Ужесточение законодательства, миллионные штрафы и защита персональных данных. О том, насколько важно сейчас соблюдать все правила информационной безопасности поговорили на форуме «Будущее региона».
Один из самых важных трендов этого года — кибербезопасность. Руководитель проектов дирекции кибербезопасности IBS Егор Сергеев рассказал об аудите комплексной информационной безопасности промышленных предприятий.
Он напомнил, что на государственном уровне внесены важные изменения в законодательство.
Первый документ — указ президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» распространяется на все значимые компании, которые влияют на экономику, обороноспособность и национальную безопасность страны. Указ определяет, что информационная безопасность — личная ответственность руководителя организации. Руководитель определяет заместителя по кибербезопасности, который должен иметь высшее образованием по ИБ или пройти переподготовку и входить в состав коллегиального органа. Таким образом, роль информационной безопасности поднимается на уровень руководства организации.
Следующий документ: постановление Правительства России от 14.11.2023 № 1912. В нем говорится помимо всего прочего, о запрете на закупку недоверенных программно-аппаратных комплексовдля использования на значимых объектах критической информационной инфраструктуры..
Также приняты в первом чтении гостдумой в январе 2024г. поправки в административный и уголовный кодексы Речь идёт об вводе оборотных штрафов за утечку персональных данных. Ужесточение коснется ряда обязанностей операторов персональных данных. Так, за неуведомление Роскомнадзора о намерении обрабатывать персональные данные предусмотрен штраф для юридических лиц до 300 тысяч рублей, за утечку персональных данных — до 15 миллионов рублей, а при повторном нарушении — до 500 миллионов, — уточнил Егор Сергеев.
Любой сайт, собирающий данные даже в формате: «адрес электронной почты+имя пользователя» уже считается оператором персональных данных. И каждый индивидуальный предприниматель, реализующий свои товары и услуги, например, в соцсетях, также попадает в эту категорию.
«Если вы получаете хотя бы имя и e-mail либо имя и номер мобильного телефона, вам необходимо реализовать ряд мероприятий:
- разработать политику конфиденциальности,
- разработать политику в отношении обработки персональных данных, очертить то, какие вы данные собираете и для чего,
- на сайте разместить пользовательское солашение и согласие на обработку персональных данных.
Далее, вы должны уведомить Роскомнадзор, что являетесь оператором персональных данных. Таковы реалии», — объяснил Егор Сергеев.
На данный момент в сфере информационной безопасности есть две проблемы: отсутствие квалифицированных кадров и отсутствие понимания важности кибербезопасности. Но для тех, кто не хочет получить огромные штрафы или стать жертвой злоумышленников есть готовые решения. Это аудит комплексной информационной безопасности. Компания IBS осуществляет его “под ключ”, работа ведется по 4 этапам:
«Первый шаг — это обследование, аудит информационной безопасности и предварительная оценка уровня ее зрелости. Также мы учитываем задачи, специфику сферы, в которой работает заказчик. Следующий этап- формирование дорожной карты улучшения системы ИБ. На третьем шаге мы закупаем, поставляем и внедряем выбранные средства защиты ИБ организации. При необходимости проводим обучение сотрудников эксплуатации внедряемых решений. И четвертый этап, самый долгосрочный — мы осуществляем поддержку кибербезопасности на всем пути работы организации заказчика».
Над кибербезопасностью организаций в IBS работают более 30 квалифицированных специалистов, используется собственная методология прогнозирования развития ИБ. Компания имеет лицензии ФСТЭК, ФСБ на виды деятельности в области информационной безопасности.
Обеспечение кибербезопасности — процесс непростой и недешевый. Штрафы тоже грозят внушительными суммами. Но какой урон наносит беспечность в этой сфере? Что происходит с бизнесом после этого? Такой вопрос был задам слушателем из зала.
Нужно исходить от задач злоумышленника. Ликвидация бизнеса, остановка работы или извлечение информации и получение прибыли. Не так много случаев, когда бизнес буквально клали на лопатки, чаще — они получают доступ к сведениям и используют ее в своих целях. Банально — манипуляция людьми с просьбой перевести деньги. В денежном эквиваленте потери сложно оценить, нужны просчеты по каждой конкретной компании, но как минимум — это стоимость простоя, когда ваша организация не может функционировать, — ответил руководитель проектов дирекции кибербезопасности IBS.
Жертвами атак становятся те компании, которые недостаточно защищены и представляют интерес для мошенников. Но не стоит проверять свое везение и игнорировать кибербезопасность. Егор Сергеев и еще раз подчеркнул, что обеспечение защиты данных своей компании — тренд, который останется с нами надолго, а значит стоит заняться этим уже сейчас.