Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")

Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.

Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).

В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).

В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...

ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.

ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️