Что должен сделать ИТ-директор на основе закона 149-ФЗ: практическое руководство

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — ключевой документ для всех, кто работает в сфере ИТ. Но вместо сухого разбора статей, давайте посмотрим на него глазами руководителя ИТ-подразделения: что именно нужно внедрить, проверить и контролировать в компании.

Классификация информации

Закон вводит понятия: общедоступная информация, конфиденциальная, персональные данные, информация ограниченного доступа.

Практические шаги:

• Провести аудит информации, которая обрабатывается в компании.
• Ввести классификацию: определить, где персональные данные, где коммерческая тайна, где служебная информация.
• Утвердить правила обработки каждой категории.

Защита информации и разграничение доступа

Компания обязана защищать данные, особенно ограниченного доступа. Доступ к таким данным должен быть только у тех, кому это необходимо по работе.

Что нужно сделать:

• Внедрить систему ролей и разграничение прав доступа.
• Использовать средства защиты: антивирусы, DLP, фаерволы, SIEM.
• Настроить журналирование доступа к критичным данным.
• Регулярно проверять и тестировать защитные меры.

Безопасность информационных систем

Если в компании есть ИС, которые обрабатывают персональные данные или конфиденциальную информацию, они должны быть защищены в соответствии с законом.

Действия:

• Провести категорирование ИС.
• Разработать модель угроз.
• Провести аттестацию (или иную оценку) на соответствие требованиям безопасности.
• Обеспечить регулярное резервное копирование и контроль изменений.

Работа с персональными данными

Хотя для ПДн действует отдельный закон — 152-ФЗ, основные принципы их защиты дублируются и в 149-ФЗ.

Необходимые меры:

• Получать согласие на обработку ПДн.
• Шифровать ПДн при хранении и передаче.
• Назначить ответственного за обработку персональных данных.
• Вести журнал операций с ПДн.

Взаимодействие с госорганами

Компании обязаны сотрудничать с Роскомнадзором и другими органами. В случае нарушений могут последовать блокировки, предписания, проверки.

Что предусмотреть:

• Назначить ответственное лицо за взаимодействие с госорганами.
• Разработать регламент быстрой реакции на запросы (например, блокировка по решению суда или удаление запрещённого контента).
• Хранить и предоставлять информацию по запросу уполномоченных органов.

Обучение и документация

Даже самая надёжная система может быть нарушена по вине неосведомлённого сотрудника.

Что нужно внедрить:

• Регулярное обучение сотрудников по информационной безопасности.
• Поддержка актуальности внутренних регламентов и инструкций.
• Ведение документации: политики безопасности, план реагирования на инциденты, инструкции по работе с ИС.
• Проведение внутренних аудитов и проверок.

149-ФЗ — это не просто правовая формальность. Это практическая основа для построения зрелой ИТ-инфраструктуры. Грамотный ИТ-директор использует его как карту для навигации в мире информационных рисков, правовой ответственности и цифровой зрелости бизнеса.