Одним из ключевых положений указа является то, что руководители ведомств, учреждений, системообразующих организаций и других организаций, созданных на основании федеральных законов, должны назначать заместителей по информационной безопасности (ИБ) и создать структурное подразделение по ИБ или возложить эти функции на существующее структурное подразделение, напомнило Минцифры в своем Telegram-канале.
Своим постановлением Правительство определило основные задачи таких подразделений. Среди них:
планирование и координация работ по обеспечению информационной безопасности, а также контроль за ее состоянием в компании; выявление угроз безопасности информации и уязвимостей информационных систем, ПО и программно-аппаратных средств; предотвращение утечки информации; поддержание стабильной деятельности организации и ее производственных процессов в случае компьютерных атак; и многое другое.
Замглавы компании, ответственный за индивидуальную безопасность, должен организовать соответствующую работу для этого, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, а также регулярно контролировать текущее состояние информбезопасности в компании.
В Минцифры напомнили, что главы компаний должны понимать, что недооценка информационной безопасности может привести к серьезным последствиям. «Это стало частью нашей жизни: происходят утечки данных, DDoS-атаки на публичные сервисы. Нужно быть готовым к этому и вовремя решать проблемы, связанные с ИБ, а лучше — не допускать их вовсе», — отметили в ведомстве.
Ранее «Парламентская газета» подробно разбирала президентский указ. Помимо прочего, документ предусматривает, что с 1 января 2025 года госорганизациям запретят использовать средства защиты информации, произведенные в странах из списка недружественных. В него входят европейские государства, в том числе все члены Евросоюза, США, Канада, Австралия, Япония. Об этом сообщает "Рамблер".
Коротко об основных законах о защите информации и информационной безопасности
149-ФЗ «Об информации, информационных технологиях и о защите информации» Закон определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности. В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней. Ключевые моменты закона об информационной безопасности:
Нельзя собирать и распространять информацию о жизни человека без его согласия.
Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
152-ФЗ «О персональных данных» Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников.
Мы подробно рассматривали различные требования, а так же напоминали вам о подзаконных актах в статье пару месяцев назад. 👉 Статья тут
О рисках, связанных с организацией проверок в области хранения, обработки и т.п. персональных данных мы писали 👉 тут
А так же о типологии ущерба в области приватности сообщали ранее. Ссылка на статью 👉 тут
Ключевые моменты закона:
Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
98-ФЗ «О коммерческой тайне» Закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду. Ключевые моменты закона о защите информации компании:
Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
63-ФЗ «Об электронной подписи» Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать. Ключевые моменты закона:
Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» Закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России. К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО. Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования. Ключевые моменты закона об информационной безопасности критически важных структур:
Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.