Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Управление HR‑процессами
Проверка контрагентов
Автоматизация бизнеса
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
При построении системы информационной безопасности в компании, важно опираться на требования регуляторов, которые описаны в различных нормативных документах, чаще всего законах и приказах. Собрали в одной статье ссылки на самые важные документы и рассказали, чем они могут быть полезны.
Защита персональных данных
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Основной закон об обращении с информацией в России устанавливает права и обязанности по созданию, хранению, распространению и защите информации.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Базовый закон о защите персональных данных граждан объясняет, что считается персональными данными и как их можно собирать, хранить, обрабатывать и передавать.
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, от 15.09.2008 № 687
Этот документ определяет правила защиты данных на бумажных носителях: анкеты, личные дела, заявления.
Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ конкретизирует, какие организационные (регламенты, политика безопасности) и технические (антивирусы, шифрование, контроль доступа) меры необходимо внедрить в IT-системах. В том числе помогает выстроить систему защиты персональных данных на серверах, рабочих станциях, мобильных устройствах.
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление определяет 4 уровня защищённости информационных систем в зависимости от объёма и характера обрабатываемых данных и вводит понятие аттестации и сертификации систем защиты.
Приказ ФСБ РФ от 10.07.2014 № 378 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Приказ описывает, какие именно криптографические меры нужно применять информационных систем разного уровня защищенности.
Защита критической информационной инфраструктуры
Федеральный закон от 26.07.2017 N 187-ФЗ
Устанавливает требования к защите объектов критической информационной инфраструктуры (КИИ): энергоснабжение, транспорт, банковские системы, здравоохранение и т.д. Показывает, какие объекты и процессы нужно защищать (если организация относится к сфере КИИ — ТЭК, связь, транспорт, здравоохранение и др.).
Постановление Правительства РФ от 08.02.2018 N 127
Описывает, как определять значимость объектов КИИ и присваивать им категории, даёт готовый алгоритм, как определить, какие объекты в организации являются критичными.
Приказ ФСТЭК России от 25 декабря 2017 г. N 239
Устанавливает требования к организации процессов безопасности, к ИТ-инфраструктуре и средствам защиты информации на объектах КИИ. Дает конкретный список того, что должна включать система безопасности: анализ угроз, проектирование, внедрение защиты, контроль эффективности. Может служить чек-листом для подготовки к проверкам ФСТЭК.
Приказ ФСТЭК России от 21 декабря 2017 г. N 235
Раскрывает методику, по которой проводится категорирование объектов КИИ (по последствиям нарушений работы объекта). Дает пошаговую инструкцию для категорирования: какие критерии учитывать, как оформить результаты.
Приказ ФСТЭК России от 22 декабря 2017 г. N 236
Устанавливает порядок уведомления о киберинцидентах в отношении объектов КИИ. Показывает, когда и как нужно сообщать об инцидентах (например, атаках, утечках) в ФСТЭК.
Приказ ФСБ России №366 от 24.07.2018 «О НКЦКИ»
Учреждает Национальный координационный центр по компьютерных инцидентам как орган для координации действий при компьютерных инцидентах.
Приказ ФСБ России №367 от 24.07.2018
Регламентирует порядок взаимодействия организаций с НКЦКИ при выявлении и ликвидации компьютерных инцидентов.
Приказ ФСБ России от 24 июля 2018 г. № 368
Определяет, какие криптосредства можно использовать, какие стандарты шифрования обязательны. Помогает выбирать правильные сертифицированные средства защиты (безопасные и легальные).
Работа с государственными информационными системами
Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Определяет минимальные требования по защите персональных данных и служебной информации в государственных информационных системах (ГИС), даже если они не содержат гостайну.
Приказ ФСТЭК от 29 апреля 2021 г. N 77
Этот приказ утверждает порядок организации и проведения работы по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей гостайну.
ФИС ГИА — Постановление Правительства РФ от 29.11.2021 № 2085
Документ регулирует создание и функционирование Федеральной информационной системы государственной итоговой аттестации обучающихся (ФИС ГИА). Она аккумулирует данные о результатах ЕГЭ, ОГЭ и других итоговых экзаменов по всей стране. Если организация (например, образовательное учреждение или оператор системы) участвует в передаче или обработке данных ГИА, постановление помогает понять свои обязанности.
ФИС ГНА — Федеральный закон от 02.07.2013 № 185-ФЗ (ст. 41)
Управляет работой Федеральной информационной системы государственной научной аттестации (ФИС ГНА). Эта система собирает сведения о присвоении ученых степеней и званий.
ФИС ФРДО — Постановление Правительства РФ от 31.05.2021 № 825
Регламентирует функционирование Федерального реестра документов об образовании и квалификации (ФИС ФРДО). В реестре содержатся все выданные дипломы, аттестаты, удостоверения о квалификациях.
АИСТ ГБД — Федеральный закон от 16.04.2001 № 44-ФЗ
О создании Автоматизированной информационной системы территориального государственного банка данных о детях, оставшихся без попечения родителей. Этот закон устанавливает порядок формирования и использования этого банка данных
Суперсервис — Постановление Правительства РФ от 26.01.2023 № 89
Устанавливает принципы организации суперсервисов — государственных цифровых сервисов, которые позволяют гражданам получать комплексные услуги в одном месте (например, «Поступление в вуз онлайн», «Рождение ребёнка»).
Защита конфиденциальной информации и аттестация
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены решением Гостехкомиссии России от 30.08.2002 № 282
Это один из базовых документов по защите информации, которая не является государственной тайной, но всё равно требует защиты (например, коммерческая тайна,конфиденциальная информация, служебная информация).
СТР-К описывает требования к проектированию и созданию защищенных информационных систем, средствам технической защиты информации (СЗИ), проведению контроля эффективности мер защиты.
Документа нет в открытом доступе, он предоставлен для служебного пользования лицензиатам ФСТЭК на осуществление деятельности по технической защите информации.
Лицензирование
ФСБ — Постановление Правительства РФ от 16.04.2012 № 313
Определяет порядок получения лицензии ФСБ на разработку, производство, распространение средств криптографической защиты (шифрование), техническое обслуживание таких средств, оказание услуг в области защиты информации с использованием шифрования.
ФСТЭК — Постановление Правительства РФ от 03.02.2012 № 79
Устанавливает порядок лицензирования ФСТЭК организаций, которые разрабатывают и внедряют средства защиты информации, строят системы защиты конфиденциальной информации (не гостайна!), проводят работы по технической защите данных.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
