Введение в правовое регулирование ИБ
Цель и задачи
Иерархия нормативных актов
ФЗ №149 «Об информации
ФЗ №152 «О персональных данных»
Изменения в ФЗ-152 (2023-2024)
ФЗ №187 «О безопасности КИИ РФ»
Безопасность КИИ
Государственные регуляторы ИБ
Указ Президента РФ №250: Новые реалии ИБ
Ответственность за нарушения в сфере ИБ
Стандарты и техническая защита (ГОСТ)
ГосСОПКА: Единая сеть отражения кибератак
Защита данных в финансовом секторе
Криптографическая защита и ФЗ-63 «Об ЭП»
Законодательство в эпоху ИИ и Больших данных
Правовое регулирование облачных сервисов
Ответственность за нарушения (КоАП и УК РФ)
Подведение итогов
3.59M
Category: lawlaw

Алехин_ Барсуков_ Курганов 207

1.

Информатика и информационные технологии
в профессиональной деятельности
Законодательный уровень информационной безопасности
Выполнили курсанты 207 взвода
Алехин Владимир Андреевич
Курганов Арсений Станиславович
Барсуков Артем Александрович
Преподаватель
Тарас Ольга Борисовна

2. Введение в правовое регулирование ИБ

Актуальность
темы
Содержание
•Рост киберугроз и цифровизация
госуправления требуют жестких
правовых рамок.
Цели и задачи
Основная часть
остановка
проблемы
•Несоответствие темпов развития
технологий и законодательной базы.
•Правовой вакуум в новых
сферах: Отсутствие четких
регламентов по использованию
искусственного интеллекта и
нейросетей в контуре безопасности.
Новизна
исследования
•Анализ последних изменений в ФЗ «О
персональных данных» и требований к
КИИ (2024–2025 гг.).
•Системный подход к
ответственности: Рассмотрение
законопроектов об оборотных
штрафах за утечки данных как нового
рычага воздействия на бизнес.
• ФЗ №149 «Об информации»
• ФЗ №152 «О персональных данных»
• ФЗ №187 «О безопасности КИИ РФ»
• Государственные регуляторы ИБ
• Указ Президента РФ №250: Новые реалии
ИБ
• Стандарты и техническая защита (ГОСТ)
• Законодательство в эпоху ИИ
• Ответственность за нарушения
Подведение итогов

3. Цель и задачи

Задачи
Классифицировать нормативно-правовые акты (НПА)
Разграничить зоны ответственности регуляторов (ФСТЭК, ФСБ).
Оценить влияние международных норм на национальное право.

4. Иерархия нормативных актов

Конституция РФ
Федеральные законы
постановления Правительства
указы Президента

5. ФЗ №149 «Об информации

Название диаграммы
6
5
5
5
5
4
4
4
3
2
2
1
2
1
0
0
Общедоступная
Ограниченная
Запрещенная

6. ФЗ №152 «О персональных данных»

Ключевая цель: Обеспечение защиты прав человека при обработке его данных.
Три категории данных:
• Общие (ФИО, адрес, телефон).
• Специальные (здоровье, взгляды).
• Биометрия (лицо, отпечатки).
Обязанности оператора (кратко):
• Получение согласия на обработку.
• Обеспечение конфиденциальности.
• Уведомление об утечках (в течение 24 часов).
Меры защиты:
• Назначение ответственного лица.
• Использование сертифицированного ПО.
• Хранение данных на серверах внутри РФ.

7. Изменения в ФЗ-152 (2023-2024)

Область
Что изменилось
Сроки / Требования
Последствия
Утечки данных
Обязанность
сообщать об
инцидентах
24 часа —
первичный
отчет, 72 часа —
итоги
Усиление контроля
ГосСОПКА
Передача за рубеж
Введен
разрешительный
порядок
Уведомление
РКН до
начала передачи
Запрет передачи в
«недружественные
» страны
Согласие на ПДн
Требование
предметности и
ясности
Согласие не может
быть «скрытым»
Штрафы за
некорректные
формы
Удаление данных
Строгий порядок
подтверждения
Необходим акт и
выгрузка из логов
Риск штрафа при
отсутствии актов

8. ФЗ №187 «О безопасности КИИ РФ»

ИТОГИ
Транспорт и
оборона
Здравоохранение
и связь
Основные требования закона:
ТЭК и
Категорирование: Каждый владелец обязан
промышленность
определить значимость своих систем (1, 2 или 3
категория).
ГосСОПКА: Обязательная передача данных обо всех
атаках в государственную систему обнаружения и
предотвращения атак.
Финансовый
сектор и банки
Импортозамещение: Запрет на использование
иностранного ПО на значимых объектах КИИ с 2025
года.

9. Безопасность КИИ

Субъекты КИИ
Государственные органы и оборонные предприятия.
Компании сфер ТЭК, транспорта, связи и финансов.
Объекты КИИ
Информационные системы и сети связи.
Автоматизированные системы управления (АСУ ТП).
Категорирование
Присвоение объекту 1, 2 или 3 категории.
Зависит от масштаба последствий при сбое.

10. Государственные регуляторы ИБ

Основные ведомства и их функции:
ФСТЭК России
ФСБ России
Роскомнадзор
•Контроль технической защиты информации (некриптографической).
•Лицензирование деятельности по защите конфиденциальных
данных.
•Регулирование криптографии и электронной подписи.
•Защита государственной тайны и работа системы ГосСОПКА.
•Надзор за соблюдением законодательства о персональных данных.
•Ведение реестра операторов и контроль трансграничной передачи

11. Указ Президента РФ №250: Новые реалии ИБ

Ключевые требования к организациям:
Персональная ответственность
• За безопасность данных теперь отвечает лично руководитель организации (заместитель
руководителя).
Создание подразделений ИБ
• В штате должно быть выделенное подразделение или назначен ответственный сотрудник.
Полный запрет на иностранное ПО
• С 1 января 2025 года запрещено использовать средства защиты информации из
«недружественных» стран.
Допуск к мониторингу
• Обязательное предоставление доступа органам ФСБ к ресурсам для мониторинга угроз.

12. Ответственность за нарушения в сфере ИБ

Три грани правового регулирования:
Административная (КоАП РФ)
•Штрафы за нарушение правил защиты информации (ст. 13.12).
•Наказания за несоблюдение закона о персональных данных (ст. 13.11).
•Для юрлиц штрафы достигают нескольких миллионов рублей.
Уголовная (УК РФ)
•Неправомерный доступ к компьютерной информации (ст. 272).
•Создание и распространение вирусов (ст. 273).
•Нарушение правил эксплуатации систем КИИ (ст. 274.1 — до 10 лет лишения свободы).
Гражданско-правовая и дисциплинарная
•Возмещение морального и материального вреда пострадавшим лицам.
•Дисциплинарные взыскания (выговор, увольнение) согласно Трудовому кодексу РФ.

13. Стандарты и техническая защита (ГОСТ)

Реализация законодательных норм на практике:
Национальные
стандарты (ГОСТ Р)
•ГОСТ Р 50922 — определяет основные термины и классификацию
защиты информации.
•ГОСТ Р ИСО/МЭК 27001 — международный стандарт систем
менеджмента ИБ.
Сертификация
средств защиты
(СЗИ)
•Использование только сертифицированного ПО и оборудования (от
ФСТЭК и ФСБ) в госсекторе и КИИ.
•Контроль отсутствия «закладок» и недокументированных
возможностей.
Аттестация объектов
информатизации
•Проверка соответствия рабочих мест и серверов требованиям
регуляторов.
•Получение аттестата соответствия как юридическое подтверждение
безопасности.

14. ГосСОПКА: Единая сеть отражения кибератак

Взаимодействие и обмен информацией:
Назначение
системы
Обнаружение, предупреждение и ликвидация последствий компьютерных атак на ресурсы РФ.
Механизм
работы
Субъекты КИИ обязаны передавать информацию об атаках в НКЦКИ (Национальный
координационный центр по компьютерным инцидентам).
Глобальный
контекст
Координация действий по защите магистральных каналов связи.
Централизованный сбор данных об инцидентах со всей страны.
Обмен данными происходит в режиме реального времени.
Противодействие трансграничной киберпреступности.

15. Защита данных в финансовом секторе

Специальное регулирование:
Банковская тайна и
стандарты ЦБ
•Положения 719-П и 757-П: жесткие требования к безопасности
платежей и транзакций.
•Обязательный аудит ИБ для всех кредитных организаций.
Единая
биометрическая
система (ЕБС)
•ФЗ №572: сбор и хранение биометрии разрешены только в
государственной системе.
•Право гражданина на отказ от сбора биометрических данных в
любой момент.
Противодействие
мошенничеству
(Антифрод)
•Законодательная обязанность банков блокировать подозрительные
переводы на 2 дня.
•Механизмы защиты граждан от социальной инженерии и кражи
цифровой личности.

16. Криптографическая защита и ФЗ-63 «Об ЭП»

Правовые основы использования шифрования:
Юридическая
значимость (ФЗ63)
• Электронная подпись (ЭП) признается равнозначной
собственноручной подписи на бумаге.
• Виды подписей: простая, усиленная неквалифицированная и
квалифицированная (УКЭП).
Лицензирование и
контроль ФСБ
• Разработка и распространение средств криптографической
защиты информации (СКЗИ) требует лицензии ФСБ.
• Обязательное использование сертифицированных
алгоритмов шифрования (ГОСТ) в госсекторе.
Доверенные
удостоверяющие
центры (УЦ)
• Выдача КЭП осуществляется только аккредитованными
центрами (ФНС, Казначейство).
• Защита ключей подписи от компрометации и кражи.

17. Законодательство в эпоху ИИ и Больших данных

Перспективные направления регулирования:
Кодекс этики в
сфере ИИ
•Добровольное соблюдение принципов человекоцентричности и
безопасности.
•Прозрачность алгоритмов: человек должен понимать, почему ИИ
принял то или иное решение.
Работа с Большими
данными (Big Data)
•Законопроекты об обезличивании данных: как использовать
массивы информации, не нарушая приватность.
•Правовой статус «синтетических данных», созданных
нейросетями.
Ответственность за
действия ИИ
•Разграничение ответственности между разработчиком
алгоритма и пользователем.
•Защита от «дипфейков» и использования ИИ для кибератак на
законодательном уровне.

18. Правовое регулирование облачных сервисов

Защита данных в распределенных сетях:
Локализация
данных на
территории РФ
• ФЗ-242: Первичное хранение и обработка персональных
данных граждан РФ должны осуществляться на серверах
внутри страны.
• Требования к физической безопасности дата-центров (ЦОД).
Безопасность
удаленного
доступа
• Регламентация использования VPN и средств двухфакторной
аутентификации.
• Правовые требования к защите «домашнего офиса»
сотрудников при доступе к корпоративным системам.
Облачные СЗИ
(SECaaS)
• Требования к провайдерам облачных услуг по аттестации их
инфраструктуры (ФСТЭК).
• Разграничение ответственности между владельцем данных и
владельцем облака в договоре (SLA).

19. Ответственность за нарушения (КоАП и УК РФ)

Вид нарушения
Статья закона
Санкции для
физлиц
Санкции для
юрлиц
Утечка
персональных
данных
13.11 КоАП
до 50 000 руб.
до 18 млн руб.
(проект)
Нарушение
правил защиты
КИИ
13.12.1 КоАП
до 50 000 руб.
до 500 000 руб.
Работа без
лицензии
ФСТЭК/ФСБ
13.13 КоАП
до 2 500 руб.
до 30 000 руб. +
конфискация
Неправомерный
доступ к данным
272 УК РФ
до 2 лет лишения
свободы
Штрафы и
ликвидация
Атака на системы
КИИ
274.1 УК РФ
до 10
лет лишения
свободы
-

20. Подведение итогов

Итоговый тезис:
Законодательный
фундамент: Правовой
уровень является
базисом, без которого
техническая защита
информации теряет свою
юридическую силу.
Динамичность
права: Законодательство
в сфере ИБ (особенно
ФЗ-152 и ФЗ-187)
постоянно ужесточается,
требуя от организаций
мгновенной адаптации.
Курс на
суверенитет: Главным
трендом ближайших лет
остается переход на
отечественные СЗИ и
обеспечение полной
независимости
критической
инфраструктуры (Указ
№250).
Персональная
ответственность: ИБ
перестает быть делом
только ИТ-специалистов,
становясь зоной прямой
ответственности
руководства.
Соблюдение законов в области
информационной безопасности —
это не формальность, а
необходимое условие выживания
и стабильности государства и
бизнеса в цифровом мире.
English     Русский Rules