Информационная безопасность: сертификация, стандарты, риски, законы
Все больше бизнесов сегодня использует автоматизацию. Причем, во всех отраслях — от производства чего-либо до доступа к закрытой корпоративной информации. Но в какой бы форме и на каком бы носителе не хранилась информация, всегда есть риск, что к ней получат несанкционированный доступ третьи лица. Чтобы минимизировать риски, каждому бизнесу нужно использовать системы управления информационной безопасности (СУИБ). Разберемся, в чем их особенности, как они сертифицируются и как связаны с действующим законодательством РФ.
Стандартизация системы управления информационной безопасности
Для СУИБ существует международный стандарт ISO/IEC 27001:2005 «Information technology — Security techniques — Information security management systems — Requirements». Компании, которые напрямую работают в сфере информационных технологий, должны соответствовать всем требованиям, прописанным в этом стандарте. Почему?
Во-первых, потому, что таким образом можно показать своим потребителям, инвесторам, партнерам и конкурентам факт защищенности корпоративных данных. Во-вторых, внедрив этот стандарт в свой бизнес, можно обеспечить максимальную информационную безопасность компании. В-третьих, используя ISO/IEC 27001:2005, компания будет соответствовать также и нормативной законодательной базе РФ в основных моментах.
Как подготовить свою СУИБ к получению сертификата ISO/IEC 27001:2005
Если руководство компании решило получить заветный сертификат, первым делом необходимо заняться изучением стандарта BSI (Британского института стандартов, где и был разработан ISO/IEC 27001:2005). Обучение этому стандарту от BSI представляет собой систему курсов, в который входят 4 блока:
- «Введение в Стандарт». В программе содержится информация о стандарте для тех, кто пока понятия не имеет, о чем вообще идет речь. Курс также включает данные, которые помогут вникнуть в стандарт буквально всем сотрудникам компании — от отдельно взятых специалистов до ЛПР (лиц, принимающих решения — руководителей компаний).
- «Внедрение Стандарта». Программа позволяет понять основные принципы работы системы информационной безопасности. Это логическое продолжение предыдущего блока, но которое ориентировано уже на экспертов в сфере информационной безопасности (специалистов, отвечающих за проектирование, внедрение, модернизацию, поддержку и другие работы с СУИБ).
- «Внутренний аудитор». После прохождения этой программы специалисты получают знания, необходимые для проведения внутреннего аудита СУИБ по выбранному стандарту. Чтобы пройти этот курс, нужны знания двух предыдущих. Нацелена программа обучения на людей, которые занимаются внутренним аудитом системы информационной безопасности компании.
- «Ведущий аудитор». Наиболее серьезный и внушительный (в плане информационной насыщенности) курс. Создан для экспертов, которые планируют заниматься независимым аудитом систем информационной безопасности. После прохождения этой программы у эксперта будут сформированы навыки и знания для проведения грамотного аудита СУИБ. Чтобы успешно пройти такую подготовку, нужно иметь понимание всех принципов работы СУИБ в рамках стандарта.
Все эти 4 программы созданы сотрудниками BSI. Они же и ведут своих учеников в рамках получения знаний о разработанном стандарте и тонкостях работы современных СУИБ. Четвертая программа предусматривает сдачу специального экзамена, после которого эксперт сможет заниматься независимым аудитом информационной защищенности других компаний.
Внедрение и сертификация СУИБ
После того, как в компанию будет внедрена система управления информационной безопасности, необходимо как минимум 3 месяца, чтобы получить сертификат. Выждать этот срок нужно потому, что все основные процессы в рамках информационной безопасности (ИБ) должны работать согласно циклу PDCA (во время аудита перед сертификацией будут проверены все процессы СУИБ, а также то, как именно они работают в реальных условиях).
Нужно понимать, что сертификация СУИБ — это, в первую очередь, одна из приоритетных бизнес-целей компании. Благодаря ей можно заявить клиентам и партнерам о том, что их данные надежно защищены. Тем самым повысить доверие к своему бренду. Это крайне актуально для компаний, которые работают в сфере защиты данных.
Риски работы СУИБ без соответствия принятым стандартам
Разумеется, если компания работает без необходимых сертификатов, лицензий и с пренебрежением к стандартам, она рискует не только потерять свои корпоративные данные или данные своих клиентов, но и попасть под административную ответственность, предусмотренную на законодательном уровне.
Для финансовых организаций отдельного внимания здесь заслуживают ГОСТ Р-57580 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Согласно положениям № 683-П, 747-П, 757-П и приказу Минкомсвязи № 321, начиная с 2021 года, все финансовые учреждения перешли на принципиально новый уровень работы, который должен сделать все операции с деньгами максимально безопасными для всех сторон. В общей сложности ГОСТ Р-57580 включает более четырех сотен различных требований к системам информационной безопасности финансовых учреждений.
Что будет, если пренебречь требованиями к информационной безопасности
Согласно Кодексу РФ об административных нарушениях (раздел 2, особенная часть, 13-ая глава), несоблюдение требований к информационной безопасности может повлечь за собой следующие последствия:
- Если были нарушены условия лицензии, в рамках которой компания осуществляет деятельность в сфере обеспечения ИБ — административное наказание в виде штрафа, который должен выплатить гражданин, ответственный за нарушение, в размер от 1000 до 1500. Для должностных лиц размер штрафа составляет 1-2,5 тыс. руб., а для юридических — от 15 до 20 тыс. руб.
- Если были использованы несанкционированные средства защиты данных — штраф в размере 1-2,5 тыс. руб. для физических лиц, 2,5-3 тыс. руб. для должностных лиц или 20-25 тыс. руб. для юрлиц с конфискацией несанкционированных средств защиты данных или без нее.
- Если были нарушены условия лицензии при проведении каких-либо работ, связанных с обеспечением информационной безопасности данных, относящихся к гостайне, работой над средствами защиты информации или оказания услуг в сфере обеспечения ИБ, виновники вынуждены будут заплатить от 2 до 3 тыс. руб. для должностных лиц или от 20 до 25 тыс. руб. для юрлиц.
Кроме того, штрафы предусмотрены и за нарушение условий лицензии в сфере обеспечения информационной безопасности и требований к защите данных. Во всех ситуациях ответственные лица также понесут административное наказание в виде штрафов от 3 до 20 тыс. руб. Если надзорные органы выявляют грубые нарушения условий в отрасли обеспечения ИБ, деятельность компании могут и вовсе приостановить, а виновных арестовать на срок до 90 суток. При определенных обстоятельствах может быть изъято оборудование.