«Специалисты часто думают, что документы — это формальность для отчёта, а реальная безопасность строится на технологиях. На самом деле именно документы создают тот правовой контекст, в котором любая технология либо легитимна, либо бесполезна. Если вы не понимаете иерархии актов и не видите связь между указом и настройкой межсетевого экрана — вы не строите систему защиты, а играете в неё.»
Архитектура нормативной базы ИБ
Первая задача при построении системы защиты — не поиск подрядчика или выбор оборудования, а анализ нормативной базы. Эта база представляет собой строгую иерархию, где каждый следующий уровень документов конкретизирует предыдущий, превращая принципы в технические спецификации. Игнорирование этой структуры приводит к ситуациям, когда дорогостоящие средства защиты не закрывают требования регулятора, а система не выдерживает проверку.
Понимание иерархии позволяет не просто исполнять предписания, но и обоснованно принимать решения о категоризации объектов, выборе мер защиты и распределении ресурсов.
Высший уровень: Конституция и Федеральные Законы
Это фундамент, задающий векторы для всей системы. Данные законы устанавливают конституционные права, определяют объекты защиты и закрепляют полномочия государственных органов. Технические меры, не имеющие под собой основы в этих актах, юридически несостоятельны.
Ключевые акты:
- Конституция РФ (ст. 23, 24) — гарантирует право на неприкосновенность частной жизни и защиту персональных данных.
- 152-ФЗ «О персональных данных» — основной закон, регламентирующий обработку ПДн, устанавливающий права субъектов и обязанности операторов.
- 187-ФЗ «О безопасности критической информационной инфраструктуры» — определяет объекты КИИ, субъектов безопасности и меры по их защите.
- 149-ФЗ «Об информации, информационных технологиях и о защите информации» — вводит базовые понятия (информация, доступ, конфиденциальность) и общие требования к защите.
- Закон о государственной тайне (№ 5485-1) — регулирует отношения, связанные с отнесением сведений к гостайне, их засекречиванием и защитой.
Кодифицированные акты и подзаконные нормы
На этом уровне общие принципы из законов обретают конкретные последствия и механизмы реализации.
Кодексы определяют ответственность за нарушения:
- Уголовный кодекс (гл. 28) — предусматривает уголовную ответственность за неправомерный доступ к компьютерной информации (ст. 272), создание и распространение вредоносных программ (ст. 273), нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (ст. 274).
- Кодекс об административных правонарушениях (гл. 13) — устанавливает административные штрафы, например, за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) по ст. 13.11.
Указы Президента и Постановления Правительства детализируют исполнение законов, утверждая перечни, классификации и основные требования:
- Указ Президента № 188 — утверждает Перечень сведений конфиденциального характера, куда, помимо ПДн, входят служебная, коммерческая тайна и другие категории.
- Постановление Правительства № 1119 — утверждает требования к защите персональных данных при их обработке, устанавливает 4 уровня защищённости.
- Постановление Правительства № 127 — утверждает Положение о лицензировании деятельности по технической защите конфиденциальной информации.
Ведомственные нормативные акты
Это самый практико-ориентированный слой документации. Здесь регуляторы на основе законов и постановлений выпускают детальные методики, приказы и требования, которые напрямую ложатся в основу проектов систем защиты.
| Регулятор | Основная зона ответственности | Примеры ключевых документов |
|---|---|---|
| ФСТЭК России | Техническая защита конфиденциальной информации (некриптографическими методами), безопасность КИИ, аттестация объектов информатизации. | Приказ № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…», Приказ № 17 «О требованиях к защите информации… в государственных информационных системах», Приказ № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ». |
| ФСБ России | Криптографическая защита информации (СКЗИ), защита сведений, составляющих государственную тайну, лицензирование в области шифрования, противодействие техническим разведкам. | Приказ № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных… с использованием средств криптографической защиты информации», Приказ № 387 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств…», Требования по защите информации от утечки по техническим каналам (серия документов). |
| Роскомнадзор | Контроль и надзор за соблюдением законодательства о персональных данных, ведение реестра операторов ПДн, рассмотрение обращений субъектов ПДн. | Административные регламенты по осуществлению государственного контроля, Методические рекомендации по заполнению формы уведомления об обработке ПДн, Разъяснения по вопросам применения 152-ФЗ. |
От требований к реализованной системе
Изучение нормативной базы завершается формированием внутренних документов и технического задания на систему защиты. Этот переход — критическая точка, где право трансформируется в инженерные решения.
1. Классификация и категоризация. На основе требований (например, из Постановления №1119 для ПДн или Приказа ФСТЭК №239 для КИИ) объекту защиты присваивается конкретный уровень защищённости или категория. Это решение определяет весь последующий объём и стоимость защитных мер.
2. Разработка внутренних положений. Создаются (или актуализируются) локальные нормативные акты: Положение об обработке ПДн, Политика информационной безопасности, Инструкции пользователей. Эти документы легализуют технические меры внутри организации.
3. Формирование технических требований. Определяется перечень конкретных мер защиты, которые должны быть реализованы: типы межсетевых экранов, необходимость DLP-систем, применение СКЗИ определённого класса, требования к журналированию и аудиту.
4. Выбор и внедрение сертифицированных средств. Подбираются технические и программные средства, имеющие необходимые сертификаты ФСТЭК или ФСБ, и внедряются в соответствии с утверждённым проектом.
Таким образом, система защиты информации выстраивается строго по нисходящему принципу. Сначала — анализ фундаментальных законов, чтобы понять что защищать и почему. Затем — изучение подзаконных актов для понимания как классифицировать. Далее — детальные требования регуляторов, определяющие какими мерами защищать. И только на последнем этапе, с чётким техзаданием на руках, происходит выбор конкретных технических решений. Попытка начать с последнего шага — верный путь к созданию формальной, неработоспособной и юридически уязвимой системы.