Минцифры одобрило идею о добровольном аудите IT-компаний
Скоро Госдума начнет рассматривать законопроект об усилении ответственности бизнеса за ненадлежащее хранение биометрии. Сейчас максимальный размер санкции за утечки персональных данных граждан не превышает 300 000 руб., но после принятия поправок за такое нарушение компанию могут оштрафовать на сумму до 20 млн руб. С такой перспективой не согласились ни бизнес, ни Минэк, предлагавшие разные альтернативы поправкам.
Недавно для властей подготовили еще один вариант решения проблемы утечек: принять отраслевой стандарт защиты данных, который включает независимый аудит для IT-компаний на соответствие этому стандарту. И этой идеей замглавы Минцифры Александр Шойтов заинтересовался.
Концепцию разработали в Ассоциации больших данных (АБД), куда входят «Яндекс», VK, Сбербанк, «Газпромбанк», «Ростелеком», МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве и Центр стратегических разработок. В АБД объяснили: чем больше чувствительных данных собирает компания, тем серьезнее будут требования к безопасности инфраструктуры. Компании смогут добровольно проходить оценку соответствия новому стандарту. Сначала будут оценивать их процессы организации и управления защитой данных, политику по защите информации и план мероприятий по отработке угроз. Еще при аудите предлагается изучать, как фирма выявляет уязвимости, реагирует на нештатные ситуации и тренирует персонал. Такой аудит компании должны будут проводить не реже одного раза в год.
В Минцифры на это предложение ответили, что порядок обращения с данными уже регулирует закон № 152, а другие инициативы можно рассматривать лишь в формате дополнения к нему.
Автор инициативы, директор по взаимодействию с органами власти ГК «Солар» Михаил Адоньев, на стратегической сессии АБД поделился: компания вместе с ассоциацией разработала методики аудита, которые позволят сделать вывод, что оператор достаточно вкладывается в обеспечение защиты. Президент АБД Анна Серебряникова пояснила, что сейчас обсуждается доработка инициативы. Она надеется, что документ с методиками аудита примут в качестве дополнительного добровольного стандарта, а проведение компанией оценки защищенности будут учитывать как смягчающее обстоятельство при назначении оборотных штрафов.