ывывывфцвуыф (1)

1. Организационная структура системы защиты информации: законодательство и стандарты

ОРГАНИЗАЦИОННАЯ
СТРУКТУРА СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ:
ЗАКОНОДАТЕЛЬСТВО И
СТАНДАРТЫ
КРАТКИЙ ОБЗОР: КАК ВЫСТРОИТЬ ОРГАНИЗАЦИЮ ЗАЩИТЫ
ИНФОРМАЦИИ, КАКИЕ ЗАКОНЫ И СТАНДАРТЫ ЗАДАЮТ
ТРЕБОВАНИЯ И КАК ОНИ ВЗАИМОСВЯЗАНЫ. ПРОФЕССИОНАЛЬНЫЙ
ПОДХОД К СТРУКТУРЕ, РОЛЯМ И СООТВЕТСТВИЮ НОРМАТИВАМ.

2. Понятие и цели системы защиты информации (СЗИ)

ПОНЯТИЕ И ЦЕЛИ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ)
• СЗИ – это совокупность органов и/или исполнителей,
используемой техники защиты информации, а также
объектов защиты, организованных и функционирующих по
правилам, установленным правовыми, организационнораспорядительными и нормативными документами в
области защиты информации.
• Ключевые цели:
• Обеспечение конфиденциальности информации.
• Обеспечение целостности информации.
• Обеспечение доступности информации.
• Соблюдение требований законодательства.
• Минимизация ущерба от инцидентов информационной
безопасности

3. Компоненты организационной структуры СЗИ

КОМПОНЕНТЫ ОРГАНИЗАЦИОННОЙ
СТРУКТУРЫ СЗИ
• Ключевые
подразделения
• Служба
информационной
безопасности (СИБ)
• Отдел ИТ и сетевой
безопасности
• Юридическая служба и
комплаенс
• Отдел кадров и
обучения
• Взаимодействие и роли
• Руководитель по
информационной
безопасности — стратег
• Ответственные за
обработку данных —
исполнители
• Технические
специалисты —
реализация мер
• Внешние органы —
аудит и контроль

4. Взаимодействие с государственными органами

ВЗАИМОДЕЙСТВИЕ С
ГОСУДАРСТВЕННЫМИ ОРГАНАМИ
Сотрудничество с регуляторами — обязательная часть
организационной структуры. Регуляторы обеспечивают
контроль, методические указания и сертификацию.
• ФСТЭК России
• Контроль
требований к
защите
государственн
ой и иной
регулируемой
информации,
методики и
приказы.
• Роскомнадзор
• Надзор за
обработкой
персональных
данных и
соблюдением
требований в
цифровой
среде
• МВД и
правоохранит
ельные
органы
• Расследовани
е инцидентов,
уголовная
ответственност
ь за
киберпреступ
ления.

5. Обзор ключевых законодательных актов РФ

ОБЗОР КЛЮЧЕВЫХ
ЗАКОНОДАТЕЛЬНЫХ АКТОВ РФ
Краткий перечень норм, которые обязаны учитывать организации
при построении СЗИ.
• 149-ФЗ «Об информации»
• Регулирует распространение, хранение и защиту
информации, устанавливает категории данных.
• Федеральный закон о персональных данных
• Требования к сбору, обработке и хранению персональных
данных; согласия и права субъектов.
• Уголовный кодекс РФ
• Статьи по несанкционированному доступу, созданию и
распространению вредоносного ПО.

6. Федеральный закон №149‑ФЗ: ключевые положения

ФЕДЕРАЛЬНЫЙ ЗАКОН №149-ФЗ:
КЛЮЧЕВЫЕ ПОЛОЖЕНИЯ
• Категории информации
• Общедоступная, ограниченного доступа,
персональные данные — классификация определяет
меры защиты.
• Обязанности владельцев и операторов
• Организация контроля доступа, ведение реестров,
обеспечение целостности и доступности.
• Ответственность
• Административная и уголовная ответственность при
нарушениях, требования к уведомлению о
нарушениях.

7. Приказ ФСТЭК №17 (2013, ред. 2024): практическая сторона

ПРИКАЗ ФСТЭК №17 (2013, РЕД. 2024):
ПРАКТИЧЕСКАЯ СТОРОНА
• Приказ определяет технические и
организационные меры защиты для
государственных информационных систем,
включая:
• Требования к системе разграничения доступа
• Методы мониторинга и обнаружения инцидентов
• Требования к защищённым каналам связи и
криптографии
• Процедуры сертификации и оценки
соответствия

8. Российские стандарты: примеры и значение

РОССИЙСКИЕ СТАНДАРТЫ:
ПРИМЕРЫ И ЗНАЧЕНИЕ
• ГОСТ Р 50922-2006
• Терминология и основные понятия в области защиты
информации — база для согласованной
коммуникации внутри организаций.
• ГОСТ Р ИСО/МЭК 15408
• Критерии оценки безопасности ИТ-продуктов
(Common Criteria) — основа для сертификации
решений.
• ГОСТ Р 51583-2014
• Порядок создания автоматизированных систем в
защищённом исполнении — требования к
аппаратно-программным комплексам.

9. Ответственность за нарушение требований

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
ТРЕБОВАНИЙ
• Кодекс РФ об административных правонарушениях:
• Ст. 13.11 – Нарушение законодательства в области
ПДн (штрафы до 500 тыс. руб. для юр. лиц).
• Ст. 13.12 – Нарушение правил защиты информации.
• Ст. 13.14 – Разглашение информации с
ограниченным доступом.
• Уголовный Кодекс РФ: Ст. 272 – Неправомерный
доступ к компьютерной информации.
• Ст. 273 – Создание, использование и
распространение вредоносных программ.
• Ст. 274 – Нарушение правил эксплуатации средств
хранения, обработки или передачи компьютерной
информации.

10. Международные стандарты. ISO/IEC 27000

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ.
ISO/IEC 27000
• ISO/IEC 27001 "Information security management
systems — Requirements" – основной стандарт для
построения СМИБ. Задает требования к системе
менеджмента.
• ISO/IEC 27002 "Information security, cybersecurity and
privacy protection — Information security controls" –
кодекс практик, подробное описание
организационных и технических мер защиты.
• ISO/IEC 27005 "Information security risk management" –
стандарт по управлению рисками ИБ.
• ISO/IEC 27037 "Guidelines for identification, collection,
acquisition and preservation of digital evidence" –
руководство по работе с цифровыми уликами.

11. Международные стандарты. Отраслевые и специализированные

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ.
ОТРАСЛЕВЫЕ И СПЕЦИАЛИЗИРОВАННЫЕ
• NIST Cybersecurity Framework (CSF) (США) –
Добровольный фреймворк для управления
киберрисками, широко используется по всему
миру.
• PCI DSS – Стандарт безопасности данных
индустрии платежных карт. Обязателен для всех
участников платежных систем.
• COBIT (ISACA) – Фреймворк для управления и
контроля над ИТ, включающий компоненты
безопасности информации.

12. Сопоставление российских и международных требований

СОПОСТАВЛЕНИЕ РОССИЙСКИХ И
МЕЖДУНАРОДНЫХ ТРЕБОВАНИЙ
• Адаптация
• ГОСТы часто представляют собой адаптации
ISO/IEC, позволяющие сохранить совместимость
и локальную применимость.
• Совместимость
• Совместимые требования упрощают
международную валидацию и экспорт ИТ-услуг.
• Практическая интеграция
• Организации комбинируют методики: локальные
регламенты + международные лучшие практики.

13. Политика информационной безопасности

ПОЛИТИКА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
• Политика ИБ – это формализованный документ,
утверждаемый руководством, который определяет
цели, принципы и общие подходы организации к
защите информации.
• Структура пакета документов:
• Концепция ИБ (стратегический уровень).
• Политика ИБ (тактический уровень).
• Регламенты, процедуры, инструкции (операционный
уровень).
• Примеры документов: Положение о разграничении
доступа, Регламент резервного копирования,
Инструкция пользователя.

14. Органы контроля и надзора в сфере защиты информации

ОРГАНЫ КОНТРОЛЯ И НАДЗОРА В
СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ
• 1. Федеральная служба по техническому и
экспортному контролю (ФСТЭК России)
• 2. Федеральная служба безопасности (ФСБ
России)
• 3. Роскомнадзор
• 4. Центральный банк Российской Федерации
(Банк России)
• 5. Минцифры России

15. Тенденции в защите информации

ТЕНДЕНЦИИ В ЗАЩИТЕ
ИНФОРМАЦИИ
• Усиление регулирования (GDPR в ЕС, аналог в
РФ)
• Рост киберугроз (фишинг, ransomware)
• Развитие ИИ для защиты и атак

16. практические шаги внедрения СЗИ

ПРАКТИЧЕСКИЕ ШАГИ ВНЕДРЕНИЯ
СЗИ
• 1. Оценка рисков
• Идентификация активов, угроз и уязвимостей — основа для
дальнейших мер.
• 2. Построение структуры и политики
• Роли, регламенты, ответственность и процедуры
инцидент-менеджмента.
• 3. Технические меры
• Шифрование, контроль доступа, мониторинг и резервное
копирование.
• 4. Соответствие и улучшение
• Аудиты, сертификация по ISO/IEC 27001 и соответствие
ГОСТ/приказам ФСТЭК; непрерывное улучшение.
• Рекомендация: сочетать требования законодательства с
международными практиками для надёжной, проверяемой и
масштабируемой системы защиты информации.

17. Выводы

ВЫВОДЫ
• Выводы
• СЗИ требует комплексного подхода
(организация + законы + стандарты).
• Российское законодательство ужесточает
требования.
• Международные стандарты помогают в
глобальной совместимости.

18. Список литературы (Нормативные и правовые акты)

СПИСОК ЛИТЕРАТУРЫ
(НОРМАТИВНЫЕ И ПРАВОВЫЕ
АКТЫ)
Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных
технологиях и о защите информации".
Федеральный закон от 26.07.2017 № 187-ФЗ "О безопасности критической
информационной инфраструктуры Российской Федерации".
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к
защите персональных данных при их обработке в информационных системах
персональных данных".
Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных".
Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению
безопасности значимых объектов критической информационной инфраструктуры
Российской Федерации".
ГОСТ Р ИСО/МЭК 27001-2022 "Системы менеджмента информационной безопасности.
Требования".
ГОСТ Р 56939-2024 / ISO/IEC 27003:2024 "Информационные технологии. Методы и средства
обеспечения безопасности. Руководство по внедрению СМИБ".
International Standard ISO/IEC 27002:2022 "Information security, cybersecurity and privacy
protection — Information security controls".