Обзор российского законодательства в области кибербезопасности В видеоролике представлен подробный обзор законодательства о кибербезопасности в России, подчеркивается его сложность и эволюция на протяжении десятилетий. В нем подчеркивается важность для организаций соблюдения баланса между эффективными мерами безопасности и минимизацией затрат. Основное внимание уделяется пониманию соотношения обязательных и рекомендуемых требований и их практическому выполнению.
Ключевые вопросы, касающиеся Ответственности за защиту Данных Организации должны определить, могут ли они самостоятельно решать, как защищать данные, или эти решения диктуются государственными нормативными актами. Ключевые вопросы включают определение обязательных и необязательных стандартов, кто обеспечивает их соблюдение, какие инструменты допустимы (отечественные или иностранные) и последствия несоблюдения.
Соблюдение Баланса Между Эффективными Мерами Безопасности Для достижения оптимальных результатов необходимо сбалансировать соблюдение нормативных требований с реальной безопасностью организации от киберугроз. Усилия должны быть направлены на предотвращение нарушений, а не просто на выполнение бюрократических обязательств, которые могут превысить потенциальный ущерб от несоблюдения требований.
"Трехглавый Закон" Регулирует Обязанности по Защите Информации "Закон 149", также известный как "трехглавый закон", обязывает владельцев информации принимать защитные меры, если только конкретные государственные правила не применяются иным образом, что позволяет гибко выбирать внутренние или международные стандарты там, где не существует строгих руководящих принципов.
Обязательные требования к оборонному сектору Организации оборонного сектора должны соответствовать Приказу № 31 от 2017 года. Если у них есть ATP, применяются дополнительные требования из Приказа № 31 от 2014 года. Объекты критической инфраструктуры подчиняются приказам, таким как приказы ФСТЭК и других, регулирующих важные объекты KII.
Стандарты криптографической защиты Приказы ФСБ, такие как № 378 (о защите персональных данных) и №524 (о государственных информационных системах), описывают меры криптографической безопасности, но могут противоречить системным классификациям, что требует тщательной сверки документов.
Стандарты кибербезопасности Центрального банка Стандарты ГОСТ Центрального банка Российской Федерации устанавливают полный набор мер кибербезопасности для финансовых организаций, которые тесно связаны с нормативными актами ФСТЭК, но отличаются уровнем детализации и рекомендациями по внедрению.
Процесс выбора мер безопасности, основанных на ценности Требования к безопасности зависят от актуальности угроз и ценности или значимости информационной системы или обрабатываемых данных, что приводит к уровням классификации, определяющим необходимые защитные меры, адаптированные к потребностям конкретного контекста.
"Свобода в рамках": Настройка средств защиты. Регулирующие органы теперь обеспечивают гибкость благодаря каталогам, предлагающим базовые меры защиты и позволяющим настраивать их в соответствии с особенностями организации, обеспечивая баланс между соблюдением законодательства и практической осуществимостью без жестких требований, которые были приняты несколько лет назад