Группа компаний «Солар» и компания «Центр безопасности информации» (ООО «ЦБИ») представили для публичного обсуждения в Росстандарт проект Национального стандарта (ГОСТа) «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения». Новый ГОСТ должен ввести в правовое поле понятие «утечка информации (из программной среды информационных автоматизированных систем)» и заложить методическую и нормативную базу для защиты от этого вида киберугроз и использования специальных технических средств защиты от утечки (DLP‑систем).
Разработку проекта ГОСТа инициировала ГК «Солар». Создание документа осуществлялось в рамках работы Технического комитета Росстандарта 362 «Защита информации». Предварительное обсуждение документа велось в формате экспертного сообщества. В это сообщество вошли регуляторы в сфере защиты информации, все ключевые разработчики DLP‑систем, компании‑пользователи DLP‑систем и научные организации.
В рамках обсуждения был создан понятийный аппарат стандарта, например раздел с описанием технических средств, используемых для защиты информации от утечки, сформировали с учётом конкурентного положения отдельных производителей DLP‑систем.
В конце января 2024 года Госдума в первом чтении приняла законопроект, ужесточающий ответственность физических и юридических лиц за утечку персональных данных. Поправки в действующее законодательство предусматривают оборотные штрафы за повторные нарушения.
По словам разработчиков документа, ГОСТ зафиксирует оптимальные процессы организации защиты от утечек информации и даст формальные основания для использования специальных технических средств. На повышение прозрачности процессов внедрения и эксплуатации DLP‑систем направлены предложения по их формализации: от корректного документального оформления в организации режима защиты информации до уведомления сотрудников о контроле работы со служебной информацией работодателем.
Как рассказала руководитель направления по работе с государственными структурами ГК «Солар» Елена Черникова, в рамках обсуждения содержания ГОСТа его участники затрагивают такие важные вопросы, как технические и аналитические возможности DLP‑систем, юридические аспекты их использования, взаимодействие с производителями контролируемых систем и необходимость подготовки квалифицированных кадров.
