Внедрение системы ИБ — сложный процесс, требующий выбора оптимального подхода. Рассмотрим три ключевых пути: на основе законодательства, на основе оценки рисков и на основе методологии "Волга-27001".
Сегодня поговорим о законах.
Построение ИБ на основе законодательных требований
Суть подхода:
Компания внедряет меры защиты, строго следуя требованиям законов и отраслевых стандартов. В России ключевые нормативные акты:
- ФЗ-152 "О персональных данных"– обязывает защищать ПДн;
- ФЗ-187 "О безопасности критической информационной инфраструктуры"– для субъектов КИИ;
- Приказы ФСТЭК и ФСБ (например, Приказ ФСТЭК №21, Приказ ФСБ №378) – регулируют защиту ИСПДн;
- ГОСТ Р 57580 – для платежных систем.
Этапы внедрения:
1. Определение применимых требований
Какие законы регулируют деятельность компании?
Есть ли обязательные стандарты (например, для банков — стандарты ЦБ)?
2. Аудит текущего состояния
Соответствует ли инфраструктура требованиям?
Выявление "пробелов" в защите.
3. Разработка и внедрение мер
Шифрование данных, СКУД, антивирусы, журналирование и т.п.
Назначение ответственных (например, оператор ПДн) и т.п.
4. Подготовка документации
Политики, регламенты, инструкции.
5. Проверка и сертификация
Аттестация ФСТЭК (для госструктур).
Аудит на соответствие ГОСТ Р 57580 (для платежных систем).
Преимущества:
✅ Гарантированное соблюдение законов.
✅ Минимизация штрафов и юридической ответственности.
✅ Подходит для обязательных сертификаций.
Недостатки:
❌ Может быть избыточным для малого бизнеса.
❌ Не всегда учитывает реальные угрозы (только формальные требования - "бумажная безопасность").
Когда выбирать?
Если компания обязана соблюдать законы (например, работает с ПДн, КИИ, госзаказом).
Если нужен быстрый старт ИБ без глубокого анализа рисков.
Если вы юрлицо.
Если есть вопросы, то пишите на f1@cibez.ru