Комплаенс и штрафы в 2025 по Кибербезопасности.
Кибербезопасность в России — уже не только технология, но и юридическое требование. Незнание закона не спасает от штрафов.
Главные документы:
1. ГОСТ 27001-2019 (ISO/IEC 27001 на русском)
Стандарт управления информационной безопасностью. Обязателен для:
• Госучреждений
• Компаний, работающих с критичной информацией
• Претендентов на госконтракты
Требования:
✓ Политика информационной безопасности
✓ Классификация данных и активов
✓ Управление доступом (RBAC, PAM)
✓ Шифрование персональных данных
✓ Инцидент-менеджмент
✓ Аудит и логирование
2. 152-ФЗ (Закон о защите персональных данных)
Если у вас есть база клиентов, вы в зоне риска.
Штрафы:
Физлиц: до 5,000 рублей
ИП: до 50,000 рублей
ООО: до 300,000 рублей (первый раз), до 1,000,000 (повторно)
Что проверяет РОСКОМНАДЗОР:
• Согласие на обработку данных
• Реестр обработчиков
• Логирование доступа к персональным данным
• Шифрование в передачи и хранении
• Порядок удаления данных
3. КИИ (Критическая информационная инфраструктура)
Если ваша система может вызвать ущерб национальной безопасности:
• Энергосистемы
• Водоснабжение
• Транспорт
• Финансовая система
• Связь
Требования для КИИ:
→ Регистрация в РОСКОМНАДЗОР (реестр КИИ)
→ Сертификация по ГОСТ 57448 (Управление кибербезопасностью КИИ)
→ Обязательное СЗИ (средства защиты информации)
→ Уведомление о взломах в течение 24 часов
4. Федеральный закон 1078-ФЗ (О безопасности КИИ)
Если вы оператор КИИ, вы обязаны:
✓ Иметь сертифицированные СЗИ
✓ Проводить тестирование защиты
✓ Сообщать об инцидентах
✓ Содержать центр мониторинга (ЦМОК)
Практический план действий:
Месяц 1-2: Инвентаризация
□ Какие данные вы обрабатываете?
□ Кто имеет доступ?
□ Где хранятся данные?
□ Есть ли резервные копии?
Месяц 3-4: Технические меры
□ Включить MFA для администраторов
□ Настроить шифрование (TLS 1.2+)
□ Включить логирование доступа
□ Создать политику паролей
Месяц 5-6: Управленческие меры
□ Создать политику ИБ
□ Назначить ответственного за данные
□ Обучить сотрудников
□ Создать процесс работы с инцидентами
Месяц 7+: Мониторинг и аудит
□ Проводить внутренние аудиты
□ Тестировать процедуры восстановления
□ Обновлять системы
□ Документировать всё
Нужен аудит?
Аккредитованные компании готовы провести оценку:
• Уровень текущей защиты
• Соответствие ГОСТ и законодательству
• Рекомендации по улучшению
• Смета на внедрение
Главное: Комплаенс — это не штраф, это минимум защиты ваших данных и данных клиентов.
#ГОСТ #152ФЗ #КИИ #compliance #кибербезопасность #закон #РОСКОМНАДЗОР
Кибербезопасность в России — уже не только технология, но и юридическое требование. Незнание закона не спасает от штрафов.
Главные документы:
1. ГОСТ 27001-2019 (ISO/IEC 27001 на русском)
Стандарт управления информационной безопасностью. Обязателен для:
• Госучреждений
• Компаний, работающих с критичной информацией
• Претендентов на госконтракты
Требования:
✓ Политика информационной безопасности
✓ Классификация данных и активов
✓ Управление доступом (RBAC, PAM)
✓ Шифрование персональных данных
✓ Инцидент-менеджмент
✓ Аудит и логирование
2. 152-ФЗ (Закон о защите персональных данных)
Если у вас есть база клиентов, вы в зоне риска.
Штрафы:
Физлиц: до 5,000 рублей
ИП: до 50,000 рублей
ООО: до 300,000 рублей (первый раз), до 1,000,000 (повторно)
Что проверяет РОСКОМНАДЗОР:
• Согласие на обработку данных
• Реестр обработчиков
• Логирование доступа к персональным данным
• Шифрование в передачи и хранении
• Порядок удаления данных
3. КИИ (Критическая информационная инфраструктура)
Если ваша система может вызвать ущерб национальной безопасности:
• Энергосистемы
• Водоснабжение
• Транспорт
• Финансовая система
• Связь
Требования для КИИ:
→ Регистрация в РОСКОМНАДЗОР (реестр КИИ)
→ Сертификация по ГОСТ 57448 (Управление кибербезопасностью КИИ)
→ Обязательное СЗИ (средства защиты информации)
→ Уведомление о взломах в течение 24 часов
4. Федеральный закон 1078-ФЗ (О безопасности КИИ)
Если вы оператор КИИ, вы обязаны:
✓ Иметь сертифицированные СЗИ
✓ Проводить тестирование защиты
✓ Сообщать об инцидентах
✓ Содержать центр мониторинга (ЦМОК)
Практический план действий:
Месяц 1-2: Инвентаризация
□ Какие данные вы обрабатываете?
□ Кто имеет доступ?
□ Где хранятся данные?
□ Есть ли резервные копии?
Месяц 3-4: Технические меры
□ Включить MFA для администраторов
□ Настроить шифрование (TLS 1.2+)
□ Включить логирование доступа
□ Создать политику паролей
Месяц 5-6: Управленческие меры
□ Создать политику ИБ
□ Назначить ответственного за данные
□ Обучить сотрудников
□ Создать процесс работы с инцидентами
Месяц 7+: Мониторинг и аудит
□ Проводить внутренние аудиты
□ Тестировать процедуры восстановления
□ Обновлять системы
□ Документировать всё
Нужен аудит?
Аккредитованные компании готовы провести оценку:
• Уровень текущей защиты
• Соответствие ГОСТ и законодательству
• Рекомендации по улучшению
• Смета на внедрение
Главное: Комплаенс — это не штраф, это минимум защиты ваших данных и данных клиентов.
#ГОСТ #152ФЗ #КИИ #compliance #кибербезопасность #закон #РОСКОМНАДЗОР
