531.01K

Category:

law

Л. Правовая ЗИ ПДн

1.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ

Иерархия нормативно-правовых актов в области ПДн
Конституция РФ
Федеральные законы
Указы Президента РФ
Постановления Правительства РФ
Приказы ФСТЭК России, ФСБ России, Роскомнадзора,
Минцифры России
Методические документы (рекомендательный характер)
Внутренние организационно-распорядительные документы,
издаваемые в организации по обработке и защите ПДн

3.

Нормативно-правовые акты в области ПДн
УКАЗЫ ПРЕЗИДЕНТА РФ
«О Стратегии национальной безопасности РФ». Указ Президента РФ № 400 от 02.07.2021г.
«Об утверждении Доктрины информационной безопасности РФ». Указ Президента РФ №646 от
05.12.2016г.
«Об утверждении Перечня сведений конфиденциального характера». Указ Президента РФ №188 от
06.03 1997г.
ФЕДЕРАЛЬНЫЕ ЗАКОНЫ
«Об информации, информационных технологиях и о защите информации». ФЗ №149 от 7.07.2006г.
«О персональных данных». ФЗ № 152 от 27.07.2006г.
«Об электронной подписи». ФЗ № 63 от 06.04.2011г.
«Об организации предоставления государственных и муниципальных услуг». ФЗ №210 от
7.07.2010г.
«Кодекс РФ об административных правонарушениях». ФЗ №195 от 30.12.2001г.
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ
«Об утверждении требований к защите персональных данных при их обработке в информационных
системах персональных данных». Постановление Правительства РФ №1119 от 01.11.2012г.
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации». Постановление Правительства РФ №687 от 15.09.2008г.
«Об утверждении требований к материальным носителям биометрических персональных данных и
технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства РФ №512 от 06.07.2008г.

4.

Нормативно-правовые акты в области ПДн
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии
с ним нормативными правовыми актами, операторами, являющимися государственными или
муниципальными органами». Постановление Правительства РФ №211 от 21.03.2012г.
ФСТЭК
«Об утверждении требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах». Приказ ФСТЭК
России №17 от 11.02.2013г.
«Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных». Приказ ФСТЭК России №21 от 18.02.2013г.
«Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных». Утверждена Заместителем директора
ФСТЭК России 15 февраля 2008 г.
«Методический документ. Методика оценки угроз безопасности информации». Утверждена
Заместителем директора ФСТЭК России 05 февраля 2021 г.
ФСБ
«Об утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в ИСПДн с
использованием СКЗИ, необходимых для выполнения установленных Правительством РФ
требований к защите ПДн для каждого из уровней защищенности». Приказ ФСБ от
10.07.2014 г. №378.

5.

Нормативно-правовые акты в области ПДн
ФСБ
«Методические рекомендации по разработке нормативных правовых актов, определяющих
угрозы безопасности персональных данных, актуальные при обработке персональных
данных в информационных системах персональных данных, эксплуатируемых при
осуществлении соответствующих видов деятельности». Утверждены руководством 8 Центра
ФСБ России 31 марта 2015 года №149/7/2/6-432
Минцифры, Роскомнадзор
"Об утверждении требований и методов по обезличиванию персональных данных". Приказ
Федеральной службы по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор) от 5 сентября 2013 г. № 996 г.
Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г.
№996 "Об утверждении требований и методов по обезличиванию персональных данных".
Утверждены Руководителем Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций 13.12.2013.
«Об определении угроз безопасности персональных данных, актуальных при обработке
персональных данных в информационных системах персональных данных,
эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых
осуществляется Министерством цифрового развития, связи и массовых коммуникаций РФ».
Приказ Минцифры от 21 декабря 2020 г. №734.
«Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту
прав субъектов персональных данных». Приказ Минцифры, Роскомнадзор от 5 августа 2022
г. №128.

6.

Нормативно-правовые акты в области ПДн
Минцифры, Роскомнадзор
«Об утверждении требований к оценке вреда, который может быть причинен субъектам
персональных данных в случае нарушения федерального закона "О персональных
данных«». Приказ Минцифры, Роскомнадзор от 27 октября 2022 г. №178.
«Об утверждении требований к подтверждению уничтожения персональных данных».
Приказ Минцифры, Роскомнадзор от 28 октября 2022 г. №179.
«Об утверждении форм уведомлений о намерении осуществлять обработку персональных
данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять
обработку персональных
данных, о прекращении обработки персональных данных». Приказ Минцифры,
Роскомнадзор от 28 октября 2022 г. №180.
Роскомнадзор. Рекомендации по составлению документа, определяющего политику
оператора в отношении обработки персональных данных, в порядке, установленном
федеральным законом от 27 июля 2006 года n 152-ФЗ "О персональных данных".
Минцифры, Роскомнадзор. Вопросы, касающиеся обработки персональных данных
работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в
кадровом резерве.

7.

Сущность и содержание обработки и защиты ПДн
Субъектом персональных данных является человек, которому могут
принадлежать или принадлежат персональные данные:
специальные;
биометрические;
геномные;
общедоступные;
обезличенные;
общие персональные данные.
Субъект персональных данных имеет права и обязанности в отношении
обработки его персональных данных и их защите.
Персональные данные человека могут обрабатывать и должны
обязательно защищать государственные и муниципальные органы,
юридические или физические лица, являющиеся операторами, которые также
имеют права и обязанности в отношении субъекта персональных данных по
обработке его персональных данных.
Операторы должны исключить или уменьшить угрозы в отношении
персональных данных субъектов персональных данных.

8.

Сущность и содержание обработки и защиты ПДн
При обработке ПДн операторы должны выполнять требования, которые
определены в нормативных правовых актах, регулирующих область защиты
ПДн.
За выполнением обязательных требований в данной области
осуществляется государственный надзор (контроль). Основными органами
государственного надзора (контроля) РФ являются: ФСБ, ФСТЭК и
Роскомнадзор.
В ходе проведения проверок операторов, обрабатывающих ПДн, органы
власти в обязательном порядке должны руководствоваться и выполнять
требования административных регламентов.
В соответствии с требованиями нормативных правовых актов субъекты
зашиты информации обладают обязанностями, имеют права и несут
ответственность за нарушения требований законодательства в данной области:
дисциплинарную, гражданско-правовую, административную и уголовную.
Вид ответственности для операторов, обрабатывающих ПДн, определяется
по результатам проверок исходя из тяжести выявленных нарушений в области
обработки и зашиты персональных данных и их вины.

9.

Проверка и надзор за соблюдением требований по защиты ПДн
Проверка - совокупность проводимых органом государственного контроля
(надзора) или органом муниципального контроля в отношении ЮЛ, ИП
мероприятий по контролю для оценки соответствия осуществляемых ими
деятельности или действий (бездействия), производимых и реализуемых ими
товаров (выполняемых работ, предоставляемых услуг), обязательным требованиям
и требованиям, установленным муниципальными правовыми актами.
Государственный контроль (надзор) - деятельность уполномоченных органов
государственной власти (ФОИВ и ОГВ субъектов РФ), направленная на
предупреждение, выявление и пресечение нарушений ЮЛ, их руководителями и
иными должностными лицами. ИП, требований, установленных федеральными
законами и принимаемыми в соответствии с ними иными нормативными
правовыми актами РФ. законами и иными нормативными правовыми актами
субъектов РФ, посредством организации и проведения проверок ЮЛ, ИП, принятия
предусмотренных законодательством РФ мер по пресечению и (или) устранению
последствий выявленных нарушений, а также деятельность указанных
уполномоченных органов государственной власти по систематическому
наблюдению
за
исполнением
обязательных
требований,
анализу
и
прогнозированию состояния исполнения обязательных требований при
осуществлении деятельности ЮЛ и ИП.

10.

Организация защиты ПДн в организации
Под организацией обеспечения безопасности обработки и зашиты ПДн
понимается формирование совокупности мероприятий, осуществляемых на всех
стадиях обработки и защиты, согласованных по целям, задачам, месту и времени,
направленных на предотвращение (нейтрализацию) и парирование угроз в отношении
ПДн.
Организация обеспечения безопасности (зашиты), как процесс, предусматривает
восемь этапов:
1.Уяснение обязательных требований по обработке и защите ПДн, определенных в
нормативных правовых актах.
2.Оценка обстановки в части возможных угроз и мер по их снижению и
предотвращению.
3.Разработка замысла обеспечения безопасности ПДн.
4.Определений целей по обеспечению безопасности ПДн и формулирование задач по
их защите.
5.Выбор целесообразных способов, методов и средств защиты ПДн в соответствии с
замыслом их защиты, целями и задачами.
6.Планирование мероприятий по защите ПДн.
7.Всестороннее обеспечение реализации запланированных мероприятий по защите
ПДн.
8.Управление обеспечением безопасности ПДн в динамике изменения обстановки в
части угроз в отношение ПДн.

11.

Модель угроз безопасности ПДн
ГОСТ Р 50922-2006 - «Защита информации. Основные термины и определения»
«Модель угроз (безопасности информации) - физическое, математическое,
описательное представление свойств или характеристик угроз безопасности информации».
Модель угроз персональных данных (далее - Модель) представляет документ, тем или
иным способом описывающий возможные угрозы безопасности персональных данных.
Модель необходима для определения требований к системе зашиты.
Без модели угроз невозможно построить адекватную систему зашиты информации.
В систему зашиты включаются только те методы и средства зашиты информации,
которые нейтрализуют актуальные угрозы.
Модель может разрабатываться лицами, ответственными за защиту ПДн в организации.
Для разработки модели также могут привлекаться сторонние эксперты или организации.
При разработке модели угроз безопасности ПДн необходимо воспользоваться «Базовой
моделью угроз безопасности персональных данных при их обработке в
информационных системах персональных данных» и ««Методический документ.
Методика оценки угроз безопасности информации».

12.

Модель является локальным актом оператора, обрабатывающего ПДн и должна содержать:
систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн и вне
таковых:
единые исходные данные по угрозам безопасности ПДн, связанным:
- с перехватом (съемом) по техническим каналам с целью их копирования или неправомерного
распространения;
- с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения.
копирования, неправомерного распространения ПДн или деструктивных воздействий на
элементы ИСПДн и обрабатываемых в них ПДн с использованием вредоносных программ с
целью их уничтожения или блокирования.
Модель должна позволять решать следующие задачи:
• разработка частных моделей конкретных ИСПДн с учетом их назначения. условий и
особенностей функционирования и вне таких информационных систем:
анализ защищенности ИСПДн от угроз безопасности в ходе организации и выполнения работ по
обеспечению безопасности ПДн в данных системах и вне этих систем:
разработка системы зашиты ПДн, обеспечивающая нейтрализацию предполагаемых угроз с
использованием методов и способов защиты, предусмотренных для соответствующего класса
ИСПДн и вне их;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к
ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в результате которого может быть
нарушено их функционирование;
контроль (аудит) обеспечения уровня защищенности ПДн.

13.

Положение об обработке и защите ПДн в организации
Положение определяет:
- основные понятия, принципы, цели, задачи, условия и порядок работы с информацией,
содержащей ПДн, с использованием средств автоматизированной обработки и без этих
средств;
- категории субъектов ПДн;
- состав, организацию и способы обработки ПДн;
- соблюдение конфиденциальности, прав и обязанностей субъекта ПДн, а также
оператора, обрабатывающего ПДн;
- основные меры по обеспечению безопасности (организационные и технические) и
ответственность за нарушения в области защиты ПДн.
Положением регулируются отношения, связанные с обработкой и зашитой
персональных данных субъектов ПДн, в ходе услуг, работ и трудовых отношений.
Действие Положения не распространяется на отношения, возникающие:
при обработке ПДн физическими липами исключительно для личных и семейных
НУЖД, если при этом не нарушаются права субъектов ПДн;
при организации хранения, комплектования, учета и использования содержащих ПДн
документов Архивного фонда РФ и других архивных документов в соответствии с
законодательством об архивном деле в РФ;
при обработке ПДн, отнесенных в установленном порядке к сведениям. составляющим
государственную тайну.

14.

Положение об обработке и защите ПДн в организации
Положение дополняется рядом приложений:
перечень субъектов и перечень принадлежащих им ПДн. обрабатываемых в
организации:
список систем организации, в которых обрабатываются ПДн.
Перечень документов, регламентирующих вопросы обработки и защиты ПДн в
организации, действующих на момент утверждения Положения:
обязательство о соблюдении режима конфиденциальности ПДн и соблюдения правил
их обработки;
акт об уничтожении ПДн;
журнал учета обращений субъектов ПДн о выполнении их законных прав в области
защиты ПДн
журнал учета применяемых средств зашиты информации, эксплуатационной и
технической документации к ней;
перечень лиц. имеющих допуск в помещение, в котором обрабатываются ПДн;
журнал поэкземплярного учета средств криптографической защиты;
журнал учета пользователей криптосредств;
журнал учета и выдачи носителей с ключевой информацией;
технический журнал средств криптографической зашиты;
акт ввода средств криптографической защиты в эксплуатацию и др.

15.

Стратегия национальной безопасности РФ
Утверждена Указом Президента РФ от 02 июля 2021 года № 400
Национальная безопасность Российской Федерации – состояние
защищенности личности, общества и государства от внутренних и
внешних угроз, при котором обеспечиваются:
реализация конституционных прав и свобод граждан РФ;
достойные качество и уровень жизни граждан РФ;
суверенитет, независимость, государственная и территориальная
целостность РФ;
устойчивое социально-экономическое развитие РФ.
Национальная безопасность включает в себя оборону страны и все
виды
безопасности,
предусмотренные
Конституцией
РФ
и
законодательством РФ, прежде всего государственную, общественную,
информационную, экологическую, экономическую, транспортную,
энергетическую безопасность, безопасность личности.

16.

Стратегия национальной безопасности РФ
Утверждена Указом Президента РФ от 02 июля 2021 года № 400
угроза национальной безопасности - совокупность условий
и факторов, создающих прямую или косвенную возможность
нанесения ущерба национальным интересам;
обеспечение национальной безопасности - реализация
органами государственной власти и органами местного
самоуправления во взаимодействии с институтами гражданского
общества политических, военных, организационных, социальноэкономических, информационных, правовых и иных мер,
направленных на противодействие угрозам национальной
безопасности и удовлетворение национальных интересов;
система
обеспечения
национальной
безопасности-
совокупность осуществляющих реализацию государственной
политики в сфере обеспечения национальной безопасности
органов
государственной
власти
и
органов
местного
самоуправления и находящихся в их распоряжении инструментов.

17.

Стратегия национальной безопасности РФ
Утверждена Указом Президента РФ от 2 июля 2021 года № 400
Угрозы информационной безопасности Российской Федерации:
Быстрое развитие информационно-коммуникационных технологий сопровождается
повышением вероятности возникновения угроз безопасности граждан, общества и
государства.
Расширяется использование информационно-коммуникационных технологий для
вмешательства во внутренние дела государств, подрыва их суверенитета и нарушения
территориальной целостности, что представляет угрозу международному миру и
безопасности.
Увеличивается количество компьютерных атак на российские информационные
ресурсы. Большая часть таких атак осуществляется с территорий иностранных
государств. Инициативы Российской Федерации в области обеспечения
международной информационной безопасности встречают противодействие со
стороны иностранных государств, стремящихся доминировать в глобальном
информационном пространстве.
Использование в Российской Федерации иностранных информационных технологий и
телекоммуникационного
оборудования
повышает
уязвимость
российских
информационных ресурсов, включая объекты критической информационной
инфраструктуры (ОКИИ) Российской Федерации, к воздействию из-за рубежа.
17

18.

Стратегия национальной безопасности РФ
Утверждена Указом Президента РФ от 02 июля 2021 года № 400
Национальные интересы Российской Федерации на современном
этапе:
1) сбережение народа России, развитие человеческого потенциала, повышение качества
жизни и благосостояния граждан;
2) защита конституционного строя, суверенитета, независимости, государственной и
территориальной целостности Российской Федерации, укрепление обороны страны;
3) поддержание гражданского мира и согласия в стране, укрепление законности,
искоренение коррупции, защита граждан и всех форм собственности от
противоправных посягательств, развитие механизмов взаимодействия государства и
гражданского общества;
4) развитие безопасного информационного пространства, защита российского
общества от деструктивного информационно-психологического воздействия;
5) устойчивое развитие российской экономики на новой технологической основе;
6) охрана окружающей среды, сохранение природных ресурсов и рациональное
природопользование, адаптация к изменениям климата;
7) укрепление традиционных российских духовно-нравственных ценностей, сохранение
культурного и исторического наследия народа России;
8) поддержание стратегической стабильности, укрепление мира и безопасности,
правовых основ международных отношений.

19.

Стратегия национальной безопасности РФ
Утверждена Указом Президента РФ от 2 июля 2021 года № 400
Для достижения цели обеспечения информационной безопасности РФ
необходимо решить следующие задачи:
формирование безопасной среды оборота достоверной информации, повышение
защищенности информационной инфраструктуры Российской Федерации и
устойчивости ее функционирования;
развитие системы прогнозирования, выявления и предупреждения угроз
информационной безопасности Российской Федерации, определения их источников,
оперативной ликвидации последствий реализации таких угроз;
предотвращение деструктивного информационно-технического воздействия на
российские
информационные
ресурсы,
включая
объекты
критической
информационной инфраструктуры Российской Федерации;
создание условий для эффективного предупреждения, выявления и пресечения
преступлений и иных правонарушений, совершаемых с использованием
информационно-коммуникационных технологий;
повышение защищенности и устойчивости функционирования единой сети
электросвязи Российской Федерации, российского сегмента сети "Интернет", иных
значимых объектов информационно-коммуникационной инфраструктуры, а также
недопущение иностранного контроля за их функционированием.
19

20.

Доктрина информационной безопасности РФ
Утверждена указом Президента РФ от 5 декабря 2016 года №Пр.-646
Национальные интересы Российской Федерации в информационной сфереобъективно значимые потребности личности, общества и государства в обеспечении их
защищенности и устойчивого развития в части, касающейся информационной сферы.
Информационная безопасность Российской Федерации –
состояние защищенности личности, общества и государства от внутренних и внешних
информационных угроз, при котором обеспечиваются реализация конституционных
прав и свобод человека и гражданина, достойные качество и уровень жизни граждан,
суверенитет, территориальная целостность и устойчивое социально-экономическое
развитие Российской Федерации, оборона и безопасность государства.
Угроза информационной безопасности Российской Федерации –
совокупность действий и факторов, создающих опасность нанесения
национальным интересам в информационной сфере.
ущерба
Обеспечение информационной безопасности –
осуществление взаимоувязанных правовых, организационных, оперативно-разыскных,
разведывательных, контрразведывательных, научно-технических, информационноаналитических, кадровых, экономических и иных мер по прогнозированию,
обнаружению, сдерживанию, предотвращению, отражению информационных угроз и
ликвидации последствий их проявления.

21.

Доктрина информационной безопасности РФ
Утверждена указом Президента РФ от 5 декабря 2016 года №Пр.-646
Под информационной безопасностью РФ
понимается состояние защищенности ее национальных
интересов в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности,
общества и государства.
Информационная сфера – совокупность:
-информации;
-информационных технологий;
-информационной инфраструктуры:
-субъектов, осуществляющих формирование, обработку
распространение и использование информации, обеспечение
информационной безопасности;
-системы регулирования возникающих при этом
общественных отношений.

22.

Доктрина информационной безопасности РФ
Утверждена указом Президента РФ от 5 декабря 2016 года №Пр.-646
Информационная инфраструктура Российской Федерации:
- объекты информатизации;
- информационные системы;
- сети связи (ИТС);
- сайты в сети “Интернет”.
Реализация национальных интересов в информационной сфере направлена
на формирование безопасной среды оборота достоверной информации и
устойчивой к различным видам воздействия информационной
инфраструктуры в целях обеспечения конституционных прав и свобод
человека и гражданина, стабильного социально-экономического развития
страны, а также национальной безопасности Российской Федерации.

23.

Национальные интересы в информационной сфере
- обеспечение и защита конституционных прав и свобод человека и гражданина в части,
касающейся получения и использования информации, неприкосновенности частной жизни при
использовании информационных технологий, обеспечение информационной поддержки
демократических институтов, механизмов взаимодействия государства и гражданского общества,
а также применение информационных технологий в интересах сохранения культурных,
исторических и духовно-нравственных ценностей многонационального народа РФ;
- обеспечение устойчивого и бесперебойного функционирования информационной
инфраструктуры, в первую очередь критической информационной инфраструктуры РФ и
единой сети электросвязи РФ, в мирное время, в период непосредственной угрозы агрессии и в
военное время;
- развитие в РФ отрасли информационных технологий и электронной промышленности, а
также совершенствование деятельности производственных, научных и научно-технических
организаций по разработке, производству и эксплуатации средств обеспечения
информационной безопасности, оказанию услуг в области обеспечения информационной
безопасности;
- доведение до российской и международной общественности достоверной информации о
государственной политике РФ и ее официальной позиции по социально значимым событиям в
стране и мире, применение информационных технологий в целях обеспечения национальной
безопасности РФ в области культуры;
- содействие формированию системы международной информационной безопасности,
направленной на противодействие угрозам использования информационных технологий в целях
нарушения стратегической стабильности, на укрепление равноправного стратегического
партнерства в области информационной безопасности, а также на защиту суверенитета РФ в
информационном пространстве.

24.

Основные направления обеспечения информационной безопасности
- противодействие использованию информационных технологий для пропаганды экстремистской
идеологии, распространения ксенофобии, идей национальной исключительности в целях подрыва
суверенитета, политической и социальной стабильности, насильственного изменения
конституционного строя, нарушения территориальной целостности РФ;
- пресечение деятельности, наносящей ущерб национальной безопасности РФ, осуществляемой с
использованием технических средств и информационных технологий специальными службами и
организациями иностранных государств, а также отдельными лицами;
- повышение защищенности критической информационной инфраструктуры и
устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения
информационных угроз и ликвидации последствий их проявления, повышение
защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных
информационно-техническим воздействием на объекты критической информационной
инфраструктуры;
- повышение безопасности функционирования объектов информационной инфраструктуры,
в том числе в целях обеспечения устойчивого взаимодействия государственных органов,
недопущения иностранного контроля за функционированием таких объектов, обеспечение
целостности, устойчивости функционирования и безопасности единой сети электросвязи
РФ, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой
в информационных системах на территории РФ;
- повышение эффективности профилактики правонарушений, совершаемых с использованием
информационных технологий, и противодействия таким правонарушениям;
- обеспечение защиты информации, содержащей сведения, составляющие государственную
тайну, иной информации ограниченного доступа и распространения, в том числе за счет
повышения защищенности соответствующих информационных технологий.

25.

Доктрина информационной безопасности РФ
Утверждена указом Президента РФ от 5 декабря 2016 года №646
Основные элементы организационной основы системы
обеспечения информационной безопасности РФ:
- Президент Российской Федерации;
- Совет Федерации Федерального Собрания РФ;
- Государственная Дума Федерального Собрания РФ;
- Правительство Российской Федерации;
- Совет Безопасности Российской Федерации;
- федеральные органы исполнительной власти;
- межведомственные и государственные комиссии,
создаваемые Президентом РФ и Правительством РФ;
- органы исполнительной власти субъектов РФ;
- органы местного самоуправления;
- органы судебной власти;
- общественные объединения;
- граждане, принимающие в соответствии с законодательством
РФ участие в решении задач обеспечения ИБ РФ.

26.

СТРАТЕГИЯ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА В
РОССИЙСКОЙ ФЕДЕРАЦИИ НА 2017 - 2030 ГОДЫ
Утверждена указом Президента РФ от 9 мая 2017 года №203
определяет цели, задачи и меры по реализации
внутренней и внешней политики Российской
Федерации в сфере применения информационных и
коммуникационных технологий, направленные на
развитие
информационного
общества,
формирование национальной цифровой экономики,
обеспечение национальных интересов и реализацию
стратегических национальных приоритетов.

27.

Информация как объект правовых
отношений

28.

29.

Терминология в области ТЗИ
информация - сведения (сообщения, данные) независимо от
формы их представления
информационные технологии - процессы, методы поиска,
сбора, хранения, обработки, предоставления,
распространения информации и способы осуществления
таких процессов и методов
информационная система - совокупность содержащейся в
базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств
информационно-телекоммуникационная сеть технологическая система, предназначенная для передачи по
линиям связи информации, доступ к которой осуществляется
с использованием средств вычислительной техники

30.

Терминология в области ТЗИ
обладатель информации - лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора
право разрешать или ограничивать доступ к информации,
определяемой по каким-либо признакам
доступ к информации - возможность получения информации и ее
использования
конфиденциальность информации - обязательное для выполнения
лицом, получившим доступ к определенной информации,
требование не передавать такую информацию третьим лицам без
согласия ее обладателя
предоставление информации - действия, направленные на
получение информации определенным кругом лиц или передачу
информации определенному кругу лиц
распространение информации - действия, направленные на
получение информации неопределенным кругом лиц или передачу
информации неопределенному кругу лиц
электронное сообщение - информация, переданная или
полученная пользователем информационнотелекоммуникационной сети

31.

Терминология в области ТЗИ
документированная информация - зафиксированная на материальном
носителе путем документирования информация с реквизитами,
позволяющими определить такую информацию или в установленных
законодательством Российской Федерации случаях ее материальный
носитель
электронный документ - документированная информация,
представленная в электронной форме, то есть в виде, пригодном для
восприятия человеком с использованием электронных вычислительных
машин, а также для передачи по информационнотелекоммуникационным сетям или обработки в информационных
системах
оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной
системы, в том числе по обработке информации, содержащейся в ее
базах данных
сайт в сети "Интернет" - совокупность программ для электронных
вычислительных машин и иной информации, содержащейся в
информационной системе, доступ к которой обеспечивается
посредством информационно-телекоммуникационной сети "Интернет"
по доменным именам и (или) по сетевым адресам, позволяющим
идентифицировать сайты в сети "Интернет"

32.

Принципы правового регулирования отношений, возникающих в
сфере информации, информационных технологий и защиты
свобода поиска, получения, передачи, производства и распространения информации
любым законным способом;
установление ограничений доступа к информации только федеральными законами;
открытость информации о деятельности государственных органов и органов
местного самоуправления и свободный доступ к такой информации, кроме случаев,
установленных федеральными законами;
равноправие языков народов Российской Федерации при создании информационных
систем и их эксплуатации;
обеспечение безопасности Российской Федерации при создании информационных
систем, их эксплуатации и защите содержащейся в них информации;
достоверность информации и своевременность ее предоставления;
неприкосновенность частной жизни, недопустимость сбора, хранения,
использования и распространения информации о частной жизни лица без его
согласия;
недопустимость установления нормативными правовыми актами каких-либо
преимуществ применения одних информационных технологий перед другими, если
только обязательность применения определенных информационных технологий для
создания и эксплуатации государственных информационных систем не установлена
федеральными законами.

33.

Информация как объект правовых отношений
Информация в зависимости от категории доступа к ней
подразделяется на:
- общедоступную информацию;
- информация ограниченного доступа (информация, доступ к
которой ограничен федеральными законами).
Информация в зависимости от порядка ее предоставления
или распространения подразделяется на:
- информацию, свободно распространяемую;
- информацию, предоставляемую по соглашению лиц,
участвующих в соответствующих отношениях;
- информацию, которая в соответствии с федеральными
законами подлежит предоставлению или распространению;
- информацию, распространение которой в РФ
ограничивается или запрещается.

34.

Общедоступная информация
К общедоступной информации относятся общеизвестные сведения и иная
информация, доступ к которой не ограничен.
Общедоступная информация может использоваться любыми лицами по их
усмотрению при соблюдении установленных федеральными законами
ограничений в отношении распространения такой информации.
Не может быть ограничен доступ к:
- нормативным правовым актам, затрагивающим права, свободы и обязанности
человека и гражданина, а также устанавливающим правовое положение
организаций и полномочия государственных органов, органов местного
самоуправления;
- информации о состоянии окружающей среды;
- информации о деятельности государственных органов и органов местного
самоуправления, а также об использовании бюджетных средств (за исключением
сведений, составляющих государственную или служебную тайну);
- информации, накапливаемой в открытых фондах библиотек, музеев, а также в
государственных, муниципальных и иных информационных системах, созданных
или предназначенных для обеспечения граждан (физических лиц) и организаций
такой информацией;
- иной информации, недопустимость ограничения доступа к которой установлена
федеральными законами.

35.

Ограничение доступа к информации
Ограничение доступа к информации устанавливается федеральными законами в целях
защиты основ конституционного строя, нравственности, здоровья, прав и законных
интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой
ограничен федеральными законами.
Защита информации, составляющей государственную тайну, осуществляется
соответствии с законодательством Российской Федерации о государственной тайне.
в
Федеральными законами устанавливаются условия отнесения информации к сведениям,
составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность
соблюдения конфиденциальности такой информации, а также ответственность за ее
разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими
профессиональных обязанностей или организациями при осуществлении ими
определенных видов деятельности (профессиональная тайна), подлежит защите в
случаях, если на эти лица федеральными законами возложены обязанности по
соблюдению конфиденциальности такой информации.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается
федеральным законом о персональных данных.
Запрещается требовать от гражданина (физического лица) предоставления информации
о его частной жизни, в том числе информации, составляющей личную или семейную
тайну, и получать такую информацию помимо воли гражданина (физического лица), если
иное не предусмотрено федеральными законами.

36.

Обладатель информации имеет право:
- разрешать или ограничивать доступ к информации, определять
порядок и условия такого доступа;
- использовать информацию, в том числе распространять ее, по своему
усмотрению;
- передавать информацию другим лицам по договору или на ином
установленном законом основании;
- защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного использования
иными лицами.
Обладатель информации при осуществлении своих прав обязан:
- соблюдать права и законные интересы иных лиц;
- принимать меры по защите информации;
- ограничивать доступ к информации, если такая обязанность
установлена федеральными законами.

37.

Информационные системы включают в себя:
1.Государственные
информационные
системыфедеральные
информационные
системы
и
региональные информационные системы, созданные
на основании соответственно федеральных законов,
законов субъектов Российской Федерации, на
основании правовых актов государственных органов;
2.Муниципальные
информационные
системы,
созданные на основании решения органа местного
самоуправления;
3.Иные информационные системы.

38.

Государственные информационные
системы
Технические
средства,
обработки
информации,
предназначенные
для
содержащейся
в
государственных информационных системах, в том
числе программно-технические средства и средства
защиты
информации,
должны
соответствовать
требованиям законодательства Российской Федерации
о техническом регулировании.

39.

Государственные информационные
системы
Информация, содержащаяся в государственных информационных
системах, а также иные имеющиеся в распоряжении государственных
органов
сведения
и
документы
являются
государственными
информационными ресурсами.
Информация, содержащаяся в государственных информационных
системах, является официальной.
Государственные органы, определенные в соответствии с нормативным
правовым актом, регламентирующим функционирование государственной
информационной системы, обязаны обеспечить:
достоверность и актуальность информации, содержащейся в данной
информационной системе;
доступ к указанной информации в случаях и в порядке, предусмотренных
законодательством:
защиту указанной информации от неправомерных доступа, уничтожения,
модифицирования,
блокирования,
копирования,
предоставления,
распространения и иных неправомерных действий.

40.

Информационно-телекоммуникационные сети
На
территории
Российской
Федерации
использование
информационно-телекоммуникационных сетей осуществляется с
соблюдением
требований
законодательства
Российской
Федерации в области связи и иных нормативных правовых актов
Российской Федерации.
Передача
информации
посредством
использования
информационно-телекоммуникационных сетей осуществляется
без ограничений при условии соблюдения установленных
федеральными законами требований к распространению
информации и охране объектов интеллектуальной собственности.
Передача информации может быть ограничена только в порядке
и на условиях, которые установлены федеральными законами.
Особенности подключения государственных информационных
систем к информационно-телекоммуникационным сетям могут
быть установлены нормативным правовым актом Президента
Российской Федерации или нормативным правовым актом
Правительства Российской Федерации.

41.

Защита информации
Защита информации представляет собой принятие правовых,
организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного
доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от
иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации
ограниченного доступа;
3) реализацию права на доступ к информации.
Государственное регулирование отношений в сфере защиты
информации осуществляется путем установления требований
о защите информации, а также ответственности за
нарушение законодательства Российской Федерации об
информации, информационных технологиях и о защите
информации.

42.

Защита информации
Требования о защите информации, содержащейся в
государственных
информационных
системах,
устанавливаются:
- федеральным органом исполнительной власти в области
обеспечения безопасности (ФСБ России);
- федеральным
органом
исполнительной
власти,
уполномоченным
в
области
противодействия
техническим
разведкам
и
технической
защиты
информации, обеспечения безопасности критической
информационной
инфраструктуры
Российской
Федерации (ФСТЭК России),
в пределах их полномочий.
При создании и эксплуатации государственных
информационных систем используемые в целях защиты
информации методы и способы ее защиты должны
соответствовать указанным требованиям.

43.

Защита информации
Обладатель информации, оператор информационной системы в
случаях,
установленных
законодательством
РФ,
обязаны
обеспечить:
1)предотвращение
несанкционированного
доступа
к
информации и (или) передачи ее лицам, не имеющим права на
доступ к информации;
2)своевременное обнаружение фактов несанкционированного
доступа к информации;
3)предупреждение возможности неблагоприятных последствий
нарушения порядка доступа к информации;
4)недопущение воздействия на технические средства обработки
информации,
в
результате
которого
нарушается
их
функционирование;
5)возможность
незамедлительного
восстановления
информации, модифицированной или уничтоженной вследствие
несанкционированного доступа к ней;
6)постоянный контроль за обеспечением уровня защищенности
информации.

44.

Ответственность за правонарушения в сфере информации,
информационных технологий и защиты информации
Нарушение
требований
по
защите
информации
и
информационных технологий влечет за собой дисциплинарную,
гражданско-правовую,
административную
или
уголовную
ответственность в соответствии с законодательством РФ.
Лица, права и законные интересы которых были нарушены в
связи с разглашением информации ограниченного доступа или
иным неправомерным использованием такой информации, вправе
обратиться в установленном порядке за судебной защитой своих
прав, в том числе с исками о возмещении убытков, компенсации
морального вреда, защите чести, достоинства и деловой
репутации.
Требование о возмещении убытков не может быть
удовлетворено в случае предъявления его лицом, не
принимавшим
мер
по
соблюдению
конфиденциальности
информации или нарушившим установленные законодательством
РФ требования о защите информации, если принятие этих мер и
соблюдение таких требований являлись обязанностями данного
лица.

English Русский Rules