Защиту данных с точки зрения регуляторов и бизнеса обсудили участники регуляторного трека в рамках прошедшей вчера в Москве конференции «Защита данных: сохранить всё». Начал дискуссию Дмитрий Шевцов, начальник управления ФСТЭК России — он рассказал об успехах службы за последний год и мероприятиях по защите данных.

Шевцов напомнил, что в сложившейся сегодня ситуации регулятор и поднадзорные организации находятся на одной стороне баррикад, повышая уровень защищённости информации.

У ФСТЭК есть чётко очерченная сфера деятельности:

  • госсектор, государственные информационные ресурсы;
  • информационная безопасность критической информационной инфраструктуры РФ, для чего были созданы требования и осуществляется контроль их исполнения;
  • вопросы установления состава и содержания мер и способов обеспечения безопасности персональных данных.

На каждый вопрос информационной безопасности необходим ответ в нормативно-правовых актах. По мнению регулятора, документы должны быть по каждому вопросу понятны и прозрачны. Проблема состоит в том, что эти требования многие представители отрасли не читают. «Важно, чтобы документы ещё и исполнялись», — отметил спикер.

За прошедший год ФСТЭК РФ подготовила методические документы и руководства, в том числе по организации процесса управления уязвимостями в органе власти или организации, оценке уровня критичности уязвимостей программных, программно-аппаратных средств. В части сертификации средств защиты информации (СЗИ) подготовлены требования к средствам контейнеризации и виртуализации, к многофункциональным межсетевым экранам уровня сети (NGFW), к системам управления базами данных (СУБД).

В части требований к NGFW на сегодня нет отечественных решений, которые полноценно соответствуют требованиям, уточнил докладчик. Разработчикам межсетевых экранов поставлены сроки по приведению программно-аппаратных комплексов в соответствие с требованиями к весне 2024 года и подтверждению соответствия им ПАК.

Дмитрий Шевцов также отметил, что ранее разработчики сертифицировали только прикладное ПО, оставляя за рамками процесса саму СУБД. Сейчас концепция меняется, и в части новых требований по безопасности информации к СУБД ФСТЭК настоятельно рекомендуется использовать только сертифицированные системы управления базами данных.

Сейчас служба активно работает над тем, чтобы СЗИ разрабатывались безопасно в доверенной среде. Разработчики таких продуктов получат преференции при испытаниях СЗИ и их сертификации. Помимо этого, ведутся работы по исследованию безопасности ядра Linux в созданном на базе ИСП РАН под эгидой ФСТЭК России Технологическом центре исследования безопасности ядра Linux. Аналогичные работы ведутся и в других направлениях, в том числе защиты данных. В планах ведомства на следующий год переработка уже действующих требований с учётом мнения экспертного сообщества.

Больную для бизнеса и отрасли ИБ тему оборотных штрафов затронул Владимир Маслов, директор Департамента цифровых технологий Торгово-промышленной палаты РФ. Он заметил, что предприниматели неактивно идут навстречу регуляторам, так сложилось исторически. Однако ТПП РФ ведёт работу по организации взаимодействия с регуляторами.

Оборотные штрафы могут привести к банкротству компаний, несмотря на выделенные ИБ -бюджеты. Особенно это касается предприятий малого и среднего бизнеса (МСП). Это же касается и позиции вендоров, которые не видят разницы между крупными предприятиями и компаниями МСП. Что потенциально может использоваться и в конкурентной борьбе. Поэтому необходима дифференциация штрафов в зависимости от размеров организации, поскольку штраф ослабит финансовые возможности компании для устранения последствий инцидента.

Представитель ТПП РФ полагает, что стоит подумать о просветительской деятельности и поддержке развития ИБ. Есть вопросы и по ответственности за неуведомление о нарушении, и по размерам штрафов за повторные нарушения, которые нанесут непоправимый ущерб МСП, и по срокам продления переходного периода.

Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры России, в свою очередь, констатировал, что при расследовании утечек возникает вопрос, как и зачем хранили те данные, которые утекли. «Одна из задач регулятора — не сбор оборотных штрафов или закрытие каких-то компаний и бизнесов, не наполнение бюджета, а снижение числа утечек», — напомнил представитель регулятора.

Есть два подхода:

  • снижать объём хранения информации, минимизировать сбор ПДн;
  • защищать ПДн.

Важно добиться того, чтобы у компаний не было утечек. Вне зависимости от того, как организовано хранение данных, компания должна нести ответственность за нарушения. Необходимо, чтобы она довлела на организацию. «Если у вас есть ИТ и данные, займитесь тем, чтобы эти данные не утекли», — заключил Бенгин.

О проблемах ИБ для промышленных холдингов говорил Александр Кириллов, советник генерального директора по информации «Северсталь-групп». Он отметил: бизнес оценивает риски и затраты. У компании «Северсталь» большой бюджет на ИБ, но львиная его часть уходит сегодня на импортозамещение. При этом в части решений корпорация не может найти отечественных решений, которые удовлетворят все её потребности.

Борис Мирошников, вице-президент по информационной безопасности группы компаний «Гарда», обратил внимание на то, что сегодня человеку невозможно спрятаться от цифрового мира, как предлагали участники другой дискуссии. Интерес для преступников представляют все люди — об этом говорит как статистика сбора ПДн и последующих их утечек, так и рост числа краж средств со счетов граждан. А в некоторых случаях использование данных для шпионажа, мошеннических сделок и шантажа. Всё это оказывает влияние на жизни и судьбы людей.

Держатель персональных данных трудящихся России и части стран СНГ Виталий Терентьев, CSO и GR-директор HeadHunter, поспорил с утверждением коллег, что у личных данных есть стоимость. «Любые ПДн надо защищать — их нельзя оценить, — заявил спикер, напомнив про репутацию компаний, допустивших утечки, и реакции на это пользователей соцсетей. – Данные — это новое золото. Мы живём в мире со стеклянными стенами. Про любого из нас профессионал за пять минут с помощью смартфона соберёт такой объём информации, что можно заниматься и шантажом и многим другим. Поэтому нельзя бороться с тем, что уже давно есть — надо брать и управлять этим, и регуляторика должна идти в эту сторону».

GR-директор HeadHunter поддерживает введение оборотных штрафов и ответственность за утечки. Но обращает внимание на низкую цифровую грамотность судебного корпуса, который столкнётся с непонятными вопросами из незнакомой сферы деятельности. В этом процессе также будет задействовано огромное количество специалистов, помимо ИБ, и во многих случаях передача данных этим службам противоречит закону.

Обращая внимание на импортозамещение и переход с западных решений на отечественные, спикер сообщил об острой нехватке высококвалифицированных специалистов, которые могут осуществить миграцию данных на новые решения и последующее их обслуживание. Такие специалисты — штучный товар, что не понаслышке знает HeadHunter. Этот и другие нюансы не учитываются нормативно-правовыми актами. Ещё один волнующий Виталия Терентьева аспект проблемы импортозамещения — тот факт, что отечественные компании в своём развитии «закукливаются» и не учитывают западный опыт. В перспективе это грозит отставанием.

Отвечая на вопросы «что делать» и «где найти новые технологии» Дмитрий Шевцов подчеркнул, что при расследовании инцидентов часто выясняется, что для многих компаний защита информации не является гигиеной. Проблемы последних инцидентов связаны с неправильной эксплуатацией и использованием СЗИ, отсутствием внутреннего контроля и удалённых подключений, контроля подрядчиков... Необходимо соблюдать базовые принципы защиты информации и использовать те СЗИ, которые доступны на рынке, надо тестировать их и развивать. Шевцов полагает, что введение контроля исполнения требований и аудита со стороны органов госвласти, ответственности за неисполнение заставит механизм защиты данных заработать. Этот тезис поддержал и Владимир Бенгин, добавивший, что каждый из присутствующих в зале знает тех, кто начинает выполнять требования регуляторов, когда сроки уже истекли и пришли контролирующие органы.

Виталий Терентьев поднял вопрос продления сроков импортозамещения и рассказал о проблемах, которые могут возникнуть в процессе перехода, а также о необходимости поддержки компаний в этом момент со стороны регуляторов.

Наконец, Владимир Бенгин напомнил о том, как важно повышать уровень киберграмотности и правильно строить системы — чтобы потом не зависеть от человеческого фактора. «Данные нужно защищать», — подытожил он, добавив, что в России есть порядка 4 млн операторов ПДн. При крупной утечке чаще всего есть чёткие параметры, указывающие на источник данных. Но есть и юридические проблемы доказательства факта утечки ПДн у конкретного оператора. Над этими вопросами и предстоит работать.

24 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных