Please enable JavaScript.
Coggle requires JavaScript to display documents.
Законодательство в сфере ИБ, Тайна - Coggle Diagram
Законодательство в сфере ИБ
Правонарушение в области ИБ
Причины
Человеческий фактор
Уязвимости ПО
Недостаточные меры безопасности
Намеренное нарушение ИБ для получения выгоды
Последствия
Финансовые потери
Утечка данных
Ущерб репутации
Дезинформация и пропаганда
Нарушение конфеденциальности
Юридическая отвественность
Лица, привлекаемые к отвественности
Физические
Должностные лица
Руководство организации
Представитель власти
Нарушение правил ИБ
Гражданско-правовые
Киберпреступник
Осуществление кибератак
Сотрудник организации
Халатность
Нарушение политики безопасности
Юридические
Коммерческие организации
Несоблюдение правил ИБ
Нарушение
Некоммерческие организации
Государственные органы
Меры
Регулярное тестирование на проникновение
Обучение сотрудников
Внедрение новых технологий
Разработка и поддержание политики ИБ
Органы регулирующие информационную безопасность
Федеральные органы исполнительной власти
ФСБ РФ
Отвечает за защиту государственных информационных систем, обеспечение безопасности критической инфраструктуры, борьбу с киберпреступностью.
Имеет право на доступ к информационным системам, контроль за их деятельностью, проведение проверок.
ФСТЭК РФ
Регулирование ИБ
Контроль за экспортом технологий
Поддержка госбезопасности
МВД РФ
Занимается расследованием киберпреступлений, обеспечением безопасности информационных систем, принадлежащих МВД
МинЦифры
Разрабатывает и реализует государственную политику в сфере информационных технологий, включая вопросы ИБ
Утверждает стандарты ИБ, контролирует их внедрение
Роскомнадзор
Занимается контролем за соблюдением законодательства в сфере информационных технологий, включая вопросы ИБ
Имеет право на блокировку интернет-ресурсов, распространяющих информацию, нарушающую законодательство о ИБ
Специализированные органы
НКЦКИ
Занимается координацией действий по борьбе с киберугрозами, реагирует на кибератаки, проводит исследования в сфере ИБ
НУИТ
Разрабатывает и внедряет стандарты ИБ, проводит сертификацию систем ИБ
АПИНТ
Представляет интересы организаций, работающих в сфере ИТ, участвует в разработке законодательства о ИБ
Законодательство РФ
Конституция
Ст. 23 Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений
Ст 29 Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом
Ст 24 Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются
НПА
Административный кодекс
ГЛАВА 13 АДМИНИСТРАТИВНЫЕ ПРАВОНАРУШЕНИЯ В ОБЛАСТИ СВЯЗИ И ИНФОРМАЦИИ
13.11 Нарушение законодательства Российской Федерации в области персональных данных
Физ Лица
2 - 4 тысячи рублей
Юр лица
100 - 300 тысяч рублей
Должностные лица
10 - 20 тысяч рублей
13.12 Нарушение правил защиты информации
Должностные лица
1500 - 2000 рублей
Физ лица
1000-1500 рублей
Юр лица
15000 - 20000 рублей
13.13 Незаконная деятельность в области защиты информации
Физ лица
500-1000 рублей
Должностные лица
2000 - 3000 рублей
Юр лица
10 000 - 20 000 рублей
13.14 Разглашение информации с ограниченным доступом
Физ лица
3000 - 5000 рублей
Должностные лица
15000 - 20000 рублей
Юр лица
300 000 - 500 000 рублей
13.15 Злоупотребление свободой массовой информации
Должностные лица
20 000 - 50 000 рублей
Юр лица
500 000 - 1 000 000 рублей
Физ лица
5000 - 20 000 рублей
13.33 Нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи
Юр лицо
10 000 - 30 000 рублей
Уголовный кодекс
Ст 159.6. Мошенничество в сфере компьютерной информации
Штраф
от 120 000 рублей
Обязательные работы
до 360 часов
Принудительные работы
до 2 лет
Исправительные работы
до 1 года
Ограничение свободы
до 2 лет
Арест
до 4 месяцев
Ст 137 Нарушение неприкосновенности частной жизни
Штраф
до 200 000 рублей
Обязательные работы
до 360 часов
Исправительные работы
до 1 года
Принудительные работы
До 2 лет
Арест
до 4 месяцев
Лишение свободы
До 2 лет
ст. 274 Нарушение правил эксплуатации средств хранения, обработки или передачи информации
Штраф
до 500 000 рублей
Исправительные работы
от 6 месяцев до 1 года
Ограничение свободы
до 2 лет
Принудительные работы
Лишение свободы
ст. 272 Неавторизованный доступ к компьютерной информации
Штраф
до 200 000 рублей
Исправительные работы
до 1 года
Ограничение свободы
до 2 лет
Принудительные работы
Лишение свободы
ст. 273 Создание, использование и распространение вредоносных программ
Ограничение свободы
Принудительные работы
Лишение свободы + штраф до 200 000 рублей
до 4 лет
Федеральный закон
№63 "Об электронной подписи"
Определяет электронную подпись
Устанавливает виды электронных подписей
Регламентирует использование электронных подписей
Устанавливает правовое значение электронных подписей
№ 187 "О безопасности критической информационной инфраструктуры"
Определяет КИИ: Объекты, функционирование которых может привести к существенным негативным последствиям для жизни или здоровья людей, безопасности страны, экономики или обороны
Устанавливает требования к безопасности КИИ: Требования к защите от угроз информационной безопасности, к организации, защите информации, к персоналу, к техническим средствам.
Вводит меры по защите от кибератак: Например, запрет на использование иностранного программного обеспечения в КИИ, создание единого центра мониторинга и реагирования на инциденты информационной безопасности.
Регламентирует деятельность собственников КИИ: Включает обязанность по обеспечению безопасности, взаимодействие с ФСБ, контроль за доступом к данным, проведение проверок, создание планов по реагированию на инциденты.
№152 "О персональных данных"
Определяет персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
Устанавливает требования к обработке персональных данных: Согласие субъекта, законные основания, принципы обработки, требования к защите.
Регламентирует деятельность операторов персональных данных: Обязанность регистрироваться в Роскомнадзоре, соблюдать требования к защите, информировать субъектов о обработке их данных.
№ 149 "Об информации, информационных технологиях и о защите информации"
Определяет понятие информации: Включает все виды информации, независимо от формы ее представления, носителя и способа распространения.
Устанавливает принципы информационной безопасности: Открытость, доступность, достоверность, полнота, актуальность, объективность, законность, безопасность и др.
Регламентирует порядок получения и использования информации: Устанавливает требования к предоставлению информации, права доступа к ней, ограничения на доступ к определенным видам информации.
Защищает персональные данные: Включает положения о защите персональных данных, устанавливая требования к их обработке, хранению и использованию.
№98 "О коммерческой тайне"
Определяет понятие коммерческой тайны, устанавливает условия и порядок ее правовой охраны.
Регламентирует права и обязанности правообладателей коммерческой тайны.
Устанавливает ответственность за незаконное разглашение коммерческой тайны.
№ 5991-I "О государственной тайне"
Определяет понятие государственной тайны, устанавливает порядок ее классификации, защиту и разглашения.
Регламентирует права и обязанности граждан и должностных лиц в отношении государственной тайны.
Устанавливает ответственность за нарушение законодательства о государственной тайне.
Гражданский кодекс
Глава 70 Гражданского кодекса РФ "Охрана тайны (конфиденциальной информации)"
Регулирует вопросы защиты конфиденциальной информации, не относящейся к государственной или коммерческой тайне.
Устанавливает порядок заключения договоров о конфиденциальности, права и обязанности сторон.
Определяет ответственность за нарушение договора о конфиденциальности.
Стандартизация
Международная
ISO/IEC 27001: Стандарт, устанавливающий требования к системе менеджмента информационной безопасности (ISMS).
ISO/IEC 27002: Стандарт, содержащий рекомендации по контролю над информационной безопасностью, которые могут быть использованы для реализации ISMS.
ISO/IEC 27005: Стандарт, устанавливающий требования к управлению рисками информационной безопасности.
NIST Cybersecurity Framework: Рамочный стандарт, помогающий организациям идентифицировать, оценивать и управлять киберрисками.
ГОСТы
ГОСТ Р 56881-2016: Информационная безопасность. Системы информационной безопасности. Защита от несанкционированного доступа к информации
ГОСТ Р 34.10-2012: Информационная технология. Криптографическая защита информации.
ГОСТ Р 50739-2012: Информационные технологии. Защита информации.
Тайна