Построение системы информационной безопасности (ИБ) в компании (законы)

Внедрение системы ИБ — сложный процесс, требующий выбора оптимального подхода. Рассмотрим три ключевых пути: на основе законодательства, на основе оценки рисков и на основе методологии "Волга-27001".

Сегодня поговорим о законах.

Построение ИБ на основе законодательных требований

Суть подхода:

Компания внедряет меры защиты, строго следуя требованиям законов и отраслевых стандартов. В России ключевые нормативные акты:

- ФЗ-152 "О персональных данных"– обязывает защищать ПДн;

- ФЗ-187 "О безопасности критической информационной инфраструктуры"– для субъектов КИИ;

- Приказы ФСТЭК и ФСБ (например, Приказ ФСТЭК №21, Приказ ФСБ №378) – регулируют защиту ИСПДн;

- ГОСТ Р 57580 – для платежных систем.

Этапы внедрения:

1. Определение применимых требований

Какие законы регулируют деятельность компании?

Есть ли обязательные стандарты (например, для банков — стандарты ЦБ)?

2. Аудит текущего состояния

Соответствует ли инфраструктура требованиям?

Выявление "пробелов" в защите.

3. Разработка и внедрение мер

Шифрование данных, СКУД, антивирусы, журналирование и т.п.

Назначение ответственных (например, оператор ПДн) и т.п.

4. Подготовка документации

Политики, регламенты, инструкции.

5. Проверка и сертификация

Аттестация ФСТЭК (для госструктур).

Аудит на соответствие ГОСТ Р 57580 (для платежных систем).

Преимущества:

✅ Гарантированное соблюдение законов.

✅ Минимизация штрафов и юридической ответственности.

✅ Подходит для обязательных сертификаций.

Недостатки:

❌ Может быть избыточным для малого бизнеса.

❌ Не всегда учитывает реальные угрозы (только формальные требования - "бумажная безопасность").

Когда выбирать?

Если компания обязана соблюдать законы (например, работает с ПДн, КИИ, госзаказом).

Если нужен быстрый старт ИБ без глубокого анализа рисков.

Если вы юрлицо.

Если есть вопросы, то пишите на f1@cibez.ru