«Нормативная база по ИБ — это не просто груда бумаг, а единая система, где Конституция определяет принципы, а приказы ФСТЭК — цвет провода для конкретного сетевого кабеля. Понимание этих связей превращает рутинное выполнение требований в осознанное проектирование защиты.»
Конституция и Федеральные законы: иерархия целей
Любая система защиты информации в конечном счете работает на исполнение конституционных гарантий. Статья 23 Конституции РФ о неприкосновенности частной жизни и тайне переписки — это первоисточник. Именно отсюда проистекает необходимость регулирования работы с цифровыми следами человека.
Федеральные законы переводят эти принципы в конкретные обязательства для организаций:
- 152-ФЗ «О персональных данных» — основной документ для большинства компаний. Он задает режим обработки ПДн, права субъектов и обязанности оператора.
- 187-ФЗ «О безопасности критической информационной инфраструктуры» — устанавливает повышенные требования для организаций в ключевых отраслях (энергетика, транспорт, здравоохранение и т.д.).
- 149-ФЗ «Об информации, информационных технологиях и о защите информации» — базовый «информационный» закон, определяющий понятия, категории информации и общие принципы ее защиты.
Эти законы не дают инструкций «как делать», а определяют «что нужно обеспечить». Заполнение этого пробела — задача следующего уровня.
Кодексы: правовые последствия
Меры защиты информации приобретают вес благодаря мерам ответственности за их игнорирование. Три кодекса формируют материальные риски для компании и личные — для сотрудника.
| Документ | Что регулирует в контексте ИБ | Примеры нарушений |
|---|---|---|
| Уголовный кодекс РФ | Наиболее тяжкие деяния: незаконный доступ к компьютерной информации, создание и распространение вредоносных программ, нарушение тайны связи. | Статьи 272–274 УК РФ. Влекут не только штрафы, но и реальные сроки лишения свободы. |
| Кодекс об административных правонарушениях (КоАП) | Основной инструмент регуляторов. Штрафы за несоблюдение 152-ФЗ, отсутствие системы защиты информации, невыполнение предписаний Роскомнадзора или ФСТЭК. | Статья 13.11 КоАП (нарушения в области ПДн) — наиболее часто применяемая. Штрафы для юрлиц могут достигать сотен тысяч рублей. |
| Трудовой кодекс РФ | Отношения с работниками как с источником внутренних угроз и основным звеном защиты. Обязанность хранить служебную тайну, материальная ответственность. | Подписание соглашений о неразглашении (NDA), положение о коммерческой тайне, увольнение за разглашение. |
Подзаконные акты: конкретика и механизмы
Законы делегируют полномочия по детализации Правительству и ведомствам. Здесь появляются первые конкретные списки и процедуры.
- Указ Президента №188 утверждает Перечень сведений конфиденциального характера. Без него невозможно классифицировать информацию внутри компании.
- Постановления Правительства устанавливают требования к защите конкретных видов информации. Например, ПП №1119 определяет уровни защищенности ПДн и базовые меры по их обеспечению.
Эти акты остаются на уровне политик и требований. Как именно технически выполнить эти требования, решают профильные регуляторы.
Три регулятора ИБ: разделение зон влияния
В России сформировалась трехуровневая модель регуляторов, где у каждого своя четкая «зона ответственности». Их требования часто пересекаются на практике, но исходят из разных законов.
| Регулятор | Ключевая сфера ответственности | Основные документы |
|---|---|---|
| ФСБ России | Криптографическая защита информации (СКЗИ), защита государственной тайны, противодействие техническим разведкам, лицензирование деятельности по разработке и распространению шифровальных средств. | Приказы, устанавливающие требования к СКЗИ (серия 800-х документов), порядки лицензирования. |
| ФСТЭК России | Техническая защита информации (не относящаяся к криптографии), аттестация объектов, защита информации в КИИ, лицензирование деятельности по ТЗКИ. Ключевой регулятор для большинства коммерческих организаций. | Базовая модель угроз, требования к СЗИ от НСД (приказы серии 17, 21, 31), методики аттестации, отраслевые стандарты. |
| Роскомнадзор | Надзор за соблюдением 152-ФЗ «О персональных данных». Ведение реестра операторов ПДн, рассмотрение обращений субъектов ПДн, выдача предписаний и привлечение к административной ответственности. | Методические рекомендации по уведомлению об обработке ПДн, разъяснения по применению закона. |
На практике это означает, что для защиты, например, базы данных клиентов нужно учитывать требования Роскомнадзора (как обрабатывать ПДн) и ФСТЭК (как технически защитить информационную систему, где эти ПДн хранятся). А если применяется шифрование — добавляются требования ФСБ к используемым СКЗИ.
Аббревиатуры и термины: язык технических требований
На уровне исполнения требования регуляторов кодируются в аббревиатуры, которые становятся рабочим языком специалистов. За каждой — конкретный стандарт или класс средств.
- СЗИ — средства защиты информации. Общее понятие.
- СКЗИ — средства криптографической защиты информации. Регулируются ФСБ, требуют лицензирования.
- СЗИ НСД / СЗИ от НСД — средства защиты от несанкционированного доступа. Регулируются ФСТЭК (например, по приказу №17).
- АМДЗ — аттестованные методы и средства защиты. Продукты, прошедшие процедуру аттестации в ФСТЭК или ФСБ и получившие сертификат соответствия.
- ОС — требования к защищенным операционным системам, часто в контексте сертификации по руководящим документам (РД) ФСТЭК.
- ЭП — электронная подпись, юридическая значимость которой обеспечивается соблюдением требований 63-ФЗ и использованием сертифицированных СКЗИ.
Практический алгоритм: с чего начать
Чтобы не утонуть в документах, выстраивайте работу с нормативной базой по нисходящему принципу — от общих принципов к конкретным техническим решениям.
- Идентифицируйте объект защиты. Определите, с какими категориями информации работает ваша организация: персональные данные, коммерческая тайна, сведения, составляющие КИИ. Это отправная точка.
- Найдите базовый закон. Для каждой категории информации существует свой Федеральный закон (152-ФЗ для ПДн, 187-ФЗ для КИИ, 98-ФЗ для коммерческой тайны).
- Перейдите к подзаконным актам. Изучите Постановления Правительства и Указы, которые детализируют этот закон (например, ПП №1119 для 152-ФЗ). Здесь появляются классификации (уровни защищенности ПДн, категории значимости КИИ).
- Спуститесь на уровень ведомственных требований. Найдите приказы ФСТЭК, ФСБ или методические рекомендации Роскомнадзора, соответствующие вашей классификации. В них уже содержатся конкретные меры: необходимость межсетевого экрана, требований к парольной политике, процедур резервного копирования.
- Выбирайте аттестованные решения. Для выполнения требований приказов используйте средства защиты, прошедшие аттестацию (имеющие сертификаты ФСТЭК/ФСБ). Это самый простой способ доказать регулятору соответствие.
Эта система не статична. Законы меняются, появляются новые разъяснения регуляторов, обновляются стандарты. Для специалиста важно не просто заучить текущие приказы, а понимать логику иерархии — тогда любое изменение можно будет быстро встроить в общую картину.