В последние годы государство планомерно реализует стратегию по борьбе с утечками данных, чтобы мотивировать бизнес тщательнее оберегать персональные данные и наращивать надежность систем кибербезопасности. Параллельно наблюдается резкий рост инцидентов с информацией — как в рамках общемирового тренда, так и в результате направленных атак на российские инфраструктуры. В качестве ответной меры готовится пакет регулирующих документов об ужесточении ответственности компаний за утечки и о введении оборотных штрафов за повторное нарушение. Законопроект планировалось внести на рассмотрение в Госдуму уже в осеннюю сессию.
В этих условиях компаниям необходим единый формализованный подход к процессам защиты данных. Так, ГК «Солар» инициировала проект по разработке Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» (включен в План работы Технического комитета по стандартизации «Защиты информации» (ТК 362) на 2023 год).
Почему стандарт необходим именно сейчас?
Ужесточение регулирования в сфере защиты информации стало одной из самых обсуждаемых сегодня тем индустрии ИБ: какой должна быть система штрафов и насколько она будет реально применима в нынешних условиях, когда закон даже не определяет, что считать утечкой. При этом проблема существует и стоит довольно остро: 33% от всех киберугроз, с которыми столкнулись российские компании за год, пришлось именно на утечки, а в среднем от одного инцидента крупный бизнес теряет 5,5 млн рублей.
Развитие регуляторики в отношении защиты данных — тренд последних пяти лет во всем мире. В Европе с 2018 года действует Общий регламент защиты персональных данных (GDPR), определяющий базовые понятия, принципы работы с информацией, порядок оповещения об утечках и ответственность — максимальный штраф достигает 20 миллионов евро либо 4% годовой выручки, если эта сумма больше. В последствие Китай, Индия и ряд других азиатских стран приняли законы, которые базируются на верхнеуровневых принципах GDPR, и продолжают работать над конкретикой. В США законодательство в этой сфере разнится от штата к штату, но общее направление, в котором оно развивалось и дополнялось в последний год — ужесточение порядка уведомления об инцидентах и расширение понятия персональных данных.
Для профессионального сообщества стала очевидна необходимость подготовки национального стандарта использования DLP‑систем. В мае 2023 года на площадке «Солара» прошла стратегическая сессия по вопросу защиты от утечек. По ее итогам вендоры и заказчики DLP‑систем договорились о создании экспертного сообщества для единого подхода к предотвращению утечек корпоративных и государственных данных. Это решение поддержал заместитель руководителя ФСТЭК России, Виталий Лютиков, также участвовавший в мероприятии. Формирование отраслевого стандарта защиты данных было заявлено как одна из ключевых целей новой рабочей группы.
Чтобы соблюсти требования законодательства, избежать многомиллионных штрафов для себя и ущерба субъектам персональных данных, эффективно организовать защиту от утечек данных по вине сотрудников, но при этом не нарушить их права на защиту частной жизни (во многих случаях защита от утечек связана с контролем работы сотрудника на рабочем месте), компаниям необходимы формальные основания и единообразные подходы. Поэтому для согласования понятийного аппарата и общей структуры процессов в сфере защиты от утечек важно в ближайшее время выработать соответствующие отраслевые стандарты. А в приоритете, подчеркивает ФСТЭК, выработка единых методологических подходов к организации комплексного процесса защиты информации от утечек.
Какие пробелы восполнит стандарт?
Говоря о предпосылках к разработке ГОСТа, Анна Попова, руководитель департамента клиентского сервиса Центра «Дозор» ГК «Солар», подчеркивает, что на сегодняшний день сфера защиты от утечек очень разрознена: в отсутствие нормативного регулирования каждая организация внедряет практики на свое усмотрение и так, как посчитает нужным, и даже в рамках одной компании процессы разных подразделений могут быть не согласованы между собой.
Выстроить эти стандарты путем обмена опытом внутри сообщества проблематично: компании не готовы раскрывать подробности инцидентов, с которыми они столкнулись, за исключением тех случаев, когда они стали достоянием общественности. Особенно чувствительная тема — внутренний нарушитель, когда утечка происходит из периметра самой организации. Кибератаки попадают в поле зрения широкой общественности, и потому о них говорят, а пласт внутренних утечек остался не охвачен, хотя для компании это такой же ущерб. Проблема существует, средства защиты от этих рисков используются, но формальных оснований и унифицированной методологии для этого нет.
Если говорить о правовом поле, то законодательно вообще нет понятия «утечка», как и в целом базовой терминологии, описывающей реальные процессы и соответствующие технологии защиты. В существующих сегодня законах, регулирующих смежные сферы — таких как 98‑ФЗ «О коммерческой тайне», — фокус исключительно на действиях нарушителя и полагающейся за них ответственности: например, фигурирует такой термин как «разглашение». А вопросы откуда, как и почему происходят утечки, что нужно с этим сделать остаются за пределами внимания существующего законодательства. На них и призван ответить новый ГОСТ.
Как идет работа над национальным стандартом?
Первую редакцию Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» «Солар» подготовил совместно с «Центром защиты информации», опираясь на большой опыт последнего в разработке стандартов в сфере защиты информации. Со своей стороны «Солар» привносит в проект многолетнюю экспертизу, сформированную на живом опыте защиты более 850 крупнейших коммерческих и государственных организаций, в том числе внедрения собственной DLP‑системы Solar Dozor. Разработка ГОСТ должна быть завершена до конца года — такие амбициозные сроки поддержаны регулятором и диктуются внешними обстоятельствами.
Чтобы сделать стандарт максимально объективным, полезным и понятным широкому кругу пользователей, его обсуждение ведется в формате экспертного сообщества с участием нескольких вендоров средств защиты от утечек, а также других заинтересованных сторон: компании, которые их используют, экспертные и научные организации и вузы.
«Кибербезопасность обозначена как национальный приоритет, и мы в «Соларе» ратуем за единство требований и подходов как стратегический драйвер развития отрасли. Мы рады, что к рабочей группе и экспертному сообществу присоединились наши коллеги, имеющие ценнейший опыт, наработанные практики и профессиональное видение борьбы с киберугрозами», — прокомментировала Анна Попова.
В рамках проекта эксперты стремятся доработать нормативную базу, ввести единую терминологию, и закрепить роли и функции подразделений, вовлеченных в процессы защиты от утечек.
Что дальше?
Утверждение стандарта, как рассчитывает «Солар» и другие участники экспертного сообщества, позволит закрепить в правовом поле понятие утечки данных из программной среды как угрозу безопасности информации в критических системах. Однако это не самоцель.
Следующим шагом станет разработка методического документа, который ответит на вопрос — как именно организовывать те процессы, которые описаны в ГОСТе. Он раскроет конкретные практические вопросы защиты от утечек на уровне организации. Также важно согласовать и формализовать перечень функций ПО, необходимого для защиты информации, и технические требования к средствам защиты от утечек. «Солар» с поддержкой экспертного сообщества планирует выходить к регулятору с предложениями для разработки такого документа.
Все предложения и документы, которые станут логическим продолжением разработки ГОСТ, также предполагается предварительно обсуждать в формате экспертного сообщества. Эта комплексная совместная работа профессионалов ИБ и заинтересованных сторон нацелена на зрелый и системный подход к развитию средств защиты.
Разработка Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения», инициированная ГК Солар — первый и основополагающий этап решения назревшей проблемы стандартизации терминов и общих подходов к защите от утечек, основанных на лучших мировых практиках и отражающей реальные задачи, стоящие перед службами кибербезопасности.
Присоединиться к работе над Национальным стандартом и другими материалами в его развитие можно зарегистрировавшись в качестве участника экспертного сообщества по направлению «Защита от утечек» (https://rt-solar.ru/events/community/).
