2024: Стартовало публичное обсуждение Национального стандарта по организации защиты от утечек информации
ГК «Солар» и «Центр безопасности информации» (ООО «ЦБИ») представили для публичного обсуждения в Росстандарт проект Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Данный ГОСТ позволит ввести в правовое поле понятие «утечка информации (из программной среды информационных (автоматизированных) систем)» и заложит методическую и нормативную базу для защиты от этого вида киберугроз и использования специальных технических средств защиты от утечки (DLP-систем). Об этом ГК «Солар» сообщила 29 февраля 2024 года.
Разработка проекта была инициирована ГК «Солар» и осуществлялась в рамках работы Технического комитета Росстандарта 362 «Защита информации». Предварительное обсуждение документа велось в формате экспертного сообщества, куда вошли регуляторы в сфере защиты информации, все ключевые разработчики DLP-систем, а также их эксплуатанты, научные организации. Такой подход, согласованный и поддержанный регуляторами, обеспечил соблюдение интересов всех сторон и отражение реального запроса бизнеса.
Совместными усилиями был сформирован понятийный аппарат Стандарта. Раздел, содержащий описание технических средств, используемых для защиты информации от утечки, был сформирован таким образом, чтобы не нарушить конкурентное положение отдельных производителей DLP-систем. Для этого разработчиками была организована серия встреч и обсуждений, часть из которых прошла на площадках участников экспертного сообщества, чтобы создать равные условия совместной работы.
Стандартизация отрасли происходит на фоне планомерной борьбы с утечками данных. В конце января 2024 года Госдума в первом чтении приняла законопроект, серьезно ужесточающий ответственность физических и юридических лиц за утечку персональных данных. Поправки в действующее законодательство в том числе предусматривают оборотные штрафы за повторные нарушения.
Подобные меры призваны мотивировать бизнес внимательнее относиться к персональным данным и надежности систем кибербезопасности. Утечки остаются одной из самых масштабных проблем кибербезопасности: по оценке «Солара», в 2023 году пострадало почти 400 российских организаций, в основном из сферы услуг, ритейла, финансовой и игровой индустрии. При этом 99% утекших данных — это данные внутренней документации компаний: сканы документов, информация с компьютеров сотрудников. Национальный стандарт зафиксирует оптимальные процессы организации защиты от утечек информации и даст формальные основания для использования специальных технических средств. На повышение прозрачности процессов внедрения и эксплуатации DLP-систем также направлены предложения по их формализации: от корректного документального оформления в организации режима защиты информации до уведомления сотрудников о том, что работодатель контролирует их работу со служебной информацией.
 | Проект Национального стандарта стал итогом очень продуктивной работы Экспертного сообщества на протяжении полугода. ГОСТ был нашей приоритетной задачей, которую в условиях роста числа атак и инцидентов с информацией, необходимо было решить в сжатые сроки. В рамках обсуждения содержания ГОСТ его участники затрагивают такие важные вопросы, как технические и аналитические возможности DLP-систем, юридические аспекты их использования, взаимодействие с производителями контролируемых систем и необходимость подготовки квалифицированных кадров, сказала Елена Черникова, руководитель направления по работе с государственными структурами ГК «Солар».
|  |
2023: Стандартизация защиты от утечек данных: «Солар» рассказал о разработке ГОСТ
В последние годы государство планомерно реализует стратегию по борьбе с утечками данных, чтобы мотивировать бизнес тщательнее оберегать персональные данные и наращивать надежность систем кибербезопасности. Параллельно наблюдается резкий рост инцидентов с информацией — как в рамках общемирового тренда, так и в результате направленных атак на российские инфраструктуры. В качестве ответной меры готовится пакет регулирующих документов об ужесточении ответственности компаний за утечки и о введении оборотных штрафов за повторное нарушение. Законопроект планировалось внести на рассмотрение в Госдуму уже в осеннюю сессию. Об этом 13 ноября 2023 года сообщили представители компании «Солар».
Как сообщалось, в этих условиях компаниям необходим единый формализованный подход к процессам защиты данных. Так, ГК «Солар» инициировала проект по разработке Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» (включен в План работы Технического комитета по стандартизации «Защиты информации» (ТК 362) на 2023 год).Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Ужесточение регулирования в сфере защиты информации стало одной из наиболее обсуждаемых тем индустрии ИБ: какой должна быть система штрафов и насколько она будет реально применима в нынешних условиях, когда закон даже не определяет, что считать утечкой. При этом проблема существует и стоит довольно остро: 33% от всех киберугроз, с которыми столкнулись российские компании за год, пришлось именно на утечки, а в среднем от одного инцидента крупный бизнес теряет 5,5 млн рублей.
Развитие регуляторики в отношении защиты данных — тренд последних пяти лет во всем мире. В Европе с 2018года действует Общий регламент защиты персональных данных (GDPR), определяющий базовые понятия, принципы работы с информацией, порядок оповещения об утечках и ответственность — максимальный штраф достигает 20 миллионов евро либо 4% годовой выручки, если эта сумма больше. В последствие Китай, Индия и ряд других азиатских стран приняли законы, которые базируются на верхнеуровневых принципах GDPR, и продолжают работать над конкретикой. В США законодательство в этой сфере разнится от штата к штату, но общее направление, в котором оно развивалось и дополнялось в последний год — ужесточение порядка уведомления об инцидентах и расширение понятия персональных данных.
Для профессионального сообщества стала очевидна необходимость подготовки национального стандарта использования DLP систем. В мае 2023 года на площадке «Солара» прошла стратегическая сессия по вопросу защиты от утечек. По ее итогам вендоры и заказчики DLP систем договорились о создании экспертного сообщества для единого подхода к предотвращению утечек корпоративных и государственных данных.
Это решение поддержал заместитель руководителя ФСТЭК России, Виталий Лютиков, также участвовавший в мероприятии. Формирование отраслевого стандарта защиты данных было заявлено как одна из ключевых целей рабочей группы. Чтобы соблюсти требования законодательства, избежать многомиллионных штрафов для себя и ущерба субъектам персональных данных, эффективно организовать защиту от утечек данных по вине сотрудников, но при этом не нарушить их права на защиту частной жизни (во многих случаях защита от утечек связана с контролем работы сотрудника на рабочем месте), компаниям необходимы формальные основания и единообразные подходы. Поэтому для согласования понятийного аппарата и общей структуры процессов в сфере защиты от утечек важно в ближайшее время выработать соответствующие отраслевые стандарты. А в приоритете, подчеркивает ФСТЭК, выработка единых методологических подходов к организации комплексного процесса защиты информации от утечек.
Говоря о предпосылках к разработке ГОСТа, Анна Попова, руководитель департамента клиентского сервиса Центра «Дозор» ГК «Солар», подчеркивает, что на ноябрь 2023 года день сфера защиты от утечек очень разрознена: в отсутствие нормативного регулирования каждая организация внедряет практики на свое усмотрение и так, как посчитает нужным, и даже в рамках одной компании процессы разных подразделений могут быть не согласованы между собой.
Выстроить эти стандарты путем обмена опытом внутри сообщества проблематично: компании не готовы раскрывать подробности инцидентов, с которыми они столкнулись, за исключением тех случаев, когда они стали достоянием общественности. Особенно чувствительная тема — внутренний нарушитель, когда утечка происходит из периметра самой организации. Кибератаки попадают в поле зрения широкой общественности, и потому о них говорят, апласт внутренних утечек остался не охвачен, хотя для компании это такой же ущерб. Проблема существует, средства защиты от этих рисков используются, но формальных оснований и унифицированной методологии для этого нет.
Если говорить о правовом поле, то законодательно вообще нет понятия «утечка», как и в целом базовой терминологии, описывающей реальные процессы и соответствующие технологии защиты. В существующих на ноябрь 2023 года законах, регулирующих смежные сферы — таких как 98 ФЗ «О коммерческой тайне», — фокус исключительно на действиях нарушителя и полагающейся за них ответственности: например, фигурирует такой термин как «разглашение». А вопросы откуда, как и почему происходят утечки, что нужно с этим сделать остаются за пределами внимания существующего законодательства. На них и призван ответить данный ГОСТ.
Первую редакцию Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» «Солар» подготовил совместно с «Центром защиты информации», опираясь на опыт последнего в разработке стандартов в сфере защиты информации. Разработка ГОСТ должна быть завершена до конца 2023 года — такие сроки поддержаны регулятором и диктуются внешними обстоятельствами.
Чтобы сделать стандарт объективным, полезным и понятным широкому кругу пользователей, его обсуждение ведется в формате экспертного сообщества с участием нескольких вендоров средств защиты от утечек, а также других заинтересованных сторон: компании, которые их используют, экспертные и научные организации и вузы.
В рамках проекта эксперты стремятся доработать нормативную базу, ввести единую терминологию, и закрепить роли и функции подразделений, вовлеченных в процессы защиты от утечек. Утверждение стандарта, как рассчитывает «Солар» и другие участники экспертного сообщества, позволит закрепить в правовом поле понятие утечки данных из программной среды как угрозу безопасности информации в критических системах. Однако это не самоцель.
Следующим шагом станет разработка методического документа, который ответит на вопрос — как именно организовывать те процессы, которые описаны в ГОСТе. Он раскроет конкретные практические вопросы защиты от утечек на уровне организации. Также важно согласовать и формализовать перечень функций ПО, необходимого для защиты информации, и технические требования к средствам защиты от утечек. «Солар» с поддержкой экспертного сообщества планирует выходить к регулятору с предложениями для разработки такого документа.
Все предложения и документы, которые станут логическим продолжением разработки ГОСТ, также предполагается предварительно обсуждать в формате экспертного сообщества. Эта комплексная совместная работа профессионалов ИБ и заинтересованных сторон нацелена на зрелый и системный подход к развитию средств защиты.
Разработка Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения», инициированная ГК Солар — первый и основополагающий этап решения назревшей проблемы стандартизации терминов и общих подходов к защите от утечек, основанных на мировых практиках и отражающей реальные задачи, стоящие перед службами кибербезопасности.
