В любой организации безопасность информационной среды обеспечивают специалисты, имеющие соответствующее образование, навыки и опыт. Однако ответственными за их действия (или бездействие), являются непосредственно руководители организаций или лица, обладающие правом принятия решений. Если ранее такая ответственность была призрачной, то теперь она приобретает законодательные основания.
Специалисты аналитического центра Falcongaze SecureTower кратко объяснили, что делать, чтобы не только оградить организацию от проблем, но и обезопасить личные доходы, а также не скомпрометировать себя как управленца.
Сколько заплатит лично руководитель за утечку данных?
В начале октября стало известно, что Минцифры России разрабатывает законопроект, согласно которому планируется ввести персональную ответственность за утечку данных из организации. Если изначально речь шла о штрафах только для организаций, то теперь они грозят и должностным лицам. Предполагается, что если в организации произойдёт утечка данных от 10 000 до 100 000 субъектов, то сумма штрафа, которую предъявят лично руководителю, будет следующей (Таблица).
Напомним, что на данный момент в Кодексе Российской Федерации об административных правонарушениях зафиксированы штрафы за утечку данных только для юридических лиц. Они составляют от 60 000 до 100 000 руб., при повторной утечке данных штраф для юридического лица составляет уже до 500 000 руб.
Хотите избежать персонального штрафа за утечку данных из организации? Примите 5 управленческих решений
Чтобы специалисты по информационной безопасности смогли создать полноценную защиту информационного периметра организации от утечки данных с помощью DLP-системы, руководителю следует сформулировать для исполнителей минимум 5 управленческих решений. Все они должны быть закреплены в изданных документах: приказах или распоряжениях.
Управленческое решение № 1 – инициируйте запуск процесса обследования информационной среды организации. Их исполнителями могут быть руководители филиалов, отделов, подразделений и т.д. (в зависимости от организационных и территориальных особенностей).
Документы могут содержать следующие конкретные поручения (при необходимости добавьте свои):
1. Создать список организационно-распорядительных документов, которые регламентируют информационную политику организации/филиала/отдела.
2. Создать перечень ресурсов, которые используют сотрудники для решения рабочих задач.
3. Создать структуру защищенного документооборота, в которой информация организации должна быть распределена на открытую и с ограниченным доступом.
4. Создать отчёт об используемых в организации способах и каналах передачи и приёма данных.
Управленческое решение № 2 – поручите составить политики безопасности на основании данных, полученных в результате обследования информационной среды организации. Реализовать их поможет внедрённая в организации DLP-система Falcongaze SecureTower.
Управленческое решение № 3 – поручите регламентировать использование DLP-системы в организации, филиале, отделе и т.д. Отдельное внимание уделите отделу информационной безопасности. При этом должны быть созданы соответствующие документы: инструкции, правила и т.д. Ответственными за исполнение этого поручения могут быть и юристы, и специалисты по информационной безопасности.
Управленческое решение № 4 – поручите специалистам по информационной безопасности изучить DLP-систему, отвечающую требованиям законодательства. Они должны будут исследовать решение, а также сопоставить важные системные характеристики и функциональные возможности продукта.
Управленческое решение № 5 – утвердите внедрение в организации DLP-системы как средства защиты информации, а также её настройку, которая должна происходить с учётом разработанных политик безопасности.
Попробуйте DLP Falcongaze SecureTower бесплатно