В соответствии с законодательством ФСТЭК и ФСБ контролируют то, насколько тщательно операторы ПД подходят к вопросу их безопасности. Соответствующие приказы этих ведомств регламентируют требования, которые обязательно должны выполняться для защиты данных, пишут «Ведомости». Но проблема в том, что требования не успевают обновляться, чтобы соответствовать актуальным киберугрозам, отметил собеседник издания в профильной ассоциации. В такой ситуации добровольный аудит несет больше гибкости, пояснил он.
Ответственность за нарушение требований ФСБ и ФСТЭК не превышает 15 000 рублей, напомнил адвокат КА Pen & Paper Виктор Рыков. Если операторы ПД редко привлекаются к ответственности, то причина проработки новых мер кроется в отсутствии достаточных мер административного воздействия, предположил он.
По словам одного из источников издания, Минцифры выступает за то, чтобы компании активнее инвестировали в системы информбезопасности (ИБ), в этом контексте и обсуждается предложение о ежегодном добровольном аудите защищенности данных. Такой аудит могли бы проводить аккредитованные государством компании в сфере ИБ.
За последние несколько лет компании стали более серьезно относиться к вопросам ИБ, отметил бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. А поскольку аудит проводится с целью верификации невозможности реализации утечки, то количество утечек снижается. Такие аудиты должны проводиться регулярно, «иначе нельзя гарантировать уровень защищенности» данных, подчеркнул Алексей Лукацкий.
Технический директор АО «Синклит» Лука Сафонов назвал прорабатываемую меру эффективной и привел в пример банки, аудиты которых проводятся в соответствии с отраслевыми стандартами «в среднем раз в квартал». Он напомнил, что из-за сильной зарегулированности у банков практически нет ни утечек, ни взломов. Если ввести похожую практику по другим объектам информатизации, в том числе с привлечением независимых исследователей, это повысит их защищенность, убежден Лука Сафонов.
Ранее сообщалось, что Госдума и Минцифры выступают за введение оборотных штрафов и уголовной ответственности за утечку данных.
