Комплаенс и штрафы в 2025 по Кибербезопасности.

Комплаенс и штрафы в 2025 по Кибербезопасности.

Кибербезопасность в России — уже не только технология, но и юридическое требование. Незнание закона не спасает от штрафов.

Главные документы:

1. ГОСТ 27001-2019 (ISO/IEC 27001 на русском)

Стандарт управления информационной безопасностью. Обязателен для:

• Госучреждений

• Компаний, работающих с критичной информацией

• Претендентов на госконтракты

Требования:

✓ Политика информационной безопасности

✓ Классификация данных и активов

✓ Управление доступом (RBAC, PAM)

✓ Шифрование персональных данных

✓ Инцидент-менеджмент

✓ Аудит и логирование

2. 152-ФЗ (Закон о защите персональных данных)

Если у вас есть база клиентов, вы в зоне риска.

Штрафы:

Физлиц: до 5,000 рублей

ИП: до 50,000 рублей

ООО: до 300,000 рублей (первый раз), до 1,000,000 (повторно)

Что проверяет РОСКОМНАДЗОР:

• Согласие на обработку данных

• Реестр обработчиков

• Логирование доступа к персональным данным

• Шифрование в передачи и хранении

• Порядок удаления данных

3. КИИ (Критическая информационная инфраструктура)

Если ваша система может вызвать ущерб национальной безопасности:

• Энергосистемы

• Водоснабжение

• Транспорт

• Финансовая система

• Связь

Требования для КИИ:

→ Регистрация в РОСКОМНАДЗОР (реестр КИИ)

→ Сертификация по ГОСТ 57448 (Управление кибербезопасностью КИИ)

→ Обязательное СЗИ (средства защиты информации)

→ Уведомление о взломах в течение 24 часов

4. Федеральный закон 1078-ФЗ (О безопасности КИИ)

Если вы оператор КИИ, вы обязаны:

✓ Иметь сертифицированные СЗИ

✓ Проводить тестирование защиты

✓ Сообщать об инцидентах

✓ Содержать центр мониторинга (ЦМОК)

Практический план действий:

Месяц 1-2: Инвентаризация

□ Какие данные вы обрабатываете?

□ Кто имеет доступ?

□ Где хранятся данные?

□ Есть ли резервные копии?

Месяц 3-4: Технические меры

□ Включить MFA для администраторов

□ Настроить шифрование (TLS 1.2+)

□ Включить логирование доступа

□ Создать политику паролей

Месяц 5-6: Управленческие меры

□ Создать политику ИБ

□ Назначить ответственного за данные

□ Обучить сотрудников

□ Создать процесс работы с инцидентами

Месяц 7+: Мониторинг и аудит

□ Проводить внутренние аудиты

□ Тестировать процедуры восстановления

□ Обновлять системы

□ Документировать всё

Нужен аудит?

Аккредитованные компании готовы провести оценку:

• Уровень текущей защиты

• Соответствие ГОСТ и законодательству

• Рекомендации по улучшению

• Смета на внедрение

Главное: Комплаенс — это не штраф, это минимум защиты ваших данных и данных клиентов.

#ГОСТ #152ФЗ #КИИ #compliance #кибербезопасность #закон #РОСКОМНАДЗОР