Какая информация есть в вашей компании или Почему оштрафовать могут каждого
Привет, Хабр! Меня зовут Анастасия Федорова. Я — директор по развитию Центра мониторинга кибербезопасности «К2 Кибербезопасность». Уже более 15 лет я работаю в ИБ-сфере. В своей практике я часто сталкиваюсь с ситуациями, когда организации либо не знают, либо отрицают необходимость выполнения тех или иных требований законодательства в области информационной безопасности. А разбираться в них надо хотя бы для того, чтобы четко оценить риски с учетом трендов на увеличение штрафов и ужесточение уголовной ответственности. И это касается далеко не только ИТ-компаний, а бизнеса любого типа и размера.
Недавно я выступала с экспертным стендапом на эту тему в рамках проекта AM Talk портала Anti-Malware.ru. Увидев интерес со стороны аудитории, я решила рассказать о влиянии ИБ-законов на работу бизнеса и на Хабре. В этой статье я собрала простой гайд — как понять, какие типы информации обрабатывает ваша компания и какие требования в области ИБ вам надо выполнять. Заходите под кат, чтобы узнать, на что обратить внимание сегодня, чтобы не получить штраф завтра.
3 главные ошибки бизнеса при исполнении требований в области ИБ
Незнание. Один из самых распространенных кейсов — компания не знает, какую информацию обрабатывает. В частности, не понимает, что попадает в категорию персональных данных. Спойлер — их обрабатывает любая компания. Поэтому владельцу (или CISO) трудно определить требования законов, которые он должен выполнять. Следовательно, не понимает свою ответственность и риски.
«Меня это не касается». Довольно частое заблуждение — требования ИБ-регуляторов касаются в первую очередь крупного бизнеса и ИТ-сектора. Это, конечно же, не так — деятельность каждой организации вне зависимости от ее типа и размера подпадает под требования того или иного ИБ-закона. К тому же, иногда компании не знают, что являются субъектами критической информационной инфраструктуры (КИИ), для которой существуют дополнительные требования.
Не ответственность, а следование регламенту. Довольно банально, но факт — информационная безопасность должна быть реальной, а не «бумажной». Киберзащита необходима бизнесу для защиты себя, своих клиентов/пользователей и партнеров, а не только для избежания штрафов. Часто именно положения законодательных актов становятся отправной точкой для выстраивания качественной модели защиты инфраструктуры и данных.
Третий пункт (из перечисленных) — очевидный и его просто нужно принять. А я расскажу про первые два — про типы защищаемой информации и под какие требования в области ИБ они подпадают. Для наглядности разберем их на примере малого бизнеса — небольшой кофейни, которая каждое утро радует посетителей вкусным латте.
Какие типы информации бывают
Тут все просто — их всего два:
Общедоступная информация — та, доступ к которой нельзя ограничить ни по каким причинам. Чтобы обеспечить безопасность таких данных необходимо обеспечить их целостность и доступность. Например, для нашей кофейни это актуальное меню на сайте или странице в социальных сетях.
Информация ограниченного доступа — та, доступ к которой ограничивается, при наличии требований законодательства. Например, для кофейни это могут быть уникальные рецепты супер-бодрящего латте (то есть, информация отнесенная к коммерческой тайне). Или, например, персональные данные. Ведь в любой даже самой маленькой компании обрабатывается как минимум информация о ее сотрудниках, а скорее всего, и клиентах (например, участниках программы лояльности). В случае с такими данными, кроме их доступности и целостности, необходимо обеспечить их конфиденциальность.
На что еще обратить внимание
На перечень применимых к вам требований в области ИБ может влиять не только то, какая информация у вас обрабатывается, но также особенности и характеристики компании. Стоит обратить внимание на то:
каким видом деятельности вы занимаетесь (финансовой деятельностью, энергетикой, здравоохранением, металлургией или просто торговлей);
являетесь ли вы государственным органом или обычной коммерческой компанией;
входите ли вы в перечень стратегических предприятий или системообразующих организаций.
Давайте посмотрим, как же организации разобраться во всех этих требованиях.
Найди себя: основные требования в области ИБ-законодательства
Коммерческая тайна
Федеральный закон №98-ФЗ определяет Коммерческую Тайну (КТ) как информацию, имеющую действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. Решения о КТ закон оставляет полностью на усмотрение ее владельца. Для защиты он должен ввести режим КТ — и это базовый набор требований по защите.
План действий такой:
определить перечень такой информации;
установить правила обращения с ней;
ввести учет лиц, которые имеют к ней доступ;
наносить на носители информации гриф;
довести до работников установленные правила и введение режима защиты КТ.
Если режим КТ не введен и вдруг произошла утечка такой информации, то в рамках действующего законодательства организации будет крайне сложно применить санкции к виновникам. Риск заключается в том, что без режима КТ защитить уникальные рецепты нашей кофейни будет крайне тяжело и они могут легко стать достоянием конкурентов.
Персональные данные
Согласно 152-ФЗ «О персональных данных», в эту категорию входит любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Самое частое заблуждение по части персональных данных (ПДн) заключается в том, что люди считают их той информацией, по которой можно идентифицировать человека. Это — большая ошибка.
Согласно позиции Роскомнадзора (РКН), ПДн — это вообще ЛЮБАЯ информация о субъекте.
Например, в нашей кофейне даже размеры формы пекарей будут «прямо относящимися к определенному лицу данными». То есть, заказывая фартук, вы оперируете ПДн. И не важно, что в большинстве случаев по ним нельзя идентифицировать человека.
Второе распространенное заблуждение — игнорирование требований РКН. Предприниматели думают, что если они (как оператор ПДн) попадают под исключение об уведомлении РКН, то никаких дополнительных требований по защите и порядку обработки ПДн им выполнять не нужно.
В новой редакции №152-ФЗ, вступившей в силу в 2022 году уточняется, что даже если вы попадаете под исключения по части уведомлений РКН, то остальные обязанности оператора персональных данных вы должны выполнять в любом случае. Иначе вам может быть вменено нарушение, за которым последует штраф. Список обязательных мер выглядит так:
разработать (и обеспечить свободный доступ) политику ПДн и другие ЛНА в области обработки и защиты ПДн;
назначить ответственного за обработку ПДн;
ознакомить сотрудников с правилами обработки и защиты ПДн;
регулярно проводить внутренние проверки;
защитить обрабатываемые ПДн в информационных системах и на бумажных носителях.
Третье заблуждение, с которым я часто сталкиваюсь, звучит так: «Мы обрабатываем только общедоступные данные сотрудников, нам ничего защищать не нужно.»
На самом деле закон требует определить всех субъектов ПДн, объемы и законные основания для их обработки. И даже если вы работаете только с общедоступной информацией, то вы все равно обязаны обеспечить ее целостность и доступность. А это значит — на вас распространяется практически весь объем требований законодательства.
Вернемся к кофейне. Из субъектов ПДн здесь можно выделить текущих и бывших сотрудников, членов их семей, кандидатов на трудоустройство, учредителей, посетителей, в т.ч. участников программы лояльности, подписантов договорных документов, представителей государственных надзорно-контрольных органов. Для всех этих категорий субъектов надо определить цели, объемы и законные основания для обработки ПДн. Все их нужно задокументировать, а затем реализовать необходимые меры по защите!
Критическая информационная инфраструктура (КИИ)
ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации»
Здесь уже речь пойдет не про саму информацию, а про системы, в которых она обрабатывается: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Первый шаг — необходимо разобраться, является ли ваша организация субъектом КИИ. Многие руководители считают, что к ним относятся только крупные компании. Чтобы определить, КИИ вы или нет, надо проверить, относится ли компания к одной из 14 сфер деятельности, указанных в ФЗ №187: здравоохранение, наука, транспорт, связь, ТЭК, финсектор и т.д. Если вы нашли свою область в списке, то вы — КИИ. И не важно, какого размера организация.
Здесь в помощь идут уставные документы, лицензии, выписка из ЕГРЮЛ. И если в них есть данные, что компания относится к указанным в законе отраслям, значит ей нужно:
провести категорирование объектов КИИ;
предоставить результаты категорирования регулятору — ФСТЭК;
выполнить комплекс мер по защите объектов.
Кофейне, кстати, очень повезло! Им этого делать точно не надо.
Но, например, многим заводам, компаниям финансового сектора и так далее — нужно четко определить, не являются ли они субъектом КИИ.
Государственные информационные системы (ГИС), защита данных в которых регулируется №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Приказом ФСТЭК №17.
В данном случае операторы ГИС точно знают, что они работают с госсистемой. Однако выполнять меры по обеспечению безопасности государственных информационных систем должны как обладатели такой информации, так и заказчики с госконтрактом на создание ГИС.
Кофейне опять повезло, она — не оператор ГИС. А вот, например, завод электрооборудования, получивший госконтракт на создание ГИС, должен выполнять эти требования.
Банковская тайна и платежная информация
Защита подобной информация регулируются Центральным банком РФ и относится к финансовому сектору. Требования распространяются на банки, страховые компании и другие финансовые организации. Деятельность в финсекторе требует лицензирования. Поэтому так же, как и в случае с КИИ, можно оценить применяемые требования по имеющимся лицензиям и данным из ЕГРЮЛ. При наличии определенных видов деятельности потребуется разбираться в требованиях ГОСТ 57580.1 и Положениях ЦБ РФ.
Указ Президента №250
Не так давно появился еще один блок требований в области ИБ, который распространяется на очень большой круг организаций. Согласно Указу Президента №250, 6 типов должны реализовывать дополнительные меры по защите информации. В их числе:
органы исполнительной власти;
государственные фонды;
государственные корпорации;
стратегические предприятия;
системообразующие организации;
субъекты КИИ.
Как показала практика, в этой части требований самое сложное понять — относитесь ли вы к стратегическим или системообразующим организациям. Чтобы это сделать, нужно изучить следующие документы:
Если ваша компания попадает в один из них, проведите аудит ИБ, так как Указ Президента №250 вводит дополнительные меры, направленные на обеспечение реальной безопасности. Например, под эти требования попадет завод по производству электрооборудования, т.к. является субъектом КИИ.
ВЫВОД
Итак, если ваша деятельность имеет хотя бы косвенное отношение к финансам, стратегическим предприятиям, лицензируемым отраслям и так далее, вам необходим качественный аудит ИБ. Он поможет разобраться, какие требования регуляторов вам нужно выполнять. Изучите указанные в статье законы, в т.ч. размеры штрафов и прочие риски. Проанализируйте свой бизнес на виды информации, которые у вас обрабатываются. Не знаете с чего начать, начните с защиты персональных данных. Они точно есть у всех.
Несоблюдение требований ИБ-законодательства может принести много проблем. При этом киберзащита вашего бизнеса не должна строиться только вокруг их формального исполнения. Она важна в первую очередь самой компании. Ведь, как и нашей кофейне с ее уникальными рецептами, у вас тоже найдется, что защитить!