Информационную безопасность считают сферой деятельности, где изучают, составляют, оформляют и осуществляют различные мероприятия по защите конфиденциальной информации. Сотрудники федеральных органов РФ ликвидируют утечки засекреченных сведений и предотвращают киберпреступления.
- Что сказано в главном законе 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Что определяет 98-ФЗ «О коммерческой тайне»
- Что регулирует 152-ФЗ «О персональных данных»
- На какие сведения и какую информацию распространяются требования закона о персональных данных
- 63-ФЗ «Об электронной подписи»
- Что регламентирует 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- Кто определяет значимости объектов КИИ РФ
Что сказано в главном законе 149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ от 27 июля 2006 года об информационных разнообразных технологиях и о защите конфиденциальной информации — определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности. 149-ФЗ закон состоит из следующих 18 статей:
- про сферу регулирования законом. ФЗ регулирует защиту информационных различных технологий и гарантирует безопасность цифровой информации;
- основные понятия и терминология;
- приведен список конкретных законных принципов;
- основные нормативные документы и акты;
- об информации как отдельном объекте права;
- об обладателе различных данных;
- про общедоступную информацию;
- о праве на доступ к конкретным сведениям;
- про ограничение свободного доступа к данным;
- о предоставлении необходимых сведений;
- о проведении документирования;
- про методы государственного контроля;
- что собой представляет информационная система РФ;
- про информационные системы РФ;
- про применение телекоммуникационных сетей;
- о защите конфиденциальных сведений;
- ответственность, основные виды наказания за правонарушения в интернете;
- перечень положений, которые утратили юридическую силу.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты главного закона об информационной безопасности (149-ФЗ) :
- Нельзя собирать и распространять информацию о жизни человека без его согласия.
- Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
- Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
- Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
- Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
- У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
- Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
Не только физлица, но и юрлица обладают различными обязанностями и правами в интернете. Об информационных конкретных технологиях и о защите конфиденциальной информации говорится в нормативных различных актах и в законе № 149 -ФЗ от 27 июля 2006 г.
Что определяет 98-ФЗ «О коммерческой тайне»
Закон «О коммерческой тайне» определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. Коммерческая тайна — это информация, которая имеет коммерческую ценность именно потому, что неизвестна никому другому. В 98-ФЗ сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:
- Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
- Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
- Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
- Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
- Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
Что регулирует 152-ФЗ «О персональных данных»
152-ФЗ «О персональных данных» – это закон, который регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников.
Ключевые моменты закона:
- Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
- Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
- Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
- Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
- Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
На какие сведения и какую информацию распространяются требования закона о персональных данных
- общие — к ним относится основная информация о человеке: фамилия, имя, отчество, год рождения, ИНН, сведения о работе и т.д.;
- биометрические — группа крови, отпечатки пальцев, рисунок радужной оболочки глаза и иная информация, содержимое которой индивидуально. Сюда же можно отнести фото и видеозаписи, на которых запечатлен гражданин;
- специальные — к такого рода данным относятся философские или религиозные взгляды человека, наличие судимостей и т.д.;
- обезличенные — к такой категории можно отнести любую информацию, если по ней нельзя идентифицировать конкретного гражданина. Например, сам по себе номер телефона или адрес электронной почты не относятся к персональным данным, но если они сопряжены с фамилией человека, его можно идентифицировать.
63-ФЗ «Об электронной подписи»
Закон 63-ФЗ «Об электронной подписи» касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона об электронной подписи :
- Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
- Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
- Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
- Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
Подробнее об электронных подписях и как защитить электронную подпись от мошенников мы писали ранее.
Что регламентирует 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Кто определяет значимости объектов КИИ РФ
Значимость объектов определяет постановление Правительства РФ. «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования». Документ содержит требования, которые позволят организациям провести инвентаризацию и категорирование систем объекта.
При этом искусственно занизить присвоенную объекту категорию значимости не получится, так как итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный для обеспечения безопасности критической информационной инфраструктуры.
Ключевые моменты закона об информационной безопасности критически важных структур:
- Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
- Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
- Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
- Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
- Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
- При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
- Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.
