Отраслевая специфика информационной безопасности

Почему к разным предприятиям предъявляются разные регуляторные требования

Помимо основного государственного регулирования информационной безопасности (ИБ), которое устанавливают основные регуляторы (подробнее в первой статье), существуют отраслевые требования, которые в каждой конкретной отрасли устанавливают чаще всего соответствующие министерства. Как разобраться в многоуровневом регулировании вопросов ИБ и существуют ли универсальные решения для защиты бизнеса?

Строгость отраслевого регулирования зависит от уровня цифровизации, сложности процессов и информационных инфраструктур и, конечно, от критичности потенциальных инцидентов в организациях отрасли.

Например, многие финансовые организации перестраиваются в финтех, становятся экосистемами, информационные технологии в их бизнесе приобретают значимые масштабы. Через банки проходят огромные объемы в том числе цифровых транзакций и беспрецедентное количество данных клиентов. Эти факторы обуславливают повышенные требования к защите информационных инфраструктур в банковской сфере. «Учитывая долгосрочный тренд на цифровизацию сектора, банкам и другим игрокам этого рынка важно учитывать множество аспектов кибербезопасности, которые прописаны в нормативных актах. В случае финансовой отрасли основными законами, которые устанавливают требования к защите информации, являются № 161-ФЗ («О национальной платежной системе») и № 86-ФЗ («О Центральном банке Российской Федерации»), а также положения Банка России и ряд национальных стандартов во исполнение этих законов», — отмечает директор по маркетингу «Лаборатории Касперского» Джабраил Матиев.

Специфика же информационной безопасности в промышленности, например, заключается в необходимости защиты одновременно двух очень разных сегментов: корпоративного и технологического. «Растущий уровень цифровизации и автоматизации производственных процессов приводит к тому, что защита промышленного сектора требует специализированного подхода. Требования к защите АСУ ТП (автоматизированные системы управления технологическим производством) прописаны в приказе ФСТЭК России № 31», — поясняет представитель «Лаборатории Касперского».

Для таких предприятий существуют интегрированные защитные решения, которые поддерживают конвергенцию промышленных и информационных инфраструктур. В частности, у «Лаборатории Касперского» есть решение Kaspersky Symphony XDR*, которое обеспечивает защиту корпоративного сегмента, и экосистема решений Kaspersky OT Cybersecurity**, которая изначально предназначена для промышленных систем.

Ретейл, в свою очередь, во-многом ориентирован на работу с большим объемом персональных данных (ПДн) клиентов. Разнообразные программы лояльности, системы оперативного информирования клиентов требуют высокого уровня компетенций в обращении с ПДн, поэтому для этой отрасли наиболее актуально изучение соответствующих документов. Это, например, Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, созданная ФСТЭК России, собственно Федеральный закон № 152-ФЗ «О персональных данных», постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Роскомнадзора.

«Каждая отрасль имеет свою специфику цифровых процессов и свои нюансы с точки зрения информационной безопасности. «Лаборатория Касперского» имеет уникальный международный опыт киберзащиты во всех ключевых индустриях и использует его для создания решений и сервисов, которые отвечают потребностям самых разных компаний. В том числе благодаря этому наши продукты помогают обеспечить соответствие регуляторным требованиям, основанным на высоких стандартах безопасности», — рассказал Джабраил Матиев.

В 2023 году «Лаборатория Касперского» создала Регуляторный хаб знаний в области информационной безопасности, чтобы помогать специалистам по ИБ разобраться в законодательстве и подобрать правильные решения для соответствия регуляторным требованиям.

О защите предприятий, относящихся к объектам критической информационной инфраструктуры, читайте в следующем материале.