Давайте знакомиться! (часть 2)

Надпись на доске:
1. Определите законы и подзаконные акты к ним.
2. Изучите их и проанализируйте.
3. Разбить на конкретные, осуществимые требования.
4. Постройте план.
5. Выполняйте план и контролируйте его исполнение.

Добрый день, друзья! Продолжаем наше знакомство.

Первую часть вы можете прочитать по ссылке (https://dzen.ru/a/aSb9n7ZK8i4VXM5o).

Если вы читаете этот пост в нашей ленте, значит вас так или иначе волнуют вопросы информационной безопасности (ИБ). Возможно, вы уже в раздумьях, с чего начать, или только посматриваете на эту тему с осторожностью, чувствуя, что «надо бы». Тогда вы точно по адресу!

Как мы уже обсуждали, выстраивать защиту информации можно двумя основными путями:

1. Через формальное соответствие требованиям законодательства. Идем «от закона».
2. Через оценку рисков для вашего бизнеса и данных. Идем «от угроз».

Но есть и золотая середина, которая объединяет оба подхода — наша авторская методология «Волга-27001». Она позволяет создать систему, которая и регулятора удовлетворит, и реальные угрозы закроет. Но обо всем по порядку.

Сегодня мы с вами подробно рассмотрим первый способ — законодательный.

Почему с него часто начинают? Потому что это четкий и обязательный путь, который так или иначе проходят все организации. Не выполнишь закон — будут санкции. А в следующем посте погрузимся ещё глубже в эту тему, ведь, как известно, большие статьи читать никто не хочет.

Итак, как же выстраивать информационную безопасность на основе требований законодательства?

Представьте это как сборку конструктора по готовой инструкции. Государство уже подготовило для вас «инструкцию» — законы и нормативные акты. Ваша задача — внимательно ее прочитать и последовательно выполнить.

Если вы думаете, что ИБ — это только для крупных корпораций или госструктур, то ошибаетесь. Сегодня любая организация, даже работающая через смартфоны, без компьютеров и ноутбуков, обрабатывая информацию, обязана заботиться о её безопасности — особенно если она подпадает под действие федерального законодательства.

Один из самых распространённых и официально признанных подходов к построению системы ИБ — соответствие требованиям законодательства. Давайте разберёмся, что это значит и как это можно реализовать.

Что значит «соответствие требованиям законодательства»?

Когда вы строите свою систему защиты информации не «как хочется», а «как требует закон», вы так или иначе начинаете выполнять требования законов, то есть приводить всё к нормативному соответствию. То есть вы сначала находите все нормативные акты, которые касаются вашей деятельности, и вашего направления обрабатываемой информации, а затем внедряете меры защиты, чтобы этим актам соответствовать.

Такой подход особенно важен, если:

• ваша организация обрабатывает персональные данные (ФЗ-152 в России);
• ваша организация работает с критически важной инфраструктурой для экономики государства, обороны и безопасности (например, энергетика, транспорт, связь, банки, финансовые организации, здравоохранение и т.п.);
• ваша организация хранит или обрабатывает коммерческую тайну;
• ваша организация имеет подключения (есть намерение сделать такое подключение) к государственным информационным системам.

Основные законы и нормативные акты

1. Закон о персональных данных (№ 152‑ФЗ).

Это главный закон, который защищает личную информацию обычных людей. Под персональными данными (ПДн) понимается любая информация, которая позволяет определить человека: ФИО, адрес, номер телефона, ИНН, паспортные данные и т. д.

Что требует закон:

1. Назначить ответственного. В каждой организации должен быть человек (или отдел), который отвечает за обработку и защиту персональных данных.
2. Сообщить в Роскомнадзор. Прежде чем начать собирать и обрабатывать ПДн, компания обязана уведомить федеральный надзорный орган.
3. Обеспечить безопасность. Нужно внедрить технические и организационные меры, чтобы данные не попали в чужие руки: защищать сети, шифровать информацию, контролировать доступ сотрудников и т.п.
4. Провести аттестацию. В отдельных случаях информационные системы, где хранятся ПДн, должны пройти специальную проверку (аттестацию) на соответствие требованиям безопасности.

2. Уровни защищённости данных (Постановление № 1119)

Не все данные одинаково важны. Поэтому закон вводит градацию уровней защищённости — чем ценнее информация (больше её влияние на жизнь человека), тем строже требования к её защите.

1. Базовый уровень (УЗ-4 и УЗ-3). Если вы храните только ФИО и электронную почту, требования к защите относительно просты. Например, интернет‑магазин, который собирает лишь имя и e‑mail для рассылки, должен работать на уровне не менее УЗ-3.
2. Повышенный или высокий уровень. Когда к данным добавляются медицинская информация или сведения о национальности, биометрия, требования резко возрастают (УЗ-2 и УЗ-1). Нужны более серьёзные технические средства защиты, строгий контроль доступа, регулярное тестирование систем.

Таким образом, чем важнее собираемые Вами данные, тем больше усилий придётся приложить, чтобы их защитить.

3. Закон о критической информационной инфраструктуре (№ 187‑ФЗ)

Этот закон касается организаций, которые работают в стратегически важных отраслях: энергетика, связь, транспорт, здравоохранение, финансы и др. Такая инфраструктура называется критической (КИИ), и её защита — вопрос национальной безопасности.

Что обязаны делать организации с КИИ:

1. Идентифицировать значимые объекты. Нужно чётко определить, какие информационные системы и сети являются критически важными для работы организации.
2. Внедрить систему обнаружения инцидентов. Необходимо следить за попытками взлома, аномальной активностью и другими угрозами в реальном времени.
3. Регулярно проводить аудиты и тестирование. Системы должны проверяться на уязвимости, а сотрудники — проходить обучение по информационной безопасности.
4. Сообщать об инцидентах. Если произошёл сбой или атака, об этом нужно незамедлительно уведомить ФСБ и ФСТЭК — специальные ведомства, отвечающие за информационную безопасность КИИ.

Почему это важно?

Соблюдение законов — не просто формальность. Утечка персональных данных может привести к финансовым потерям, репутационному ущербу и судебным искам, уголовному преследованию, так как по своей сути организация нарушает конституционное право граждан на неприкосновенность частной жизни, когда позволяет произойти утечке. А сбои в работе критической инфраструктуры способны повлиять на жизнь организации, города или даже городов и регионов.

Поэтому организации должны вкладывать ресурсы в ИБ: нанимать специалистов, закупать оборудование, проходить проверки. Ведь в мире, где информация — это важная составляющая для осуществления экономической деятельности и не только, её защита становится обязательной задачей для всех, кто в такой организации работает и кто её создал.

Как выстроить систему информационной безопасности на основе требований законодательства: пошаговый алгоритм

Создание надёжной системы ИБ — задача, которая пугает многих руководителей бизнеса и специалистов смежных областей связанных с обработкой информации. Кажется, что это сложно, дорого и требует специальных знаний. На самом деле всё решаемо, если действовать поэтапно.

Но об этом в следующем посте )

Продолжение следует...

#иб #152фз #пдн #законодательство #требования #кии #фстэк #фсб