ИБ является сферой, в которой сегодня действуют достаточно жесткие и в то же время новые и не устоявшиеся требования к защите. При этом, в связи с совершенствованием информационных технологий, а, в особенности, с развитием технологий осуществления угроз безопасности, происходит постоянное развитие и совершенствование норм и требований.
На территории РФ на сегодня актуальны для большинства организаций и активно внедряются следующие направления нормативно-правового регулирования:
- Безопасность объектов критической информационной инфраструктуры (Закон «О безопасности критической информационной инфраструктуры РФ» №187-ФЗ);
- Информационная безопасность финансовых организаций (ГОСТ Р 57580, СТО БР ИББС 1.0);
- Защиты прав и свобод личности при обработке персональных данных (Закон «О персональных данных» №152-ФЗ, ПП РФ №1119, Приказ №21 ФСТЭК);
- Коммерческая тайна субъектов предпринимательства (Закон «О коммерческой тайне» №98-ФЗ);
- Безопасность государственных информационных ресурсов (ФЗ-149, Приказ №17 ФСТЭК);
- Средства шифрования и электронной подписи (Закон «О лицензировании отдельных видов деятельности» №99-ФЗ, ПП РФ №313, Закон «Об электронной подписи» №63-ФЗ, Приказ ФАПСИ №152, ПКЗ-2005);
- Техническая защита конфиденциальной информации (Закон «О лицензировании отдельных видов деятельности» №99-ФЗ).
Приведенные области нормативно-правового регулирования требуют от предприятий повышенного внимания, достаточного уровня компетентности и соблюдения установленных требований.
В области информационной безопасности проверки организаций проводят три регулятора — Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба безопасности (ФСБ) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Чтобы успешно пройти проверку регулятора, организация должна показать соответствие ряду требований.
Группа компаний АСПЕКТ СПб предоставляет своим заказчикам услуги по обеспечению соответствия в нормативно-правовой сфере для указанных направлений. Комплекс услуг может включать:
- обследование организации;
- разработка документации, оптимизация структуры документации;
- помощь во внедрении, выдача рекомендаций;
- оценка соответствия;
- аудиты третьей стороны;
- обучающие семинары, презентации различного уровня, мастер-классы;
- сопровождение.
Иногда от заказчиков звучат нарекания, что требования регуляторов плохо соотносятся с практикой. У АСПЕКТа есть опыт помощи заказчикам в сочетании практики с требованиями.
Заказчики отмечают, что специалисты АСПЕКТа умеют «перевести законодательство на понятный язык».
Результатом оценки соответствия в нормативно-правовой сфере являются отчет, перечень мер и действий, которые необходимо предпринять, и образцы документов, которые необходимо составить.