Все по закону: как компании избежать штрафов?

Одно из базовых требований к любому современному бизнесу – это законность. И речь идет не о соблюдении основных законодательных требований вроде своевременной выплаты налогов. Существует много актов и приказов, которым компании нужно соответствовать, чтоб не пришлось выплачивать штрафы.

В этой статье мы расскажем о законах в сфере безопасности, которые должен соблюдать каждый бизнес.

Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры РФ»

Этот закон регулирует, как должны быть защищены критически важные информационные системы России, чтобы работать устойчиво даже при компьютерных атаках.

Критическая инфраструктура – это информационные системы и сети государственных органов, а также автоматизированные системы управления в таких сферах, как оборона, здравоохранение, связь, транспорт, финансы, энергетика, и в ключевых отраслях промышленности (топливная, атомная, ракетно-космическая, металлургическая, химическая, горнодобывающая).

Закон определяет основные принципы безопасности КИИ, полномочия госорганов в этой сфере, а также права, обязанности и ответственность всех, кто владеет объектами КИИ, операторов связи и информационных систем, которые обеспечивают их взаимодействие.

149‑ФЗ «Об информации, информационных технологиях и о защите информации»

Это основной закон, который регулирует вопросы информации в России. Он определяет ключевые термины: информация – это любые данные, сведения и сообщения в любой форме. Закон объясняет, что такое сайт, электронное сообщение и поисковая система. На этот закон нужно ссылаться при составлении документов по информационной безопасности.

Основные моменты:

• Конфиденциальная информация: нельзя собирать и распространять данные о жизни человека без его согласия;
• Равенство технологий: компании не обязаны использовать какие-то определенные технологии для создания информационных систем;
• Открытая информация: доступ к некоторым данным, например о состоянии окружающей среды, ограничивать нельзя;
• Запрещенная информация: нельзя распространять материалы, пропагандирующие насилие или нетерпимость;
• Меры защиты персональных данных: те, кто хранит информацию, обязаны ее защищать и предотвращать несанкционированный доступ;
• Реестр запрещенных сайтов: Роскомнадзор ведет реестр сайтов с запрещенной к распространению информацией в РФ;
• Разблокировка сайтов: владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор для разблокировки.

Закон также описывает, какая информация считается конфиденциальной, а какая общедоступной, когда и как можно ограничивать доступ к информации, как должен происходить обмен данными. Основные требования к защите информации и ответственность за нарушения также прописаны в 149-ФЗ.

Так, например, обладатель информации обязан обеспечить:

• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль за обеспечением уровня защищенности информации;
• нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Указ №250 о дополнительных мерах по обеспечению информационной безопасности РФ

Президент РФ постановил:

1. Руководителям федеральных органов и стратегических организаций:
   • Назначить зама, ответственного за информационную безопасность, включая защиту от компьютерных атак.
   • Создать или использовать уже существующий отдел для обеспечения информационной безопасности.
   • При необходимости привлекать лицензированные организации для защиты информации.
   • Обеспечивать доступ сотрудников ФСБ к информационным ресурсам для мониторинга и выполнения их указаний.
   • Выполнять организационные и технические меры по указаниям ФСБ и ФСТЭК.
2. Руководители несут личную ответственность за информационную безопасность своих органов и организаций.
3. Правительству РФ в месячный срок:
   • Утвердить положения о заместителе по информационной безопасности и о соответствующем подразделении.
   • Определить ключевые органы, которым нужно оценить уровень защищенности своих систем с помощью лицензированных организаций.
4. ФСБ:
   • Организовать аккредитацию центров по обнаружению и ликвидации последствий компьютерных атак.
   • Определить переходный период для проведения мероприятий по защите от атак на основе соглашений с ФСБ.
   • Установить порядок мониторинга защищенности информационных ресурсов и проводить его.
5. С 1 января 2025 года запрещается использовать средства защиты информации из стран, совершающих недружественные действия в отношении РФ.

139-ФЗ «О внесении изменений в Федеральный закон (от 29.12.2010 №436-ФЗ) «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации»

Основное новшество – создание Единого реестра запрещенных сайтов.

Как это работает:

• Если Роскомнадзор или оператор реестра находят сайт с запрещенным контентом, они уведомляют хостинг-провайдера.
• Провайдер в течение трех дней должен удалить запрещенную информацию или ограничить доступ к сайту.
• Если этого не происходит, сайт попадает в Единый реестр.

Перечень запрещенных сайтов обновляется дважды в сутки: в 9:00 и 21:00 по московскому времени. Операторы связи должны ограничить доступ к таким сайтам в течение суток после обновления.

Операторы могут получить доступ к информации в реестре через сайт http://www.zapret-info.gov.ru/tooperators/form/. Для этого нужна квалифицированная электронная подпись, выданная аккредитованным центром Минкомсвязи России. Без нее доступ невозможен.

436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»

Закон направлен на всестороннюю защиту детей от информации, которая может навредить их развитию и здоровью.

Выделяется две категории информации:

• Запрещенная: вызывает страх, панику, оправдывает насилие, побуждает к опасным действиям или суициду.
• Ограниченная по возрасту: информация делится на категории: до 6 лет, от 6 до 12, от 12 до 16, старше 16 лет.

Примеры:

• Для детей от 6 лет: допустимо показывать несчастные случаи без подробных последствий.
• Для подростков от 16 лет: можно рассказывать о наркотиках с осуждением их употребления.
• Информация о сексуальных отношениях для детей старше 16 лет должна быть без оскорбительного содержания.

Требования к производителям и распространителям:

• Указывать возрастные ограничения на продукцию.
• Давать звуковое оповещение перед показом фильмов с ограничениями.
• Ограничивать время показа некоторых программ на телевидении.
• Операторы связи должны использовать технические средства защиты детей от вредной информации.
• Роскомнадзор ведет экспертизу продукции и аккредитует экспертов для оценки контента.

Надзор и контроль

• Роспотребнадзор контролирует соответствие продукции требованиям закона.
• Минкультуры определяет порядок маркировки и контроля за аудиовизуальной продукцией.
• Роскомнадзор и Рособрнадзор следят за соблюдением требований в школах и на научных мероприятиях.
• Общественные организации могут проводить мониторинг и обращаться в федеральные органы для экспертизы информации.

114-ФЗ «О противодействии экстремистской деятельности»

Особые принципы противодействия экстремизму

• Уважение и защита прав и свобод граждан, а также интересов организаций.
• Законность.
• Открытость и прозрачность.
• Приоритет безопасности России.
• Превентивные меры для предупреждения экстремизма.
• Сотрудничество государства с общественными и религиозными объединениями и гражданами.
• Неизбежность наказания за экстремистские действия.

Основные направления борьбы с экстремизмом

• Профилактика: меры для выявления и устранения причин экстремизма.
• Пресечение: выявление и прекращение экстремистской деятельности у организаций и физических лиц.

Государственные и местные органы власти принимают профилактические меры, включая воспитательные и пропагандистские, чтобы предотвратить экстремистскую деятельность. Особенно важно это в образовательной сфере, поскольку экстремизм представляет особую опасность для детей.

152-ФЗ «О персональных данных»

Персональные данные – это любая информация, которая может быть связана с определенным человеком. Это имя, телефон, email, адрес, фото, паспортные данные и все, что может идентифицировать гражданина.

Кстати, услуги по проверке на соответствие закону 152-ФЗ услуги предоставляет ГЭНДАЛЬФ.

Согласно второй статье закона №152-ФЗ «О персональных данных», чтобы обеспечить безопасность персональных данных, необходимо:

• Определить угрозы безопасности.
• Применить организационные и технические меры по обеспечению безопасности.
• Применить средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
• Оценить эффективность принимаемых мер по обеспечению безопасности персональных данных (до ввода в эксплуатацию информационной системы персональных данных).
• Провести учет машинных носителей персональных данных.
• Обнаружить факты несанкционированного доступа к персональным данным и принять меры.

С 2024 года все компании обязаны:

• Создавать системы для обработки, учета и безопасного хранения персональных данных согласно новым законам.
• Разработать правила работы с личными данными и подготовить все нужные документы в соответствии с требованиями Роскомнадзора и закона №152-ФЗ «О персональных данных».
• Регулярно предоставлять отчеты Роскомнадзору.

Компании должны обрабатывать данные сотрудников, клиентов и других лиц. Это теперь неотъемлемая часть работы, будь то кадровые вопросы, бухгалтерия, юридические аспекты или другие процессы.

За нарушения закона о персональных данных компании могут получить штрафы от 300 тысяч до 18 миллионов рублей.

Приказы №21 и №17 ФСТЭК России

Приказ ФСТЭК России №17

В соответствии с приказом, предприятия, обрабатывающие информацию ограниченного доступа в ГИС, обязаны разработать и внедрить систему защиты информации, отвечающую перечисленным в документе требованиям. А также информационная система должна быть аттестована по требованиям защиты информации организацией, у которой есть лицензия от ФСТЭК на деятельность по технической защите конфиденциальной информации.

В приказе представлены требования к защите информации в госинформационных системах (ГИС):

• Защита информации, не составляющей гос. тайну.
• Использование сертифицированных средств защиты и обязательная аттестация систем.
• Классификация ИС по значимости и масштабу.

Приказ ФСТЭК России №21

Этот приказ регламентирует требования к защите персональных данных в негосударственных системах (ИС), они менее жесткие, чем в Приказе №17.

• Разрешено использование средств защиты, прошедших оценку соответствия.
• Аттестация заменена на оценку эффективности защитных мер.
• Приказ №17 может применяться для негосударственных ИС по решению оператора.

Приказ №21 определяет меры защиты в зависимости от уровня защищенности:

• Уровень защищенности зависит от типа угроз, типа данных (специальные, биометрические, общедоступные и др.) и количества субъектов данных.
• Четыре уровня защищенности: УЗ1 (высший) – УЗ4 (низший).

В информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.

Приказ ФСТЭК России №77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну»

С 1 сентября 2021 года вступили в силу следующие изменения:

• Аттестаты соответствия выдаются бессрочно (раньше – на 3 года).
• Каждые два года компании обязаны подтверждать, что проводили периодические проверки аттестованных объектов.
• Требование по ежегодным проверкам сохраняется.
• ФСТЭК России ведет реестр аттестованных объектов, где указывается статус аттестатов.
• Органы по аттестации обязаны в течение пяти дней после подписания аттестатов высылать их копии во ФСТЭК России для внесения в реестр.
• Аттестаты, выданные до 01.09.21, действуют по старым правилам и имеют срок действия 3 года.

Документ усилил контроль ФСТЭК России как над органами, проводящими аттестацию, так и над самими объектами информатизации.