Руслан Рахметов, Security Vision
В работе специалиста по ИБ достаточно большую часть времени занимает работа по приведению процессов защиты информации в соответствие с требованиями законодательства, а также зачастую возникает потребность согласовать разрабатываемые и реализуемые защитные меры с применимыми законодательными нормами. При этом важно отметить, что при использовании нормативных правовых актов (сокращенно НПА) следует придерживаться иерархии, в соответствии с которой разрабатываются и утверждаются регулирующие документы: от стратегических высокоуровневых (например, Конституция РФ, Федеральные Законы, Постановления Правительства, государственные стандарты) до низкоуровневых и более детальных (например, приказы профильных ведомств, положения, методики, регламенты и т.д.). Основное правило при формировании такой иерархии - непротиворечивость более низкоуровневых документов высокоуровневым; например, подзаконный НПА (приказ ФСТЭК России в области защиты КИИ) не может противоречить Федеральному Закону №187 от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации», он может только уточнять некоторые положения 187-ФЗ. Кстати говоря, подобной логике следует придерживаться и при разработке внутренней нормативной документации в компании: политика ИБ является высокоуровневым документом, а более низкоуровневыми документами являются стандарты, регламенты, процедуры, инструкции, которые содержат детализированные требования по кибербезопасности.
Итак, приведем ниже неисчерпывающий перечень основных НПА со ссылками, который можно использовать как справочник законодательства РФ в области информационной безопасности, сделав упор на актуальные задачи ИБ (управление киберинцидентами, защита персональных данных и объектов КИИ, банковская кибербезопасность):
· Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 5 декабря 2016 г. №646 https://rg.ru/documents/2016/12/06/doktrina-infobezobasnost-site-dok.html;
· Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» https://www.consultant.ru/document/cons_doc_LAW_61798/;
· Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» https://www.consultant.ru/document/cons_doc_LAW_61801/;
· Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_220885/;
· Федеральный закон от 27.06.2011 №161-ФЗ «О национальной платежной системе» https://www.consultant.ru/document/cons_doc_LAW_115625/;
· Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» https://www.consultant.ru/document/cons_doc_LAW_137356/;
· Постановление Правительства РФ от 08.02.2018 №127 «Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» https://www.consultant.ru/document/cons_doc_LAW_290595/;
· Указ Президента РФ от 15.01.2013 №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_140909/;
· Указ Президента РФ от 22.12.2017 №620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_285915/;
· Указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_416198/;
· Стандарт ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» https://docs.cntd.ru/document/1200058320;
· Стандарт ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» https://docs.cntd.ru/document/1200075565;
· Стандарт ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения» https://docs.cntd.ru/document/1200194355;
· ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения» https://docs.cntd.ru/document/1200194356;
· ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами» https://docs.cntd.ru/document/1200194357;
· ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты» https://docs.cntd.ru/document/1200194358;
· ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» https://docs.cntd.ru/document/1200146534;
· ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» https://docs.cntd.ru/document/1200158801;
· ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения» https://docs.cntd.ru/document/1200194981;
· ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер» https://docs.cntd.ru/document/1200194982;
· Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» https://www.consultant.ru/document/cons_doc_LAW_146520/;
· Приказ ФСБ России от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» https://www.consultant.ru/document/cons_doc_LAW_167862/;
· Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» https://www.consultant.ru/document/cons_doc_LAW_147084/;
· Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» https://www.consultant.ru/document/cons_doc_LAW_165503/;
· Приказ ФСТЭК России от 06.12.2017 №227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_290538/;
· Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» https://www.consultant.ru/document/cons_doc_LAW_291501/;
· Приказ ФСТЭК России от 22.12.2017 №236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» https://www.consultant.ru/document/cons_doc_LAW_295855/;
· Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_294287/;
· Приказ ФСБ России от 24.07.2018 №366 «О Национальном координационном центре по компьютерным инцидентам» (вместе с «Положением о Национальном координационном центре по компьютерным инцидентам») https://www.consultant.ru/document/cons_doc_LAW_306334/;
· Приказ ФСБ России от 24.07.2018 №367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_306335/;
· Приказ ФСБ России от 24.07.2018 №368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» https://www.consultant.ru/document/cons_doc_LAW_306336/;
· Приказ ФСБ России от 06.05.2019 №196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» https://www.consultant.ru/document/cons_doc_LAW_325824/;
· Приказ ФСБ России от 19.06.2019 №281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_329209/;
· Приказ ФСБ России от 19.06.2019 №282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» https://www.consultant.ru/document/cons_doc_LAW_329210/;
· Методический документ «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021) https://www.consultant.ru/document/cons_doc_LAW_378330/;
· Положение Банка России от 03.10.2017 №607-П «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков» https://www.consultant.ru/document/cons_doc_LAW_286658/;
· Положение Банка России от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (вступает в силу с 01.04.2024, до этого момента действует «старое» положение 719-П) https://www.consultant.ru/document/cons_doc_LAW_464233/;
· Положение Банка России от 17.04.2019 №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» https://www.consultant.ru/document/cons_doc_LAW_324968/;
· Положение Банка России от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» https://www.consultant.ru/document/cons_doc_LAW_415013/;
· Положение Банка России от 08.04.2020 №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» https://www.consultant.ru/document/cons_doc_LAW_355380/;
· Стандарт Банка России СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности» https://www.consultant.ru/document/cons_doc_LAW_442070/.