Журнал "Системы Безопасности" № 3‘2023

В Ц Е Н Т Р Е В Н И М А Н И Я 119 l ПП № 11 "Об утверждении требований к классам защищенности информации"; l ПП № 687 "Об утверждении Правил обработ- ки персональных данных банковскими орга- низациями"; l 149-ФЗ "Об информации, информационных технологиях и о защите информации"; l 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федера- ции в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях"; l 38-ФЗ "О рекламе"; l 374-ФЗ "О дополнительных мерах по стиму- лированию развития цифровой экономики"; l приказы ФСТЭК 17/21. Знание этих требований позволит закрыть мето- дологическую часть защиты персональных дан- ных в вашей организации, по этому процессу вам останется только осуществлять контроль и привлечение к ответственности за нарушения. Классы защищенности информации В постановлении Правительства РФ № 11 "Об утверждении требований к классам защи- щенности информации" описаны классы защи- щенности информации. Их всего четыре, одна- ко для обеспечения адекватной защиты инфор- мации и персональных данных необходимо соответствовать 2, 3 или 4 классу, при этом реа- лизация защиты по 4 классу требует существен- ных затрат. Для реализации 2-го класса защиты необходи- мо использовать следующие виды средств защиты информации: l антивирусное программное обеспечение и программное обеспечение для обнаруже- ния вторжений; l межсетевые экраны и другие средства конт- роля доступа; l системы шифрования информации и защиты от утечки данных; l системы обнаружения и предотвращения утечки конфиденциальной информации; l средства защиты периметра сети; l средства контроля целостности файлов; l средства контроля доступа к файлам и ката- логам; l системы авторизации и аутентификации пользователей; l системы мониторинга и анализа безопасности. Проанализировав законодательные требования, многие руководители компаний, увидев суще- ственную разницу между стоимостью средств защиты и штрафами за утечку персональных данных, оставляют все как есть, не развивая информационную безопасность компании и уж тем более защиту персональных данных. Но ситуация изменится: могут быть введены оборотные штрафы до 500 млн руб., которые в корне поменяют отношение к защите персо- нальных данных. Соответствующие законо- проекты были направлены Минцифры России в Госдуму в марте 2023 г. Реализация защиты персональных данных в цифрах Средний и крупный бизнес имеют достаточно финансов для выполнения требований регуля- торов и для реализации адекватной защиты персональных данных, поэтому я опишу свою субъективную оценку реализации защиты пер- сональных данных в компаниях малого бизнеса и выделю основные статьи расходов с бюдже- том до 1 млн руб. 1. Оценка и аудит безопасности данных (бюд- жет 200 тыс. руб.): l проведите аудит текущего состояния безопас- ности данных в вашей организации; l определите уязвимые места и риски, связан- ные с обработкой и хранением персональных данных; l разработайте план мероприятий по устране- нию обнаруженных проблем безопасности. 2. Политика и процедуры безопасности данных (бюджет 100 тыс. руб.): l разработайте политику безопасности данных, определяющую правила и процедуры для защиты персональных данных; l обучите сотрудников правилам обработки и защиты персональных данных; l разработайте процедуры реагирования на нарушения безопасности данных и инциденты. 3. Защита сетевой инфраструктуры (бюджет 300 тыс. руб.): l установите файрволы и интранет-шлюзы для контроля и фильтрации сетевого трафика; l разверните систему обнаружения вторже- ний (IDS) или систему предотвращения вторжений (IPS) для обнаружения и пред- отвращения несанкционированного доступа; l установите и настройте антивирусное про- граммное обеспечение для защиты от вредо- носных программ. 4. Контроль доступа (бюджет 200 тыс. руб.): l внедрите систему управления доступом (Access Control System) для контроля прав доступа сотрудников к персональным дан- ным; l разработайте и внедрите политику управле- ния паролями и двухфакторной аутентифика- ции; l регулярно обновляйте и анализируйте журна- лы доступа для выявления подозрительной активности. 5. Шифрование данных (бюджет 150 тыс. руб.): l рассмотрите возможность шифрования пер- сональных данных в покое, при передаче и в хранилище. Если политика вашей компании разрешает использовать решения Оpen Source для защиты информации, то необходимо их использовать. Это может сэкономить компании немало денег, однако важно понимать, что данные средства защиты информации будут не сертифицирова- ны и для полноценного выполнения требований регулятора их рассматривать не стоит. n www.secuteck.ru июнь – июль 2023 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Актуальность защиты персональных данных в России в целом и для компаний Планирование бюджета для защиты персональных данных QR-код для скачивания полного перечня документов для разработки и выполнения требований защиты персональных данных