7 нормативных документов по информационной безопасности, о которых должен знать предприниматель

Государственные структуры работают с данными, которые имеют критическую значимость – это информация о гражданах, национальной безопасности, ключевых инфраструктурах и системах управления. Законодательство в области безопасности поставило приоритетную задачу – обеспечение надежной защиты этих данных. Для госструктур существует комплекс нормативно-правовых актов, регламентирующих вопросы информационной безопасности, – от федеральных законов до детализированных приказов.

В этой статье мы собрали основные законы и приказы, которые необходимы для соблюдения информационной безопасности в госорганах. Разобраться в них важно не только для руководителей, но и для специалистов, занимающихся вопросами безопасности, поскольку знание этих нормативных актов поможет эффективно организовать защиту данных, избежать правовых рисков и оперативно реагировать на новые вызовы.

ФЗ №149 Об информации, информационных технологиях и о защите информации.

Сфера действия: закон охватывает все аспекты, связанные с:

• Правом на получение и распространение информации.
• Применением технологий для работы с информацией.
• Обеспечением ее защиты.

Этот закон важен для любых организаций, работающих с данными, так как регулирует, как можно получать, хранить и передавать информацию, определяя обязательные меры безопасности.

Определения ключевых понятий: в закон вводится несколько основных терминов.

• Информация – это любые сведения в любом формате.
• Информационные технологии – процессы и методы, связанные с поиском, хранением и передачей данных.
• Информационная система – это не просто база данных, а система, которая включает в себя все технологии и средства для работы с информацией.
• Конфиденциальность – требование не передавать информацию третьим лицам без разрешения.

Основные меры защиты информации:

• Закон обязывает обеспечивать защиту данных с помощью юридических, технических и организационных мер.
• Защита включает предотвращение несанкционированного доступа, уничтожения или модификации информации.
• Требуется строгое соблюдение конфиденциальности информации ограниченного доступа и обеспечение прав на законный доступ к данным.

Государственное регулирование: закон вводит требования для защиты данных и предусматривает ответственность за их нарушение. Это значит, что компании, работающие с данными, должны следовать государственным стандартам защиты информации, иначе к ним могут быть применены санкции.

Обязанности операторов и обладателей информации:

• Операторы обязаны обеспечивать защиту от несанкционированного доступа к данным и возможность восстановления данных в случае их утраты.
• Обязателен постоянный контроль за уровнем защищенности, что требует регулярных проверок и обновлений мер безопасности.
• Базы данных, содержащие персональные данные граждан России, должны находиться на территории РФ, что предотвращает их передачу за рубеж.

Требования для государственных информационных систем:

• Меры защиты данных в государственных системах разрабатываются и контролируются специально уполномоченными государственными органами.
• Применяемые в этих системах методы защиты должны соответствовать установленным стандартам.

Ограничения и ответственность:

• Закон допускает ограничения на использование некоторых средств защиты и на проведение отдельных видов деятельности, связанных с защитой информации.
• В случае нарушений закона лица и организации могут понести дисциплинарную, административную или уголовную ответственность, что подчеркивает серьезность обязательств по соблюдению правил.

Этот закон обязателен к соблюдению всеми организациями, работающими с информацией, а особенно теми, кто связан с обработкой персональных данных и хранением конфиденциальных сведений.

ФЗ №152 О персональных данных.

Сфера действия: закон охватывает защиту персональных данных граждан, установку обязательных мер безопасности при их обработке и требования для операторов данных (госорганы, компании и физлица), работающих с персональной информацией.

Основная цель – обеспечить конфиденциальность, целостность и доступность персональных данных, защитить права граждан на сохранение их личных данных в безопасности.

Определения:

• Персональные данные – это любая информация, относящаяся к конкретному физическому лицу.
• Оператор – организация или человек, которые организуют обработку персональных данных и определяют ее цели.
• Обработка данных – включает сбор, хранение, изменение, передачу и удаление данных.

Меры безопасности при обработке данных:

• Операторы должны защищать данные от несанкционированного доступа и других угроз.
• Важные меры включают оценку угроз, внедрение технических и организационных защитных мер, контроль за уровнем защиты данных.
• Персональные данные должны обрабатываться в системах, сертифицированных в России, с учетом всех требований безопасности.

Требования к уровням защиты данных: в зависимости от возможных угроз, закон определяет различные уровни защищенности для информационных систем, а также обязательные технические и организационные меры, установленные ФСТЭК и ФСБ России.

Контроль и надзор: ответственность за проверку соблюдения этих мер безопасности лежит на ФСБ и ФСТЭК. Операторы также обязаны взаимодействовать с государственными системами для выявления и предотвращения компьютерных атак и инцидентов.

Закон обязывает всех операторов соблюдать строгие стандарты защиты данных, чтобы предотвратить утечку или несанкционированный доступ к персональным данным, иначе их ждут санкции.

Российское законодательство в области безопасности – не то, чего стоит бояться. Чтобы избежать санкций, достаточно пройти аттестацию рабочих мест: таким образом соответствие 152-ФЗ будет обеспечено.

ФЗ №187 О безопасности критической информационной инфраструктуры РФ.

Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» направлен на защиту ключевых информационных систем от кибератак и обеспечению их безопасной работы. Вот его основные положения:

Кого касается: закон применим к госорганам, учреждениям и компаниям, использующим информационные системы и автоматизированные системы управления в сферах здравоохранения, науки, транспорта, связи, энергетики, финансов, госрегистрации и других критических областях.

Цель: обеспечить защиту и устойчивость критической инфраструктуры (КИИ) при кибератаках.

Основные понятия:

• Критическая информационная инфраструктура (КИИ) – системы и сети, задействованные в управлении и функционировании ключевых отраслей.
• Значимый объект КИИ – система, включенная в реестр значимых объектов с высокой категорией значимости.
• ГосСОПКА – государственная система для выявления и устранения последствий компьютерных атак, обеспечивающая безопасность КИИ.

Обязанности субъектов КИИ:

• Субъекты обязаны защищать свои информационные системы от несанкционированного доступа, утечек и других угроз.
• Они должны немедленно информировать ФСБ и Центральный банк (для финансовых организаций) о киберинцидентах.
• При установке защитного оборудования соблюдать правила и условия, утвержденные государством.

Категорирование объектов КИИ:

• Объекты КИИ подлежат категорированию по значимости (социальной, политической, экономической, экологической) с учетом возможного ущерба.
• Объекты делятся на три категории значимости, от самой высокой (1) до низкой (3).
• Присвоение категории осуществляется по критериям, а данные передаются ФСТЭК для проверки и включения в реестр значимых объектов.

Контроль безопасности: ФСТЭК России проводит плановые и внеплановые проверки объектов КИИ, чтобы подтвердить соблюдение требований безопасности. По итогам проверок ФСТЭК может выдать предписания об устранении выявленных нарушений с указанием сроков выполнения.

Ответственность: несоблюдение требований закона №187-ФЗ и связанных с ним нормативных актов влечет административные и юридические последствия в соответствии с законодательством России.

Приказ №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Кто подпадает под действие приказа:

• Заказчики и владельцы государственных информационных систем (ГИС).
• Операторы ГИС, занимающиеся обработкой данных с ограниченным доступом или общедоступной информацией.

Когда применяется: при обработке информации, не являющейся государственной тайной, но требующей защиты в ГИС.

Основные положения:

• Все организации, работающие с ГИС, обязаны разрабатывать и внедрять систему защиты информации согласно требованиям приказа.
• Информационные системы должны проходить обязательную аттестацию для подтверждения уровня их безопасности, что осуществляется организациями, лицензированными ФСТЭК.

Ответственность за нарушение: несоблюдение требований приказа ведет к административной, гражданской или уголовной ответственности.

Основные термины:

• Государственные информационные системы (ГИС) – информационные системы, созданные на основании федерального или регионального законодательства.
• Модель угроз – описание системы и потенциальных угроз, включая уязвимости и методы их устранения.

Меры защиты информации:

• Включают разработку и внедрение системы защиты, аттестацию системы на соответствие требованиям, контроль соблюдения мер защиты в процессе эксплуатации.
• Объектами защиты являются: информация, технические и программные средства, информационные технологии и средства защиты информации.
• Используются сертифицированные средства защиты, которые проходят обязательную оценку соответствия требованиям безопасности.

Аттестация и классы защищенности:

• Аттестация проводится в соответствии с Приказом ФСТЭК №77 для подтверждения защищенности информации в процессе эксплуатации.
• Устанавливаются три класса защищенности (от 1 до 3), где 1 – самый высокий уровень защиты.

Приказ №17 определяет строгие требования к защите информации в ГИС, обязывая операторов и владельцев ГИС внедрять меры, которые минимизируют риски утечек и обеспечивают защиту от несанкционированного доступа, а также аттестацию для проверки уровня безопасности информационных систем.

Приказ №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Кто подпадает под действие приказа:

• Операторы, обрабатывающие персональные данные (ПДн).
• Лица, работающие с ПДн по поручению оператора в рамках законодательства.

Когда применяется: во всех случаях обработки персональных данных в информационных системах персональных данных (ИСПДн).

Основные положения:

• Приказ определяет полный состав и содержание мер безопасности (организационных и технических), необходимых для защиты персональных данных от утечек, несанкционированного доступа, изменения и иных неправомерных действий.
• Уровень защищенности ПДн выбирается на основании Постановления Правительства №1119, которое устанавливает критерии для определения подходящего уровня.

Оценка мер безопасности: эффективность реализованных мер безопасности проверяется каждые 3 года. Оценка может проводиться как самим оператором, так и с привлечением лицензированных организаций, имеющих право на техническую защиту конфиденциальной информации.

Основные шаги по выбору мер безопасности:

1. Определение базового набора мер для защиты ПДн.
2. Адаптация базовых мер в зависимости от характеристик системы и ее функциональности.
3. Уточнение и дополнение мер на основе актуальных угроз и требований других нормативных актов.

Приказ №21 задает строгие стандарты защиты персональных данных, обязывая операторов регулярно оценивать и обновлять меры безопасности, которые они внедрили.

Указ Президента РФ №250 от 01.05.2022: «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Цель указа: усиление информационной безопасности (ИБ) для защиты государственных и стратегических организаций РФ.

Кого касается:

• Федеральные и региональные органы исполнительной власти.
• Государственные фонды и корпорации, стратегические предприятия и акционерные общества.
• Системообразующие организации российской экономики и субъекты критической информационной инфраструктуры (КИИ).

Ключевые положения:

• Ответственность за обеспечение ИБ возлагается на руководителя организации, а полномочия в этой сфере – на его заместителя.
• Организациям предписано создать или назначить подразделение, ответственное за обнаружение и предотвращение кибератак.
• В работу по обеспечению ИБ могут привлекаться только лицензированные организации с допусками на техническую защиту информации, а на мероприятия по ликвидации последствий кибератак – аккредитованные центры ГосСОПКА.

Меры по обеспечению информационной безопасности:

• Переходный период: приказ ФСБ РФ №543 от 01.11.2022 определяет переходный период (3 года), в течение которого допускается сотрудничество с ФСБ для реагирования на киберинциденты в рамках соглашений.
• Беспрепятственный доступ: организации должны обеспечить ФСБ доступ (включая удаленный) к своим информационным ресурсам через сеть Интернет.
• Оперативные меры: решения ФСБ и ФСТЭК по ИБ должны выполняться без промедления в связи с изменениями угроз в информационной сфере.

Переход на отечественные средства защиты информации:

• До 01.01.2025 организации должны провести инвентаризацию используемых средств защиты информации (СЗИ) и перейти на отечественные аналоги.
• С 2025 года запрещено использование СЗИ и ИБ-услуг из недружественных стран (согласно перечню от 05.03.2022 №430-р), таких как США, Великобритания, страны ЕС, Япония и др.

Особые требования:

• Организации должны оценить защищенность своих систем с привлечением лицензированных компаний (ФСБ, ФСТЭК).
• Запрещено использование сервисов ИБ от производителей и компаний из недружественных государств.

Ответственность: нарушение требований указа влечет правовую ответственность, установленную законодательством Российской Федерации.

Приказ №77 «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Даже при наличии аттестата соответствия на объект информатизации владельцам требуется регулярно подтверждать его защищенность согласно пунктам 31 и 32 приказа №77. Рассмотрим его подробнее.

Кого касается: владельцы объектов информатизации, содержащих информацию ограниченного доступа (но не государственную тайну).

Основное: приказ регулирует порядок проведения аттестации объектов информатизации на соответствие требованиям защиты информации. Аттестация необходима для подтверждения уровня защищенности и получения аттестата соответствия, который выдается на весь срок эксплуатации объекта.

Особые требования:

• Пункт 31: аттестованный объект должен поддерживать высокий уровень безопасности на постоянной основе. Для этого владелец объекта обязан проводить периодический контроль защищенности, оформляя результаты в протоколах и техническом паспорте объекта.
• Пункт 32: протоколы контроля защищенности нужно подавать в ФСТЭК каждые два года. Невыполнение этого требования может привести к приостановке действия аттестата.

Ответственность: непредоставление протоколов контроля защиты информации является основанием для приостановления действия аттестата, что подразумевает возможность временного отстранения объекта от эксплуатации до устранения нарушений.