Регуляторы в сфере ИБ: кто за что отвечает и как в этом разобраться
Как формальные предписания влияют на реальную безопасность
Информационная безопасность (ИБ) — зрелая отрасль ИТ-бизнеса, в которой активно формируются индустриальные стандарты, нормативные требования и законодательные инициативы. Соблюдение созданных правил необходимо не только для исполнения требований «бумажной безопасности»: внимательное отношение к формальным предписаниям существенно повышает реальную защищенность ИТ-инфраструктуры. И одновременно снижает шансы получить штрафы из-за утечек данных и других последствий кибератак.
Ключевыми ведомствами, которые устанавливают законодательные требования в сфере защиты информации и контролируют их соблюдение, являются Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) и Банк России — в том, что касается финансов.
Так, например, ФСТЭК занимается разработкой требований к способам защиты информации, контролем за соблюдением обеспечения безопасности объектов критической инфраструктуры, государственных информационных систем, устанавливает нормативы по защите персональных данных и процессов, связанных с ними.
ФСБ выпускает приказы, которые описывают в том числе требования к мониторингу защищенности, средствам защиты информации, порядок действий в случае инцидентов.
Роскомнадзор в широком смысле осуществляет контроль за сферами связи, СМИ, информационных технологий, в том числе регулирует защиту персональных данных.
«Безусловно, требования, которые регуляторы вырабатывают, помогают повышать уровень защищенности предприятий. Поэтому можно опираться на эти требования для того, чтобы повысить уровень защищенности компании», — говорит директор по маркетингу «Лаборатории Касперского» Джабраил Матиев.
В «Лаборатории Касперского» отмечают тренд на повышение требований в области информационной безопасности, ужесточение ответственности за их нарушение и, что примечательно, контроля за соблюдением правил. Вместе с тем ключевые государственные регуляторы передают все больше полномочий по контролю отраслевым ведомствам.
«Поскольку специалисты по информационной безопасности не являются юристами, им сложно разобраться в хитросплетениях законодательства по ИБ, и имеет смысл обратиться к компании, которая профилируется в этой области. Портфель решений и сервисов «Лаборатории Касперского» позволяет закрыть ключевые сценарии кибербезопасности, а также основные требования регуляторов. Также мы разработали базу знаний — Регуляторный хаб в области кибербезопасности. Он позволяет ознакомиться со всем объемом регулирования, актуального для организации, и подобрать правильное решение для соответствия регуляторным требованиям», — рассказал Джабраил Матиев.
О специальных требованиях отраслевых регуляторов и о том, как их выполнять бизнесу, читайте в следующем материале.