Ситуация меняется буквально на лету — а с ней так же стремительно меняется и нормативка.

За два последних года это активно коснулось всех основополагающих законов: о защите информации, персональных данных, критической инфраструктуры, электронной подписи. Вместе с ними меняются или уточняются и регуляторные нормы практически по всем направлениям: в вопросах импортозамещения, конкретизации требований ИБ в области Государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ), платёжных систем и персональных данных (ПД).

Например, теперь будут применяться оборотные штрафы за утечки ПД. И это не набившие всем оскомину 60 тысяч рублей, а конкретный процент за утечку, так что, если вы производственный холдинг или большая компания, можно влететь на несколько миллионов, в том числе за «несообщение об инциденте». А ещё речь идет и о персональной ответственности, т.е. предусмотрены штрафы не только для компаний, но и для их должностных лиц.

По идее, все должны были к этому готовиться давно, «основные» законы были приняты более пяти лет назад. Но реальность настала, а готовность разная. Это объяснимо: правки в законы и подзаконные акты вносятся постоянно. В последнее время за очень короткий срок были подписаны и приняты документы в области ИБ всеми возможными регуляторами: ФСТЭК, ФСБ, ЦБ. Темпы изменений таковы, что «угнаться» за ними трудно не только специалистам, но и государству. Всё приходится внедрять в авральном режиме.

Наша команда часто выступает в этой теме консалтерами по внедрению, поэтому приходится постоянно держать руку на пульсе. Происходящее прямо влияет не только на проектирование, стоимость, сроки поставки и ввода в эксплуатацию систем защиты, но и в целом на состояние, в котором находится информационная безопасность. И иногда влияет критично. Собственно, поэтому я и хочу рассказать о текущей ситуации в ИБ.

Ну и ниже короткий каталог основных изменений.