Обзор проекта отраслевого стандарта защиты данных

Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта, который поможет защищать данные. Этот стандарт разработан для установления общих правил и норм в области защиты информации (ЗИ), особенно в контексте большого объема данных.

Основной идеей этого стандарта является обеспечение безопасности и конфиденциальности данных, которые обрабатываются и хранятся в организациях.

Для достижения этой цели предусматривается проведение ежегодных аудитов кибербезопасности. Эти аудиты представляют собой проверку систем и процедур, используемых для защиты данных, с целью выявления уязвимостей и недостатков в системах безопасности.

Путем внедрения добровольных аудитов кибербезопасности участники Ассоциации надеются укрепить защиту данных и уменьшить риски утечек, что, в свою очередь, может помочь избежать потенциальных оборотных штрафов, если ситуация будет развиваться в сторону их применения.

Что представляет собой концепция отраслевого стандарта защиты данных?

Положение представляет собой методологию для оценки того, насколько хорошо организации, которые работают с персональными данными (ПДн), обеспечивают безопасность и ЗИ.

В тексте Положения термины «персональные данные» и «информация» используются взаимозаменяемо.

Оценка проводится на добровольной основе, что означает, что организации могут решить пройти эту оценку по своей инициативе. Этот процесс помогает им определить, насколько эффективно они обеспечивают безопасность данных.

Организации, которые обрабатывают персональные данные, именуются операторами персональных данных в контексте Положения.

Для подтверждения своей согласованности с Положением организации, стремящиеся соблюдать требования, должны отправить официальный документ в Ассоциацию участников рынка больших данных. Этот документ подтверждает, что они признают Положение и обязуются соблюдать его в своей деятельности.

Сама оценка действенности организационных и управленческих процессов обеспечения безопасности информации у операторов ПДн проводится в рамках внутреннего аудита.

Результаты этого аудита затем подвергаются последующей проверке, называемой валидацией, чтобы убедиться в достоверности и точности полученных результатов оценки.

Это позволяет участвующим организациям оценить свою работу в области защиты данных и улучшить свои процессы при необходимости.

Как проводится внутренний аудит в рамках концепции отраслевого стандарта защиты данных?

Операторы ПДн, которые собирают и обрабатывают личную информацию пользователей, несут ответственность за обеспечение безопасности данных.

Для проверки безопасности они формируют экспертные группы, которые выполняют оценку эффективности мер, принятых для обеспечения ЗИ.
Экспертные группы, состоящие из сотрудников различных подразделений, таких как отделы по обеспечению безопасности данных, информационных технологий и бизнес-процессов, играют ключевую роль в обеспечении безопасности ПДн.

Экспертная группа анализирует, какие меры защиты применяются для предотвращения несанкционированного доступа к данным, а также какие процедуры реагирования на инциденты в области информационной безопасности установлены. Это позволяет выявить слабые места и предложить улучшения.

Если оценка показывает, что стандарты не были достигнуты, оператор персональных данных должен разработать план мероприятий по улучшению эффективности защиты информации. При последующей оценке производится анализ реализации этого плана, который был принят на предыдущей оценке.

Таким образом, данный процесс включает в себя:

• Оценку текущих процессов
• Разработку плана улучшений
• Проверку результатов его реализации

Это позволяет операторам персональных данных постоянно совершенствовать свои методы обеспечения безопасности информации.

Однако важно понимать, что результаты внутренних аудитов должны быть объективными и достоверными. Именно для этого существует процесс валидации – процедура, которая позволяет оценить объективность выводов, сделанных экспертной группой в ходе внутреннего аудита.

Цель валидации заключается не только в подтверждении правильности проведенного анализа, но и в разработке конкретных планов для улучшения эффективности организационных и управленческих процессов в области защиты информации.

Валидация результатов проводится оператором персональных данных не позднее 3 месяцев после внутренней проверки.

Для обеспечения качества и доверия к результатам внешней проверки, работы должны проводиться с участием профильных организаций. При этом не разрешается привлечение организаций, которые имеют зависимое отношение к оператору ПДн, который проходит аудит.

Как часто нужно проводить аудит соответствия требованиям концепции отраслевого стандарта защиты данных?

Плановая оценка эффективности процессов обеспечения защиты информации является регулярной практикой, проводимой оператором персональных данных каждый год. Этот процесс направлен на оценку того, насколько хорошо системы и процедуры безопасности информации функционируют внутри организации.

Однако существуют случаи, при наступлении которых необходимо провести внеочередную оценку эффективности организационных и управленческих процессов обеспечения защиты информации.
Эти случаи включают в себя:

1. Возникшие инциденты, влияющие на безопасность информации. Если происходит серьезный сбой в безопасности данных, такой как утечка или хакерская атака, оператор ПДн должен провести дополнительную оценку эффективности своих процессов обеспечения защиты данных для предотвращения подобных инцидентов в будущем.
2. Если одна компания поглощает другую или две компании сливаются вместе. При таких структурных изменениях информационные системы и процессы безопасности могут быть подвергнуты значительным изменениям. Например, новые части организации могут иметь свои собственные системы управления данными, сети и политики безопасности. Если организация проходит через изменения в своей информационной инфраструктуре из-за слияния или поглощения другой компании, это может повлиять на уровень безопасности данных. В таких случаях целесообразно провести дополнительную оценку, чтобы убедиться, что новые системы и процедуры обеспечивают адекватную защиту данных.

Критерии безопасности ПДн согласно стандарту АБД

Список правил и критериев представляет собой систему, позволяющую оценить эффективность мер по защите информации.

Каждый критерий оценивается в баллах от 0 до 1, где 0 означает отсутствие мер по защите информации, а 1 – полное соответствие стандартам безопасности.

Один из аспектов – определение ответственных лиц в организации. Если функции по организации защиты информации не определены (балл 0), это означает слабость в системе безопасности. Поэтому назначение ответственных лиц, специализирующихся исключительно на защите данных (балл 1), считается наилучшей практикой.

Дополнительный аспект – наличие специализированных подразделений или специалистов. Создание подразделения по защите информации без специализированного образования или профессиональной подготовки (балл 0.2) считается минимальным уровнем безопасности. В то время как наличие подразделения с профильным образованием и обязательными курсами повышения квалификации (балл 0.4) повышает уровень защиты данных.

Важным для организации также является регламентация правил и процедур реагирования на компьютерные инциденты.

Внедрение четких и структурированных правил обработки инцидентов, как описано в стандарте, позволяет эффективно контролировать происходящее и минимизировать ущерб от атак и сбоев в работе информационных систем.

Определение временных интервалов начала процедур реагирования – это один из первостепенных параметров. Быстрая реакция на события и инциденты информационной безопасности важна для минимизации возможных потерь.

Важно, чтобы начало процедур реагирования не превышало 36 часов с момента выявления инцидента. Это обеспечивает оперативное реагирование на угрозы и сокращает время, в течение которого злоумышленники могут действовать в сети организации.
Если же время реагирования превышает 36 часов, то в системе критериев оценки безопасности данных в организации это равняется 0 баллов.

Стандарт определяет и другие немаловажные правила, которым необходимо следовать, чтобы укрепить систему безопасности данных. Они описаны в пункте 4 стандарта.

Категории операторов ПДн и метрики оценки безопасности согласно концепции отраслевого стандарта защиты данных

Для эффективной оценки уровня безопасности операторы ПДн подразделяются на категории, каждая из которых имеет свои характеристики и метрики оценки безопасности.

Категория 1: уровень основной безопасности:

1. Уровень защиты: 4 УЗ (средний уровень защиты, исключая биометрические данные и специальные категории).
2. Объем данных: не более 100 000 записей.
3. Баллы оценки эффективности процессов: 6 и более.

Категория 2: уровень повышенной безопасности:

1. Уровень защиты: 3 УЗ и выше или ИСПДн является стратегическим направлением бизнеса.
2. Объем данных: более 100 000 записей.
3. Баллы оценки эффективности процессов: 10 и более.

Категория 3: уровень специальной безопасности:

1. Уровень защиты: наличие специальных категорий персональных данных или уровень защиты не ниже 2 УЗ.
2. Баллы оценки эффективности процессов: 14 и более.

Категория 4: уровень критической безопасности:

1. Объем данных: более 500 000 записей в базе данных.
2. Профиль риска: критический профиль риска (процесс обработки данных может иметь критичные для государства последствия).
3. Баллы оценки эффективности процессов: 18 и более.

Оценка безопасности данных по этим категориям позволяет операторам ПДн определить уровень защиты информации и принимать меры для обеспечения безопасности данных в соответствии с их важностью и объемом.