Минцифры обсуждает с ФСБ и подведомственной Минобороны ФСТЭК возможность проведения добровольного ежегодного аудита для российских компаний - операторов личных (персональных) данных, пишет газета "Ведомости" со ссылкой на источники.
Сейчас в соответствии с законодательством ФСТЭК и ФСБ контролируют и регламентируют требования для защиты таких данных. Однако эти требования не успевают обновляться, чтобы соответствовать актуальным киберугрозам, с которыми сталкиваются компании, уточняет источник издания в профильной ассоциации.
По данным издания, Минцифры выступает за то, чтобы компании активнее инвестировали в системы информбезопасности, в этом контексте и обсуждается предложение о ежегодном добровольном аудите защищенности данных. По словам источника, такой аудит могли бы проводить аккредитованные государством компании, занимающиеся информационной безопасностью, например, Positive Technologies, "Лаборатория Касперского" или Group-IB.
При этом будет ли такой аудит заменять обязательные требования анализа состояния информационной безопасности в компании или он будет производиться на основании обязательных требований ФСБ и ФСТЭК, собеседники "Ведомостей" не уточнили.
Тем временем в июле прошло совещание Минцифры с представителями бизнеса, которое было посвящено разработке законодательных поправок, устанавливающих размеры штрафов за утечку личных данных клиентов в зависимости от оборота допустившей ее компании. То есть, значительно повышающих штрафы относительно существующих. На встрече присутствовали представители "Ростелекома", МТС, "Авито", "Яндекса", Ozon, "Вымпелкома", VK и других компаний.
После совещания министерство сообщило о проработке новой версии законопроекта, с применением более мягких мер в случае, если утечка произошла впервые, если компания приложила усилия к защите информации, а также установление градации по объему утекших данных. И обсуждаемый добровольный аудит как раз мог бы рассматриваться как смягчающее обстоятельство и быть подтверждением мер защиты данных.