ГК «Солар» и «Центр безопасности информации» (ООО «ЦБИ») представили для публичного обсуждения в Росстандарт проект Национального стандарта «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Новый ГОСТ позволит ввести в правовое поле понятие «утечка информации (из программной среды информационных (автоматизированных) систем)» и заложит методическую и нормативную базу для защиты от этого вида киберугроз и использования специальных технических средств защиты от утечки (DLP-систем).
Разработка проекта была инициирована ГК «Солар» и осуществлялась в рамках работы Технического комитета Росстандарта 362 «Защита информации». Предварительное обсуждение документа велось в формате экспертного сообщества, куда вошли регуляторы в сфере защиты информации, все ключевые разработчики DLP-систем, а также их эксплуатанты, научные организации. Такой подход, согласованный и поддержанный регуляторами, обеспечил соблюдение интересов всех сторон и отражение реального запроса бизнеса.
Совместными усилиями был сформирован понятийный аппарат Стандарта. Раздел, содержащий описание технических средств, используемых для защиты информации от утечки, был сформирован таким образом, чтобы не нарушить конкурентное положение отдельных производителей DLP-систем. Для этого разработчиками была организована серия встреч и обсуждений, часть из которых прошла на площадках участников экспертного сообщества, чтобы создать равные условия совместной работы.
Стандартизация отрасли происходит на фоне планомерной борьбы с утечками данных. В конце января Госдума в первом чтении приняла законопроект, серьезно ужесточающий ответственность физических и юридических лиц за утечку персональных данных. Поправки в действующее законодательство в том числе предусматривают оборотные штрафы за повторные нарушения.
Подобные меры призваны мотивировать бизнес внимательнее относиться к персональным данным и надежности систем кибербезопасности. Утечки остаются одной из самых масштабных проблем кибербезопасности: по оценке «Солара», в 2023 году пострадало почти 400 российских организаций, в основном из сферы услуг, ритейла, финансовой и игровой индустрии. При этом 99% утекших данных — это данные внутренней документации компаний: сканы документов, информация с компьютеров сотрудников. Национальный стандарт зафиксирует оптимальные процессы организации защиты от утечек информации и даст формальные основания для использования специальных технических средств. На повышение прозрачности процессов внедрения и эксплуатации DLP-систем также направлены предложения по их формализации: от корректного документального оформления в организации режима защиты информации до уведомления сотрудников о том, что работодатель контролирует их работу со служебной информацией.
Елена Черникова, руководитель направления по работе с государственными структурами ГК «Солар», комментирует: «Проект Национального стандарта стал итогом очень продуктивной работы Экспертного сообщества на протяжении полугода. ГОСТ был нашей приоритетной задачей, которую в условиях роста числа атак и инцидентов с информацией, необходимо было решить в сжатые сроки. В рамках обсуждения содержания ГОСТ его участники затрагивают такие важные вопросы, как технические и аналитические возможности DLP-систем, юридические аспекты их использования, взаимодействие с производителями контролируемых систем и необходимость подготовки квалифицированных кадров. Несмотря на то, что мы сами разработчик DLP системы Solar Dozor, прежде всего мы руководствуемся общим интересом рынка: DLP-решения и процессы, которые сопровождают их использование, должны наконец стать понятными для всех участников».