Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
424

Все по закону: как компании избежать штрафов?

Содержание

Одно из базовых требований к любому современному бизнесу – это законность. И речь идет не о соблюдении основных законодательных требований вроде своевременной выплаты налогов. Существует много актов и приказов, которым компании нужно соответствовать, чтоб не пришлось выплачивать штрафы.

В этой статье мы расскажем о законах в сфере безопасности, которые должен соблюдать каждый бизнес.

Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры РФ»

Этот закон регулирует, как должны быть защищены критически важные информационные системы России, чтобы работать устойчиво даже при компьютерных атаках.

Критическая инфраструктура – это информационные системы и сети государственных органов, а также автоматизированные системы управления в таких сферах, как оборона, здравоохранение, связь, транспорт, финансы, энергетика, и в ключевых отраслях промышленности (топливная, атомная, ракетно-космическая, металлургическая, химическая, горнодобывающая).

Закон определяет основные принципы безопасности КИИ, полномочия госорганов в этой сфере, а также права, обязанности и ответственность всех, кто владеет объектами КИИ, операторов связи и информационных систем, которые обеспечивают их взаимодействие.

149‑ФЗ «Об информации, информационных технологиях и о защите информации»

Это основной закон, который регулирует вопросы информации в России. Он определяет ключевые термины: информация – это любые данные, сведения и сообщения в любой форме. Закон объясняет, что такое сайт, электронное сообщение и поисковая система. На этот закон нужно ссылаться при составлении документов по информационной безопасности.

Основные моменты:

  • Конфиденциальная информация: нельзя собирать и распространять данные о жизни человека без его согласия;
  • Равенство технологий: компании не обязаны использовать какие-то определенные технологии для создания информационных систем;
  • Открытая информация: доступ к некоторым данным, например о состоянии окружающей среды, ограничивать нельзя;
  • Запрещенная информация: нельзя распространять материалы, пропагандирующие насилие или нетерпимость;
  • Меры защиты персональных данных: те, кто хранит информацию, обязаны ее защищать и предотвращать несанкционированный доступ;
  • Реестр запрещенных сайтов: Роскомнадзор ведет реестр сайтов с запрещенной к распространению информацией в РФ;
  • Разблокировка сайтов: владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор для разблокировки.

Закон также описывает, какая информация считается конфиденциальной, а какая общедоступной, когда и как можно ограничивать доступ к информации, как должен происходить обмен данными. Основные требования к защите информации и ответственность за нарушения также прописаны в 149-ФЗ.

Так, например, обладатель информации обязан обеспечить:

  • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • своевременное обнаружение фактов несанкционированного доступа к информации;
  • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • постоянный контроль за обеспечением уровня защищенности информации;
  • нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Указ №250 о дополнительных мерах по обеспечению информационной безопасности РФ

Президент РФ постановил:

  1. Руководителям федеральных органов и стратегических организаций:
    • Назначить зама, ответственного за информационную безопасность, включая защиту от компьютерных атак.
    • Создать или использовать уже существующий отдел для обеспечения информационной безопасности.
    • При необходимости привлекать лицензированные организации для защиты информации.
    • Обеспечивать доступ сотрудников ФСБ к информационным ресурсам для мониторинга и выполнения их указаний.
    • Выполнять организационные и технические меры по указаниям ФСБ и ФСТЭК.
  2. Руководители несут личную ответственность за информационную безопасность своих органов и организаций.
  3. Правительству РФ в месячный срок:
    • Утвердить положения о заместителе по информационной безопасности и о соответствующем подразделении.
    • Определить ключевые органы, которым нужно оценить уровень защищенности своих систем с помощью лицензированных организаций.
  4. ФСБ:
    • Организовать аккредитацию центров по обнаружению и ликвидации последствий компьютерных атак.
    • Определить переходный период для проведения мероприятий по защите от атак на основе соглашений с ФСБ.
    • Установить порядок мониторинга защищенности информационных ресурсов и проводить его.
  5. С 1 января 2025 года запрещается использовать средства защиты информации из стран, совершающих недружественные действия в отношении РФ.

139-ФЗ «О внесении изменений в Федеральный закон (от 29.12.2010 №436-ФЗ) «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации»

Основное новшество – создание Единого реестра запрещенных сайтов.

Как это работает:

  • Если Роскомнадзор или оператор реестра находят сайт с запрещенным контентом, они уведомляют хостинг-провайдера.
  • Провайдер в течение трех дней должен удалить запрещенную информацию или ограничить доступ к сайту.
  • Если этого не происходит, сайт попадает в Единый реестр.

Перечень запрещенных сайтов обновляется дважды в сутки: в 9:00 и 21:00 по московскому времени. Операторы связи должны ограничить доступ к таким сайтам в течение суток после обновления.

Операторы могут получить доступ к информации в реестре через сайт http://www.zapret-info.gov.ru/tooperators/form/. Для этого нужна квалифицированная электронная подпись, выданная аккредитованным центром Минкомсвязи России. Без нее доступ невозможен.

436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»

Закон направлен на всестороннюю защиту детей от информации, которая может навредить их развитию и здоровью.

Выделяется две категории информации:

  • Запрещенная: вызывает страх, панику, оправдывает насилие, побуждает к опасным действиям или суициду.
  • Ограниченная по возрасту: информация делится на категории: до 6 лет, от 6 до 12, от 12 до 16, старше 16 лет.

Примеры:

  • Для детей от 6 лет: допустимо показывать несчастные случаи без подробных последствий.
  • Для подростков от 16 лет: можно рассказывать о наркотиках с осуждением их употребления.
  • Информация о сексуальных отношениях для детей старше 16 лет должна быть без оскорбительного содержания.

Требования к производителям и распространителям:

  • Указывать возрастные ограничения на продукцию.
  • Давать звуковое оповещение перед показом фильмов с ограничениями.
  • Ограничивать время показа некоторых программ на телевидении.
  • Операторы связи должны использовать технические средства защиты детей от вредной информации.
  • Роскомнадзор ведет экспертизу продукции и аккредитует экспертов для оценки контента.

Надзор и контроль

  • Роспотребнадзор контролирует соответствие продукции требованиям закона.
  • Минкультуры определяет порядок маркировки и контроля за аудиовизуальной продукцией.
  • Роскомнадзор и Рособрнадзор следят за соблюдением требований в школах и на научных мероприятиях.
  • Общественные организации могут проводить мониторинг и обращаться в федеральные органы для экспертизы информации.

114-ФЗ «О противодействии экстремистской деятельности»

Особые принципы противодействия экстремизму

  • Уважение и защита прав и свобод граждан, а также интересов организаций.
  • Законность.
  • Открытость и прозрачность.
  • Приоритет безопасности России.
  • Превентивные меры для предупреждения экстремизма.
  • Сотрудничество государства с общественными и религиозными объединениями и гражданами.
  • Неизбежность наказания за экстремистские действия.

Основные направления борьбы с экстремизмом

  • Профилактика: меры для выявления и устранения причин экстремизма.
  • Пресечение: выявление и прекращение экстремистской деятельности у организаций и физических лиц.

Государственные и местные органы власти принимают профилактические меры, включая воспитательные и пропагандистские, чтобы предотвратить экстремистскую деятельность. Особенно важно это в образовательной сфере, поскольку экстремизм представляет особую опасность для детей.

152-ФЗ «О персональных данных»

Персональные данные – это любая информация, которая может быть связана с определенным человеком. Это имя, телефон, email, адрес, фото, паспортные данные и все, что может идентифицировать гражданина.

Кстати, услуги по проверке на соответствие закону 152-ФЗ услуги предоставляет ГЭНДАЛЬФ.

Согласно второй статье закона №152-ФЗ «О персональных данных», чтобы обеспечить безопасность персональных данных, необходимо:

  • Определить угрозы безопасности.
  • Применить организационные и технические меры по обеспечению безопасности.
  • Применить средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
  • Оценить эффективность принимаемых мер по обеспечению безопасности персональных данных (до ввода в эксплуатацию информационной системы персональных данных).
  • Провести учет машинных носителей персональных данных.
  • Обнаружить факты несанкционированного доступа к персональным данным и принять меры.

С 2024 года все компании обязаны:

  • Создавать системы для обработки, учета и безопасного хранения персональных данных согласно новым законам.
  • Разработать правила работы с личными данными и подготовить все нужные документы в соответствии с требованиями Роскомнадзора и закона №152-ФЗ «О персональных данных».
  • Регулярно предоставлять отчеты Роскомнадзору.

Компании должны обрабатывать данные сотрудников, клиентов и других лиц. Это теперь неотъемлемая часть работы, будь то кадровые вопросы, бухгалтерия, юридические аспекты или другие процессы.

За нарушения закона о персональных данных компании могут получить штрафы от 300 тысяч до 18 миллионов рублей.

Уверены, что соблюдаете 152-ФЗ? Давайте проверим это. Оставьте заявку, и мы поможем учесть все нюансы законодательства.

Заказать услугу

Приказы №21 и №17 ФСТЭК России

Приказ ФСТЭК России №17

В соответствии с приказом, предприятия, обрабатывающие информацию ограниченного доступа в ГИС, обязаны разработать и внедрить систему защиты информации, отвечающую перечисленным в документе требованиям. А также информационная система должна быть аттестована по требованиям защиты информации организацией, у которой есть лицензия от ФСТЭК на деятельность по технической защите конфиденциальной информации.

В приказе представлены требования к защите информации в госинформационных системах (ГИС):

  • Защита информации, не составляющей гос. тайну.
  • Использование сертифицированных средств защиты и обязательная аттестация систем.
  • Классификация ИС по значимости и масштабу.

Приказ ФСТЭК России №21

Этот приказ регламентирует требования к защите персональных данных в негосударственных системах (ИС), они менее жесткие, чем в Приказе №17.

  • Разрешено использование средств защиты, прошедших оценку соответствия.
  • Аттестация заменена на оценку эффективности защитных мер.
  • Приказ №17 может применяться для негосударственных ИС по решению оператора.

Приказ №21 определяет меры защиты в зависимости от уровня защищенности:

  • Уровень защищенности зависит от типа угроз, типа данных (специальные, биометрические, общедоступные и др.) и количества субъектов данных.
  • Четыре уровня защищенности: УЗ1 (высший) – УЗ4 (низший).

В информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.

Приказ ФСТЭК России №77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»

С 1 сентября 2021 года вступили в силу следующие изменения:

  • Аттестаты соответствия выдаются бессрочно (раньше – на 3 года).
  • Каждые два года компании обязаны подтверждать, что проводили периодические проверки аттестованных объектов.
  • Требование по ежегодным проверкам сохраняется.
  • ФСТЭК России ведет реестр аттестованных объектов, где указывается статус аттестатов.
  • Органы по аттестации обязаны в течение пяти дней после подписания аттестатов высылать их копии во ФСТЭК России для внесения в реестр.
  • Аттестаты, выданные до 01.09.21, действуют по старым правилам и имеют срок действия 3 года.

Документ усилил контроль ФСТЭК России как над органами, проводящими аттестацию, так и над самими объектами информатизации.

У вас все еще есть вопросы по законодательству в сфере безопасности для компаний? Вы можете задать их нам!

Получить консультацию
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Межсетевые экраны: защита от хакеров

Аттестация информационных систем персональных данных

Разработка документов по защите персональных данных

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 456 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2024 ГЭНДАЛЬФ
ГЭНДАЛЬФ
ГЭНДАЛЬФ ГЭНДАЛЬФ ГЭНДАЛЬФ