По итогам стратегической сессии по вопросу защиты от утечек, инициированной «РТК-Солар», представители вендоров и заказчиков DLP-систем договорились о создании экспертного сообщества для формирования единого подхода к процессу организации предотвращения утечек корпоративных и государственных данных. В ближайшее время сообщество должно представить совместный план по формированию отраслевого стандарта защиты от утечек информации.
Участники отрасли информационной безопасности на площадке «РТК-Солар» провели стратегическую сессию о перспективах развития защиты от утечек данных. Во встрече принял участие заместитель директора ФСТЭК России Виталий Лютиков, представители организаций-производителей и эксплуатантов технических средств защиты от утечек, а также представители образовательных и научных организаций.
Основной целью встречи стало обсуждение условий для обеспечения стандартизации и нормативного регулирования процессов защиты от утечек, подготовки квалифицированных кадров для налаживания процессов на уровне организаций, а также технологического развития DLP-систем с учетом реальных потребностей рынка. Важным итогом встречи стало решение о формировании экспертного сообщества в этой области, инициированное «РТК-Солар» и поддержанное ФСТЭК России и другими участниками мероприятия.
«Проблематика защиты корпоративных и государственных данных сейчас носит в первую очередь методологический характер. Нужно определить подходы к организации защиты от утечек как комплексному процессу. Самая большая проблема, с которой мы сталкиваемся – идентификация активов, которые нужно защищать. Соответственно, мы видим необходимость корректного описания режима конфиденциальности информации в организациях. Как регулятор мы видим много пользы в объединении усилий заказчиков, производителей и интеграторов с целью поиска и разработки наиболее эффективных средств защиты от утечек данных. Упрощение процессов встраивания средств защиты от утечек данных и минимизация связанных с этим рисков позволит компаниям сосредоточиться на ключевых для них направлениях деятельности», – отметил Виталий Лютиков, заместитель директора ФСТЭК России.
«Объем корпоративных данных постоянно растет, увеличивается и количество способов их хранения. Более разветвленным становится доступ к ним, в том числе с использованием мессенджеров, которые стали средством корпоративных коммуникаций. Все это – новый вызов для отрасли, который связан с защитой данных при их хранении, обработке и передаче. Сейчас не хватает базы лучших практик по организации соответствующих процессов. Но, несмотря то что в текущих геополитических условиях приходится работать в пожарном режиме, тема методологической основы, единых стандартов очень важна. Мы предлагаем создать инициативную рабочую группу и совместно выработать фундаментальный подход к управлению защитой корпоративных данных, который должен лечь в основу документа по стандартизации соответствующих процессов, разработку которого мы ведем в настоящий момент», – сказал Игорь Ляпунов, генеральный директор «РТК-Солар».
Задачами экспертного сообщества станут налаживание коммуникации и обмен опытом организации процессов защиты от утечек информации и оценки их эффективности между всеми стейкхолдерами ИБ-отрасли: вендорами, интеграторами, заказчиками и регуляторами. Планируется, что такая тесная коммуникация обеспечит наилучшее соответствие предлагаемых средств защиты потребностям и инфраструктуре заказчиков, а также будет стимулировать разработку и внедрение новых технологий, в том числе с использованием ИИ.
«Мы исходим из того, что информационная безопасность требует комплексного подхода: будь то защита критической инфраструктуры или борьба с утечками данных. В случае с утечками в равной степени важно грамотно внедрять технологические решения и одновременно повышать осведомленность сотрудников. Человеческий фактор часто становится решающим, даже при эффективной работе всех необходимых средств защиты, поэтому мы уделяем особое внимание работе с персоналом», – прокомментировал директор Департамента защиты информации и IT-инфраструктуры ПАО «ГМК «Норильский никель» Алексей Мартынцев.
«InfoWatch поддерживает идею стандарта для систем защиты от утечек. Более того, в 2021 году мы делали подход к созданию новой области стандартизации в сфере ИБ и ИТ и подготовили стандарт "Процессы контроля обработки смысловой компьютерной информации. Автоматизированные системы контроля процессов обработки смысловой компьютерной информации. Термины и определения", направленный в технический комитет по стандартизации "Защита информации" (ТК 362) – для экспертизы на соответствие базовым требованиям законодательства и публикации в реестре стандартов. Мы готовы продолжить эту работу в любом формате. Возможно, будет разумно выделить отдельные направления – например, по защите персональных данных», – говорит Наталья Касперская, президент ГК InfoWatch, председатель правления АРПП «Отечественный софт».
В ближайших планах экспертного сообщества – формирование состава участников, сбор предложений по ключевым направлениям деятельности и проведение установочной встречи для согласования плана работы на 2023 год. «РТК-Солар» обеспечит сбор первичных материалов и базы участников сообщества. Предполагается, что в течение месяца план работ также будет представлен ФСТЭК России.