+7 (495) 108-48-17
info@global-it.ru
Главная
Обзор нормативной документации (ФЗ) в сфере кибербезопасности
Обзор нормативной документации (ФЗ) в сфере кибербезопасности

Обзор нормативной документации (ФЗ) в сфере кибербезопасности

Ниже перечислены ключевые федеральные законы (ФЗ) Российской Федерации, которые напрямую или косвенно регулируют вопросы информационной безопасности (ИБ) и кибербезопасности. Кратко указана их основная сфера действия и содержание, связанное с защитой информации и инфраструктуры.

1. Федеральные законы

1. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (27.07.2006)

Что регулирует:

  • Общие правовые основы обращения с информацией в РФ, включая производство, хранение, передачу, доступ, защиту информации.
  • Права и обязанности обладателей, пользователей информационных ресурсов и операторов информационных систем.
  • Общие принципы защиты информации (в том числе технические и организационные меры) и ответственности за нарушения.

Роль в кибербезопасности:

  • Является базовым законом, определяющим понятие «защита информации» и устанавливающим единые подходы к обеспечению безопасности информационных систем.
  • Включает (через поправки) важные положения об устойчивости и целостности функционирования российского сегмента интернета («суверенный Рунет»).

2. Федеральный закон № 152-ФЗ «О персональных данных» (27.07.2006)

Что регулирует:

  • Правовой режим обработки, хранения, передачи и защиты персональных данных.
  • Права субъектов персональных данных и обязанности операторов (организаций и физических лиц), осуществляющих сбор и использование персональных данных.

Роль в кибербезопасности:

  • Устанавливает требования по обеспечению конфиденциальности и целостности персональных данных.
  • Оговаривает меры технического и организационного характера, которые должны реализовать операторы для предотвращения несанкционированного доступа, утечек и иных угроз.

3. Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (26.07.2017)

Что регулирует:

  • Правовые и организационные основы защиты объектов критической информационной инфраструктуры (КИИ), к которым относятся информационные системы и ресурсы в сфере госуправления, обороны, энергетики, транспорта, здравоохранения и др.
  • Порядок категорирования объектов КИИ в зависимости от масштаба потенциальных негативных последствий при кибератаках.

Роль в кибербезопасности:

  • Предписывает субъектам КИИ проводить регулярную оценку уязвимостей, внедрять средства защиты и взаимодействовать с государственными органами (ФСТЭК, ФСБ) в целях профилактики и ликвидации киберинцидентов.
  • Вводит государственный контроль и надзор в сфере КИИ, включая систему уведомлений о компьютерных атаках.

4. Федеральный закон № 63-ФЗ «Об электронной подписи» (06.04.2011)

Что регулирует:

  • Применение электронной подписи (ЭП) в электронном документообороте, её юридическую значимость.
  • Виды ЭП (простая, усиленная, квалифицированная), порядок аккредитации удостоверяющих центров, требования к средствам криптографической защиты.

Роль в кибербезопасности:

  • Обеспечивает юридическую основу для доверенного электронного взаимодействия, критически важного в цифровой среде.
  • Требует использования сертифицированных в РФ криптосредств для создания квалифицированной электронной подписи, что напрямую влияет на безопасность электронных документов.

5. Федеральный закон № 126-ФЗ «О связи» (07.07.2003)

Что регулирует:

  • Общие основы деятельности операторов связи, провайдеров, порядок предоставления услуг связи (фиксированной, мобильной, интернет).
  • Устанавливает права и обязанности операторов, включая вопросы пропуска трафика, идентификации пользователей и хранения данных.

Роль в кибербезопасности:

  • Нормирует действия операторов при угрозе стабильности или безопасности сети (например, участие в реализации системы фильтрации трафика).
  • Вместе с 149-ФЗ закладывает правовую базу для мер, направленных на обеспечение целостности российского сегмента интернета.

6. Другие федеральные законы с аспектами кибербезопасности

6.1. Поправки к 149-ФЗ (т.н. «Закон о суверенном Рунете»)

  • Расширяют возможности государственных органов по обеспечению работоспособности и безопасности интернета на территории РФ.
  • Устанавливают механизмы централизованного управления и мониторинга сетевого трафика при возникновении угроз.

6.2. Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» (04.05.2011)

  • Не является напрямую «законом об ИБ», но включает аспекты, связанные с лицензированием деятельности по технической защите конфиденциальной информации (ТЗКИ), что важно для компаний, оказывающих услуги в сфере кибербезопасности.

6.3. Федеральный закон № 40-ФЗ «О Федеральной службе безопасности» (03.04.1995)

  • Опосредованно затрагивает вопросы кибербезопасности через полномочия ФСБ в области криптографической защиты информации, оперативно-розыскных мероприятий и противодействия киберпреступлениям.

Федеральное законодательство РФ в сфере ИБ и кибербезопасности включает несколько ключевых законов, закрепляющих базовые принципы и требования к защите информации, персональных данных, критической инфраструктуры, а также регулирование сферы электронной подписи и связи. Наиболее значимыми среди них являются:

  • № 149-ФЗ «Об информации…» — фундамент для всей сферы ИБ.
  • № 152-ФЗ «О персональных данных» — главные правила защиты ПДн.
  • № 187-ФЗ «О безопасности КИИ» — охватывает критические объекты.
  • № 63-ФЗ «Об электронной подписи» — регулирует использование ЭП.
  • № 126-ФЗ «О связи» — устанавливает основы телекоммуникационной инфраструктуры и её устойчивой работы.

    2. Указы и распоряжения Президента РФ

    1. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»
      • Определяет государственную политику в области информационной безопасности.
      • Описывает основные угрозы, цели и задачи в сфере кибербезопасности, а также направления развития правового регулирования.
    2. Указ Президента РФ от 09.05.2017 № 203 «О Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы»
      • Включает положения о формировании цифровой экономики, развитии ИКТ, внедрении инноваций.
      • Затрагивает вопросы цифрового суверенитета и необходимости обеспечения безопасности при масштабной цифровизации.
    3. Указ Президента РФ от 01.01.____ и др. (периодические указы)
      • Президент может издавать дополнительные указы и распоряжения, корректирующие меры по обеспечению безопасности информационной инфраструктуры.
      • Следует мониторить официальные источники для выявления новых правовых актов.

    3. Постановления Правительства РФ

    1. Постановление Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры» (пример)
      • Расписывает критерии определения значимости объектов КИИ.
      • Устанавливает порядок информирования государственных органов о категорировании.
    2. Постановления, принятые в развитие ФЗ № 152-ФЗ и № 149-ФЗ
      • Регламентируют порядок взаимодействия операторов связи, органов власти и других участников в сфере защиты информации.
      • Могут устанавливать дополнительные требования к инфраструктуре, процедурам и отчётности.
    3. Постановления о лицензировании деятельности в области технической защиты конфиденциальной информации (ТЗКИ)
      • Определяют порядок получения лицензий на деятельность по защите информации, в том числе криптографическими методами.
      • Устанавливают квалификационные и технические требования к соискателям лицензий.

    4. Приказы и нормативные акты профильных ведомств

    4.1. Федеральная служба по техническому и экспортному контролю (ФСТЭК)

    1. Приказ ФСТЭК России № 17, 21, 31 (и др.)
      • Регулируют вопросы классификации информационных систем, методики оценки уязвимостей и меры по защите информации.
      • Содержат требования к созданию системы защиты (СЗИ) и определяют порядок проведения проверок.
    2. Приказ ФСТЭК России № 235, 239 (и др.)
      • Могут устанавливать конкретные методики и формы отчётности о выполнении требований ИБ.
      • Затрагивают вопросы организации и функционирования защищённой ИТ-инфраструктуры.

    4.2. Федеральная служба безопасности (ФСБ)

    1. Приказы ФСБ, регулирующие вопросы криптографической защиты
      • Устанавливают порядок допуска и сертификации средств криптографической защиты информации.
      • Определяют требования к разработчикам и поставщикам программно-аппаратных комплексов.
    2. Инструкции и регламенты в сфере противодействия техническим разведкам
      • Описывают меры по предотвращению несанкционированного доступа к государственным информационным ресурсам.
      • Затрагивают аспекты проведения проверок, порядок использования шифровальных (криптографических) средств.

    4.3. Минцифры (Министерство цифрового развития, связи и массовых коммуникаций)

    • Нормативные акты и приказы
      • Определяют требования к операторам связи, провайдерам услуг хостинга, регистраторам доменных имен.
      • Могут включать регламенты внедрения систем DPI (Deep Packet Inspection), правила фильтрации трафика и т.д.

    5. Государственные стандарты (ГОСТ)

    1. ГОСТы в области криптографической защиты информации
      • Например, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и др., регламентирующие алгоритмы хеширования, электронные подписи и шифрование.
      • Обязательны к применению в государственных и иногда в коммерческих системах (при наличии соответствующих требований в контрактах).
    2. ГОСТы в области управления информационной безопасностью
      • Например, ГОСТ Р ИСО/МЭК 27001-2012, ГОСТ Р ИСО/МЭК 27002-2012 (и обновлённые редакции).
      • Адаптируют международные стандарты (ISO/IEC) к российским условиям.
    3. ГОСТы, связанные с методами тестирования и сертификации
      • Устанавливают методики оценки соответствия, процедуры испытаний и критерии эффективности защитных средств.

    6. Основные концепции и стратегии

    1. Стратегия развития информационного общества
      • Указ Президента № 203 (см. раздел 2). Охватывает широкий спектр вопросов, включая цифровую экономику и ИБ.
    2. Доктрина информационной безопасности РФ
      • Указ Президента № 646 (см. раздел 2). Фундаментальный документ, определяющий приоритеты, угрозы и задачи в сфере ИБ.
    3. Государственная программа «Цифровая экономика»
      • Содержит компоненты, касающиеся развития отечественных решений и систем защиты информации.
      • Документы внутри программы (подпрограммы, дорожные карты) нередко включают нормативно-правовые требования для участников рынка.

    7. Обзор дополнительных документов и разъяснений

    1. Методические рекомендации и письма ФСТЭК, ФСБ, Минцифры
      • Не всегда являются обязательными к исполнению, но дают практические руководства по реализации требований закона.
      • Часто публикуются на официальных сайтах ведомств и содержат актуальные разъяснения.
    2. Сертификационные требования и реестры
      • Реестры сертифицированных средств защиты информации (ФСТЭК, ФСБ).
      • Критерии сертификации, сроки действия, порядок прохождения испытаний.
    3. Акты, принятые на региональном уровне
      • Относятся к системам ГИС (государственных информационных систем) в конкретном субъекте РФ.
      • Могут содержать локальные правила и регламенты, однако основываются на федеральных законах и указах.

    Заключение

    Правовая база в сфере кибербезопасности РФ представлена обширным комплексом нормативных актов различной юридической силы: от федеральных законов и указов Президента до ведомственных приказов и государственных стандартов. Для полноценной реализации требований необходимо учитывать весь «каскад» регуляторных документов:

    • Федеральные законы — определяют общие принципы, базовые права и обязанности участников.
    • Указы Президента и Постановления Правительства — формируют стратегические приоритеты и уточняют механизмы реализации.
    • Приказы (ФСТЭК, ФСБ и др.) — детализируют практическую часть требований, включая технико-организационные меры, порядок сертификации и контроля.
    • ГОСТы и методические рекомендации — задают стандарты и методики, которые важно соблюдать при проектировании и эксплуатации систем защиты.

    Эта совокупность документов непрерывно развивается, учитывая технологические изменения и новые вызовы информационной безопасности. Организациям, работающим в Российской Федерации, рекомендуется регулярно отслеживать обновления правовых актов и придерживаться актуальных норм, чтобы соответствовать требованиям регуляторов и обеспечивать надёжную защиту информационных ресурсов.