Нормативно–правовое регулирование вопросов защиты информации

1.

Нормативно – правовое
регулирование вопросов защиты
информации в Российской
Федерации

2.

Нормативные правовые акты РФ в
области защиты информации

3.

Законодательная и нормативная база правового регулирования
вопросов защиты информации.
• Международный уровень (Пример. «Конвенция Совета Европы о
защите личности в связи с автоматической обработкой персональных данных» январь 1981 г.
Ратифицирована ГД РФ в 2005г.)
• Федеральный уровень (Конституция РФ, Законы Российской Федерации,
Указы Президента Российской Федерации, постановления Правительства РФ.)
• Ведомственный уровень (Нормативные документы ФСТЭК, ФСБ
России,...)
• Уровень Субъекта РФ (Законы субъекта Российской Федерации,
постановления Правительства субъекта, распоряжения Администрации субъекта.)
• Местный уровень (Организационно – распорядительные документы органа
власти, организации.)

4.

Законодательные Акты
Конституция Российской Федерации (1993 г.)
Закон РФ "О безопасности" от 05.03.1992г. № 2446-1 Закон РФ "О
государственной тайне" от 21.07.1993г. №5485-1
ФЗ РФ "Об информации, информационных технологиях и о защите
информации" от 27.07.2006г. №149-ФЗ
ФЗ РФ "О коммерческой тайне" от 29 июля 2004 г. N 98-ФЗ
ФЗ РФ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ
ФЗ "О техническом регулировании" от 27 декабря 2002 г. N 184-ФЗ
ФЗ РФ "Об обеспечении единства измерений" от 26 июня 2008 года № 102-ФЗ
ФЗ РФ "Электронной цифровой подписи" от 10 января 2002 г. N 1-ФЗ
(отменен)
ФЗ РФ "Об электронной подписи" от 6 апреля 2011 г. N 63-ФЗ
ФЗ РФ "О связи" 7 июля 2003 г. N 126-ФЗ
ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001
года, N 128-ФЗ
ФЗ "Об органах Федеральной Службы Безопасности в Российской
Федерации" 03.04.95 №40-ФЗ (СЗ №15-95 г. ст.1269)

5.

Конституция Российской Федерации
Статья 23
1. Каждый имеет право на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и
доброго имени.
2. Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только па основании
судебного решения.

6.

Конституция Российской Федерации
Статья 24
1. Сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия не
допускаются.
2. Органы государственной власти и органы местного
самоуправления, их должностные лица обязаны
обеспечить каждому возможность ознакомления с
документами и материалами, непосредственно
затрагивающими его права и свободы, если иное не
предусмотрено законом.

7.

Доктрина информационной безопасности Российской
Федерации
(утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) (устар)
Доктрина информационной безопасности Российской
Федерации представляет собой совокупность
официальных взглядов на цели, задачи, принципы и
основные направления обеспечения информационной
безопасности Российской Федерации.
Под информационной безопасностью Российской
Федерации понимается состояние защищенности ее
национальных интересов в информационной сфере,
определяющихся совокупностью сбалансированных
интересов личности, общества и государства.

8.

Доктрина информационной безопасности Российской
Федерации
(утв. Президентом РФ от 9 сентября 2000 г. № Пр-1895) (устар)
I. Информационная безопасность Российской Федерации
II. Методы обеспечения информационной безопасности Российской
Федерации
III. Основные положения государственной политики обеспечения
информационной безопасности Российской Федерации и первоочередные
мероприятия по ее реализации
IV. Организационная основа системы обеспечения информационной
безопасности Российской Федерации

9.

Доктрина
информационной безопасности Российской Федерации
(утв. Президентом РФ от 5 декабря 2016 г. N Пр-646)
(действующая)
• информационная безопасность Российской
Федерации (далее - информационная
безопасность) - состояние защищенности личности,
общества и государства от внутренних и внешних
информационных угроз, при котором
обеспечиваются реализация конституционных прав
и свобод человека и гражданина, достойные
качество и уровень жизни граждан, суверенитет,
территориальная целостность и устойчивое
социально-экономическое развитие Российской
Федерации, оборона и безопасность государства;

10.

Национальные интересы в
информационной сфере
(термины Доктрины ИБ - 2016г.)
• а) обеспечение и защита конституционных
прав и свобод человека и гражданина в
части, касающейся получения и
использования информации,
неприкосновенности частной жизни при
использовании информационных
технологий, обеспечение информационной
поддержки демократических институтов,
механизмов взаимодействия государства и
гражданского общества,

11.

Национальные интересы в
информационной сфере
(термины Доктрины ИБ - 2016г.)
• б) обеспечение устойчивого и бесперебойного
функционирования информационной
инфраструктуры, в первую очередь
критической информационной
инфраструктуры Российской Федерации
(далее - критическая информационная
инфраструктура) и единой сети электросвязи
Российской Федерации, в мирное время, в
период непосредственной угрозы агрессии и в
военное время;

12.

Национальные интересы в
информационной сфере
(термины Доктрины ИБ - 2016г.)
• в) развитие в Российской Федерации отрасли
информационных технологий и электронной
промышленности, а также совершенствование
деятельности производственных, научных и
научно-технических организаций по
разработке, производству и эксплуатации
средств обеспечения информационной
безопасности, оказанию услуг в области
обеспечения информационной безопасности;

13.

Национальные интересы в
информационной сфере
(термины Доктрины ИБ - 2016г.)
• г) доведение до российской и
международной общественности
достоверной информации о
государственной политике Российской
Федерации и ее официальной позиции по
социально значимым событиям в стране и
мире, применение информационных
технологий в целях обеспечения
национальной безопасности Российской
Федерации в области

14.

Национальные интересы в
информационной сфере
(термины Доктрины ИБ - 2016г.)
• д) содействие формированию системы
международной информационной
безопасности, направленной на
противодействие угрозам использования
информационных технологий в целях
нарушения стратегической стабильности, на
укрепление равноправного стратегического
партнерства в области информационной
безопасности, а также на защиту суверенитета
Российской Федерации в информационном
пространстве.

15.

(1) Стратегия развития информационного общества в
Российской Федерации
(утв. Президентом РФ 7 февраля 2008 г. № Пр-212)
В настоящей Стратегии закрепляются цель, задачи, принципы и
основные направления государственной политики в области
использования и развития информационных и телекоммуникационных
технологий, науки, образования и культуры для продвижения страны
по пути формирования и развития информационного общества.
Настоящая Стратегия является основой для подготовки и уточнения
доктринальных, концептуальных, программных и иных документов,
определяющих цели и направления деятельности органов
государственной власти, а также принципы и механизмы их
взаимодействия с организациями и гражданами в области развития
информационного общества в Российской Федерации.

16.

(1)Стратегия развития информационного общества в
Российской Федерации
(утв. Президентом РФ 7 февраля 2008 г. № Пр-212)
I. Общие положения
II. Назначение и политико-правовая основа настоящей Стратегии
III. Цель, задачи и принципы развития информационного общества в Российской
Федерации
IV. Основные направления реализации настоящей Стратегии
V. Международное сотрудничество в области развития информационного общества
VI. Реализация настоящей Стратегии
Приложение. Контрольные значения показателей развития информационного общества
в Российской Федерации на период до 2015 года

17.

(1) IV. Основные направления реализации настоящей
Стратегии
5. В области повышения эффективности государственного управления и
местного самоуправления, взаимодействия гражданского общества и
бизнеса с органами государственной власти, качества и оперативности
предоставления государственных услуг:
обеспечение эффективного межведомственного и межрегионального
информационного обмена;
интеграция государственных информационных систем и ресурсов;
увеличение объемов и качества государственных услуг, предоставляемых
организациям и гражданам в электронном виде;
совершенствование нормативно-правового обеспечения стандартизации
и администрирования государственных услуг;
совершенствование системы предоставления государственных и
муниципальных услуг гражданам и организациям.

18.

(1) Контрольные значения показателей развития информационного
общества в Российской Федерации на период до 2015 года
В результате реализации основных направлений и мероприятий Стратегии
развития информационного общества в Российской Федерации к 2015 году должны
быть достигнуты следующие контрольные значения показателей:
место Российской Федерации в международных рейтингах в области развития
информационного общества - в числе двадцати ведущих стран мира;
место Российской Федерации в международных рейтингах по уровню доступности
национальной информационной и телекоммуникационной инфраструктуры для
субъектов информационной сферы - не ниже десятого;
уровень доступности для населения базовых услуг в сфере информационных и
телекоммуникационных технологий - 100%;
сокращение различий между субъектами Российской Федерации по интегральным
показателям информационного развития - до 2 раз;
наличие персональных компьютеров, в том числе подключенных к сети Интернет,
- не менее чем в 75% домашних хозяйств;
доля государственных услуг, которые население может получить с использованием
информационных и телекоммуникационных технологий, в общем объеме
государственных услуг в Российской Федерации - 100%;
доля электронного документооборота между органами государственной власти в
общем объеме документооборота - 70%;
доля размещенных заказов на поставки товаров, выполнение работ и оказание
услуг для государственных и муниципальных нужд самоуправления с
использованием электронных торговых площадок в общем объеме размещаемых
заказов - 100%;
доля архивных фондов, включая фонды аудио- и видеоархивов, переведенных в
электронную форму, - не менее 20%;
доля библиотечных фондов, переведенных в электронную форму, в общем объеме
фондов общедоступных библиотек - не менее 50%, в том числе библиотечных
каталогов - 100%.

19.

(2) Информационное общество (2011-2020
годы). Государственная программа. Распоряжение
Правительства Российской Федерации от 20 октября 2010 г. N
1815-р г.
Подпрограммы
Достижение цели Программы обеспечивается путем выполнения
мероприятий, сгруппированных по подпрограммам. Состав мероприятий
может корректироваться по мере решения задач Программы.
Повышение качества жизни граждан и улучшение условий развития бизнеса в
информационном обществе предусматривает:
перевод государственных и муниципальных услуг в электронный вид;
развитие инфраструктуры доступа к сервисам электронного государства;
повышение открытости деятельности органов государственной власти;
создание и развитие электронных сервисов в области здравоохранения, а
также в областях жилищно-коммунального хозяйства, образования и науки,
культуры и спорта.

20.

(2) Информационное общество (2011-2020
годы). Государственная программа. Распоряжение
Правительства Российской Федерации от 20 октября 2010 г. N
1815-р г.
Построение электронного правительства
Построение электронного правительства и повышение эффективности государственного управления
предусматривает:
формирование единого пространства электронного взаимодействия;
создание и развитие государственных межведомственных информационных систем,
предназначенных для принятия решений в реальном времени;
создание справочников и классификаторов, используемых в государственных и муниципальных
информационных системах;
повышение эффективности внедрения информационных технологий на уровне субъектов
Российской Федерации и муниципальных образований;
создание инфраструктуры пространственных данных Российской Федерации;
развитие системы учета результатов научно-исследовательских и опытно-конструкторских работ,
выполненных в рамках государственного заказа;
обеспечение перевода в электронный вид государственной учетной деятельности;
создание и развитие специальных информационных и информационно-технологических систем
обеспечения деятельности органов государственной власти, в том числе защищенного сегмента сети
Интернет и системы межведомственного электронного документооборота.

21.

Развитие информационного
общества с 2017г. до 2030г.

22.

Указ №7668 от 09 мая 2017

23.

(3) В настоящей Стратегии
используются следующие основные
понятия:
• а) безопасные программное обеспечение и
сервис - программное обеспечение и сервис,
сертифицированные на соответствие
требованиям к информационной
безопасности, устанавливаемым
федеральным органом исполнительной
власти, уполномоченным в области
обеспечения безопасности, или федеральным
органом исполнительной власти,
уполномоченным в области противодействия
техническим разведкам и технической защиты
информации;

24.

(3) Основные понятия
• б) индустриальный интернет - концепция
построения информационных и
коммуникационных инфраструктур на основе
подключения к информационнотелекоммуникационной сети "Интернет"
(далее - сеть "Интернет") промышленных
устройств, оборудования, датчиков, сенсоров,
систем управления технологическими
процессами, а также интеграции данных
программно-аппаратных средств между собой
без участия человека;

25.

(3) Основные понятия
• в) интернет вещей - концепция
вычислительной сети, соединяющей вещи
(физические предметы), оснащенные
встроенными информационными
технологиями для взаимодействия друг с
другом или с внешней средой без участия
человека;

26.

(3) III. Цель Стратегии
29. Для устойчивого функционирования информационной
инфраструктуры Российской Федерации необходимо:
а) обеспечить единство государственного регулирования,
централизованные мониторинг и управление функционированием
информационной инфраструктуры Российской Федерации на уровне
информационных систем и центров обработки данных, а также на уровне
сетей связи
б) обеспечить поэтапный переход государственных органов и органов
местного самоуправления к использованию инфраструктуры
электронного правительства, входящей в информационную
инфраструктуру Российской Федерации;
в) обеспечить использование российских криптоалгоритмов и средств
шифрования при электронном взаимодействии федеральных органов
исполнительной власти, органов государственной власти субъектов
Российской Федерации, государственных внебюджетных фондов, органов
местного самоуправления между собой, а также с гражданами и
организациями;
г) осуществить скоординированные действия, направленные на
подключение объектов к информационной инфраструктуре Российской
Федерации

27.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Подписан Президентом РФ (В.Путиным) 27 июля 2006 года
Всего 18 статей
Со дня вступления в силу настоящего Федерального закона признаны
утратившими силу:
1) Федеральный закон от 20 февраля 1995 года № 24-ФЗ «Об информации,
информатизации и защите информации»;
2) Федеральный закон от 4 июля 1996 года № 85-ФЗ «Об участии в
международном информационном обмене»

28.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о
защите информации»
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие основные понятия:
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления,
распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее
обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по
линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной
техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона
или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной
информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или
передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц
или передачу информации неопределенному кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем информационнотелекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе путем документирования
информация с реквизитами, позволяющими определить такую информацию или в установленных
законодательством Российской Федерации случаях ее материальный носитель;
11.1) электронный документ – документированная информация, представленная в электронной форме, то есть в
виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для
передачи по информационно-телекоммуникационным сетям или обработки в информационных системах;
12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по
эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах
данных.

29.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о
защите информации»
Статья 3. Принципы правового регулирования отношений в сфере
информации, информационных технологий и защиты информации
Правовое регулирование отношений, возникающих в сфере информации, информационных
технологий и защиты информации, основывается на следующих принципах:
1) свобода поиска, получения, передачи, производства и распространения информации
любым законным способом;
2) установление ограничений доступа к информации только федеральными законами;
3) открытость информации о деятельности государственных органов и органов местного
самоуправления и свободный доступ к такой информации, кроме случаев, установленных
федеральными законами;
4) равноправие языков народов Российской Федерации при создании информационных
систем и их эксплуатации;
5) обеспечение безопасности Российской Федерации при создании информационных
систем, их эксплуатации и защите содержащейся в них информации;
6) достоверность информации и своевременность ее предоставления;
7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и
распространения информации о частной жизни лица без его согласия;
8) недопустимость установления нормативными правовыми актами каких-либо
преимуществ применения одних информационных технологий перед другими, если только
обязательность применения определенных информационных технологий для создания и
эксплуатации государственных информационных систем не установлена федеральными
законами.

30.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 5. Информация как объект правовых отношений
1. Информация может являться объектом публичных, гражданских и иных
правовых отношений. Информация может свободно использоваться любым
лицом и передаваться одним лицом другому лицу, если федеральными
законами не установлены ограничения доступа к информации либо иные
требования к порядку ее предоставления или распространения.
2. Информация в зависимости от категории доступа к ней подразделяется на
общедоступную информацию, а также на информацию, доступ к которой
ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или
распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в
соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит
предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации
ограничивается или запрещается.
4. Законодательством Российской Федерации могут быть установлены виды
информации в зависимости от ее содержания или обладателя.

31.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается федеральными законами в
целях защиты основ конституционного строя, нравственности, здоровья, прав и
законных интересов других лиц, обеспечения обороны страны и безопасности
государства.
2. Обязательным является соблюдение конфиденциальности информации, доступ к
которой ограничен федеральными законами.
8. Запрещается требовать от гражданина (физического лица) предоставления
информации о его частной жизни, в том числе информации, составляющей личную или
семейную тайну, и получать такую информацию помимо воли гражданина (физического
лица), если иное не предусмотрено федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц)
устанавливается федеральным законом о персональных данных.

32.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 11. Документирование информации
3. Электронный документ, электронное сообщение,
подписанные электронной цифровой подписью или иным
аналогом собственноручной подписи, признаются
равнозначными документу, подписанному собственноручной
подписью, в случаях, если иное не установлено
федеральными законами.
4. В целях заключения гражданско-правовых договоров или
оформления иных правоотношений, в которых участвуют
лица, обменивающиеся электронными сообщениями, обмен
электронными сообщениями, каждое из которых подписано
электронной цифровой подписью или иным аналогом
собственноручной подписи отправителя такого сообщения, в
порядке, установленном федеральными законами, иными
нормативными правовыми актами или соглашением сторон,
рассматривается как обмен документами.

33.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и
технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а
также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации
осуществляется путем установления требований о защите информации, а также
ответственности за нарушение законодательства Российской Федерации об информации,
информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для
достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

34.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 16. Защита информации
4. Обладатель информации, оператор информационной системы в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи
ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к
информации;
3) предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в
результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа
к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.

35.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 16. Защита информации
5. Требования о защите информации, содержащейся в государственных
информационных системах, устанавливаются федеральным органом
исполнительной власти в области обеспечения безопасности и федеральным
органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации,
в пределах их полномочий. При создании и эксплуатации государственных
информационных систем используемые в целях защиты информации методы
и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения
использования определенных средств защиты информации и осуществления
отдельных видов деятельности в области защиты информации.

36.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»
Статья 17. Ответственность за правонарушения в сфере информации,
информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой
дисциплинарную, гражданско-правовую, административную или уголовную
ответственность в соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением
информации ограниченного доступа или иным неправомерным использованием такой
информации, вправе обратиться в установленном порядке за судебной защитой своих
прав, в том числе с исками о возмещении убытков, компенсации морального вреда,
защите чести, достоинства и деловой репутации. Требование о возмещении убытков не
может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по
соблюдению конфиденциальности информации или нарушившим установленные
законодательством Российской Федерации требования о защите информации, если
принятие этих мер и соблюдение таких требований являлись обязанностями данного
лица.

37.

Зарубежное законодательство
Франция. Закон, регламентирующий права на использование персональных
данных появился в 1859 году
США. В 1974 году принят Акт о защите личной жизни «The Privacy Act of
1974», в 1980 году – «Privacy Protection Act of 1980»
Германия. В 1977 году принят Федеральный закон о защите персональных
данных
Венгрия. В 1992 году принят закон «О защите персональных данных и о
публикации данных, представляющих общественный интерес»
Польша. В 1997 году принят закон «О защите персональных данных» (в
2002 г. в закон внесены поправки)
Великобритания. В 1998 году был принят «Закон о защите персональных
данных» – «Data Protection Act 1998»
Швеция. В 1998 году принят закон «О защите персональных данных»
Испания. В 1999 году принят «Органический закон о защите персональных
данных»
Финляндия. В 1999 году принят закон «О персональных данных»

38.

Федеральный закон от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Подписан Президентом РФ (В.В.Путиным) 27 июля 2006 года
6 глав, 25 статей
Глава 1. Общие положения (статьи 1-4)
Глава 2. Принципы и условия обработки персональных данных (статьи 5-13)
Глава 3. Права субъекта персональных данных (статьи 14-17)
Глава 4. Обязанности оператора (статьи 18-22)
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за
нарушение требований настоящего Федерального закона (статьи 23,24)
Глава 6. Заключительные положения (статья 25)

39.

Федеральная служба безопасности Российской
Федерации
ФСБ России традиционно курирует вопросы защиты информации с
использованием средств шифрования.
Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «О федеральной
службе безопасности» (с изменениями от 30 декабря 1999 г., 7 ноября
2000 г., 30 декабря 2001 г., 7 мая, 25 июля 2002 г., 10 января, 30 июня
2003 г., 22 августа 2004 г., 7 марта 2005 г., 15 апреля, 27 июля 2006 г.,
5, 24 июля, 4 декабря 2007 г., 25 декабря 2008 г.)
Указ Президента РФ от 11 августа 2003 г. № 960 «Вопросы
Федеральной службы безопасности Российской Федерации» (с
изменениями от 11 июля 2004 г., 31 августа, 1 декабря 2005 г., 12
июня, 27 июля, 28 декабря 2006 г., 28 ноября, 28 декабря 2007 г., 1
сентября, 23 октября, 17 ноября 2008 г.)
Сайт: http://www.fsb.ru/

40.

Федеральная служба по техническому и экспортному
контролю
(ФСТЭК России)
ФСТЭК России осуществляет контроль защиты информации с использованием технических
средств.
Организации, эксплуатирующие информационные системы ПДн, определенных классов,
должны получить лицензию ФСТЭК России на деятельность по технической защите
конфиденциальной информации. Кроме того, технические средства, которые будут
использованы для защиты ПДн, должны быть сертифицированы ФСТЭК России или ФСБ
России.
Методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой
информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать
каждому оператору ПДн.
Указ Президента РФ от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и
экспортному контролю» (с изменениями от 22 марта, 20 июля 2005 г., 30 ноября 2006 г., 23 октября, 17 ноября
2008 г.)
Сайт: http://www.fstec.ru/

41.

Федеральная служба по техническому и экспортному
контролю
(ФСТЭК России)
Нормативно-методическое обеспечение безопасности информационных
систем персональных данных в органах власти, учреждениях
(предприятиях)
Методика определения актуальных угроз безопасности персональных данных при
их обработке в информационных системах персональных данных (утв.
Федеральной службой по техническому и экспортному контролю 14 февраля
2008 г.)
Основные мероприятия по организации и техническому обеспечению безопасности
персональных данных, обрабатываемых в информационных системах
персональных данных (утв. Федеральной службой по техническому и экспортному
контролю 15 февраля 2008 г.)
Рекомендации по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных (утв. Федеральной
службой по техническому и экспортному контролю 15 февраля 2008 г.)
Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных (утв. Федеральной службой по
техническому и экспортному контролю 15 февраля 2008 г.)

42.

Кодекс Российской Федерации об
административных правонарушениях
Глава 13. Административные правонарушения в области связи и
информации
Статья 13.11. Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах (персональных
данных)
Статья 13.12. Нарушение правил защиты информации
Статья 13.13. Незаконная деятельность в области защиты информации
Статья 13.14. Разглашение информации с ограниченным доступом

43.

Наказание по Кодексу об Административных
Правонарушениях
Наказание по Кодексу об Административных Правонарушениях
№
13.11
13.14
13.12
13.13
5.27
5.39
Название статьи
Максимальное наказание
Нарушение установленного законом
порядка сбора, хранения, использования
10.000 руб.
или распространения информации о
гражданах (персональных данных)
Разглашение информации с
5.000 руб.
ограниченным доступом
20.000 руб.+ конфискация +
Нарушение правил защиты информации приостановление деятельности на срок
до 90 суток
Незаконная деятельность в области
20.000 руб.+ конфискация
защиты информации
50.000 руб.+ приостановление
Нарушение законодательства о труде и об деятельности на срок до 90 суток +
охране труда
дисквалификация должностного лица до
3-х лет
Отказ в предоставлении гражданину
1.000 руб.
информации

44.

Уголовный кодекс Российской Федерации.
ГЛАВА 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ. Ст.272
• Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации,
то есть информации на машинном носителе, в электронно-вычислительной
машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение,
блокирование, модификацию либо копирование информации, нарушение работы
ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период до восемнадцати
месяцев, либо исправительными работами на срок от шести месяцев до одного
года, либо лишением свободы на срок до двух лет (В редакции Федерального
закона от 8 декабря 2003 г. № 162-ФЗ).
2. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного
положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от стадо трехсот тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного года до
двух лет, либо исправительными работами на срок от одного года до двух лет,
либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок
до пяти лет (В редакции Федерального закона от 8 декабря 2003 г. № 162-ФЗ).

45.

Уголовный кодекс Российской Федерации.
ГЛАВА 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ. Ст.273
• Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в
существующие программы, заведомо приводящих к
несанкционированному уничтожению, блокированию, модификации
либо копированию информации, нарушению работы ЭВМ, системы
ЭВМ или их сети, а равно использование либо распространение таких
программ или машинных носителей с такими программами наказываются лишением свободы на срок до трех лет со штрафом
в размере до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати месяцев
(В редакции Федерального закона от 8 декабря 2003 г. № 162-ФЗ).
2. Те же деяния, повлекшие по неосторожности тяжкие
последствия, наказываются лишением свободы на срок от трех до семи лет.

46.

Уголовный кодекс Российской Федерации.
ГЛАВА 28. ПРЕСТУПЛЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ. Ст.274
• Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или
их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее
уничтожение, блокирование или модификацию охраняемой законом
информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные
должности или заниматься определенной деятельностью на срок до
пяти лет, либо обязательными работами на срок от ста восьмидесяти
до двухсот сорока часов, либо ограничением свободы на срок до двух
лет.
2. То же деяние, повлекшее по неосторожности тяжкие
последствия, наказывается лишением свободы на срок до четырех лет.