Найти в Дзене
ООО "ЦифраБез"
33 подписчика

Давайте знакомиться! (часть 3)

2
5 мин
Оглавление

Добрый день, друзья! Продолжаем наше знакомство.

Вторую часть вы можете прочитать по ссылке (https://dzen.ru/a/aTBGTaU8CQIEYiW1).

Если вы читаете этот текст, значит, вас уже интересует тема информационной безопасности — будь то из практических нужд, любопытства или осознания, что «надо бы заняться». И вы совершенно правы! В условиях роста киберугроз и ужесточения регуляторных требований защита информации перестала быть «желанием» — она стала необходимостью.

Мы уже начали раскрывать тему нормативного соответствия — то есть соответствия требованиям законодательства в области информационной безопасности. Но как превратить эти требования в работающую систему защиты?

Как выстроить систему информационной безопасности на основе требований законодательства: пошаговый алгоритм

Алгоритм состоит из 11 шагов, если делать всё комплексно. Но если вы только начинаете, то можете дойти до 7 шага, а после, когда накопите ресурсы, сможете идти дальше.

Из каких шагов состоит этот алгоритм?

  1. Анализ требований законодательства.
  2. Оценка текущих рисков.
  3. Разработка политики информационной безопасности.
  4. Выбор инструментов и технологий.
  5. Реализация мер защиты.
  6. Обучение сотрудников.
  7. Мониторинг и анализ.
  8. Реагирование на инциденты.
  9. Обновление и совершенствование.
  10. Аудит и контроль.
  11. Документация и отчётность.

А теперь давайте подробнее рассмотрим каждый шаг подробно.

Шаг 1. Анализ требований законодательства.

Если вы хотите построить надёжную систему защиты информации в своей организации, первое, с чего стоит начать — это понять, какие законы и правила вам действительно нужно соблюдать. Дело в том, что в России требования к информационной безопасности (далее - ИБ) регулируются на нескольких уровнях — от Конституции до подзаконных актов.

Всё начинается с Конституции РФ, на основе которой разрабатываются федеральные законы. Однако для большинства организаций ключевыми являются четыре федеральных закона: об информации (№ 149-ФЗ), о персональных данных (№ 152-ФЗ), о коммерческой тайне» (№ 98-ФЗ), о КИИ (187-ФЗ).

149-ФЗ — как «инструкция по пользованию информацией». Он чётко разделяет данные на общедоступные и конфиденциальные, определяет, кто несёт ответственность за их сохранность, требует защищать данные, определяет права и обязанности обладателей информации, то есть вас, как организации.

152-ФЗ — самый известный закон для бизнеса. Если вы храните данные сотрудников, клиентов (ФИО, телефоны, паспорта и т.п.), вы обязаны: получить согласие на обработку (в большинстве случаев); защитить эти данные (документально, технически и организационно); отвечать на запросы субъектов данных — например, удалять информацию по их требованию.

98-ФЗ — для тех, кто хочет сохранить конкурентные преимущества: клиентские базы, рецептуры, стратегии. Закон разрешает вводить внутренний режим конфиденциальности (секретности) объявив, что является в организации коммерческой тайной, но только если вы официально оформите его документально и ограничите доступ. При этом сотрудники за разглашение коммерческой тайны могут "присесть" на срок до 7 лет.

187-ФЗ — для тех организаций, чья деятельность важна для государства и общества (энергетика, транспорт, связь и т.д.). При несоблюдении этого закона можно "присесть" на срок до 10 лет.

Как понять, что относится именно к вашей организации?

Посмотрите на ваши данные и деятельность вашей компании.

  • Работаете с клиентами? Соблюдайте требования закона № 152-ФЗ.
  • Используете закрытые разработки или стратегии? Нужно оформлять режим коммерческой тайны (98-ФЗ).
  • Ваши информационные системы связаны с госструктурами? Соблюдайте 149-ФЗ.
  • Ваша организация важна для деятельности и экономики государства? Соблюдайте 187-ФЗ.

Но мы бы не были мы, если бы наша компания не помогала вам разобраться в в этих законах. А для этого нами ведётся бесплатная База нормативных документов по ИБ, которую мы поддерживаем и пополняем по мере своих сил и возможностей (https://cibez.ru/ib_normi_zakonov). В этой базе документы разделяются на направления: лицензионная деятельность (для тех, кто имеет лицензии по организации защиты конфиденциальной информации и на разработку средств защиты); государственные информационные системы (для тех, кто подключается или имеет ГИСы); персональные данные (для практически всех организаций); связь, интернет (для операторов связи); гостайна (открытые документы по требованиям по гостайне, например о допуске к ней); биометрия (для тех, кто обрабатывает биометрические персональные данные); коммерческая тайна (для тех, кому нужен режим коммерческой тайны); критическая информационная инфраструктура (КИИ) (для тех организаций, которые входят в перечень субъектов КИИ определённых статьёй 2 187-ФЗ); безопасная разработка (для тех, кто ведёт разработку программного обеспечения); служебная тайна (для органов госвласти и организаций, которые обрабатывают служебную тайну по постановлению Правительства РФ 1233); автоматизированные системы управления технологическими процессами (АСУ ТП) (для тех организаций, которые используют такие системы в своей работе); внутренняя деятельность (деятельность органов госвласти, которые не подпадают под выше указанные направления); информационные технологии (для тех, кто использует информационные технологии и системы в своей деятельности). При необходимости, мы дополняем направления.

Также в Базе нормативных документов по ИБ все документы разбиты на категории (законы, акты Президента, Правительства, приказы регуляторов в области ИБ и т.п.).

Таким образом, база даёт вам экономию времени и сил, чтобы определить нужный вам документ и ознакомиться с ним.

Что делать дальше?

  1. Определите отрасль деятельности организации. Отрасль влияет на специфические требования. Например, для финансовых учреждений могут быть актуальны дополнительные нормативы ЦБ РФ, а для медицинских организаций — требования к защите персональных данных пациентов и КИИ.
  2. Проверьте, обрабатывает ли организация персональные данные, коммерческую тайну. В зависимости от этого применяются соответствующие законы и подзаконные акты.
  3. Учитывайте тип информационных систем. Для государственных информационных систем действуют особые требования (например, приказ ФСТЭК № 117).

Опять же, наша компания понимает важность данной работы и также осознаёт, что не специалистам крайне тяжело разбираться с требованиями документов по ИБ. Поэтому мы взяли это на себя. Но так как разнести каждый документ на требования это колоссальная работа и затраты времени, мы не можем такую работу дать за бесплатно. Поэтому на странице Базы документов по ИБ, внизу страницы, есть ссылка, которая ведёт вас на сводную базу требований по нормативным актам в области ИБ. В ней каждый пункт документа описывается простым языком для понимания.

На сегодня всё! Увидимся с вами следующий раз, когда будем рассматривать шаг 2 - Оценка текущих рисков.

Мы специально пишем короткие статьи, чтобы вы их могли освоить быстрее.

Успехов Вам, в вашей деятельности!

#иб #соответствие #законы #фстэк #фсб #требования