Законодательство РФ в области информационной безопасности

1.

Законодательство РФ в
области информационной
безопасности
5 главных законов: 149-ФЗ, 152-ФЗ, 98ФЗ, 63-ФЗ, 187-ФЗ
1/
34

2.

Данные, сведения,
информация, знания, опыт
Данные
Сведения
Информация
Знания
Опыт
Решение
2/
34

3.

Законы
• написано, как правильно работать с
данными: кто отвечает за их
сохранность, как их собирать,
обрабатывать, хранить и
распространять.
3/
34

4.

149-ФЗ Об информации,
информационных
технологиях и о защите
информации
1. Главный закон о данных в РФ.
2. Установил ключевые термины.
4/
34

5.

Термины
• Информация – любые данные,
сведения и сообщения,
представляемые в любой форме.
• Другие термины : сайт, электронное
сообщение, поисковая система.
• При составлении документов по
информационной безопасности нужно
ссылаться на этот закон и эти
определения.
5/
34

6.

Применение терминов
1. Конфиденциальные данные.
2. Общедоступные данные.
3. Когда и как можно ограничивать доступ
к данным.
4. Как происходит обмен данными.
5. Основные требования к защите
данных и ответственность за
нарушения при работе с ними.
6/
34

7.

Ключевые положения
закона (1/4)
1. Нельзя собирать и распространять
данные о жизни человека без его
согласия.
2. Все информационные технологии
равнозначны; нельзя обязать
компанию использовать какие-то
конкретные технологии для создания
информационной системы.
7/
34

8.

Ключевые положения
закона (2/4)
3. Есть данные, к которым нельзя
ограничивать доступ, например
сведения о состоянии окружающей
среды.
4. Некоторые данные запрещено
распространять, например, которая
пропагандирует насилие или
нетерпимость.
8/
34

9.

Ключевые положения
закона (3/4)
5. Тот, кто хранит данные, обязан их
защищать, предотвращая доступ к
ним третьих лиц.
6. У государства есть реестр
запрещённых сайтов. Роскомнадзор
может вносить туда сайты, на которых
хранятся данные, запрещённые к
распространению на территории РФ.
9/
34

10.

Ключевые положения
закона (4/4)
7. Владелец заблокированного сайта
может удалить незаконные данные и
сообщить об этом в Роскомнадзор.
Тогда его сайт разблокируют.
10 /
34

11.

152-ФЗ О персональных
данных
• Регулирует работу с персональными
данными: личными данными
конкретных людей.
• Для тех, кто собирает и хранит эти
данные (например, компании, которые
ведут базу клиентов или сотрудников).
11 /
34

12.

Ключевые положения
закона (1/3)
1. Перед сбором и обработкой
персональных данных нужно
спрашивать согласие их владельца.
2. Для защиты данных закон обязывает
собирать персональные данные только
с конкретной целью.
12 /
34

13.

Ключевые положения
закона (2/3)
3. Если кто-то собирает персональные
данные, то обязан держать их в
секрете и защищать от посторонних.
4. Если владелец персональных данных
потребует их удалить, держатель ПД
обязан это сделать сразу.
13 /
34

14.

Ключевые положения
закона (3/3)
5. Если кто-то использует персональные
данные, то обязан хранить и
обрабатывать их в базах на
территории Российской Федерации.
6. Данные можно передавать за
границу при соблюдении
определённых условий закона.
Запрета на трансграничную передачу
данных нет.
14 /
34

15.

98-ФЗ О коммерческой
тайне
• Определяет,
– что такое коммерческая тайна,
– как её охранять,
– что будет, если передать её посторонним.
• Коммерческая тайна – данные,
которые помогают компании увеличить
доходы, избежать расходов или
получить любую коммерческую
выгоду.
15 /
34

16.

Ключевые положения
закона (1/3)
1. Обладатель данных сам решает,
является они коммерческой тайной или
нет. Для этого он составляет документ
— перечень данных, составляющих
коммерческую тайну.
2. Некоторые сведения нельзя
причислять к коммерческой тайне,
например, данные об учредителе
фирмы или численности работников.
16 /
34

17.

Ключевые положения
закона (2/3)
3. Государство может затребовать у
компании коммерческую тайну по
веской причине, например, если есть
подозрение, что компания нарушает
закон. Компания обязана предоставить
эти данные.
4. Компания обязана защищать свою
коммерческую тайну и вести учёт лиц,
которым доступны эти данные.
17 /
34

18.

Ключевые положения
закона (3/3)
5. За разглашение коммерческой тайны,
сотрудника можно уволить, назначить
штраф или привлечь к уголовной
ответственности.
18 /
34

19.

63-ФЗ Об электронной
подписи
• Определяет,
– что такое электронная подпись,
– какую юридическую силу она имеет,
– в каких сферах её можно использовать.
• Электронная подпись – цифровой
аналог физической подписи, который
помогает подтвердить подлинность
сообщения и избежать его искажения и
подделки.
19 /
34

20.

Ключевые положения
закона (1/3)
1. Для создания электронной подписи
можно использовать любые
программы и технические средства,
которые обеспечивают её надёжность.
2. Ни кто не обязан использовать для
этого какую-то конкретную
государственную программу.
20 /
34

21.

Ключевые положения
закона (1/3)
1. Подписи бывают:
– простые,
– усиленные неквалифицированные,
– усиленные квалифицированные.
21 /
34

22.

Ключевые положения
закона (2/3)
1. У них разные особенности, разные
сферы применения и разная
юридическая значимость.
2. Самая надёжная – усиленная
квалифицированная подпись, она
полностью аналогична физической
подписи на документе.
22 /
34

23.

Ключевые положения
закона (3/3)
3. Те, кто работает с
квалифицированной подписью,
обязаны держать в тайне ключ
подписи.
4. Выдавать электронные подписи и
сертификаты, подтверждающие их
действительность, может только
специальный удостоверяющий
центр.
23 /
34

24.

187-ФЗ О безопасности
критической
информационной
инфраструктуры РФ
• Для компаний, которые работают в
сферах, критически важных для
государства (сбой в их работе отразится
на здоровье, безопасности и комфорте
граждан России).
24 /
34

25.

Сферы действия закона
• здравоохранение, наука, транспорт, связь,
энергетика, банки, топливная
промышленность, атомная энергетика,
оборонная промышленность, ракетнокосмическая промышленность,
горнодобывающая промышленность,
металлургическая промышленность и
химическая промышленность.
• Компании, которые обеспечивают работу
предприятий из этих сфер, например,
предоставляют оборудование в аренду или
разрабатывают для них программы.
25 / 34

26.

• Если на предприятии из этой сферы
будет простой, это негативно отразится
на жизни всего государства.
• К ИТ-инфраструктуре и безопасности
информационных систем на этих
предприятиях предъявляют особые
требования.
26 /
34

27.

Ключевые положения
закона (1/7)
1. Для защиты критической
инфраструктуры существует
Государственная система
обнаружения, предупреждения и
ликвидации последствий
компьютерных атак (ГосСОПКА).
27 /
34

28.

Ключевые положения
закона (2/7)
2. Объекты критически важной
инфраструктуры обязаны
подключиться к ГосСОПКА. Для этого
нужно купить и установить
специальные программы, которые
будут следить за безопасностью
инфраструктуры компании.
28 /
34

29.

Ключевые положения
закона (3/7)
3. Одна из мер предупреждения –
проверка и сертификация
оборудования, программ и всей
инфраструктуры, которая
используется на критически важных
предприятиях.
29 /
34

30.

Ключевые положения
закона (4/7)
4. Субъекты критической
информационной инфраструктуры
обязаны сообщать об инцидентах в
своих информационных системах и
выполнять требования ответственных
государственных служащих. Например,
использовать только
сертифицированные программы.
30 /
34

31.

Ключевые положения
закона (5/7)
5. Все ИТ-системы критически важных
предприятий должны быть защищены
от неправомерного доступа и
непрерывно взаимодействовать с
ГосСОПКА.
31 /
34

32.

Ключевые положения
закона (6/7)
6. При разработке ИТ-инфраструктуры
критически важные предприятия
должны руководствоваться приказом
239 ФСТЭК (основные требования к
защите данных на таких
предприятиях).
32 /
34

33.

Ключевые положения
закона (7/7)
7. Государство имеет право проверять
объекты критически важной
инфраструктуры, в том числе
внепланово, например, после
компьютерных инцидентов (взлома или
потери данных).
33 /
34

34.

Спасибо за внимание
С удовольствием отвечу на вопросы
© Сергей Вячеславович Калитин, 2024
34 /
34