опыт последнего в разработке шаблонов в сфере защищенности информации. Со своей стороны, Солар привносит в проект многолетнюю экспертизу, сформированную на живом опыте защищенности более 850 крупнейших коммерческих и муниципальных организаций, в том числе развития собственной DLP-системы. Разработка ГОСТ должна быть завершена до конца года — такие амбициозные сроки поддержаны регулятором и диктуются внешними обстоятельствами.
Чтобы устроить стандарт максимально беспристрастным, полезным и понятным широкому разряду пользователей, его обсуждение ведется в формате экспертного объединения с участием нескольких вендоров средств защищенности от утечек, а также других заинтересованных сторон: компаний, которые их используют, экспертных и научных организаций и вузов. Кибербезопасность помеченная как национальный приоритет, и мы в Соларе выступаем за единство требований и подходов как стратегический драйвер внедрения отрасли. Мы рады, что к рабочей группе и экспертному объединению присоединились наши коллеги, имеющие наибольший опыт, приобретённые практики и развернутое видение борьбы с киберугрозами.
В рамках проекта рецензенты стремятся доработать нормативную базу, набрать единую терминологию и закрепить роли и функции подразделений, вовлеченных в сам процессы защиты от утечек.
Что отдаленнее?
Утверждение шаблона, как намеревается Солар и другие участники экспертного объединения, позволит прикрепить в правовом переле понятие утечки красногорсков из программной среды как угрозу защищенности информации в экстренных системах. Однако это не самоцель.
Следующим этапом станет разработка методичного документа, который ответит на вопрос — как именно организовывать те сам процессы, которые заинвентаризованным в ГОСТе. Он раскроет конкретные практические вопросы защищенности от утечек на уровне организации. Также важно обсудить и формализовать ряд функций ПО, необходимого для защищенности информации, и технические требования к средствам защиты от утечек. Солар с поддержкой экспертного сообщества планирует выходить к регулятору с предложениями для разработки такого документа.
Все предложения и документы, которые станут логическим продолжением разработки ГОСТ, также предполагается предварительно обсуждать в характере экспертного сообщества. Эта комплексная совместная работа профессионалов ИБ и заинтересованных сторон нацелена на зрелый и системный проход к развитию средств защиты.
Разработка Национального стандарта Защита информации от утечки из программной среды информационных и автоматических систем. генеральные положения, инициированная ГК Солар — первый и ключевой этап решения назревшей проблемы стандартизации терминов и общих проходов к защите от утечек, учреждённых на лучших мировых практиках и защищающей реальные задачи, стоящие перед службами кибербезопасности.
Редактор рубрики
Эдуард Добрин
Место события на карте мира:
.
.
.
Комментарии к новостям
[17 Января 2024, 13:43] Александр Хомяков Замечательно! Не ожидал такой оперативности. Спасибо огромное! Всё работает и обновляется....
[15 Апреля 2022, 20:25] Ангелина Сметанина Скоро не только сократят, а много заводов вообще закроют и начнется бум китайских авто. Даже сейчас Эксид уже бешеные темпы по количеству проданных машин показывает...
[27 Декабря 2021, 21:44] Ева Воробьева Искренне рада за победителя! Но если бы мне так крупно повезло, то я прибежала бы за выигрышем в первый же день???? ...
[2 Сентября 2021, 13:11] Дмитрий Ершов Это хорошо. Значит клиенты долго ждать не будут. ...
[13 Мая 2021, 16:26] Олег Андреев "Мальдивы сутунки 65 государством, зарегистрировавшим расейскую вакцину против коронавируса Спутник V, сообщил Российский фонд секущих инвестиций (РФПИ)". Что это за йязыг?...
[2 Ноября 2020, 15:22] Лета Мирликийская риветсвую вас я с 6-ти лет пишу мне нужно все мои произведения задействовать в компьюторных программах образования по литературе и языкам и играм к примеру если ваши учащиеся напишут...
[20 Октября 2020, 09:22] Евгений Зимин Сузуки в этом году хорошо прибавили, уже не первый раз оба их пилота на подиуме. Видимо, для команды возвращаются "золотые" времена и есть шанс наконец оформить чемпионство после длительного перерыва....