Ассоциация больших данных (АБД) разработала концепцию отраслевого стандарта защиты данных. Стандарты расширяют требования имеющихся ГОСТов и, по планам АБД, должны стать рекомендуемыми, но не обязательными.
© ComNews
07.11.2023
Ассоциация больших данных сообщила, что группа по безопасности данных из числа членов ассоциации создала концепцию отраслевого стандарта для ИТ-компаний по работе с данными. Группа начала работу в январе 2023 г. По данным АБД, подписание стандарта завершится в течение ближайших месяцев.
В АБД входят такие компании, как ГК "ВК", ГК "Яндекс", АО "Газпромбанк", ПАО "Сбербанк", АО "Тинькофф Банк", ПАО "МегаФон", ПАО "Ростелеком (ГК "Солар"), АО "Киви Банк", ПАО "ВымпелКом" ("Билайн"), ПАО "МТС", АНО "Аналитический центр при правительстве РФ", Фонд "Сколково", ПАО "Банк ВТБ", Фонд "Центр стратегических разработок", АО "Россельхозбанк".
В документе перечислены основные критерии надежной системы хранения и защиты данных: процессы организации и управления защитой данных, политики о защите информации, план мероприятий по отработке угроз.
По словам пресс-службы АБД, стандарт будет представлять собой открытый документ, который содержит рекомендации использовать, например, bug bounty и пентесты, а также обращать пристальное внимание на то, каким образом компания должна организовать процессы защиты персональных данных.
Пресс-служба АБД объяснила, что цель стандартов - содействие повышению безопасности персональных данных через проведение регулярных внутренних аудитов ИТ-компаний на соответствие предложенному стандарту. Как отметила Ирина Левова, директор по стратегическим проектам АБД, компании планируют проводить такой аудит не реже одного раза в год и таким образом подтверждать высокий уровень их систем информационной безопасности.
"Обязательность стандартов мы не предполагали, однако интересным было бы закрепление статуса разработанного стандарта в качестве рекомендуемого. Мы понимаем, что защититься от утечки на 100% нельзя, но можно суммировать и постоянно обновлять лучшие практики защиты данных. Разработанный документ предполагает бальную систему, и любая компания может ориентироваться помимо обязательных требований, также и на стандарт", - добавил представитель пресс-службы АБД.
В России в части стандартизации работы с данными существует ГОСТ Р 52633.6-2012 "Защита информации. Техника защиты информации" и другие ГОСТы. Государственным органом, отвечающим за разработку стандартов, является Федеральное агентство по техническому регулированию и метрологии (Росстандарт). По информации АБД, новые стандарты будут содержать дополнительные к имеющимся ГОСТам рекомендованные меры, а в будущем ассоциация планирует установить диалог с регуляторами для совершенствования и доработки стандарта.
