Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Маркетинг
Деньги
Сервисы
Крипто
Личный опыт
Маркетплейсы
Образование
AI
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Гладиаторы информ.безопасности
Личный опыт

Как закон помогает сделать компанию защищенной от хакеров и атак

В современном мире, где информация является одним из самых ценных активов, защита этой информации становится критичным элементом устойчивости бизнеса. Система защиты должна быть надежной, чтобы противостоять хакерам и утечке конфиденциальной информации.

Государство не просто так регулирует сферу ИТ и информационной безопасности - оно транслирует лучшие практики и здесь важно понимать "смысл" буквы Закона
Государство не просто так регулирует сферу ИТ и информационной безопасности - оно транслирует лучшие практики и здесь важно понимать "смысл" буквы Закона

На что опираться при создании и поддержании работы системы безопасности? Первый вариант - это опыт конкретных специалистов, ответственных за эту систему.

Если опыта нет, не хватает или хочется перестраховаться, самому сделать первые шаги, то помощником могут быть стандарты и регламенты, которые уже разработали другие специалисты.

Поэтому создание и поддержание актуальной нормативной базы в области защиты информации со стороны государственных органов является важной задачей обеспечения безопасности государства в целом и отдельных отраслей (предприятий). Стандарты безопасности помогают установить правила и принципы, которые подтвердили свою надежность на практике и которые необходимо соблюдать для обеспечения безопасности информации (вернее государство требует соблюдать, чтобы сделать себя защищенным).

В данной статье мы рассмотрим, с чего следует начать и на какие основные принципы ориентироваться при построении системы информационной безопасности. Разработка политик безопасности, оценка рисков, формирование модели угроз, выработка защитных мер - это лишь некоторые аспекты, которые следует учесть при создании защищенной информационной системы.

Основные нормативные документы

1. Доктрина информационной безопасности Российской Федерации

Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.

На что обратить внимание:

  • Цели и задачи информационной безопасности: Понимать основные цели и задачи обеспечения информационной безопасности.

  • Основные угрозы и вызовы: Ознакомиться с основными угрозами и вызовами в информационной сфере, чтобы быть готовыми к их предотвращению.

2. Федеральный закон №152-ФЗ “О персональных данных”

Этот закон регулирует обработку и защиту персональных данных (ПДн) граждан. Он устанавливает требования к операторам данных (компании, которые обрабатывают персональные данные), включая необходимость обеспечения конфиденциальности и безопасности, а также режима разумной достаточности при сборе и обработке.

На что обратить внимание:

  • Определение персональных данных: Важно понимать, какие данные относятся к персональным, чтобы правильно их защищать.

  • Согласие на обработку данных: Необходимо получать информированное согласие субъектов данных на обработку их персональных данных (в том числе нельзя "автоматом" включать "галки" согласия в формах захвата или бумажных согласиях).

  • Меры защиты: Внедрить надежные системы защиты данных, включая шифрование и контроль доступа.

  • Права субъектов данных: Обеспечить доступ субъектов данных к их персональным данным и возможность их исправления и удаления.

3. Федеральный закон №187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”

Закон направлен на защиту критической информационной инфраструктуры (КИИ), которая включает в себя системы управления, телекоммуникации и другие важные объекты.

На что обратить внимание:

  • Определение критической информационной инфраструктуры: Понять, какие системы и объекты вашего бизнеса (обычно это для крупных и очень крупных компаний) относятся к критической информационной инфраструктуре.

  • Меры по защите КИИ: Внедрить системы управления безопасностью, проводить регулярные аудиты и проверки, обучать персонал.

  • Ответственность за нарушения: назначить ответственных и знать о возможных административных и уголовных последствиях за нарушения в области защиты критической информационной инфраструктуры.

4. Федеральный закон №149-ФЗ “Об информации, информационных технологиях и о защите информации”

Этот закон фиксирует базовые нормы для всей системы информационного законодательства, в том числе правового обеспечения информационной безопасности.

Отсюда можно взять:

  • Определение информации и информационных технологий: Понимать основные понятия, связанные с информацией и информационными технологиями.

  • Права и обязанности субъектов информационных отношений: Соблюдать права и обязанности пользователей, владельцев и операторов информационных систем.

  • Меры по защите информации: Использовать криптографические средства, контролировать доступ и обеспечивать конфиденциальность данных.

Но мало знать, что написано в законах, надо понять, как это реализуется конкретно в вашей информационной системе.

Этапы формирования информационной системы, соответствующей нормативной базе

  • Анализ текущих рисков. Первым шагом является проведение анализа текущих рисков, связанных с информационной безопасностью. Это включает в себя оценку нарушителей, угроз и возможных последствий их реализации.

  • Разработка политики безопасности. На основе анализа рисков разрабатывается политика безопасности, которая определяет основные принципы и меры защиты. Политика должна быть согласована с руководством и утверждена.

  • Внедрение и контроль. После утверждения политики безопасности необходимо внедрить меры защиты, предусмотренные политикой. Это может включать установку антивирусного ПО, шифрование данных, контроль доступа и другие меры. Здесь необходимо сделать упор именно на слабые места вашей системы. Это является и нашим основным принципом - мы не внедряем все подряд, о чем пишет пресса или говорят конкуренты, мы закрываем слабые места. Важно также регулярно проводить аудит безопасности, контролировать соблюдение регламентов работы и выполнение нормативных требований.

Нормативная база по информационной безопасности - важный фундамент, на который можно опереться для создания информационной системы, если не хватает своих компетенций, Безусловно, лучше не делать все самим, а привлечь профессионалов на помощь. Но если захотите попробовать - начать стоит с анализа текущих рисков, разработки и внедрения политики безопасности. Опора на международные стандарты, рекомендации отечественных регуляторов, а также опыт других организаций поможет создать надежную и эффективную систему защиты, которая обеспечит соответствие и букве закона и лучшим практикам.

Чтобы создать надежную систему защиты с нашей помощью - запишитесь на бесплатную консультацию, где мы оценим вашу систему, обратим внимание на слабые места, подскажем необходимые меры защиты и сможем даже взять ответственность за работоспособность системы, обеспечив сопровождение. Наша цель - эффективная и надежная защита ваших данных. Оставляйте контакты, и мы свяжемся с вами!

Начать дискуссию