Может ли малый бизнес сам выполнить требования РКН, ФСТЭК и ФСБ

Распространённый страх малого бизнеса: чтобы выполнить требования по персональным данным, якобы нужны дорогие интеграторы и какие-то лицензии. На практике типовая компания с информационной системой уровня УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-3 или УЗ-4 способна сделать почти всё сама. Разберём честно по трём регуляторам — Роскомнадзор, ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. и ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. — что своими силами, а где действительно нужен лицензиат.

Роскомнадзор: организационная часть — полностью сами

Это та часть, где лицензии не нужны вообще и которая составляет до 80 процентов работы малого бизнеса. Своими силами и бесплатно оформляются: уведомление об обработке ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., политика обработки, формы согласий, приказы и перечни, журналы, ответы на запросы субъектов и реагирование на инциденты по алгоритму при утечке. Здесь нужен не подрядчик, а аккуратность и корректные шаблоны под ваш профиль.

ФСТЭК: техническая защита ИСПДн

ФСТЭК отвечает за технические меры защиты. Что можно сделать самостоятельно:

• Определить уровень защищённости и модель угроз. Уровень считается по ПП-1119 (есть калькулятор), модель угроз строится по методике ФСТЭК 2021 года и банку данных угроз — это посильно своими силами.
• Внедрить меры по приказу №21. Для УЗ-3 и УЗ-4 они преимущественно организационные плюс настройка штатных средств и установка сертифицированных СЗИСредство защиты информации — Техническое или программное средство, реализующее меры защиты; обычно требует сертификата ФСТЭК. (антивирус, межсетевой экран), которые можно купить и настроить самостоятельно.

Два частых мифа. Первый — про лицензию ФСТЭК на техническую защиту информации: в общем случае она нужна тем, кто оказывает такие услуги другим организациям, а для защиты собственных систем лицензия, как правило, не требуется. Второй — про аттестацию: она обязательна для государственных информационных систем (ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК.), а для негосударственной ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. достаточно оценки эффективности мер, которую оператор проводит сам.

ФСБ: криптография и СКЗИ — нужны не всем

Зона ФСБ — средства криптографической защиты (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.). Важно: они нужны не каждому. СКЗИ требуются, если вы шифруете каналы связи, передаёте данные в государственные системы, работаете с квалифицированной электронной подписью. Если этого нет, в СКЗИ может и не быть необходимости. Когда они всё-таки нужны:

• использование сертифицированных СКЗИ конечным пользователем для собственных нужд лицензии ФСБ, как правило, не требует — лицензия нужна тем, кто распространяет СКЗИ или обслуживает их в интересах третьих лиц;
• поэкземплярный учёт СКЗИ по правилам ФАПСИ №152 и ФСБ №378 организация ведёт своими силами.

Когда подрядчик действительно нужен

Внешний лицензиат оправдан в узких случаях: у вас государственная информационная система с обязательной аттестацией; вы субъект КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. со значимыми объектами; нужны сложные криптоканалы и обслуживание СКЗИ; либо у компании совсем нет ИТ-ресурса и проще передать всё на сопровождение. В остальных случаях это чаще лишние расходы.

Главное

Типовой малый бизнес с ИСПДн уровня УЗ-3 или УЗ-4 способен выполнить требования РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн., ФСТЭК и ФСБ самостоятельно. Самое трудоёмкое здесь не оборудование и не лицензии, а грамотный комплект документов и его поддержание в актуальном состоянии. Именно эту организационную часть и автоматизирует ГрамотаИБ — определяет уровень защищённости, подбирает применимые меры и собирает документы под ваш профиль. Попробовать можно в сервисе.