Правовая база специалиста по информационной безопасности в РФ

Основы информационного законодательства РФ и 149-ФЗ

Работа специалиста по информационной безопасности (ИБ) давно вышла за рамки исключительно технической настройки межсетевых экранов и антивирусов. Сегодня безопасность — это комплексный процесс, который начинается с бумаги. Любое техническое решение, будь то блокировка USB-портов на компьютерах сотрудников или внедрение системы предотвращения утечек данных (DLP-системы), должно иметь под собой строгое юридическое обоснование. Без понимания правовой базы специалист рискует не только бюджетом компании, но и собственной свободой.

Иерархия нормативно-правовых актов в РФ

Чтобы уверенно разрабатывать внутренние политики безопасности, необходимо понимать, как устроена система права в России. Законодательство строится по принципу строгой иерархии: нижестоящие документы не могут противоречить вышестоящим. Если внутренний регламент компании противоречит федеральному закону, этот регламент юридически ничтожен.

!Иерархия нормативно-правовых актов РФ в сфере информационной безопасности

Система нормативно-правовых актов (НПА) в сфере ИБ выглядит следующим образом:

Конституция РФ. Обладает высшей юридической силой. В контексте ИБ она гарантирует базовые права: право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки (статья 23), а также право свободно искать, получать и передавать информацию законным способом (статья 29).

Международные договоры. Если международным договором РФ установлены иные правила, чем предусмотренные законом, применяются правила международного договора.

Федеральные законы (ФЗ). Базовые документы, определяющие правила игры в конкретной сфере. Именно они вводят ключевые термины и устанавливают ответственность.

Указы Президента РФ и Постановления Правительства РФ. Уточняют и развивают положения федеральных законов. Например, Постановление Правительства № 1119 устанавливает конкретные требования к защите персональных данных в зависимости от уровня угрозы.

Ведомственные нормативные акты (Приказы ФСТЭК, ФСБ, Роскомнадзора). Это самые важные документы для практической работы специалиста. Они содержат конкретные технические и организационные требования: какую длину ключа шифрования использовать, как настраивать парольные политики и как проводить аудит уязвимостей.

Понимание этой цепочки критически важно при разработке внутренних документов.

Пример из практики: вы пишете «Политику защиты персональных данных» для своей компании. Вы не можете просто придумать правила из головы. Ваша политика должна ссылаться на Конституцию (право на тайну), базироваться на 152-ФЗ (правила обработки), учитывать Постановление Правительства № 1119 (уровни защищенности) и реализовывать технические меры из Приказа ФСТЭК № 21. Только такая политика защитит компанию при проверке регулятора.

Базовый закон: 149-ФЗ «Об информации»

Фундаментом всего информационного права в России является Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот документ закрепляет базовый понятийный аппарат, на который опираются все остальные законы и технические регламенты.

Ключевые термины 149-ФЗ

Закон вводит определения, которые специалист по ИБ обязан использовать в официальной документации:

* Информация — сведения (сообщения, данные) независимо от формы их представления. * Информационная система (ИС) — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. * Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к ней. * Оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы.

> Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения. > > Федеральный закон № 149-ФЗ, Статья 16

Категории доступа к информации

Согласно статье 5 закона 149-ФЗ, вся информация в зависимости от категории доступа делится на две большие группы:

Общедоступная информация. Сведения, доступ к которым не ограничен (например, данные с официального сайта компании, открытые реестры).

Информация ограниченного доступа. Доступ к ней ограничен федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц.

К информации ограниченного доступа относятся различные виды тайн: государственная тайна, коммерческая тайна, персональные данные, врачебная тайна, банковская тайна и другие.

Если вы разрабатываете режим коммерческой тайны в компании, вы опираетесь на 149-ФЗ (как базовый закон о праве ограничивать доступ) и на специализированный 98-ФЗ «О коммерческой тайне» (который описывает конкретную процедуру введения режима).

«Большая тройка» законов в сфере ИБ

Помимо 149-ФЗ, в ежедневной работе специалиста по ИБ постоянно фигурируют еще два важнейших федеральных закона. Вместе они образуют правовой каркас отрасли.

| Федеральный закон | Главная цель | Основной объект защиты | Ключевой регулятор | | :--- | :--- | :--- | :--- | | 149-ФЗ «Об информации...» | Установление общих правил работы с информацией и ее защиты | Любая информация и информационные системы | Минцифры, Роскомнадзор | | 152-ФЗ «О персональных данных» | Защита прав граждан при обработке их личных сведений | Персональные данные (ФИО, телефон, биометрия и т.д.) | Роскомнадзор, ФСТЭК, ФСБ | | 187-ФЗ «О безопасности КИИ» | Предотвращение ущерба жизненно важным интересам страны от кибератак | Критическая информационная инфраструктура (банки, ТЭК, связь, медицина) | ФСТЭК, ФСБ |

Государственные регуляторы: ФСТЭК и ФСБ

Требования законов носят рамочный характер. Конкретные технические параметры защиты определяют государственные регуляторы. В России полномочия в сфере ИБ разделены между несколькими ведомствами, главными из которых являются ФСТЭК и ФСБ.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) отвечает за техническую защиту информации от несанкционированного доступа (НСД), утечек по техническим каналам и деструктивных воздействий. Если вам нужно настроить межсетевой экран, внедрить систему контроля доступа к файлам или защититься от DDoS-атак — вы открываете приказы ФСТЭК (например, Приказ № 17 для государственных систем или Приказ № 21 для персональных данных).

ФСБ России (Федеральная служба безопасности) курирует вопросы криптографической защиты информации (шифрования) и защиту государственной тайны. Если ваша система использует электронную подпись, передает данные по зашифрованным VPN-каналам или взаимодействует с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), вы обязаны выполнять требования приказов ФСБ.

Простая аналогия: ФСТЭК учит вас строить крепкие стены, ставить надежные замки на двери и проверять пропуска на входе. ФСБ предоставляет вам бронированный сейф для самых ценных документов и шифрованную рацию для безопасных переговоров.

Основы юридической ответственности

Нарушение требований законодательства в сфере ИБ влечет за собой серьезные последствия. Ответственность делится на четыре вида:

Дисциплинарная ответственность. Применяется работодателем к сотруднику за нарушение внутренних политик (например, передачу пароля коллеге). Наказания: замечание, выговор, увольнение.

Материальная ответственность. Обязанность работника возместить прямой действительный ущерб, причиненный работодателю. Например, если сисадмин по халатности пролил кофе на сервер стоимостью 500 000 руб., компания может взыскать с него эти средства.

Административная ответственность. Регулируется Кодексом об административных правонарушениях (КоАП РФ). Чаще всего применяется к юридическим лицам и должностным лицам за невыполнение требований регуляторов. Штрафы здесь могут быть колоссальными. Например, за повторное невыполнение требования о локализации баз данных россиян на территории РФ (ч. 9 ст. 13.11 КоАП РФ) штраф для юридического лица составляет от 6 000 000 до 18 000 000 руб.

Уголовная ответственность. Самая суровая мера, применяемая исключительно к физическим лицам. Преступления в сфере компьютерной информации описаны в Главе 28 Уголовного кодекса РФ.

Особое внимание стоит уделить статье 274.1 УК РФ, которая наказывает за неправомерное воздействие на критическую информационную инфраструктуру (КИИ). По этой статье к ответственности могут привлечь не только хакера, атаковавшего завод, но и специалиста по ИБ этого завода, если он нарушил правила эксплуатации средств защиты, что привело к тяжким последствиям. Наказание по этой статье достигает 10 лет лишения свободы.

Построение системы информационной безопасности всегда начинается с изучения правового поля. Знание 149-ФЗ, понимание зон ответственности регуляторов и осознание возможных рисков позволяют специалисту выстраивать защиту, которая будет эффективна не только против хакеров, но и перед лицом закона.

Правовое регулирование защиты персональных данных (152-ФЗ)

В предыдущей статье мы разобрали иерархию нормативно-правовых актов и базовый закон 149-ФЗ, который заложил фундамент работы с любой информацией. Теперь пришло время погрузиться в самый обсуждаемый, сложный и критически важный для бизнеса документ — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Для специалиста по информационной безопасности (ИБ) этот закон давно перестал быть просто юридической формальностью. Сегодня 152-ФЗ определяет архитектуру баз данных, выбор облачных провайдеров, настройки межсетевых экранов и даже то, как HR-отдел хранит резюме кандидатов. Ошибка в трактовке этого закона может привести к миллионным штрафам и блокировке ресурсов компании.

Базовые понятия: кто есть кто в мире данных

Чтобы правильно выстраивать защиту, необходимо четко понимать роли и объекты, которыми оперирует закон.

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Это определение намеренно сделано максимально широким. Многие ошибочно полагают, что ПДн — это только связка «ФИО + Паспорт». На практике судебная система и регулятор (Роскомнадзор) трактуют это иначе. Номер телефона, адрес электронной почты, файлы cookie, IP-адрес, MAC-адрес устройства и даже геолокация пользователя — всё это может быть признано персональными данными, если позволяет выделить конкретного человека из толпы.

> Если корпоративный адрес электронной почты выглядит как info@company.ru — это не персональные данные. Но если он выглядит как ivan.ivanov@company.ru — это уже ПДн, так как позволяет идентифицировать конкретного сотрудника.

Субъект персональных данных — это сам человек, чьи данные собираются. У него есть права: знать, кто и зачем обрабатывает его данные, требовать их уточнения или полного удаления.

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку ПДн. Если ваша компания собирает номера телефонов клиентов для рассылки СМС — она автоматически становится оператором и попадает под действие 152-ФЗ.

Четыре категории персональных данных

Закон не требует защищать всю информацию одинаково. Требования к технической защите зависят от того, к какой категории относятся обрабатываемые данные. 152-ФЗ выделяет четыре группы:

!Категории персональных данных и их влияние на уровень защиты

| Категория ПДн | Описание и примеры | Уровень риска при утечке | | :--- | :--- | :--- | | Общедоступные | Данные, доступ к которым предоставлен самим субъектом неограниченному кругу лиц (например, данные из открытого профиля в социальной сети или публичного справочника). | Низкий | | Иные | Самая частая категория в бизнесе. Сюда входит всё, что не попало в другие группы: ФИО, номер телефона, email, адрес доставки, стаж работы, паспортные данные. | Средний | | Специальные | Чувствительная информация: расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, сведения о судимости. | Высокий | | Биометрические | Физиологические и биологические особенности человека, на основании которых можно установить его личность: отпечатки пальцев, рисунок радужной оболочки глаза, ДНК, образцы голоса, геометрия лица. | Критический |

Пример из практики: если вы разрабатываете систему контроля управления доступом (СКУД) для офиса и решаете использовать магнитные карточки — вы обрабатываете «иные» данные. Но если вы ставите терминал с распознаванием лиц (FaceID) — вы начинаете обрабатывать «биометрические» данные. Это мгновенно повышает требования к криптографической защите серверов и требует использования сертифицированных ФСБ средств защиты информации (СЗИ).

Главные принципы обработки данных

При разработке внутренних политик информационной безопасности специалист должен опираться на базовые принципы статьи 5 закона 152-ФЗ. Любое техническое решение должно им соответствовать.

Ограничение конкретной целью. Данные нельзя собирать «на всякий случай». Если цель — доставка пиццы, вам нужны имя, телефон и адрес. Требовать при регистрации дату рождения или паспортные данные — это нарушение закона (избыточность данных).

Запрет на объединение баз. Нельзя сливать в одну базу данных информацию, собранную для разных, несовместимых целей. База данных соискателей на работу и база данных покупателей интернет-магазина должны быть разделены логически или физически.

Точность и актуальность. Оператор обязан обновлять данные и удалять неактуальные. Если клиент отозвал согласие на обработку, система должна гарантированно удалить его профиль из всех рабочих баз и резервных копий (бэкапов).

Локализация баз данных: где хранить серверы

Одно из самых строгих требований российского законодательства — локализация данных. Согласно части 5 статьи 18 закона 152-ФЗ, при сборе персональных данных граждан РФ оператор обязан обеспечить их запись, систематизацию, накопление, хранение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.

Что это значит для ИБ-специалиста и IT-архитектора? Вы не можете использовать зарубежные облачные сервисы (например, Amazon Web Services или Google Cloud) в качестве первичного места сбора данных россиян. Когда пользователь нажимает кнопку «Зарегистрироваться», его данные должны сначала попасть на сервер, физически расположенный в дата-центре на территории РФ.

Только после того, как данные сохранены в России, их можно передать за рубеж (это называется трансграничной передачей), если это необходимо для бизнес-процессов и если Роскомнадзор не запретил такую передачу в конкретную страну.

От закона к технике: Уровни защищенности (УЗ)

Сам по себе 152-ФЗ не говорит, какой длины должен быть пароль или какой антивирус использовать. Он задает рамки. Конкретные технические требования определяются подзаконными актами.

Ключевой документ здесь — Постановление Правительства РФ от 01.11.2012 № 1119. Оно вводит понятие Уровней защищенности (УЗ) — от 4-го (самого низкого) до 1-го (самого высокого).

Чтобы определить, какой УЗ нужен вашей информационной системе, вы должны ответить на три вопроса:

Какую категорию данных вы обрабатываете (иные, специальные, биометрические)?

Чьи это данные (сотрудники вашей компании или сторонние субъекты/клиенты)?

Сколько субъектов в базе (меньше 100 000 или больше 100 000)?

Например, если интернет-магазин обрабатывает «иные» данные более 100 000 клиентов, системе присваивается 3-й уровень защищенности (УЗ-3).

После определения УЗ специалист по ИБ открывает Приказ ФСТЭК России № 21. Это техническая библия защиты ПДн. В приказе есть таблица, где для каждого УЗ галочками отмечены обязательные меры защиты: идентификация пользователей, управление доступом, регистрация событий безопасности, антивирусная защита, обнаружение вторжений и так далее.

Как разработать внутреннюю политику ИБ

Понимание правовой базы позволяет ИБ-специалисту грамотно выстроить процесс защиты внутри компании. Разработка документации — это не просто написание текстов, это отражение реальных бизнес-процессов.

Пошаговый алгоритм внедрения режима защиты ПДн:

Аудит информационных потоков. Выясните, какие данные собирает компания, где они хранятся (в CRM, в Excel-таблицах на компьютерах менеджеров, в облаке), кто имеет к ним доступ и зачем они нужны.

Разработка Модели угроз. Это обязательный документ, в котором ИБ-специалист описывает, кто и как может украсть данные (например, хакер через уязвимость на сайте или обиженный сотрудник через флешку).

Определение Уровня защищенности (УЗ). На основе аудита классифицируйте информационную систему по Постановлению № 1119.

Разработка Политики обработки ПДн. Это публичный документ. По закону он должен быть опубликован на сайте компании, чтобы любой пользователь мог с ним ознакомиться до того, как оставит свои данные.

Внедрение технических мер. Настройка межсетевых экранов, систем предотвращения утечек (DLP), шифрования дисков и антивирусов в строгом соответствии с Приказом ФСТЭК № 21.

Обучение сотрудников. Самая совершенная техническая защита бесполезна, если HR-менеджер пересылает сканы паспортов через личный мессенджер. Сотрудники должны подписывать обязательства о неразглашении и регулярно проходить инструктажи.

Защита персональных данных — это непрерывный процесс. Законодательство регулярно обновляется: ужесточаются правила трансграничной передачи, сокращаются сроки уведомления Роскомнадзора об утечках (теперь это нужно делать в течение 24 часов). Специалист по информационной безопасности должен быть не только инженером, но и аналитиком, способным перевести сухой юридический язык 152-ФЗ в надежную архитектуру корпоративной сети.

Законодательство о критической информационной инфраструктуре (187-ФЗ)

В предыдущих материалах мы изучили базовый закон об информации (149-ФЗ) и правила работы с персональными данными (152-ФЗ). Если 152-ФЗ защищает приватность конкретного человека, то Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» защищает государство, общество и экономику от техногенных катастроф и коллапса жизненно важных услуг.

Для специалиста по информационной безопасности (ИБ) 187-ФЗ — это водораздел. Ошибки в защите персональных данных ведут к штрафам и репутационным потерям. Ошибки в защите критической информационной инфраструктуры (КИИ) могут привести к остановке электростанций, сбоям в движении поездов, отключению медицинского оборудования жизнеобеспечения и, как следствие, к реальным уголовным срокам для ответственных лиц.

Что такое КИИ: субъекты и объекты

Чтобы применять закон на практике, необходимо четко разделить два базовых понятия: кто владеет системами (субъект) и что именно нужно защищать (объект).

Субъекты КИИ — это государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности или ином законном основании принадлежат информационные системы в определенных отраслях.

Закон строго очерчивает 14 сфер деятельности. Если ваша компания работает хотя бы в одной из них, она автоматически становится субъектом КИИ:

* Здравоохранение * Наука * Транспорт * Связь * Энергетика * Банковская сфера и иные сферы финансового рынка * Топливно-энергетический комплекс (ТЭК) * В области атомной энергии * Оборонная промышленность * Ракетно-космическая промышленность * Горнодобывающая промышленность * Металлургическая промышленность * Химическая промышленность * Юридические лица, обеспечивающие взаимодействие указанных систем

> Принадлежность к субъектам КИИ чаще всего определяется по кодам ОКВЭД (Общероссийский классификатор видов экономической деятельности), а также по наличию профильных лицензий.

Объекты КИИ — это конкретные технические сущности, принадлежащие субъекту. Закон выделяет три типа объектов:

Информационные системы (ИС) — базы данных и программы, которые их обрабатывают (например, банковская процессинговая система или электронная медицинская карта).

Информационно-телекоммуникационные сети (ИТКС) — сети передачи данных (например, внутренняя сеть связи аэропорта).

Автоматизированные системы управления (АСУ ТП) — комплексы, управляющие физическим оборудованием (например, система управления турбиной на ГЭС или диспетчерский пульт на железной дороге).

!Структура критической информационной инфраструктуры

Пример из практики: Больница является субъектом КИИ (сфера здравоохранения). Внутри больницы есть бухгалтерия (не является объектом КИИ, так как ее остановка не угрожает жизни пациентов) и система управления подачей кислорода в реанимацию (является объектом КИИ, так как сбой приведет к катастрофическим последствиям).

Категорирование: главная задача ИБ-специалиста

Не все объекты КИИ одинаково важны. Сервер, управляющий шлагбаумом на территории завода, и сервер, управляющий доменной печью, требуют разного уровня защиты. Процесс определения этой важности называется категорированием.

Категорирование — это обязанность самого субъекта КИИ. ИБ-специалист совместно с комиссией предприятия должен провести инвентаризацию всех ИТ-систем и оценить возможные последствия от их взлома (компьютерной атаки) по пяти показателям:

Социальная значимость (ущерб жизни и здоровью людей, нарушение работы транспорта или госуслуг).

Политическая значимость (ущерб интересам РФ на международной арене).

Экономическая значимость (прямой финансовый ущерб субъекту или снижение налоговых выплат в бюджет).

Экологическая значимость (выброс вредных веществ, радиационное загрязнение).

Значимость для обеспечения обороны страны.

По результатам оценки объекту присваивается одна из категорий: * 1 категория — самая высокая (катастрофические последствия федерального масштаба). * 2 категория — средняя (тяжкие последствия регионального масштаба). * 3 категория — низкая (последствия в рамках одного предприятия или района). * Без категории — если показатели ущерба ниже минимальных порогов, установленных Правительством РФ.

Объекты 1, 2 и 3 категорий называются значимыми объектами КИИ (ЗОКИИ). Сведения о них отправляются во ФСТЭК России для включения в специальный государственный реестр.

Разделение зон ответственности: ФСТЭК и ФСБ

В сфере защиты КИИ действуют два главных государственных регулятора. Для разработки внутренних политик безопасности ИБ-специалист должен четко понимать, чьи приказы он выполняет в конкретный момент.

ФСТЭК России (Техническая защита)

Федеральная служба по техническому и экспортному контролю отвечает за то, чтобы объекты КИИ было сложно взломать. ФСТЭК устанавливает требования к архитектуре безопасности, настройкам межсетевых экранов, антивирусам и системам предотвращения вторжений.

Главный документ здесь — Приказ ФСТЭК № 239. Он содержит исчерпывающий перечень мер защиты для значимых объектов КИИ. Чем выше категория (от 3-й к 1-й), тем больше галочек в таблице мер защиты должен выполнить ИБ-специалист. Кроме того, ФСТЭК требует использовать преимущественно отечественные средства защиты информации и программное обеспечение (курс на импортозамещение).

ФСБ России (Мониторинг и реагирование)

Федеральная служба безопасности отвечает за криптографию и, что более важно в контексте 187-ФЗ, за обнаружение и реагирование на уже случившиеся атаки.

Для этого создана ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Субъекты КИИ обязаны: * Непрерывно взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), созданным ФСБ. * Информировать ГосСОПКА о любых компьютерных инцидентах (взломах, заражениях вирусами-шифровальщиками, DDoS-атаках). * Предоставлять ФСБ доступ к своим системам для расследования инцидентов.

Уголовная ответственность (Статья 274.1 УК РФ)

С принятием 187-ФЗ в Уголовном кодексе РФ появилась специальная статья 274.1 — «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Она применяется не только к хакерам, которые атакуют системы извне, но и к сотрудникам компаний (включая ИБ-специалистов и системных администраторов), чья халатность или умысел привели к инциденту.

Виды преступлений и наказания по ст. 274.1 УК РФ: * Создание и распространение вредоносных программ для атаки на КИИ — от 2 до 5 лет лишения свободы. * Неправомерный доступ к информации на объектах КИИ, повлекший причинение вреда — до 6 лет лишения свободы. * Нарушение правил эксплуатации средств хранения, обработки или передачи информации (самый опасный пункт для инсайдеров и администраторов) — до 6 лет лишения свободы. * Если любое из этих действий повлекло тяжкие последствия (например, гибель людей из-за отключения электричества в больнице) — от 5 до 10 лет лишения свободы.

Разработка внутренней политики ИБ по 187-ФЗ

Понимание правовой базы позволяет перевести требования законов в конкретные рабочие процессы. Если вы приходите в компанию, которая потенциально является субъектом КИИ, ваш алгоритм действий должен выглядеть так:

Создание комиссии. ИБ-специалист не может категорировать объекты в одиночку. Выпускается приказ руководителя о создании комиссии, куда входят главные инженеры, технологи, юристы и ИТ-специалисты.

Инвентаризация. Составляется полный перечень всех бизнес-процессов и технологических процессов компании, а затем — список ИТ-систем, которые их обеспечивают.

Оценка ущерба. Комиссия моделирует сценарии: «Что будет, если эта система выйдет из строя на 2 часа? На сутки?». Результаты сверяются с показателями Постановления Правительства РФ № 127.

Акт категорирования. Составляется официальный документ, который подписывается комиссией и отправляется во ФСТЭК.

Проектирование системы защиты. На основе Приказа ФСТЭК № 239 разрабатывается технический проект: закупаются отечественные межсетевые экраны, настраивается сегментация сетей (отделение офисной сети от производственной).

Подключение к ГосСОПКА. Разрабатываются регламенты реагирования на инциденты. Настраивается техническая передача логов (журналов событий безопасности) в НКЦКИ.

Законодательство о КИИ — это не разовая задача, а постоянный процесс. Инфраструктура меняется, появляются новые системы, обновляются требования регуляторов. Специалист по информационной безопасности здесь выступает в роли архитектора, который должен сбалансировать требования закона, бюджет компании и реальную техническую защищенность критически важных процессов.

Требования государственных регуляторов в сфере ИБ: ФСТЭК и ФСБ

В предыдущих материалах мы разобрали фундамент правовой базы специалиста по информационной безопасности (ИБ): базовый закон об информации (149-ФЗ), правила работы с персональными данными (152-ФЗ) и защиту критической информационной инфраструктуры (187-ФЗ). Однако сами по себе федеральные законы лишь задают вектор. Они говорят, что нужно защищать, но редко объясняют, как именно это делать.

Переводом абстрактных юридических норм в конкретные технические требования занимаются государственные регуляторы. В Российской Федерации архитектура информационной безопасности опирается на двух главных «китов»: ФСТЭК России и ФСБ России. Понимание их зон ответственности и иерархии выпускаемых ими документов — главный навык для разработки грамотной внутренней политики ИБ в любой компании.

Иерархия нормативно-правовых актов в сфере ИБ

Чтобы уверенно применять законодательство на практике, ИБ-специалист должен понимать, как документы подчиняются друг другу. Правовая база строится по принципу пирамиды: от общих прав к конкретным настройкам серверов.

Конституция РФ. Вершина пирамиды. Закрепляет базовые права граждан, например, право на неприкосновенность частной жизни и тайну переписки.

Федеральные законы (ФЗ). Та самая «Большая тройка»: 149-ФЗ, 152-ФЗ, 187-ФЗ. Они вводят терминологию, определяют субъекты и объекты защиты, устанавливают виды ответственности.

Постановления Правительства РФ. Уточняют механизмы исполнения законов. Например, Постановление № 1119 описывает, как определить уровень защищенности персональных данных, а Постановление № 127 задает правила категорирования объектов КИИ.

Приказы и методические документы регуляторов (ФСТЭК и ФСБ). Это главный рабочий инструмент безопасника. Здесь прописаны конкретные меры: какой длины должен быть пароль, как настраивать межсетевые экраны и какие алгоритмы шифрования использовать.

Внутренние политики и регламенты организации. Локальные нормативные акты (ЛНА), которые ИБ-специалист пишет сам на основе всех вышестоящих документов.

Пример из практики: Конституция гарантирует тайну переписки. На ее основе 152-ФЗ обязывает компанию защищать данные клиентов. Постановление Правительства № 1119 определяет, что базе данных клиники нужен 3-й уровень защищенности. Приказ ФСТЭК № 21 требует для этого уровня внедрить систему контроля доступа. Итогом становится ваша внутренняя «Политика парольной защиты», где написано: «Сотрудник регистратуры обязан менять пароль каждые 90 дней».

ФСТЭК России: Техническая защита информации

Федеральная служба по техническому и экспортному контролю (ФСТЭК) отвечает за защиту информации от несанкционированного доступа (НСД), утечек по техническим каналам и деструктивного воздействия. Простыми словами, ФСТЭК учит строить «крепостные стены» вокруг ИТ-инфраструктуры.

В зоне ответственности ФСТЭК находятся антивирусы, межсетевые экраны (firewalls), системы обнаружения вторжений (IDS/IPS), контроль съемных носителей (флешек) и управление доступом.

Для каждой сферы ФСТЭК выпускает свой базовый приказ: * Приказ № 21 — для информационных систем персональных данных (ИСПДн). * Приказ № 239 — для значимых объектов критической информационной инфраструктуры (ЗОКИИ). * Приказ № 17 (и приходящий ему на смену Приказ № 117) — для государственных информационных систем (ГИС).

Эволюция требований: переход к Приказу № 117

Законодательство не стоит на месте. Яркий пример — масштабное обновление требований к государственным системам. С 1 марта 2026 года вступает в силу Приказ ФСТЭК № 117, который заменяет устаревший Приказ № 17, действовавший более десяти лет.

Это не просто смена номера, а кардинальное изменение подхода к ИБ. Что важно знать специалисту:

Расширение охвата. Если раньше жесткие требования касались только федеральных ГИС, то теперь Приказ № 117 распространяется на муниципальные информационные системы (МИС), системы государственных унитарных предприятий (ФГУП) и даже на частных подрядчиков, которые оказывают ИТ-услуги госорганам.

Процессный подход. Защита информации перестает быть разовой акцией для получения аттестата. Вводится требование регулярной самооценки защищенности (раз в полгода) с предоставлением отчетов во ФСТЭК.

Современные технологии. Впервые на уровне приказа детально регламентирована защита сред виртуализации, контейнеров (например, Docker/Kubernetes), облачных вычислений и API-интерфейсов.

> ФСТЭК требует поддерживать систему защиты в актуальном состоянии. Нельзя один раз настроить сервер и забыть. При каждом обновлении Банка данных угроз ФСТЭК специалист обязан пересматривать внутреннюю модель угроз и адаптировать меры защиты.

ФСБ России: Криптография и реагирование на инциденты

Если ФСТЭК строит стены, то Федеральная служба безопасности (ФСБ) защищает гонцов, которые выезжают за пределы крепости, и ловит шпионов. У ФСБ две главные задачи в сфере гражданской ИБ.

1. Криптографическая защита информации (КЗИ)

Как только защищаемая информация (например, персональные данные) покидает контролируемую зону предприятия и передается по открытым каналам связи (через интернет), она должна быть зашифрована.

ФСБ строго регламентирует этот процесс (например, Приказом № 378 для персональных данных). Использовать можно только те средства криптографической защиты (СКЗИ), которые прошли сертификацию в ФСБ и поддерживают отечественные алгоритмы шифрования (ГОСТ). Популярные западные протоколы и алгоритмы (RSA, AES) с точки зрения российских регуляторов не обеспечивают юридически значимой защиты.

2. ГосСОПКА и мониторинг инцидентов

В рамках закона о КИИ (187-ФЗ) ФСБ курирует ГосСОПКА — Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Если компанию взломали, ИБ-специалист обязан не только остановить атаку, но и в установленные сроки (от 3 до 24 часов в зависимости от категории объекта) сообщить об инциденте в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ. Регулятор собирает данные об атаках по всей стране, анализирует тактики хакеров и рассылает предупреждения другим участникам системы.

!Разделение зон ответственности ФСТЭК и ФСБ

Разработка внутренних политик ИБ: пошаговый алгоритм

Понимание требований регуляторов позволяет ИБ-специалисту выстроить грамотный процесс разработки внутренних документов. Если вы начинаете работу в новой компании, ваш алгоритм должен выглядеть так:

Шаг 1. Аудит и классификация ИТ-инфраструктуры Определите, под действие каких законов попадает ваша компания. Обрабатываете данные клиентов? Вы оператор ПДн (152-ФЗ). Управляете электростанцией? Вы субъект КИИ (187-ФЗ). Оказываете услуги мэрии? Готовьтесь к Приказу ФСТЭК № 117.

Шаг 2. Разработка Модели угроз Это фундаментальный документ. Вы описываете архитектуру сети, определяете потенциальных нарушителей (от обиженного уволенного сотрудника до профессиональной хакерской группировки) и оцениваете, какие угрозы из базы ФСТЭК актуальны именно для вас. Модель угроз должна быть информативной и учитывать специфику ваших технологий (например, если используете облака — описывайте угрозы виртуализации).

Шаг 3. Проектирование системы защиты На основе Модели угроз вы открываете соответствующий приказ ФСТЭК (например, № 21 или № 239) и выбираете базовый набор мер защиты. Если данные передаются через интернет, добавляете требования приказов ФСБ по криптографии.

Шаг 4. Создание организационно-распорядительной документации (ОРД) Технические настройки не работают без правил для людей. Вы разрабатываете: * Политику информационной безопасности (главный документ). * Регламент управления доступом (кто и как выдает права). * Инструкции по антивирусной защите и использованию съемных носителей. * План реагирования на инциденты (с указанием сроков информирования ГосСОПКА).

Основы юридической ответственности

Разработка политик — это не бюрократия ради бюрократии. Это защита компании и лично вас от юридической ответственности. В сфере ИБ в РФ предусмотрено четыре вида ответственности:

Дисциплинарная. Замечание, выговор или увольнение сотрудника за нарушение внутренних политик ИБ (например, за передачу пароля коллеге).

Материальная. Возмещение ущерба, причиненного компании из-за халатности работника.

Административная (КоАП РФ). Штрафы, которые накладываются на компанию и должностных лиц (например, генерального директора или руководителя ИБ). Штрафы за утечку персональных данных могут достигать десятков миллионов рублей, а за невыполнение требований ФСТЭК по защите КИИ — до 500 тысяч рублей.

Уголовная (Глава 28 УК РФ). Применяется за компьютерные преступления (создание вирусов, неправомерный доступ). Особое внимание стоит уделить статье 274.1 УК РФ — нарушение правил эксплуатации средств хранения и обработки информации на объектах КИИ. Если халатность ИБ-специалиста приведет к тяжким последствиям (например, аварии на производстве), ему грозит реальный тюремный срок до 10 лет.

Работа специалиста по информационной безопасности в России требует баланса. Вы должны быть не только техническим экспертом, который умеет настраивать маршрутизаторы, но и грамотным управленцем, способным перевести жесткие требования ФСТЭК и ФСБ на язык бизнес-процессов вашей компании.

Юридическая ответственность и разработка внутренних политик ИБ

Законодательство в сфере информационной безопасности (ИБ) часто воспринимается как набор абстрактных запретов и требований. Однако для специалиста по защите информации это главный рабочий инструмент. Знание законов позволяет не только выстроить надежную ИТ-инфраструктуру, но и защитить саму компанию от многомиллионных штрафов, а ее сотрудников — от уголовного преследования.

Фундамент правовой базы опирается на иерархию нормативно-правовых актов. Понимание этой структуры необходимо для того, чтобы грамотно перевести государственные требования на язык корпоративных правил.

Иерархия нормативно-правовых актов в сфере ИБ

Правовая система Российской Федерации строится по принципу строгой подчиненности. Нижестоящий документ не может противоречить вышестоящему. Для специалиста по ИБ эта пирамида выглядит следующим образом:

Конституция РФ. Закрепляет базовые права граждан. Например, статья 23 гарантирует право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки.

Федеральные законы (ФЗ). Определяют базовые понятия, правила игры и виды ответственности. Это фундамент, на котором строится вся отрасль.

Постановления Правительства РФ. Уточняют механизмы исполнения федеральных законов. Они описывают, как именно нужно классифицировать системы или оценивать уровни защищенности.

Приказы регуляторов (ФСТЭК и ФСБ). Содержат конкретные организационные и технические требования. Здесь прописаны правила настройки межсетевых экранов, длины паролей и алгоритмы шифрования.

Локальные нормативные акты (ЛНА). Внутренние документы конкретной организации (политики, регламенты, инструкции), которые разрабатывает ИБ-специалист.

!Иерархия нормативно-правовых актов в сфере ИБ

> Локальный нормативный акт — это единственный юридический мост между федеральным законом и конкретным сотрудником вашей компании. Государство не может оштрафовать менеджера за слабый пароль, но компания может уволить его за нарушение внутренней Политики парольной защиты.

Синтез «Большой тройки» законов и требований регуляторов

При разработке внутренних документов ИБ-специалист опирается на три ключевых федеральных закона. Их требования пересекаются, образуя единый каркас корпоративной безопасности.

149-ФЗ «Об информации, информационных технологиях и о защите информации» Это базовый закон, который вводит терминологию (информация, доступ, конфиденциальность) и закрепляет обязанность обладателя информации принимать меры по ее защите. Он делит информацию на общедоступную и информацию ограниченного доступа (коммерческая тайна, служебная тайна).

152-ФЗ «О персональных данных» Регулирует работу с данными физических лиц. Закон обязывает операторов (любую компанию, собирающую данные) получать согласие на обработку, хранить базы данных на территории РФ и применять технические меры защиты. Конкретные меры диктуются Постановлением Правительства № 1119 и Приказом ФСТЭК № 21.

187-ФЗ «О безопасности критической информационной инфраструктуры» Закон защищает стратегически важные отрасли (банки, ТЭК, транспорт, здравоохранение) от кибератак. Он вводит понятие значимых объектов КИИ, защиту которых регламентирует Приказ ФСТЭК № 239, а мониторинг инцидентов — ФСБ через систему ГосСОПКА.

Пример из практики: Больница внедряет новую электронную медицинскую карту. Согласно 149-ФЗ, это информационная система. По 152-ФЗ в ней обрабатываются специальные категории персональных данных (состояние здоровья). По 187-ФЗ эта система является объектом КИИ, так как сбой в ее работе угрожает жизни пациентов. ИБ-специалисту придется разрабатывать политику защиты, учитывающую требования сразу трех законов и приказов ФСТЭК/ФСБ.

Разработка внутренних политик ИБ

Политика информационной безопасности — это главный внутренний документ компании, декларирующий цели, задачи и принципы защиты информации. Без грамотно составленных ЛНА любые технические средства защиты (антивирусы, DLP-системы) юридически ничтожны.

Процесс разработки внутренних политик состоит из четырех обязательных шагов.

Шаг 1. Аудит и инвентаризация активов

Прежде чем писать правила, нужно понять, что именно вы защищаете. Проводится инвентаризация всех информационных систем, серверов, рабочих станций и потоков данных. На этом этапе определяется, под действие каких законов подпадает компания (является ли она оператором ПДн или субъектом КИИ).

Шаг 2. Разработка Модели угроз и нарушителя

Это аналитический документ, описывающий, кто и как может атаковать компанию. Внешний нарушитель*: хакерские группировки, конкуренты, скрипт-кидди. Внутренний нарушитель*: обиженный уволенный сотрудник, невнимательный бухгалтер, инсайдер. Модель угроз строится на основе Банка данных угроз ФСТЭК и специфики бизнес-процессов компании.

Шаг 3. Создание комплекса ЛНА

На основе Модели угроз разрабатывается пакет документов. Он строится по принципу матрешки — от общего к частному:

Концепция/Политика ИБ (верхний уровень) — для руководства и всех сотрудников. Описывает общие правила: что защищаем и зачем.

Регламенты (средний уровень) — для руководителей отделов и ИТ-специалистов. Например, «Регламент управления учетными записями» или «Регламент реагирования на инциденты».

Инструкции (нижний уровень) — пошаговые алгоритмы для конкретных исполнителей. Например, «Инструкция администратора межсетевого экрана».

Шаг 4. Ознакомление под роспись

Самый важный юридический этап. Документ вступает в силу для сотрудника только после того, как он поставил свою физическую или квалифицированную электронную подпись в листе ознакомления.

Пример: Компания купила дорогую DLP-систему (защита от утечек), которая читает рабочую переписку сотрудников. Если в компании нет «Положения о коммерческой тайне» и сотрудники не подписали согласие на мониторинг рабочего трафика, использование DLP-системы может быть квалифицировано по статье 138 УК РФ как нарушение тайны переписки. Техническая защита обернется уголовным делом против руководства.

Виды юридической ответственности в сфере ИБ

Нарушение требований законодательства или внутренних политик влечет за собой юридическую ответственность. В Российской Федерации она делится на четыре вида.

| Вид ответственности | К кому применяется | Нормативный акт | Возможные санкции | | :--- | :--- | :--- | :--- | | Дисциплинарная | Работники компании | Трудовой кодекс РФ (ТК РФ) | Замечание, выговор, увольнение (по статье за разглашение охраняемой законом тайны). | | Материальная | Работники компании | Трудовой кодекс РФ, Гражданский кодекс РФ | Возмещение прямого действительного ущерба, причиненного работодателю из-за халатности. | | Административная | Должностные и юридические лица | Кодекс об административных правонарушениях (КоАП РФ) | Штрафы, приостановление деятельности компании на срок до 90 суток. | | Уголовная | Физические лица (граждане) | Уголовный кодекс РФ (УК РФ) | Штрафы, принудительные работы, лишение свободы на определенный срок. |

Административная ответственность (КоАП РФ)

Чаще всего компании сталкиваются с административными штрафами. Главная статья здесь — 13.11 КоАП РФ (Нарушение законодательства в области персональных данных).

Если компания допустила утечку базы данных клиентов, штрафы для юридических лиц могут составлять от 3 до 15 миллионов рублей за повторное нарушение. А за невыполнение требований по локализации баз данных на территории РФ (хранение данных россиян на зарубежных серверах) штраф может достигать 18 миллионов рублей.

Уголовная ответственность (УК РФ)

Преступления в сфере компьютерной информации выделены в отдельную Главу 28 УК РФ. ИБ-специалист должен знать три основные статьи:

* Статья 272 УК РФ (Неправомерный доступ к компьютерной информации). Применяется, если взлом привел к уничтожению, блокированию или копированию информации. Наказание — до 7 лет лишения свободы. * Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ). Написание вирусов, троянов или программ-шифровальщиков. Наказание — до 7 лет лишения свободы. * Статья 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру РФ). Это самая суровая статья, введенная вместе с 187-ФЗ. Она касается не только хакеров, но и самих сотрудников КИИ. Если ИБ-специалист нарушил правила эксплуатации систем (например, забыл обновить антивирус на сервере управления электростанцией), и это привело к тяжким последствиям, ему грозит до 10 лет лишения свободы.

Пример с числами: Сотрудник банка перед увольнением скопировал на флешку базу данных из 10 000 VIP-клиентов, чтобы продать конкурентам. Его действия повлекут: увольнение по статье (дисциплинарная), иск от банка на возмещение убытков (материальная), штраф для самого банка от Роскомнадзора до 15 млн руб. (административная) и суд над сотрудником по ст. 272 УК РФ с риском сесть в тюрьму на срок до 5 лет (уголовная).

Разработка внутренних политик и понимание юридической ответственности — это две стороны одной медали. Законы задают рамки, регуляторы дают инструменты, а ИБ-специалист через локальные акты выстраивает систему, в которой технологии работают в правовом поле, защищая бизнес от внешних и внутренних угроз.