Российские ИТ-компании будут проводить общую проверку безопасности ежегодно
Крупные российские IT-компании, банки и операторы связи решили проводить ежегодные проверки своих систем безопасности. Это стало частью отраслевых правил для защиты данных, которые разработала Ассоциация больших данных (АБД) — в неё входят такие компании, как «Яндекс», VK, «Сбербанк», «Газпромбанк», «Тинькофф», «Мегафон», «Ростелеком», «Билайн», МТС, ВТБ, «Авито» и другие. Эти правила устанавливают основные стандарты для надёжного хранения и защиты данных, которые помогут укрепить безопасность данных в этих организациях.
Эти новые правила могут также уменьшить размер штрафов за утечку данных из этих компаний. С момента весны 2022 года обсуждается законопроект, который предусматривает внедрение таких штрафов. Летом 2023 года правительство представило законопроект, который скоро будет представлен в Госдуму. По текущему закону об административных правонарушениях (КоАП), компании могут быть оштрафованы в размере от 60 000 до 100 000 рублей за утечку персональных данных. Предлагаемый законопроект предусматривает штраф в размере 1% годового оборота компании, допустившей утечку данных, и даже 3%, если компания попытается скрыть инцидент. Однако размер штрафа может уменьшаться, если компания сертифицирует свою инфраструктуру в соответствии с требованиями безопасности.
Документ АБД также включает в себя систему оценки, которая позволяет определить, насколько эффективно компании обеспечивают безопасность данных. Компании, которые хранят больше 500 000 записей в базе данных или имеют повышенные риски из-за географического положения или сектора деятельности, могут получить высокие баллы при выполнении различных требований, включая управление пользователями, двухфакторную аутентификацию и меры реагирования на инциденты.
Этот стандарт — важная инициатива для ключевых игроков в индустрии информационных технологий, и он поможет обеспечить наивысший уровень защиты данных в этой отрасли. Однако законопроект об уголовных штрафах за утечку данных остаётся актуальным, так как он обеспечивает конкретную ответственность за нарушение правил и регламентов. Эти инициативы, хотя и разные, могут дополнять друг друга и укреплять безопасность данных в России.