В последнее время в СМИ всё чаще появляются новости об атаках на информационные системы. Угроза может исходить не только от преступных организаций и хакерских группировок, но и от бывших или нынешних сотрудников компании, разработчиков программного обеспечения и конкурентов. Главная задача компании — защитить свои данные и предотвратить их утечку, а также сохранить их целостность и конфиденциальность. От каких атак нужно защищать компанию и как обеспечить её безопасность?

Какие законы РФ регулируют инфобезопасность

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает права и обязанности, касающиеся информации и информационной безопасности.
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» описывает правила работы с персональными данными (ПДн).
  3. Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» определяет, что относится к коммерческой тайне компаний.
  4. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» дает определение электронной подписи и описывает, как и когда ее можно применять, какой юридической силой она обладает.
  5. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» описывает правила защиты IT-инфраструктуры на предприятиях в сферах, критически важных для государства (здравоохранение, наука, оборона, связь, транспорт, энергетика, банки и др.).

Основные регуляторы в сфере информационной безопасности

Роскомнадзор регулирует общие вопросы, касающиеся обработки ПДн. 

ФСБ России регулирует применение средств криптографической обработки информации. 

ФСТЭК России регулирует вопросы применения технических средств защиты информации, таких как антивирусы, межсетевые экраны и т.д.

Прокуратура осуществляет надзор за соблюдением законодательства в сфере информационной безопасности, проводит проверки и расследует нарушения, инициирует предписания для их устранения.

Штрафы за нарушение норм инфобезопасности в области ПДн

Ответственность за нарушение законодательства РФ в области ПДн предусмотрена ст. 13.11–13.14 КоАП РФ.

Нарушение Физлица Должностные лица Юрлица

Обработка ПДн в случаях, не предусмотренных законодательством РФ

2 000–6 000 руб. 

10 000–20 000 руб. 

60 000–100 000 руб. 

Обработка ПДн без согласия в письменной форме или с нарушением установленных требований

10 000–15 000 руб. 

100 000–300 000 руб. 

300 000–700 000 руб. 

Невыполнение оператором при сборе ПДн обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения ПДн

30 000–50 000 руб. 

100 000–200 000 руб. 

1–6 млн руб. 

За неправомерный доступ к охраняемой законом компьютерной информации по ст. 272 УК РФ предусмотрен штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, исправительные работы до 1 года, ограничение свободы или принудительные работы до 2 лет.

За повторное нарушение предусмотрено более строгое наказание. Больше о санкциях за преступления в сфере компьютерной информации можно узнать в гл. 28 УК РФ (ст. 272-274.2).

Изменения в законодательстве в 2024 году 

Прежде всего важно отметить ужесточение требований к защите ПДн по Федеральному закону от 12.12.2023 № 589-ФЗ. В Госдуму внесли законопроект о переходе критически важных объектов на преимущественное использование российского ПО и радиоэлектронной продукции.

В январе 2024 года Минцифры РФ опубликовало рекомендации по переходу госкорпораций на отечественное ПО для снижения зависимости от иностранных технологий и повышения контроля за обработкой информации в стратегически важных секторах. В настоящий момент документ носит рекомендательный характер.

В декабре 2023 года на рассмотрение Госдумы внесли законопроект, который разрешит Роскомнадзору проводить внеплановые проверки в сфере госконтроля и надзора в сфере связи. Поводом для них может стать утечка ПДн. 

От каких атак защищать компанию

Финансовый сектор чаще сталкивается с фишингом и атаками на банкоматы и платежные системы, а также взломами баз данных с целью кражи ПДн. При этом для ретейла свойственны взломы систем онлайн-платежей и атаки на цепочки поставок. А в здравоохранении кибератаки проводят для получения доступа к врачебной тайне и данным пациентов, блокирования рабочих процессов или уничтожения результатов исследований.

Для малого и среднего бизнеса по-прежнему самой распространенной киберугрозой остаются троянцы, имитирующие работу легитимного ПО. Также популярен фишинг, к которому приводит неосторожность сотрудников. Как результат, негативные последствия для инфраструктуры компании и ее репутации среди клиентов.

Как обезопасить организацию от утечки данных

Провести аудит текущего положения дел в сфере инфобезопасности

Для этого нужно:

  • Сделать инвентаризацию сетевого оборудования.
  • Понять, где установлены действующие лицензии на ПО, а где нужно их обновить.
  • Оценить разработанную документацию, при необходимости актуализировать ее. 
  • Изучить внутренний и внешний периметр сети. 

Проводите аудит регулярно, чтобы выявлять слабые места и своевременно прорабатывать их.

Согласно ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ в компании должно быть назначено лицо, ответственное за организацию обработки ПДн. Если меняется ответственный или список обрабатываемых данных, нужно внести корректировки в документы и отправить уведомление в Роскомнадзор

Разработать и утвердить внутренние документы. Ознакомить с ними всех сотрудников

Компании нужно разработать политику информационной безопасности, положение о коммерческой тайне конфиденциальной информации, приказ о назначении группы реагирования на инциденты информационной безопасности (ГРИИБ), а также журналы доступов. 

Для правильной работы с персданными и успешного прохождения проверок Роскомнадзора нужно создать и утвердить следующие документы:

  • Политика обработки ПДн.
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Форма уведомления об обработке ПДн, согласия на их обработку, форма отзыва такого согласия, форма согласия на распространение ПДн и уведомления о прекращении обработки.
  • Приказ о приеме на работу с указанием требований по ПДн и др.

После того, как разработана политика работы с персданными, ознакомьте с ней специалистов компании. 

Установить необходимые средства защиты информации

Определите, какое программное и аппаратное обеспечение подойдет для защиты данных. Установите и интегрируйте его в текущую IT-инфраструктуру, проведите обучение для сотрудников.

Регулярно контролировать соблюдение установленных мер

Задачи сотрудника, ответственного за инфобезопасность в компании:

  1. Разрабатывать политику информационной безопасности. Рассказывать сотрудникам, как предотвратить атаки и как вести себя в случае инцидента: с кем связаться, как изолировать угрозы и восстановить систему. 
  2. Своевременно обновлять средства технического контроля. Устанавливать ПО для предотвращения утечек данных (DLP, двухфакторная аутентификация).
  3. Моделировать угрозы безопасности приложений и предлагать механизмы защиты.
  4. Анализировать систему информационной безопасности на предмет аномалий: проверять журнал активности, актуализировать права доступа сотрудников к данным. 
  5. Отслеживать новости о киберугрозах и обновлять политики безопасности. 

По информации «Контур»

Редакция
Деловая Репутация – общественно-политический журнал, ведущее деловое издание Удмуртской республики. Выпускается с 2002 года. №1 в рейтинге деловых изданий Ижевска (по данным reklama-online.ru).

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА