Найти тему
КиберСекреты
2 подписчика

Основы законодательства в области информационной безопасности в РФ

1
6 мин

Всем привет! Моя статья предназначена больше на новичков или людям, которые хотят расширить свой кругозор в области законодательства информационной безопасности (ИБ). Ну, а если Вы уже профи, с большим багажом знаний и опыта прошу Вас дополнить в комментариях полезную информацию. Мой посыл больше осветительный для новичков в области ИБ или для владельцев компаний , которые столкнулись с законодательством в области ИБ.

Необходимо понимать, что законодательство в области использования безопасности не статично и постоянно развивается. И не соблюдение законов компаниями, грозит штрафами и ответственностью, вплоть до уголовной ответственности.

Система нормативных правовых актов Российской Федерации в области информационной безопасности, которая представлена на рисунке , состоит из нескольких уровней, от международного до уровня предприятия.

Основные уровни законодательства:

1. Конституция РФ – основной закон страны, который устанавливает базовые права и свободы граждан, включая право на защиту своих данных.

2. Федеральные законы – ключевые законы, такие как

  1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 No 149-ФЗ регулирует отношения при осуществлении права на поиск, передачу, получение, производство и распространение информации с помощью информационных технологий.
  2. Федеральный закон «Об электронной подписи» от 6.04.2011 No 63-ФЗ. Настоящий ФЗ регулирует отношения в области использования электронных подписей, устанавливает порядок выпуска электронных подписей, деятельность аккредитованного удостоверяющего центра, выпуск сертификата открытого ключа.
  3. Федеральный закон «О персональных данных» от 27.07.2006 No 152-ФЗ регулирует отношения, связанные с получением и обработкой персональных данных.
  4. Закон РФ «О государственной тайне» от 21.07.1993 No 5485-1 регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
  5. Федеральный закон о коммерческой тайне No 98-ФЗ от 29.07.2004 устанавливает критерии конфиденциальности и признаки, а также сведения, не являющиеся таковыми, также в ФЗ определены права и обязанности обладателя конфиденциальной информации и того, кто имеет доступ к ней.
  6. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 No 187-ФЗ регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.
  7. «Кодекс РФ об административных правонарушениях» от 30.12.2001;
  8. «Трудовой Кодекс Российской Федерации» от 30.12.2001;
  9. «Гражданский кодекс Российской Федерации» от 30.11.1994 (ч. 4 вступила в силу с 1 января 2008 года);

3. Нормативные документы регуляторов – различные постановления и правила, которые конкретизируют нормы, установленные федеральными законами.

4. Документы субъектов РФ – специализированные требования, которые могут действовать для определенных субъектов РФ. Например, Концепция защиты информации ограниченного доступа в Самарской области, утвержденная Губернатором Самарской области 14 декабря 2010.

5. Локальные нормативные документы предприятий – каждая компания может установить свои внутренние правила по защите информации, основываясь на федеральных и региональных законах. Это может включать процедуры по обработке данных, меры по обеспечению безопасности и ответственность сотрудников.

Сегодня бы хотела подробнее остановиться на

Законе о персональных данных 152 ФЗ определяет требования к информационным системам персональных данных (ПДн) и регламентирует организационные и технические меры, необходимые для защиты ПДн от случайного либо неправомерного доступа.

Краткая инструкция по выполнению 152 ФЗ:

Необходимо обеспечить защиту данных в соответствии Приказа ФСТЭК 21 в зависимости от уровня защищенности (всего 4 уровня) необходимо реализовать управление доступом, идентификации и аутентификации, антивирусную защиту, защиту машинных носителей информации и другие меры;

Разработать пакет документов:

  • Положение о защите и обработке ПДн
  • Приказ о назначении ответственного за обработку ПД
  • Приказ о лицах, допущенных к обработке ПДн
  • Акт определения уровня защищенности информационных систем, в которых происходит обработка персональных данных (ИСПДн)
  • Модель угроз безопасности информации в отношении этих систем
  • Акт оценки вреда субъектам ПДн
  • Другие инструкции и регламенты в отношении защиты ПДн

Не забыть уведомить Роскомнадзор об обработке персональных данных.

Кроме того, необходимо учитывать следующие важные аспекты:

  1. Обучение сотрудников. Важно провести обучение для всех сотрудников, которые работают с персональными данными. Они должны быть осведомлены о порядке обработки данных, рисках и мерах безопасности.
  2. Контроль доступа. Установите четкие уровни доступа к персональным данным. Это включает в себя использование логинов и паролей, многофакторной аутентификации и других методов контроля, чтобы минимизировать риск несанкционированного доступа.
  3. Мониторинг и аудит. Регулярно проводите аудит систем и процессов обработки персональных данных. Это позволит выявить возможные уязвимости и несоответствия требованиям законодательства. Важно вести журналы доступа и контроля, чтобы отслеживать действия с данными.
  4. Анализ рисков. Проводите регулярный анализ рисков, связанными с обработкой персональных данных. Оцените потенциальные угрозы и уязвимости, а также разработайте соответствующие меры для их минимизации.
  5. Согласие на обработку данных. Убедитесь, что у вас есть согласие пользователей на обработку их персональных данных. Согласие должно быть получено в явном виде, и пользователи должны быть проинформированы о цели обработки своих данных.
  6. Безопасное хранение и передача данных. Персональные данные должны храниться в защищенных системах, а их передача третьим лицам должна осуществляться с соблюдением всех необходимых мер предосторожности, например, с использованием шифрования.
  7. Обновление документации. Регулярно пересматривайте и обновляйте внутреннюю документацию, связанную с политикой обработки персональных данных. Это позволит оперативно реагировать на изменения законодательства и возникающие риски.

Следуя этим рекомендациям, можно не только соответствовать требованиям 152-ФЗ, но и значительно повысить уровень безопасности персональных данных в организации. Важно помнить, что защита личной информации клиентов и сотрудников — это не только законодательно установленная обязанность, но и важный элемент доверительных отношений и репутации вашей компании.

Почему это важно для бизнеса?

Для бизнесменов понимание и соблюдение законодательства в области ИБ критично, поскольку нарушение этих норм может привести к значительным штрафам, репутационным потерям и другим неблагоприятным последствиям.

Важно оставаться в курсе изменений в законодательстве и внедрять соответствующие меры защиты информации в вашей компании. Если у вас есть дополнительные советы или примеры, которыми вы можете поделиться, не стесняйтесь писать в комментариях. Ваш опыт может быть полезен другим новичкам в этой сфере!

Благодарю за внимание и надеюсь, что эта статья будет полезной для вас.