Защита информации: ключевые требования и меры по обеспечению безопасности
Автор: Петухов Олег Анатольевич, юрист, руководитель юридической компании «ЛЕГАС»
Контакты: legascom.ru, petukhov@legascom.ru
Защита информации: что обязан делать обладатель
По закону (№ 149‑ФЗ) обладатель информации (организация, физлицо, госорган) обязан защищать данные с помощью правовых, организационных и технических мер. Цели - исключить неправомерные действия с информацией, сохранить конфиденциальность сведений ограниченного доступа и обеспечить законный доступ к данным.
Как защитить конфиденциальную информацию в компании
Конфиденциальной считается информация, которую нельзя передавать третьим лицам без согласия владельца. В бизнесе это чаще всего сведения, составляющие коммерческую тайну (№ 98‑ФЗ). Чтобы их защитить, организации должны:
утвердить перечень данных, отнесённых к коммерческой тайне;
регламентировать доступ к ним и контролировать соблюдение правил;
вести учёт лиц, получивших доступ к тайне;
закрепить правила использования данных в трудовых и гражданско‑правовых договорах;
маркировать носители и документы грифом «Коммерческая тайна» с указанием владельца.
В рамках сотрудничества стороны фиксируют порядок работы с конфиденциальными данными в договорах и соглашениях. Для сотрудников важно: письменно ознакомить их с перечнем секретных сведений, режимом тайны и мерами ответственности, а также создать условия для соблюдения режима (ст. 11 Закона о коммерческой тайне). Дополнительно условия о неразглашении включают в трудовой договор (ст. 57 ТК РФ).
Защита персональных данных: обязанности оператора
Оператор (компания, госорган или физлицо, обрабатывающее персональные данные) обязан обеспечить их безопасность (ст. 19 Закона № 152‑ФЗ). Ключевые меры:
выявить угрозы безопасности данных в информационных системах;
применить организационные и технические меры защиты в соответствии с требуемым уровнем защищённости;
использовать сертифицированные средства защиты и уничтожения информации;
оценить эффективность мер защиты до запуска системы;
учитывать машинные носители с персональными данными;
фиксировать и пресекать несанкционированный доступ, реагировать на киберинциденты;
восстанавливать данные, повреждённые из‑за взлома;
установить и контролировать правила доступа к данным, вести журнал действий с ними.
Кроме того, оператор должен:
назначить ответственного за обработку персональных данных;
разработать политику обработки данных и локальные акты (с указанием категорий данных, целей, сроков хранения, порядка уничтожения и процедур контроля);
регулярно проверять соответствие обработки данных закону (внутренний контроль или аудит);
оценивать возможный вред субъектам при нарушении закона и соотносить его с принимаемыми мерами;
обучать и информировать сотрудников, работающих с персональными данными.
Специальные требования к защите персональных данных закреплены в:
гл. 14 ТК РФ;
Постановлении Правительства № 1119;
приказах ФСТЭК № 21 и ФСБ № 378.
Такой комплекс мер позволяет компаниям соответствовать законодательным требованиям, минимизировать риски утечек и демонстрировать экспертный подход к информационной безопасности.
