Операторам персональных данных готовят ежегодный аудит

Минцифры обсуждает с ФСБ и подведомственной Минобороны Федеральная служба по техническому и экспортному контролю (ФСТЭК) возможность проведения добровольного ежегодного аудита для российских компаний, являющихся операторами персональных данных (ПД). Об этом сообщают «Ведомости» со ссылкой на источники.

По словам одного из собеседников издания, в настоящее время требования к защите данных, регламентируемые приказами ФСБ и ФСТЭК, зачастую не успевают обновлять в связи с появлением новых киберугроз. Предполагается, что ежегодный добровольный аудит защищенности данных будет способствовать более активному инвестированию компаний в системы информбезопасности.

Ответственность за нарушение требований ФСБ и ФСТЭК не превышает 15 000 рублей, напомнил адвокат КА Pen & Paper Виктор Рыков. Если операторы ПД редко привлекаются к ответственности, то причина проработки новых мер кроется в отсутствии достаточных мер административного воздействия, предположил он.

По словам одного из источников издания, Минцифры выступает за то, чтобы компании активнее инвестировали в системы информбезопасности (ИБ), в этом контексте и обсуждается предложение о ежегодном добровольном аудите защищенности данных. Такой аудит могли бы проводить аккредитованные государством компании в сфере ИБ.

За последние несколько лет компании стали более серьезно относиться к вопросам ИБ, отметил бизнес-консультант по информбезопасности Positive Technologies Алексей Лукацкий. А поскольку аудит проводится с целью верификации невозможности реализации утечки, то количество утечек снижается. Такие аудиты должны проводиться регулярно, «иначе нельзя гарантировать уровень защищенности» данных, подчеркнул Лукацкий.

Технический директор АО «Синклит» Лука Сафонов назвал прорабатываемую меру эффективной и привел в пример банки, аудиты которых проводятся в соответствии с отраслевыми стандартами «в среднем раз в квартал». Он напомнил, что из-за сильной зарегулированности у банков практически нет ни утечек, ни взломов. Если ввести похожую практику по другим объектам информатизации, в том числе с привлечением независимых исследователей, это повысит их защищенность, убежден Сафонов.