Разберемся в действующих законах, регулирующих инфобезопасность, а также рассмотрим свежие изменения в законодательстве. От каких атак защищать компанию и как обезопасить ее от утечки данных?
В этой статье:
- Роль топ-менеджмента в информационной безопасности
- Обзор действующих законов РФ, регулирующих инфобезопасность
- Основные регуляторы в сфере информационной безопасности
- Штрафы и санкции за нарушение норм инфобезопасности в области ПДн
- Изменения в законодательстве в 2024 году: что важно знать
- От каких атак защищать компанию
- Как обезопасить организацию от утечки данных
- Как поможет Контур
Новости об атаках на информационные системы фигурируют в СМИ все чаще.
- Декабрь 2023: группа вымогателей Muliaka атакует российские компании.
- Январь 2024: вымогательская группировка LockBit объявила о захвате сотен гигабайт конфиденциальных данных у Subway.
- Январь-апрель 2024: по данным Kaspersky Security Network количество попыток заражения, с которыми столкнулись предприятия малого и среднего бизнеса, выросло в мире на 5%.
- Май 2024: активизировалась преступная группа вымогателей MorLock.
При этом угроза может прийти не только со стороны преступных организаций и хакерских группировок, но и от бывших или действующих сотрудников, разработчиков программ, конкурентов.
Как происходят утечки данных в реальной жизни и как выявлять их на начальном этапе, разобрали на вебинаре «Цифровая нефть. Как и почему утекает информация».
Задача компании — обезопасить данные и предотвратить нарушение их целостности, конфиденциальности и доступности.
Роль топ-менеджмента в информационной безопасности
Только топ-менеджмент знает о критичности процессов и может просчитать потенциальные финансовые потери при атаке или утечке данных. В случае серьезной уязвимости руководству придется в срочном порядке принимать решения:
- нужно ли останавливать скомпрометированные процессы;
- как общаться с бизнес-партнерами, клиентами и инвесторами;
- сообщать ли об инциденте в контролирующие органы;
- общаться с вымогателями или нет;
- как отвечать на вопросы журналистов;
- каких сотрудников включать в группу реагирования и как оплачивать сверхурочные;
- требуется ли возбуждение уголовного дела или достаточно внутренних разбирательств.
Информационная безопасность для бизнеса
Разберитесь в требованиях законодательства и разработайте политику инфобезопасности для своей компании. Онлайн-курс для руководителей
Обязанность руководителя — назначить ответственных за управление деятельностью организации в области информационной безопасности и согласовать внутренние нормативные документы.
Делать точные и верные шаги в случае угрозы помогут заранее прописанные регламенты и карта критичности инцидентов. А для предотвращения угрозы потребуется регулярное обучение основам инфобезопасности всех специалистов компании.
Обзор действующих законов РФ, регулирующих инфобезопасность
Таких законов немало, и каждый прописывает определенные правила для конкретного направления.
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает права и обязанности, касающиеся информации и информационной безопасности.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» описывает правила работы с персональными данными (ПДн).
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» определяет, что относится к коммерческой тайне компаний.
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» описывает правила защиты IT-инфраструктуры на предприятиях в сферах, критически важных для государства (здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и др.).
Другие законы и постановления, которые контролируют сферу информационной безопасности, можно посмотреть здесь.
Основные регуляторы в сфере информационной безопасности
Роскомнадзор регулирует общие вопросы, касающиеся обработки ПДн. Узнайте, как подготовиться к проверке Роскомнадзора и избежать штрафов.
ФСБ России регулирует применение средств криптографической обработки информации.
ФСТЭК России регулирует вопросы применения технических средств защиты информации, таких как антивирусы, межсетевые экраны и т.д.
Прокуратура осуществляет надзор за соблюдением законодательства в сфере информационной безопасности, проводит проверки и расследует нарушения, инициирует предписания для их устранения.
Штрафы и санкции за нарушение норм инфобезопасности в области ПДн
Ответственность за нарушение законодательства РФ в области ПДн предусмотрена ст. 13.11–13.14 КоАП РФ.
| Нарушение | Физлица | Должностные лица | Юрлица |
|---|---|---|---|
|
Обработка ПДн в случаях, не предусмотренных законодательством РФ |
2 000–6 000 руб. |
10 000–20 000 руб. |
60 000–100 000 руб. |
|
Обработка ПДн без согласия в письменной форме или с нарушением установленных требований |
10 000–15 000 руб. |
100 000–300 000 руб. |
300 000–700 000 руб. |
|
Невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения ПДн |
30 000–50 000 руб. |
100 000–200 000 руб. |
1–6 млн руб. |
За неправомерный доступ к охраняемой законом компьютерной информации по ст. 272 УК РФ предусмотрен штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, исправительные работы до 1 года, ограничение свободы или принудительные работы до 2 лет.
За повторное нарушение предусмотрено более строгое наказание. Больше о санкциях за преступления в сфере компьютерной информации можно узнать в гл. 28 УК РФ (ст. 272-274.2).
Сотрудник АО «РТК», пользуясь служебным положением, нарушил должностную инструкцию и за вознаграждение передал ПДн 10 клиентов компании третьим лицам. Суд постановил назначить наказание в виде штрафа в размере 110 000 руб. (Приговор № 1-151/2024 от 26.01.2024 по делу № 1-151/2024).
Изменения в законодательстве в 2024 году: что важно знать
Прежде всего важно отметить ужесточение требований к защите ПДн по Федеральному закону от 12.12.2023 № 589-ФЗ.
В Госдуму внесли законопроект о переходе критически важных объектов на преимущественное использование российского ПО и радиоэлектронной продукции.
В январе 2024 года Минцифры РФ опубликовало рекомендации по переходу госкорпораций на отечественное ПО для снижения зависимости от иностранных технологий и повышения контроля за обработкой информации в стратегически важных секторах. В настоящий момент документ носит рекомендательный характер.
В декабре 2023 года на рассмотрение Госдумы внесли законопроект, который разрешит Роскомнадзору проводить внеплановые проверки в сфере госконтроля и надзора в сфере связи. Поводом для них может стать утечка ПДн.
Контур следит за изменениями законодательства. Читайте статьи, чтобы не пропускать важное и грамотно выстраивать работу бизнеса.
От каких атак защищать компанию
Финансовый сектор чаще сталкивается с фишингом и атаками на банкоматы и платежные системы, а также взломами баз данных с целью кражи ПДн.
При этом для ретейла свойственны взломы систем онлайн-платежей и атаки на цепочки поставок. А в здравоохранении кибератаки проводят для получения доступа к врачебной тайне и данным пациентов, блокирования рабочих процессов или уничтожения результатов исследований.
Для малого и среднего бизнеса по-прежнему самой распространенной киберугрозой остаются троянцы, имитирующие работу легитимного ПО. Также популярен фишинг, к которому приводит неосторожность сотрудников. Как результат, негативные последствия для инфраструктуры компании и ее репутации среди клиентов.
На вебинаре с экспертом-практиком разобрали кейсы клиентов, которые столкнулись с утечкой данных и проверками контролирующих органов. Смотрите запись и узнайте, как предотвратить подобные ситуации в своей компании.
Человеческий фактор самый непредсказуемый, следовательно опасный. Корпоративное обучение сотрудников, тренинги по безопасности, эффективная парольная политика снижают риски повреждения сети и утечки данных.
Важно понимать особенности потенциальных угроз и следить за атаками, которым подвергаются компании в вашей сфере. Это поможет обеспечить информационную безопасность. Помните: лучший инцидент — предотвращенный инцидент.
Как обезопасить организацию от утечки данных
За персональными данными охотятся чаще всего. Разберемся, как компании минимизировать риски.
Шаг 1. Провести аудит текущего положения дел в сфере инфобезопасности
Для этого нужно:
- Сделать инвентаризацию сетевого оборудования.
- Понять, где установлены действующие лицензии на ПО, а где нужно их обновить.
- Оценить разработанную документацию, при необходимости актуализировать ее.
- Изучить внутренний и внешний периметр сети.
Проводите аудит регулярно, чтобы выявлять слабые места и своевременно прорабатывать их.
Оцените состояние информационной безопасности в организации на соответствие нормативным документам. Закажите аудит в Контур.Безопасности.
Согласно ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ в компании должно быть назначено лицо, ответственное за организацию обработки ПДн. Если меняется ответственный или список обрабатываемых данных, нужно внести корректировки в документы и отправить уведомление в Роскомнадзор.
Шаг 2. Разработать и утвердить внутренние документы. Ознакомить с ними всех сотрудников
Компании нужно разработать политику информационной безопасности, положение о коммерческой тайне конфиденциальной информации, приказ о назначении группы реагирования на инциденты информационной безопасности (ГРИИБ), а также журналы доступов.
Для правильной работы с персданными и успешного прохождения проверок Роскомнадзора нужно создать и утвердить следующие документы:
- Политика обработки ПДн.
- Приказ о назначении ответственного за организацию обработки ПДн.
- Форма уведомления об обработке ПДн, согласия на их обработку, форма отзыва такого согласия, форма согласия на распространение ПДн и уведомления о прекращении обработки.
- Приказ о приеме на работу с указанием требований по ПДн и др.
После того, как разработана политика работы с персданными, ознакомьте с ней специалистов компании.
Шаг 3. Установить необходимые средства защиты информации
Определите, какое программное и аппаратное обеспечение подойдет для защиты данных. Установите и интегрируйте его в текущую IT-инфраструктуру, проведите обучение для сотрудников.
Специалисты по информационной безопасности инсценируют фишинг-тесты. Они отправляют коллегам письмо с подозрительными данными, при этом просят заполнить форму или перейти по компрометирующей ссылке. Сохраняйте бдительность, даже если в письме вас призывают к срочным действиям: проверяйте имя и адрес отправителя, обращайте внимание на формат вложений.
Шаг 4. Регулярно контролировать соблюдение установленных мер
Задачи сотрудника, ответственного за инфобезопасность в компании:
- Разрабатывать политику информационной безопасности. Рассказывать сотрудникам, как предотвратить атаки и как вести себя в случае инцидента: с кем связаться, как изолировать угрозы и восстановить систему.
- Своевременно обновлять средства технического контроля. Устанавливать ПО для предотвращения утечек данных (DLP, двухфакторная аутентификация).
- Моделировать угрозы безопасности приложений и предлагать механизмы защиты.
- Анализировать систему информационной безопасности на предмет аномалий: проверять журнал активности, актуализировать права доступа сотрудников к данным.
- Отслеживать новости о киберугрозах и обновлять политики безопасности.
Как поможет Контур
У Контура есть решения, которые помогут обезопасить бизнес от внешних и внутренних киберугроз.
Услуги по защите информации от Контур.Безопасности: аудит ИБ, построение систем защиты ИСПДн, проведение пентестов, подготовка к лицензированию ФСБ и ФСТЭК, обследование и категорирование объектов КИИ.
Подписка Контур.Школы. Выбирайте обучение для себя и коллег, чтобы актуализировать знания по нужной теме. В том, как защитить данные и выстроить работу для соответствия законам, помогут курсы:
- Информационная безопасность для бизнеса. Вы узнаете стандарты в сфере ИБ, научитесь контролировать информацию и работу сотрудников и поймете, как управлять инцидентами.
- Персональные данные работников. Вы разберетесь в требованиях законодательства к работе с ПДн, узнаете, как готовить локальные нормативные акты и взаимодействовать с Роскомнадзором.
Обеспечьте безопасность сети компании и хранящихся в ней данных.