Какая информация есть в вашей компании или Почему оштрафовать могут каждого

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.056
Репутация
9.908
Реакции
15.251
RUB
1.045
Сделок через гаранта
18

3 главные ошибки бизнеса при исполнении требований в области ИБ​

  1. Незнание. Один из самых распространенных кейсов — компания не знает, какую информацию обрабатывает. В частности, не понимает, что попадает в категорию персональных данных. Спойлер — их обрабатывает любая компания. Поэтому владельцу (или CISO) трудно определить требования законов, которые он должен выполнять. Следовательно, не понимает свою ответственность и риски.
  2. “Меня это не касается”. Довольно частое заблуждение — требования ИБ-регуляторов касаются в первую очередь крупного бизнеса и ИТ-сектора. Это, конечно же, не так — деятельность каждой организации вне зависимости от ее типа и размера подпадает под требования того или иного ИБ-закона. К тому же, иногда компании не знают, что являются субъектами критической информационной инфраструктуры (КИИ), для которой существуют дополнительные требования.
  3. Не ответственность, а следование регламенту. Довольно банально, но факт — информационная безопасность должна быть реальной, а не «бумажной». Киберзащита необходима бизнесу для защиты себя, своих клиентов/пользователей и партнеров, а не только для избежания штрафов. Часто именно положения законодательных актов становятся отправной точкой для выстраивания качественной модели защиты инфраструктуры и данных.
Третий пункт (из перечисленных) — очевидный и его просто нужно принять. А я расскажу про первые два — про типы защищаемой информации и под какие требования в области ИБ они подпадают. Для наглядности разберем их на примере малого бизнеса — небольшой кофейни, которая каждое утро радует посетителей вкусным латте.

Какие типы информации бывают​

Тут все просто — их всего два:

  1. Общедоступная информация — та, доступ к которой нельзя ограничить ни по каким причинам. Чтобы обеспечить безопасность таких данных необходимо обеспечить их целостность и доступность. Например, для нашей кофейни это актуальное меню на сайте или странице в социальных сетях.
  2. Информация ограниченного доступа — та, доступ к которой ограничивается, при наличии требований законодательства. Например, для кофейни это могут быть уникальные рецепты супер-бодрящего латте (то есть, информация отнесенная к коммерческой тайне). Или, например, персональные данные. Ведь в любой даже самой маленькой компании обрабатывается как минимум информация о ее сотрудниках, а скорее всего, и клиентах (например, участниках программы лояльности). В случае с такими данными, кроме их доступности и целостности, необходимо обеспечить их конфиденциальность.
На что еще обратить внимание

На перечень применимых к вам требований в области ИБ может влиять не только то, какая информация у вас обрабатывается, но также особенности и характеристики компании. Стоит обратить внимание на то:

  • каким видом деятельности вы занимаетесь (финансовой деятельностью, энергетикой, здравоохранением, металлургией или просто торговлей);
  • являетесь ли вы государственным органом или обычной коммерческой компанией;
  • входите ли вы в перечень стратегических предприятий или системообразующих организаций.
Давайте посмотрим, как же организации разобраться во всех этих требованиях.

Найди себя: основные требования в области ИБ-законодательства​

Коммерческая тайна

определяет Коммерческую Тайну (КТ) как информацию, имеющую действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. Решения о КТ закон оставляет полностью на усмотрение ее владельца. Для защиты он должен ввести режим КТ — и это базовый набор требований по защите.

План действий такой:

  • определить перечень такой информации;
  • установить правила обращения с ней;
  • ввести учет лиц, которые имеют к ней доступ;
  • наносить на носители информации гриф;
  • довести до работников установленные правила и введение режима защиты КТ.
Если режим КТ не введен и вдруг произошла утечка такой информации, то в рамках действующего законодательства организации будет крайне сложно применить санкции к виновникам. Риск заключается в том, что без режима КТ защитить уникальные рецепты нашей кофейни будет крайне тяжело и они могут легко стать достоянием конкурентов.

Персональные данные

Согласно , в эту категорию входит любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Самое частое заблуждение по части персональных данных (ПДн) заключается в том, что люди считают их той информацией, по которой можно идентифицировать человека. Это — большая ошибка.

Согласно позиции Роскомнадзора (РКН), ПДн — это вообще ЛЮБАЯ информация о субъекте.
Например, в нашей кофейне даже размеры формы пекарей будут "прямо относящимися к определенному лицу данными”. То есть, заказывая фартук, вы оперируете ПДн. И не важно, что в большинстве случаев по ним нельзя идентифицировать человека.

Второе распространенное заблуждение — игнорирование требований РКН. Предприниматели думают, что если они (как оператор ПДн) попадают под исключение об уведомлении РКН, то никаких дополнительных требований по защите и порядку обработки ПДн им выполнять не нужно.

В новой редакции №152-ФЗ, вступившей в силу в 2022 году уточняется, что даже если вы попадаете под исключения по части уведомлений РКН, то остальные обязанности оператора персональных данных вы должны выполнять в любом случае. Иначе вам может быть вменено нарушение, за которым последует штраф. Список обязательных мер выглядит так:

  • разработать (и обеспечить свободный доступ) политику ПДн и другие ЛНА в области обработки и защиты ПДн;
  • назначить ответственного за обработку ПДн;
  • ознакомить сотрудников с правилами обработки и защиты ПДн;
  • регулярно проводить внутренние проверки;
  • защитить обрабатываемые ПДн в информационных системах и на бумажных носителях.
Третье заблуждение, с которым я часто сталкиваюсь, звучит так: “Мы обрабатываем только общедоступные данные сотрудников, нам ничего защищать не нужно."

На самом деле закон требует определить всех субъектов ПДн, объемы и законные основания для их обработки. И даже если вы работаете только с общедоступной информацией, то вы все равно обязаны обеспечить ее целостность и доступность. А это значит — на вас распространяется практически весь объем требований законодательства.

Вернемся к кофейне. Из субъектов ПДн здесь можно выделить текущих и бывших сотрудников, членов их семей, кандидатов на трудоустройство, учредителей, посетителей, в т.ч. участников программы лояльности, подписантов договорных документов, представителей государственных надзорно-контрольных органов. Для всех этих категорий субъектов надо определить цели, объемы и законные основания для обработки ПДн. Все их нужно задокументировать, а затем реализовать необходимые меры по защите!

Критическая информационная инфраструктура (КИИ)



Здесь уже речь пойдет не про саму информацию, а про системы, в которых она обрабатывается: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.

Первый шаг — необходимо разобраться, является ли ваша организация субъектом КИИ. Многие руководители считают, что к ним относятся только крупные компании. Чтобы определить, КИИ вы или нет, надо проверить, относится ли компания к одной из 14 сфер деятельности, указанных в ФЗ №187: здравоохранение, наука, транспорт, связь, ТЭК, финсектор и т.д. Если вы нашли свою область в списке, то вы — КИИ. И не важно, какого размера организация.

Здесь в помощь идут уставные документы, лицензии, выписка из ЕГРЮЛ. И если в них есть данные, что компания относится к указанным в законе отраслям, значит ей нужно:

  • провести категорирование объектов КИИ;
  • предоставить результаты категорирования регулятору — ФСТЭК;
  • выполнить комплекс мер по защите объектов.
Кофейне, кстати, очень повезло! Им этого делать точно не надо.

Но, например, многим заводам, компаниям финансового сектора и так далее — нужно четко определить, не являются ли они субъектом КИИ.

Государственные информационные системы (ГИС), защита данных в которых регулируется и .

В данном случае операторы ГИС точно знают, что они работают с госсистемой. Однако выполнять меры по обеспечению безопасности государственных информационных систем должны как обладатели такой информации, так и заказчики с госконтрактом на создание ГИС.

Кофейне опять повезло, она — не оператор ГИС. А вот, например, завод электрооборудования, получивший госконтракт на создание ГИС, должен выполнять эти требования.

Банковская тайна и платежная информация

Защита подобной информация регулируются Центральным банком РФ и относится к финансовому сектору. Требования распространяются на банки, страховые компании и другие финансовые организации. Деятельность в финсекторе требует лицензирования. Поэтому так же, как и в случае с КИИ, можно оценить применяемые требования по имеющимся лицензиям и данным из ЕГРЮЛ. При наличии определенных видов деятельности потребуется разбираться в требованиях и Положениях ЦБ РФ.

Указ Президента №250

Не так давно появился еще один блок требований в области ИБ, который распространяется на очень большой круг организаций. Согласно , 6 типов должны реализовывать дополнительные меры по защите информации. В их числе:

  • органы исполнительной власти;
  • государственные фонды;
  • государственные корпорации;
  • стратегические предприятия;
  • системообразующие организации;
  • субъекты КИИ.
Как показала практика, в этой части требований самое сложное понять — относитесь ли вы к стратегическим или системообразующим организациям. Чтобы это сделать, нужно изучить следующие документы:

  • перечень стратегических организаций, который приведен в ;
  • обобщенный перечень системообразующих организаций, который можно найти на .
Если ваша компания попадает в один из них, проведите аудит ИБ, так как Указ Президента №250 вводит дополнительные меры, направленные на обеспечение реальной безопасности. Например, под эти требования попадет завод по производству электрооборудования, т.к. является субъектом КИИ.

ВЫВОД​

Итак, если ваша деятельность имеет хотя бы косвенное отношение к финансам, стратегическим предприятиям, лицензируемым отраслям и так далее, вам необходим качественный аудит ИБ. Он поможет разобраться, какие требования регуляторов вам нужно выполнять. Изучите указанные в статье законы, в т.ч. размеры штрафов и прочие риски. Проанализируйте свой бизнес на виды информации, которые у вас обрабатываются. Не знаете с чего начать, начните с защиты персональных данных. Они точно есть у всех.

Несоблюдение требований ИБ-законодательства может принести много проблем. При этом киберзащита вашего бизнеса не должна строиться только вокруг их формального исполнения. Она важна в первую очередь самой компании.

 
  • Теги
    безопасность иб штраф
  • Сверху Снизу