Лекториум / Каталог / Информационная безопасность
Личный кабинет

Регуляторные органы и стандарты,
защита персональных данных

Курс «Информационная безопасность»

Правовое регулирование в сфере ИБ
Правовая защита информации — совокупность законов, других нормативных актов, правил, процедур и мероприятий, обеспечивающих защиту информации на правовой основе.
Нормативно-правовые документы можно разделить на две категории: законы и подзаконные акты. Законы регулируют наиболее важные общественные отношения и обладают высшей юридической силой.
Подзаконные акты принимаются в целях исполнения законов. Как правило, эти документы принимаются исполнительными органами власти. Подзаконные нормативно-правовые акты не могут противоречить законам. Если противоречие все-таки содержится, то будет применяться закон.
Внутри категорий законов и подзаконных актов имеется своя иерархия. Так, например, кодексы не могут противоречить Конституции РФ, а ведомственные акты — указам Президента РФ.
Законы:
  • Конституция РФ
  • Федеральные конституционные законы
  • Федеральные законы и кодексы
Подзаконные акты:
  • Указы Президента РФ
  • Постановления Правительства РФ
  • Ведомственные акты
  • Нормативные акты субъектов РФ
  • Акты органов местного самоуправления
Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации наступает в зависимости от тяжести причиненного вреда и может быть административной и/или уголовной.
Например, неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, может наказываться вплоть до лишения свободы на срок до 2 лет.
Закон от 12.12.2023 № 589-ФЗ увеличил размер штрафов за обработку персональных данных без согласия:

Было

Стало

Физлицо

От 6 000 до 10 000 руб.

От 10 000 до 15 000 руб.
Должностное лицо или ИП

От 20 000 до 40 000 руб.

От 100 000 до 300 000 руб.
Компания
От 30 000 до 150 000 руб.
От 300 000 до 700 000 руб.
Штрафы за повторное нарушение также увеличились:

Было

Стало

Физлицо

От 10 000 до 20 000 руб.

От 15 000 до 30 000 руб.
Должностное лицо

От 40 000 до 100 000 руб.

От 300 000 до 500 000 руб.
ИП

От 100 000 до 300 000 руб.

От 500 000 до 1 000 000 руб.
Компания
От 300 000 до 500 000 руб.
От 1 000 000 до 1 500 000 руб.
Государственное регулирование в сфере информационной безопасности
Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при построении информационной безопасности компании. Также при разработке российских нормативно-правовых актов учитываются международные стандарты в области ИБ.
Примерами международных стандартов служат:
  • Стандарты ISO/IEC 27XXX
    Устанавливают требования к системам управления информационной безопасностью и определяют основные области деятельности для комплексной защиты информации в организациях.
  • ITIL
    Самое распространенное в мире руководство по управлению ИТ-услугами.
  • COBIT
    Методология управления информационными технологиями.
Регулятор (регулирующий орган власти) ИБ — государственная организация, которая контролирует исполнение требований российского законодательства по защите информации и устанавливает требования в сфере информационной безопасности.
В Российской Федерации есть множество регуляторов в сфере ИБ, вот основные из них:
  • ФСТЭК (Федеральная служба по техническому и экспортному контролю)
    Контролирует почти все аспекты информационной безопасности, исключая криптографию.
  • ФСБ (Федеральная служба безопасности)
    Регулирует вопросы, связанные с криптографией, а также проводит мониторинг и реагирует на инциденты.
  • Минцифры (Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации)
    Занимается вопросами электронной подписи и удостоверяющих центров.
  • ЦБ (Центральный банк Российской Федерации)
    Регулирует вопросы защиты информации в национальной платежной системе, а также в финансовых и некредитных финансовых организациях.
  • Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)
    Контролирует вопросы, связанные с утечкой персональных данных, а также защиту прав субъектов персональных данных.
Главные Федеральные законы в сфере ИБ:
  • «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ
    Данный ФЗ регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ
    Данным ФЗ регулируются отношения, связанные с обработкой персональных данных.
  • «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ
    Данный ФЗ описывает правила защиты ИТ-инфраструктуры на предприятиях, работающих в сферах, критически важных для государства.
Постановления правительства РФ уточняют различные аспекты Федеральных законов. Ниже приведены основные постановления в области ИБ:
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 26.06.1995 № 608 «О сертификации средств защиты информации»
Приказы ведомств еще больше уточняют различные аспекты ИБ.

Те приказы, с которыми чаще всего придется работать специалисту ИБ, указаны ниже:
  • Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК РФ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
  • Приказ ФСБ РФ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации»
  • Приказ ФСБ РФ и ФСТЭК РФ от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»
ГОСТ информационной безопасности — государственный стандарт, содержащий требования к процессам и способам обеспечения информационной безопасности. ГОСТ не является нормативно-правовым актом.
Основные ГОСТ, связанные с ИБ:
  • ГОСТ Р 59 793-2021 «Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»
    Основной стандарт, определяющий последовательность работ по созданию автоматизированных систем.
  • ГОСТ Р 51 583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»
Нормативное обеспечение внутри компании
Регламентирующие документы (РД) — официальные внутренние документы организации многократного применения, регулирующие ее деятельность в различных сферах.
Локальные нормативные акты (ЛНА) — особая категория регламентирующих документов, содержащих нормы трудового права, регулирующих трудовые отношения и условия труда, характеризующих систему управления трудом в целом, для всех работников организации без исключения.
В зависимости от объекта регламентации регламентирующие документы могут быть трех типов:
  • Организационные документы
    Регламентируют организационную структуру и систему управления организацией.
  • Нормативно-методические документы (НМД)
    Регламентируют работу, процессы, действия.
  • Планово-учетные документы
    Регламентируют учетную политику, управляют материальными и финансовыми потоками.
С точки зрения ИБ нас интересуют нормативно-методические документы, т. к. именно они регулируют процессы, связанные с информационной безопасностью внутри компании.
НМД могут быть шести видов:
  • Правила
    Документ, определяющий и/или ограничивающий возможные действия работника в различных рабочих и/или связанных с работой ситуациях.
  • Положение
    Документ, определяющий общие правила, порядок организации и выполнения работ по конкретному направлению сферы деятельности.
  • Регламент
    Документ, определяющий распределение ролей в рабочем процессе, последовательность действий, правила их выполнения, устанавливающий продолжительность и сроки процесса и/или его отдельных этапов.
  • Порядок
    Документ, определяющий последовательность целенаправленных действий для решения определенной задачи.
  • Методика
    Документ, содержащий конкретные приемы, способы, техники, технологии и инструменты практических действий в процессах.
  • Рабочая инструкция
    Документ, содержащий свод правил, устанавливающий, разъясняющий и детально раскрывающий порядок, методики и способы выполнения действий для достижения определенного результата.
Заключение
К настоящему времени проблематика, связанная с обеспечением информационной безопасности, является исключительно важной. Связано это с ростом и образованием новых видов мошенничества, правонарушений и преступлений в информационной среде, что влечет за собой концепцию создания кибербезопасности Российской Федерации.
На текущий момент разработана «Стратегия развития информационного общества в РФ», рассчитанная до 2030 г. В информационной безопасности нуждаются все сферы деятельности: государственное управление, экономика, социальные сети/личная информация, онлайн-банкинг, оборона страны, идеология.
Правовую основу всех направлений правового обеспечения информационной безопасности составляют информационно-правовые нормы Конституции РФ. Права и обязанности субъектов задаются нормами законов и иных нормативных правовых актов, устанавливающих правила поведения субъектов в порядке защиты объектов правоотношений, контроля и надзора за обеспечением информационной безопасности.

Запишитесь на курс, чтобы выполнять задания и получить сертификат!

Назад
Все уроки
Все изображения предоставлены авторами курса.
Информационная безопасность
Курс об основах защиты данных в современном мире.
  • Что вы получите
    • 17 уроков с видео и заданиями
    • Авторская подача: живая и грамотная речь
    • Свободное расписание: нет дедлайнов и сроков сдачи заданий
    • Все материалы доступны сразу, можно начать обучение в удобное время
    • Профессиональное видео и современная графика
    • Быстрая связь с техподдержкой и чат с однокурсниками
    • Сертификат о прохождении курса
  • Зачем
    • Научиться защищать свои устройства, учетные записи и данные от кибератак, мошенников и других угроз
    • Разобраться в современных технологиях: узнать, как работают сети, облачные технологии и системы виртуализации, чтобы уверенно пользоваться ими в повседневной жизни
    • Подготовиться к карьере в IT: получить прочную базу для старта в сфере информационной безопасности, программирования и сетевого администрирования
    • Избежать ошибок в цифровом мире, научиться распознавать риски
    • Повысить цифровую грамотность
Запишитесь на курс, чтобы общаться в чате, выполнять задания и получить сертификат. Это бесплатно
Записаться
Находясь на сайте, вы даете согласие на обработку файлов cookie. Это необходимо для более стабильной работы сайта
OK