Защиту данных с точки зрения регуляторов и бизнеса обсудили участники регуляторного трека в рамках прошедшей вчера в Москве конференции «Защита данных: сохранить всё». Начал дискуссию Дмитрий Шевцов, начальник управления ФСТЭК России — он рассказал об успехах службы за последний год и мероприятиях по защите данных.

Шевцов напомнил, что в сложившейся сегодня ситуации регулятор и поднадзорные организации находятся на одной стороне баррикад, повышая уровень защищённости информации.

У ФСТЭК есть чётко очерченная сфера деятельности:

  • госсектор, государственные информационные ресурсы;
  • информационная безопасность критической информационной инфраструктуры РФ, для чего были созданы требования и осуществляется контроль их исполнения;
  • вопросы установления состава и содержания мер и способов обеспечения безопасности персональных данных.

На каждый вопрос информационной безопасности необходим ответ в нормативно-правовых актах. По мнению регулятора, документы должны быть по каждому вопросу понятны и прозрачны. Проблема состоит в том, что эти требования многие представители отрасли не читают. «Важно, чтобы документы ещё и исполнялись», — отметил спикер.

За прошедший год ФСТЭК РФ подготовила методические документы и руководства, в том числе по организации процесса управления уязвимостями в органе власти или организации, оценке уровня критичности уязвимостей программных, программно-аппаратных средств. В части сертификации средств защиты информации (СЗИ) подготовлены требования к средствам контейнеризации и виртуализации, к многофункциональным межсетевым экранам уровня сети (NGFW), к системам управления базами данных (СУБД).

В части требований к NGFW на сегодня нет отечественных решений, которые полноценно соответствуют требованиям, уточнил докладчик. Разработчикам межсетевых экранов поставлены сроки по приведению программно-аппаратных комплексов в соответствие с требованиями к весне 2024 года и подтверждению соответствия им ПАК.

Дмитрий Шевцов также отметил, что ранее разработчики сертифицировали только прикладное ПО, оставляя за рамками процесса саму СУБД. Сейчас концепция меняется, и в части новых требований по безопасности информации к СУБД ФСТЭК настоятельно рекомендуется использовать только сертифицированные системы управления базами данных.

Сейчас служба активно работает над тем, чтобы СЗИ разрабатывались безопасно в доверенной среде. Разработчики таких продуктов получат преференции при испытаниях СЗИ и их сертификации. Помимо этого, ведутся работы по исследованию безопасности ядра Linux в созданном на базе ИСП РАН под эгидой ФСТЭК России Технологическом центре исследования безопасности ядра Linux. Аналогичные работы ведутся и в других направлениях, в том числе защиты данных. В планах ведомства на следующий год переработка уже действующих требований с учётом мнения экспертного сообщества.

Больную для бизнеса и отрасли ИБ тему оборотных штрафов затронул Владимир Маслов, директор Департамента цифровых технологий Торгово-промышленной палаты РФ. Он заметил, что предприниматели неактивно идут навстречу регуляторам, так сложилось исторически. Однако ТПП РФ ведёт работу по организации взаимодействия с регуляторами.

Оборотные штрафы могут привести к банкротству компаний, несмотря на выделенные ИБ -бюджеты. Особенно это касается предприятий малого и среднего бизнеса (МСП). Это же касается и позиции вендоров, которые не видят разницы между крупными предприятиями и компаниями МСП. Что потенциально может использоваться и в конкурентной борьбе. Поэтому необходима дифференциация штрафов в зависимости от размеров организации, поскольку штраф ослабит финансовые возможности компании для устранения последствий инцидента.

Представитель ТПП РФ полагает, что стоит подумать о просветительской деятельности и поддержке развития ИБ. Есть вопросы и по ответственности за неуведомление о нарушении, и по размерам штрафов за повторные нарушения, которые нанесут непоправимый ущерб МСП, и по срокам продления переходного периода.

Владимир Бенгин, директор Департамента обеспечения кибербезопасности Минцифры России, в свою очередь, констатировал, что при расследовании утечек возникает вопрос, как и зачем хранили те данные, которые утекли. «Одна из задач регулятора — не сбор оборотных штрафов или закрытие каких-то компаний и бизнесов, не наполнение бюджета, а снижение числа утечек», — напомнил представитель регулятора.

Есть два подхода:

  • снижать объём хранения информации, минимизировать сбор ПДн;
  • защищать ПДн.

Важно добиться того, чтобы у компаний не было утечек. Вне зависимости от того, как организовано хранение данных, компания должна нести ответственность за нарушения. Необходимо, чтобы она довлела на организацию. «Если у вас есть ИТ и данные, займитесь тем, чтобы эти данные не утекли», — заключил Бенгин.

О проблемах ИБ для промышленных холдингов говорил Александр Кириллов, советник генерального директора по информации «Северсталь-групп». Он отметил: бизнес оценивает риски и затраты. У компании «Северсталь» большой бюджет на ИБ, но львиная его часть уходит сегодня на импортозамещение. При этом в части решений корпорация не может найти отечественных решений, которые удовлетворят все её потребности.

Борис Мирошников, вице-президент по информационной безопасности группы компаний «Гарда», обратил внимание на то, что сегодня человеку невозможно спрятаться от цифрового мира, как предлагали участники другой дискуссии. Интерес для преступников представляют все люди — об этом говорит как статистика сбора ПДн и последующих их утечек, так и рост числа краж средств со счетов граждан. А в некоторых случаях использование данных для шпионажа, мошеннических сделок и шантажа. Всё это оказывает влияние на жизни и судьбы людей.

Держатель персональных данных трудящихся России и части стран СНГ Виталий Терентьев, CSO и GR-директор HeadHunter, поспорил с утверждением коллег, что у личных данных есть стоимость. «Любые ПДн надо защищать — их нельзя оценить, — заявил спикер, напомнив про репутацию компаний, допустивших утечки, и реакции на это пользователей соцсетей. – Данные — это новое золото. Мы живём в мире со стеклянными стенами. Про любого из нас профессионал за пять минут с помощью смартфона соберёт такой объём информации, что можно заниматься и шантажом и многим другим. Поэтому нельзя бороться с тем, что уже давно есть — надо брать и управлять этим, и регуляторика должна идти в эту сторону».

GR-директор HeadHunter поддерживает введение оборотных штрафов и ответственность за утечки. Но обращает внимание на низкую цифровую грамотность судебного корпуса, который столкнётся с непонятными вопросами из незнакомой сферы деятельности. В этом процессе также будет задействовано огромное количество специалистов, помимо ИБ, и во многих случаях передача данных этим службам противоречит закону.

Обращая внимание на импортозамещение и переход с западных решений на отечественные, спикер сообщил об острой нехватке высококвалифицированных специалистов, которые могут осуществить миграцию данных на новые решения и последующее их обслуживание. Такие специалисты — штучный товар, что не понаслышке знает HeadHunter. Этот и другие нюансы не учитываются нормативно-правовыми актами. Ещё один волнующий Виталия Терентьева аспект проблемы импортозамещения — тот факт, что отечественные компании в своём развитии «закукливаются» и не учитывают западный опыт. В перспективе это грозит отставанием.

Отвечая на вопросы «что делать» и «где найти новые технологии» Дмитрий Шевцов подчеркнул, что при расследовании инцидентов часто выясняется, что для многих компаний защита информации не является гигиеной. Проблемы последних инцидентов связаны с неправильной эксплуатацией и использованием СЗИ, отсутствием внутреннего контроля и удалённых подключений, контроля подрядчиков... Необходимо соблюдать базовые принципы защиты информации и использовать те СЗИ, которые доступны на рынке, надо тестировать их и развивать. Шевцов полагает, что введение контроля исполнения требований и аудита со стороны органов госвласти, ответственности за неисполнение заставит механизм защиты данных заработать. Этот тезис поддержал и Владимир Бенгин, добавивший, что каждый из присутствующих в зале знает тех, кто начинает выполнять требования регуляторов, когда сроки уже истекли и пришли контролирующие органы.

Виталий Терентьев поднял вопрос продления сроков импортозамещения и рассказал о проблемах, которые могут возникнуть в процессе перехода, а также о необходимости поддержки компаний в этом момент со стороны регуляторов.

Наконец, Владимир Бенгин напомнил о том, как важно повышать уровень киберграмотности и правильно строить системы — чтобы потом не зависеть от человеческого фактора. «Данные нужно защищать», — подытожил он, добавив, что в России есть порядка 4 млн операторов ПДн. При крупной утечке чаще всего есть чёткие параметры, указывающие на источник данных. Но есть и юридические проблемы доказательства факта утечки ПДн у конкретного оператора. Над этими вопросами и предстоит работать.

24 октября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных