Data fusion
Российские компании подписали отраслевой стандарт защиты данных, в рамках которого могут добровольно пройти независимый аудит. Стандарт может повлиять на способы ведения бизнеса.
Вчера, 18 апреля, на площадке конференции Data fusion четверо членов-участников ассоциации больших данных (АБД): российский интернет-сервис "Авито", ПАО "Вымпелком" ("Билайн"), АО "Тинькофф Банк" и ООО "Яндекс", подписали отраслевой стандарт защиты данных, который разработала АБД.
Документ представляет собой дорожную карту, которая определяет стандарты хранения и защиты данных и позволяет оценить эффективность процессов в компании внутри системы информационной безопасности.
Согласно новому стандарту, независимый аудит могут проводить экспертные группы из числа специалистов самих компаний и организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. "Они будут оценивать систему защиты по ряду критериев: модель организации и управления защитой данных, политика защиты информации, план мероприятий по отработке угроз. Отдельно рассматривается, как в компании выявляют уязвимости, реагируют на внештатные ситуации, а также как готовят персонал", - сказано в сообщении АБД.
Отраслевой стандарт не дублирует требования нормативных правовых актов РФ в области защиты персональных данных (ПДн), не противоречит и не расширяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах (приказ федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21).
Участники АБД, подписавшие стандарт, планируют проводить аудит ежегодно. На вопрос корреспондента ComNews, кого еще президент АБД Анна Серебряникова хотела бы видеть в числе подписантов, она ответила, что к отраслевому стандарту может присоединиться любая компания на рынке, и отметила, что крупный бизнес, с которым АБД взаимодействует, должен добавиться в ближайшее время. "У нас есть планы, но я не могу говорить за других. Планируется еще несколько волн подписания", - отметила Анна Серебряникова.
АБД образовалась в России осенью 2018 г. На данный момент членами ассоциации являются: аналитический центр при правительстве РФ, центр стратегических разработок, ПАО "Сбербанк", ПАО "Банк ВТБ", "Яндекс", ООО "ВК" (VK), АО "Газпромбанк", "Тинькофф банк", АО "Россельхозбанк", ПАО "Мегафон", ПАО "Ростелеком", ГК Qiwi, "Билайн", ПАО "Мобильные ТелеСистемы" (МТС), фонд "Сколково", "Авито".
Основная цель ассоциации - создание условий для развития технологий и продуктов в сфере больших данных в России.
На вопрос корреспондента ComNews, какие были предпосылки для подписания отраслевого стандарта, управляющий директор российского интернет-сервиса "Авито" Влад Федулов ответил, что "Авито" работает с огромным количеством данных. "Основа политики нашего интернет-сервиса - это безопасность клиента, поэтому работать по определенным стандартам и соблюдать их - это наше все", - сказал Влад Фетисов.
Руководитель отдела информационной безопасности "Яндекса" Александр Каледа подчеркнул, что безопасность данных пользователей – один из главных принципов "Яндекса". "Мы вкладываем серьезные ресурсы в создание технологий защиты, которые отличаются от любых решений на рынке из-за размеров нашей инфраструктуры. Только за прошлый год мы более чем вдвое увеличили инвестиции в цифровую безопасность с учетом того, что ежегодно "Яндекс" проходит около 40 независимых экспертиз и аудит по новому стандарту обязательно войдет в их число", - сказал Александр Каледа.
Аналитик Mobile Research Group Эльдар Муртазин отметил, что любые отраслевые стандарты интересны тем, что их создание накладывает на участников определенный уровень хранения данных и тех методов, которые у них есть. Это означает, что у всех компаний, которые войдут в отраслевой стандарт защиты, сразу создастся минимальный уровень безопасности, хотя у "Авито" и "Билайна" порог защиты значительно выше. Компании подписали документ, потому что вопрос утечки данных крайне болезненный для всех. Стандарты задают определенный уровень для всего рынка благодаря тому, что компании-подписанты выступают как локомотивы, которые продвигают эту историю. И поэтому это меняет не положение этих компаний, а всю отрасль и рынок в целом", - сказал Эльдар Муртазин.
Леонид Делицын, аналитик ФГ "Финам" считает, что отраслевой стандарт очень важен, поскольку крупные игроки индустрии способны ему следовать. "Это создает некоторую точку отсчета для регулятора, которому в случае крупного инцидента с данными придется решать, какие принимать меры. Если окажется, что индустриальные стандарты были соблюдены, значит, компания, безопасность данных которой была нарушена, сделала все, что было в ее силах. Если наоборот - значит ясно, кто виноват. Даже если регулятор решит сам вводить нормативы, то индустриальные стандарты дают ему точку отсчета, относительно которой можно конструировать эти нормативы", - сказал Леонид Делицын.
Аналитик отметил, что на безопасности данных компаний, подписавших документ, этот стандарт вряд ли значительно скажется, поскольку он, скорее всего, фиксирует тот уровень защиты данных, которого они уже достигли.
Леонид Делицын считает, что отраслевой стандарт может повлиять на способы ведения бизнеса, но не обязательно приведет к тому, что кто-то с рынка уйдет. "К примеру, центральный банк РФ ввел правила информационной безопасности для банков и рекомендовал тем, для которых обеспечение этих правил - слишком сложная задача, аутсорсить информационную безопасность специализированных компаний из списка, получивших разрешение оказывать согласившимся организациям банковские услуги. В индустрии данных, когда ее начнут жестче регулировать, может сложиться аналогичная ситуация - отраслевой стандарт примут за основу, а кто не сможет сам обеспечить следование ему, того обяжут аутсорсить безопасность данных уполномоченным специализированным компаниям", - прогнозирует Леонид Делицын.