Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
2. ЕСТЬ МНЕНИЕ, ЧТО:
требования законодательства РБ по ЗИ не обязательны
для компаний, занимающихся разработкой ПО (а тем
более для зарубежных заказчиков)
за невыполнение требований по ЗИ нет никакой
ответственности
требования регулятора по ЗИ не имеют ничего общего с
международными стандартами и рекомендациями в
области ЗИ
Мнение не моё, но я такое часто слышал)
3. СОДЕРЖАНИЕ ДОКЛАДА
За что могут оштрафовать руководителя организации?
За что могут привлечь к уголовной ответственности?
Кто должен заниматься технической и криптографической
ЗИ в соответствии с требованиями законодательства РБ?
Ответственность (уголовная, административная,
дисциплинарная) и репутация CSO / CISO?
Откуда взялись требования регулятора?
Когда к вам придет регулятор с проверкой и что может
произойти?
Как подготовиться к проверке?
Как избежать ответственности не выполняя требования
регулятора)
Как избежать прихода регулятора)
+ Дополнительные материалы: «Требования НПА РБ в
области ЗИ и ответственность за их невыполнение»
4. Откуда взялись требования
регулятора?
NIST Special Publication
800-53
ISO/IEC 27001:2013
(Annex A)
Common Criteria for
Information Technology
Security Evaluation
(Part 2 and 3)
Cloud Controls Matrix -
Cloud Security Alliance
and …..
Положение о порядке технической защиты информации ……,
утвержденное приказом ОАЦ от 30.08.2013 № 62 (в редакции
приказа от 11.10.2017 № 64)
5. ТРЕБОВАНИЯ НПА
В ОБЛАСТИ ЗИ
Указ Президента РБ от 16.04.2013 г. № 196
«О некоторых мерах по
совершенствованию защиты информации»
Закон РБ от 10.11.2008 г. № 455-З «Об
информации, информатизации и защите
информации»
Приказ ОАЦ при Президенте РБ от
30.08.2013 г. № 62 «О некоторых вопросах
технической и криптографической защиты
информации»
Всего > 30 шт.
7. Несертифицированный антивирус
или другое средство ЗИ
административная ответственность
Статья 22.7. Часть 2. Нарушение правил защиты информации
Штраф до 200 базовых (4 900 BYN)
+ Конфискация средств ЗИ
Сценарий №1
8. DLP без соответствующего
отражения в ЛНПА
уголовная ответственность
Статья 203. Нарушение тайны переписки, телефонных
переговоров, телеграфных или иных сообщений
Арест на срок до 3-х месяцев
Сценарий №2
10. Проверка регулятора
план проверок http://oac.gov.by/tzi/plan.html, но могут быть и
внеплановые
предписание
административная ответственность
Статья 23.1. Неисполнение письменного требования
(предписания)
«Статья» Руководителю + Штраф до 20 базовых (490 BYN)
Сценарий №4
Не забываем, что ОАЦ теперь наделен полномочиями на составление
протоколов об административных правонарушениях http://itsec.by/prikaz-oac-30/
11. И ЧТО ДЕЛАТЬ?
RM
Риски несоответствия требованиям надзорных и регулирующих
органов, действующему законодательству
ISMS
ISO/IEC 27001:2013 A.18.1 Соответствие законодательным и
договорным требованиям
Классификация ИС, ТЗ, ЗБ, Политика, ЛНПА, Аттестация…