Гладиаторы - меню
Гладиаторы - меню

Как закон помогает сделать компанию защищенной от хакеров и атак

В современном мире, где информация является одним из самых ценных активов, защита этой информации становится критичным элементом устойчивости бизнеса. Система защиты должна быть надежной, чтобы противостоять хакерам и утечке конфиденциальной информации.


На что опираться при создании и поддержании работы системы безопасности? Первый вариант - это опыт конкретных специалистов, ответственных за эту систему.


Если опыта нет, не хватает или хочется перестраховаться, самому сделать первые шаги, то помощником могут быть стандарты и регламенты, которые уже разработали другие специалисты.


Поэтому создание и поддержание актуальной нормативной базы в области защиты информации со стороны государственных органов является важной задачей обеспечения безопасности государства в целом и отдельных отраслей (предприятий). Стандарты безопасности помогают установить правила и принципы, которые подтвердили свою надежность на практике и которые необходимо соблюдать для обеспечения безопасности информации (вернее государство требует соблюдать, чтобы сделать себя защищенным).


В данной статье мы рассмотрим, с чего следует начать и на какие основные принципы ориентироваться при построении системы информационной безопасности. Разработка политик безопасности, оценка рисков, формирование модели угроз, выработка защитных мер - это лишь некоторые аспекты, которые следует учесть при создании защищенной информационной системы.


Содержание:

Команда редакторов "Гладиаторы ИБ"
Дата публикации: 09.11.2024
Время прочтения 6 минут
Основные нормативные документы

1. Доктрина информационной безопасности Российской Федерации. Доктрина представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере.

На что обратить внимание:
  • Цели и задачи информационной безопасности: Понимать основные цели и задачи обеспечения информационной безопасности.
  • Основные угрозы и вызовы: Ознакомиться с основными угрозами и вызовами в информационной сфере, чтобы быть готовыми к их предотвращению.

2.Федеральный закон №152-ФЗ “О персональных данных”
Этот закон регулирует обработку и защиту персональных данных (ПДн) граждан. Он устанавливает требования к операторам данных (компании, которые обрабатывают персональные данные), включая необходимость обеспечения конфиденциальности и безопасности, а также режима разумной достаточности при сборе и обработке.

На что обратить внимание:
  • Определение персональных данных: Важно понимать, какие данные относятся к персональным, чтобы правильно их защищать.
  • Согласие на обработку данных: Необходимо получать информированное согласие субъектов данных на обработку их персональных данных (в том числе нельзя "автоматом" включать "галки" согласия в формах захвата или бумажных согласиях).
  • Меры защиты: Внедрить надежные системы защиты данных, включая шифрование и контроль доступа.
  • Права субъектов данных: Обеспечить доступ субъектов данных к их персональным данным и возможность их исправления и удаления.

3.Федеральный закон №187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
Закон направлен на защиту критической информационной инфраструктуры (КИИ), которая включает в себя системы управления, телекоммуникации и другие важные объекты.

На что обратить внимание:
  • Определение критической информационной инфраструктуры: Понять, какие системы и объекты вашего бизнеса (обычно это для крупных и очень крупных компаний) относятся к критической информационной инфраструктуре.
  • Меры по защите КИИ: Внедрить системы управления безопасностью, проводить регулярные аудиты и проверки, обучать персонал.
  • Ответственность за нарушения: назначить ответственных и знать о возможных административных и уголовных последствиях за нарушения в области защиты критической информационной инфраструктуры.

4.Федеральный закон №149-ФЗ “Об информации, информационных технологиях и о защите информации”
Этот закон фиксирует базовые нормы для всей системы информационного законодательства, в том числе правового обеспечения информационной безопасности.

Отсюда можно взять:
  • Определение информации и информационных технологий: Понимать основные понятия, связанные с информацией и информационными технологиями.
  • Права и обязанности субъектов информационных отношений: Соблюдать права и обязанности пользователей, владельцев и операторов информационных систем.
  • Меры по защите информации: Использовать криптографические средства, контролировать доступ и обеспечивать конфиденциальность данных.

Но мало знать, что написано в законах, надо понять, как это реализуется конкретно в вашей информационной системе.

Этапы формирования информационной системы, соответствующей нормативной базе:

  1. Анализ текущих рисков. Первым шагом является проведение анализа текущих рисков, связанных с информационной безопасностью. Это включает в себя оценку нарушителей, угроз и возможных последствий их реализации.
  2. Разработка политики безопасности. На основе анализа рисков разрабатывается политика безопасности, которая определяет основные принципы и меры защиты. Политика должна быть согласована с руководством и утверждена.
  3. Внедрение и контроль. После утверждения политики безопасности необходимо внедрить меры защиты, предусмотренные политикой. Это может включать установку антивирусного ПО, шифрование данных, контроль доступа и другие меры. Здесь необходимо сделать упор именно на слабые места вашей системы. Это является и нашим основным принципом - мы не внедряем все подряд, о чем пишет пресса или говорят конкуренты, мы закрываем слабые места. Важно также регулярно проводить аудит безопасности, контролировать соблюдение регламентов работы и выполнения нормативных требований.

Нормативная база по информационной безопасности - важный фундамент, на который можно опереться для создания информационной системы, если не хватает своих компетенций, Безусловно, лучше не делать все самим, а привлечь профессионалов на помощь. Но если захотите попробовать - начать стоит с анализа текущих рисков, разработки и внедрения политики безопасности. Опора на международные стандарты, рекомендации отечественных регуляторов, а также опыт других организаций поможет создать надежную и эффективную систему защиты, которая обеспечит соответствие и букве закона и лучшим практикам.

Чтобы создать надежную систему защиты с нашей помощью - запишитесь на бесплатную консультацию, где мы оценим вашу систему, обратим внимание на слабые места, подскажем необходимые меры защиты и сможем даже взять ответственность за работоспособность системы, обеспечив сопровождение. Наша цель - эффективная и надежная защита ваших данных. Оставляйте контакты и форме ниже, и мы свяжемся с вами!
05 апреля 2024г.
Надежная двухфакторная аутентификация, и как она позволяет экономить | Статьи | «Гладиаторы ИБ»
20 апреля 2024г.
Защита от утечки конфиденциальных данных компании | Статьи | «Гладиаторы ИБ»
25 апреля 2024г.
Как безопасно работать с подрядчиками
27 апреля 2024г.
Зачем вообще защищать персональные данные (ПДн)
04 мая 2024г.
Хватит внедрять “техничку” для безопасности - настрой бизнес-процессы
09 мая 2024г.
Вредные советы: как НЕ надо строить безопасность в компании
11 мая 2024г.
Как защитить данные от утечки и кражи сотрудниками? | Статьи | «Гладиаторы ИБ»
18 мая 2024г.
Инструкция по безопасной настройке CRM от компании «Гладиаторы ИБ»
25 мая 2024г.
Вирус шифровальщик - как вылечить, защититься и расшифровать данные? | Статьи | «Гладиаторы ИБ»
01 июня 2024г.
Почему кибер атаки на бизнес проходят незамеченными или как можно оперативно выявить нарушителя безопасности
08 июня 2024г.
Как компании выбрать надежное решение по защите данных из множества, доступных на рынке?
13 июня 2024г.
Почему намного дешевле защитить компанию сейчас, чем ждать, что “со мной взлом никогда не случится”
20 июня 2024г.
Безопасность периметра сети - качественный МСЭ или как клиент понял, что у него сеть "дырявая"
22 июня 2024г.
Опасное заблуждение: "Системы информационной безопасности неэффективны и бесполезны! Это пустая трата денег!"
29 июня 2024г.
Как защитить сервер компании от угроз со стороны хакеров?
06 июля 2024г.
Пользователь и его компьютер - одна из главных угроз. Чеклист по защите компьютера пользователя
13 июля 2024г.
Чеклист по защите электронной почты для компании
20 июля 2024г.
Чеклист по защите веб сервера компании. Как не дать взломать свой магазин
27 июля 2024г.
Почему нельзя экономить на резервных копиях или как все не потерять из-за шифровальщика
02 августа 2024г.
Защита от фишинга для компании и сотрудников | «Гладиаторы ИБ»
10 августа 2024г.
Атака на цепочку поставок: насколько реально защитить свой бизнес от партнеров и подрядчиков
17 августа 2024г.
Что такое DDoS атака и почему бизнес страдает когда клиентские сервисы недоступны
24 августа 2024г.
Остановить BruteForce малой кровью - как защититься от атак перебора паролей и что это такое
31 августа 2024г.
"Обмани меня" - какие бывают спуфинг атаки и как защищаться от этих атак
07 сентября 2024г.
подмена сертификата и мошеннический сайт - откуда берутся атаки “Man in the middle”
14 сентября 2024г.
“Проткни меня, если сможешь” - как атакуют вебсайты и базы данных SQL инъекциями
21 сентября 2024г.
Страшный XSS (межсайтовый скриптинг) - что нужно знать всем пользователям об этой атаке
28 сентября 2024г.
Чеклист для защиты CRM
05 октября 2024г.
Защита данных при работе с облачными документами
12 октября 2024г.
Защита облачных сервисов
13 октября 2024г.
Чеклист по выбору и настройке SIEM системы
19 октября 2024г.
Чеклист по защите сети компании
20 октября 2024г.
Искусственный интеллект атакует - как и от чего защищать информационные системы в условиях применения ИИ
26 октября 2024г.
Что значит информационная безопасность для бизнеса и почему нельзя отказаться от защиты
02 ноября 2024г.
Как хакеры атакуют компании - на что обратить внимание и остаться устойчивым
Показать еще

Хочу систему защиты информации для компании

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности