Минцифры, ФСБ и ФСТЭК займутся аудитом защищенности данных

Минцифры обсуждает с ФСБ и подведомственной Минобороны ФСТЭК возможность проведения добровольного ежегодного аудита для российских компаний – операторов персональных данных (ПД). Это «Ведомостям» рассказал источник в крупной IT-компании и подтвердил собеседник в профильной ассоциации, участвующий в обсуждениях инициативы Минцифры с отраслью. В пресс-службе Минцифры, ФСБ и в ФСТЭК не ответили на запросы «Ведомостей».

Сейчас в соответствии с законодательством ФСТЭК и ФСБ контролируют то, насколько тщательно операторы ПД подходят к вопросу их безопасности. Соответствующие приказы ФСБ и ФСТЭК регламентируют требования, которые обязательно должны выполняться для защиты данных. Но проблема в том, что эти требования ведомств не успевают обновляться, чтобы соответствовать актуальным киберугрозам, с которыми сталкиваются компании, говорит собеседник в профильной ассоциации. «А добровольный аудит у специалистов – это более гибкая история», – пояснил он.

Приказы ФСБ и ФСТЭК устанавливают конкретные организационные и технические меры защиты данных, подтверждает адвокат КА Pen & Paper Виктор Рыков. Разница в том, что приказ ФСБ предназначен для операторов, использующих средства криптографической защиты, а приказ ФСТЭК устанавливает требования для всех остальных операторов, уточняет он. По его словам, ответственность по нарушениям этих требований для компаний не превышает 15 000 руб. «Если на практике операторы ПД редко привлекаются к ответственности за несоблюдение требований приказов ФСБ и ФСТЭК, то, вероятно, причина проработки новых мер кроется в отсутствии достаточных мер административного воздействия», – предполагает юрист.

Будет ли добровольный аудит заменять обязательные требования по анализу состояния информационной безопасности (ИБ) в компании или он будет производиться на основании обязательных требований ФСБ и ФСТЭК, собеседники «Ведомостей» не уточнили.

По словам одного из источников, Минцифры выступает за то, чтобы компании активнее инвестировали в системы информбезопасности, в этом контексте и обсуждается предложение о ежегодном добровольном аудите защищенности данных. Такой аудит, по словам собеседника, могли бы проводить аккредитованные государством компании по ИБ. Он предполагает, что аудит могут проводить Positive Technologies, «Лаборатория Касперского», Group-IB. Но обсуждения конкретных структур-аудиторов и принципа их государственной аккредитации пока что не было, возражает другой источник, близкий к одной из крупных IT-компаний.

Сейчас штраф для юрлиц за утечку данных по ст. 13.11 КоАП составляет от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. Законопроект об оборотных штрафах для компаний за утечки ПД обсуждается с весны, с этим предложением в апреле выступило Минцифры. Позже министерство согласовало законопроект, предполагающий штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор.

В июле ряд компаний выступили за смягчение этих штрафов, считая, что в текущей экономической ситуации это еще больше ухудшит положение бизнеса, писал «Коммерсантъ». В частности, на совещании, где присутствовали представители «Ростелекома», МТС, Avito, «Яндекса», Ozon, «Вымпелкома», VK и других компаний, обсуждалась гибкая система штрафов для тех компаний, которые соблюдают все требования законодательства.

После совещания Минцифры сообщило о проработке новой версии законопроекта. Среди предложенных параметров было применение более мягких мер в случае, если утечка произошла впервые, если компания приложила усилия к защите информации, а также установление градации по объему утекших данных. Добровольный аудит систем ИБ компании, согласно предложению Минцифры, мог рассматриваться «как смягчающее обстоятельство» и быть «подтверждением мер, принятых для защиты от утечек», говорилось в официальной позиции ведомства касательно статуса законопроекта.

По словам трех собеседников «Ведомостей», участвовавших в обсуждении этого законопроекта на площадке Минцифры, эта мера активно обсуждалась как консенсус между министерством и отраслью по вопросу ответственности за утечки.

Аудит защищенности процессов по обработке ПД – важный элемент в формировании ИБ, считает руководитель отдела консалтинга Group-IB Роман Сюбаев. По его словам, большая часть клиентов обращается за техническим аудитом в Group-IB ежегодно, иногда не раз. Часть заказчиков контрактуется на 1–3 года вперед, в этом случае работы включают в себя по 2–4 итерации проверок и перепроверок в течение года, добавляет он. Но, предупреждает Сюбаев, нужно избегать ситуаций «аудит ради аудита», т. е. акцентировать внимание не на количестве, а на качестве проверок. Например, аудиты защищенности не должны ограничиваться исключительно «бумажной» проверкой, а включать в себя проверку процессов и эффективности применяемых мер защиты, а технический аудит не является панацеей от внутренних злоумышленников, объясняет эксперт.

За последние несколько лет компании и до законопроекта об оборотных штрафах стали более серьезно относиться к вопросам ИБ, констатирует бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. «И так как в нашем случае целью аудита является не демонстрация соответствия требованиям «для галочки», а верификация невозможности реализации утечки, то число утечек, конечно, снижается», – добавляет он. Лукацкий подчеркнул, что такие аудиты должны проводиться регулярно, «иначе нельзя гарантировать уровень защищенности» данных.

Технический директор АО «Синклит» Лука Сафонов называет прорабатываемую меру эффективной и приводит в пример банки, аудиты которых проводятся в соответствии с отраслевыми стандартами «в среднем раз в квартал»: «Банки очень сильно зарегулированы, поэтому у них практически нет ни утечек, ни взломов. Если ввести похожую практику по другим объектам информатизации, в том числе с привлечением независимых исследователей в рамках программ Bug Bounty (поощрение «белых хакеров». – «Ведомости»), это повысит их защищенность». С другой стороны, многое будет зависеть от того, кто будет проводить независимый аудит: отрасль становится «денежной», о своей работе в ней заявляет большое число компаний. «У нас 10 компаний делают пентесты, а 100 продают. Надо, чтобы их проводили профессионалы, аккредитованные лицензированные компании», – резюмировал Сафонов.