Ведущие российские IT-компании подписали отраслевой стандарт защиты данных
Руководители Avito, «Вымпелкома», Тинькофф Банка и «Яндекса» подписали отраслевой стандарт защиты данных. Он требует от IT-компаний ежегодно проводить независимый аудит своих систем защиты. Стандарт разработан на фоне обсуждаемого в Госдуме законопроекта о введении оборотных штрафов за утечки персональных данных
Четыре российские IT-компании, в том числе Avito, «Вымпелком», Тинькофф Банк и «Яндекс», подписали отраслевой стандарт защиты данных, сообщила пресс-служба Ассоциации больших данных (АБД). Речь идет о дорожной карте, определяющей стандарты хранения и защиты данных и позволяющей оценить эффективность систем информационной безопасности компаний.
Для соответствия новому стандарту IT-компании будут должны проходить независимый аудит. Его смогут проводить экспертные группы компаний, имеющих лицензию на деятельность по защите конфиденциальной информации. Они будут оценивать организацию и управление защитой данных, политику защиты информации и план мероприятий по отработке угроз. Также они должны изучить, как компании выявляют уязвимости, реагируют на внештатные ситуации и готовят персонал.
Проводить такой аудит, подтверждающий высокий уровень систем информационной безопасности, необходимо не реже одного раза в год.
Президент АБД Анна Серебряникова выразила надежду, что к инициативе присоединятся и другие игроки рынка и это «существенно усилит защиту данных на уровне всей отрасли». Помимо четырех компаний, подписавших новый стандарт, членами АБД являются в том числе VK, Сбербанк, Газпромбанк, Россельхозбанк, «Мегафон», «Ростелеком», МТС, ВТБ и Центр стратегических разработок.
О том, что в АБД разработан отраслевой стандарт защиты данных, Forbes сообщал в ноябре 2023 года. Предложенный механизм саморегулирования призван смягчить законопроект, предполагающий наложение оборотных штрафов за утечки персональных данных.
Соответствующие поправки в Уголовный кодекс были внесены в Госдуму 4 декабря 2023 года, в январе 2024-го они одобрены в первом чтении.
Согласно законопроекту, размер штрафа будет зависеть от объема утечки: за потерю данных от 1000 до 10 000 субъектов наказание для юрлиц составит до 5 млн рублей, до 100 000 субъектов — до 10 млн рублей, более 100 000 — до 15 млн рублей. За повторное нарушение предусмотрен оборотный штраф на уровне 0,1–3% от оборота, но не менее 15 млн и не более 500 млн рублей.
Сейчас максимальный штраф для компаний, по вине которых произошла утечка персональных данных, не превышает 100 000 рублей и 300 000 рублей при повторном нарушении.