Защита данных по-новому: российские IT-компании внедряют единый стандарт безопасности

Ведущие российские IT-компании, включая Avito, Вымпелком, Тинькофф Банк и Яндекс, официально присоединились к новому отраслевому стандарту по защите данных, как сообщает Ассоциация больших данных (АБД).

Стандарт, выступающий в виде дорожной карты, устанавливает критерии для хранения и обеспечения безопасности данных, а также методы оценки эффективности систем информационной безопасности компаний.

Для соответствия установленным требованиям IT-компаниям необходимо будет проходить ежегодный независимый аудит, который будут проводить специализированные группы с лицензией на работу с конфиденциальной информацией.

В ходе аудита эксперты оценят организационные и управленческие аспекты защиты данных, а также политику и планы по противодействию возможным угрозам. Особое внимание будет уделено процессам выявления уязвимостей, реагирования на чрезвычайные ситуации и подготовке персонала.

В АБД надеются, что к инициативе присоединятся другие крупные игроки рынка, что усилит защиту данных на всем отраслевом уровне. Среди других членов АБД числятся такие компании, как VK, Сбербанк, Газпромбанк, Россельхозбанк, Мегафон, Ростелеком, МТС, ВТБ и Центр стратегических разработок.

Новый стандарт был разработан на фоне предложений по законодательному регулированию, предусматривающих введение значительных штрафов за утечки персональных данных. В декабре 2023 года в Госдуму были внесены поправки в Уголовный кодекс, предусматривающие штрафы от 5 до 500 млн рублей в зависимости от объема утекших данных и повторности нарушений:

• Утечки данных от 1000 до 10 000 пользователей – штрафы до 5 млн рублей;
• Утечки данных 100 000 человек – штрафы до 10 млн рублей;
• Утечки более 100 000 субъектов – штрафы до 15 млн рублей.

В случае повторного нарушения компании могут быть оштрафованы на сумму от 0,1% до 3% от оборота, но штраф не будет меньше 15 млн и не превысит 500 млн рублей.

Для сравнения, в текущем законодательстве предельный штраф за первую утечку персональных данных составляет 100 000 рублей, а за последующие нарушения — до 300 000 рублей. Новый стандарт, таким образом, является частью усилий по предотвращению подобных инцидентов и минимизации потенциальных штрафных санкций.