Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!

1. Законодательство по
информационной безопасности
Лукацкий Алексей, консультант по безопасности

2. Обо мне
• Опыт работы в области ИБ – 20 лет
– «Ящик», госкорпорация, ритейл, банк,
разработчик средств защиты,
производитель сетевого оборудования
• Текущее место – Cisco
• Участник рабочей группы ЦБ/АРБ
по разработке СТО БР ИББС ’2010/12,
консультационного центра АРБ по
ПДн (горячая линия) и требований по ИБ НПС
• Член Консультативного совета при РКН по
защите прав субъектов ПДн
• Член рабочей группы при ФСТЭК по разработке требований по
защите ПДн и государственных информационных систем
• Член рабочей группы при Совете Федерации по внесению
изменений в ФЗ-152 и по разработке Стратегии
кибербезопасности
• Эксперт РАЭК

3. Обо мне
• Участник ПК1 «Защита информации
в кредитно-финансовой сфере»
ТК122 Ростехрегулирования
• Участник ПК127 «Методы и средства
обеспечения безопасности ИТ» ТК22
Ростехрегулирования
(роль ISO/IEC JTC 1/SC 27 в России)
• Участник ТК 362 «Защита информации»
• Автор 5 книг и 600+ статей
• Автор множества курсов по ИБ
– «Что скрывает законодательство о
персональных данных»
– «Измерение эффективности ИБ»
– «Моделирование угроз»
– «Управление инцидентами ИБ»
– «Как связать безопасность и бизнес» и многих других

4. Высокоуровневая карта курса
У нас есть
информационные
активы?
У нас есть
информационные
активы?
Что входит в активы?Что входит в активы?
Их надо защищать?
Почему?
Их надо защищать?
Почему?
Это обязанностьЭто обязанность
Это правоЭто право
• Где определена обязанность или право на защиту?
• Могу ли я сам установить требования по защите информации?
• Подпадаю ли я под какие-либо обязательные требованиям по защите информации?
• Ограничен ли я в устанавливаемых требованиях по защите информации?
• Обременен ли я какими-либо обязанностями в процессе реализации требований по
защите информации?
• Что мне грозит, если я не буду реализовывать требования по защите информации?
• Кто может меня проверить в отношении реализации требований по защите
информации?

5. О чем пойдет речь
• Основы государства и права
– Вертикальная и горизонтальная структура
– Основные принципы права
– Правила подготовки нормативных актов
• Законодательство в области ИБ
– История становления и развития
– Структура и иерархия
• Регуляторы в области ИБ
– ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д.
• «Базовое» законодательство
– Трехглавый закон
• Технические регулирование. Сертификация и аттестация
• Лицензирование деятельности по защите информации

6. О чем пойдет речь
• Виды тайн
– Коммерческая тайна
– Персональные данные
– Конфиденциальная информация
– Банковская тайна
• Отраслевые требования
– Госорганы
– Операторы связи
– Критически важные объекты
– Участники НПС
– Банки
• Международное законодательство в России
– PCI DSS, ISO 2700x, ISM3, ITIL, COBIT, ISO 20000 и т.п.

7. О чем пойдет речь
• Наказание за несоблюдение законодательства в области
информационной безопасности
– КоАП, УК, ТК, регуляторы…
• Парафраз о правоприменительной практике
– Права ли пословица "Закон, что дышло…"?
– Решения российских судов, включая Верховный Суд и
Конституционный Суд
• Операционные риски, внутренний контроль
– SOX, ФСФР, COSO, Базель II и требования Банка России

8. ПРОБЛЕМЫ
РЕГУЛИРОВАНИЯ ИБ

9. Проблемы нормотворчества ИБ
• Отсутствие организационной системы выработки и реализации
государственной системы в области обеспечения ИБ с учетом
интересов граждан, общества и государства
• Отсутствие четко выраженной государственной информационной
политики и ее бессистемное развитие
• Низкая эффективность правоприменения
• Низкая правовая и информационная культура у регуляторов и
законодателей
• Неудовлетворительное финансирование
• Большое количество регуляторов и несогласованность их
действий между собой
• Исторический бэкграунд

10. ИБ В РОССИИ: ОТКУДА
ТОРЧАТ НОГИ?

11. Криптография в России ведет свой отсчет с времен Ивана
Грозного
• Активная
внешнеполитическая
деятельность
• Дипломатическая
переписка
• Войны и военные
конфликты
• Перлюстрация
переписки
революционеров
• 8-й Спецотдел ВЧК
• КГБ

12. Защита информации – удел спецслужб!

13. ПДИТР – что это такое?
• Противодействие иностранным
техническим разведкам
• Обеспечение государственной тайны
• Гостехкомиссия СССР
• Федеральная служба по техническому
и экспортному контролю
• Служба внешней разведки
• Главное разведывательное
управление
• Федеральная служба охраны
• …

14. А потом наступила перестройка!
• Малый бизнес, частное
предпринимательство
• Олигархи, приватизация
• Коммерческая тайна, конкуренция
• Потребность хранить свои тайны в
секрете
• А специалисты все те же
– ФСБ
– ФСТЭК
– БСТМ МВД
– Совет Безопасности
– ФСО
– Госдума
– …

15. Вы защищаете свою информацию от утечек через
батарею? А через кондиционер? А через розетки?
• Технические каналы утечки
информации
– ПЭМИН
– Виброакустика
– Видовые утечки
• Объектовая охрана
• Вирусов было мало и
распространялись они на 5-
тидюймовых дискетах со
скоростью один компьютер в
неделю, один этаж в месяц
• Скорость 2400 бод была
нормой, а владелец модема
USR на 33600 бод был богачом

16. Что важнее? Конфиденциальность или доступность? А
может неотказуемость или подотчетность?
• Изначально спецслужбы
обеспечивали только
конфиденциальность защищаемой
информации
• Действующее законодательство
ориентировано на различные виды
тайн
– В российских НПА свыше 60 видов
тайн
• Почти ни слова о доступности и
целостности, о подотчетности и
аутентичности, о контролируемости
и неотказуемости

17. Все меняется, но не безопасники у регуляторов ;-(
Что?
С кем?
Способ?
Сколько?
Как?
Гостайна
ИТР
Закрыто
Неважно
Гриф (Кцд)
КТ, БТ, ПДн
Инсайдер, хакер
Открыто
ROI, TCO, NPV
Кто? КГБ эксКГБ
ДЦК
Формат Файлы Мультимедиа
Технологии Закрытые АС Облака, mobility
Изменения Статика Динамика

18. А ВООБЩЕ, ЧТО ТАКОЕ
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ?

19. От какого термина отталкиваться?
• Все зависит от определения ИБ
• ИБ – это не универсальное, не стандартное понятие
• Оно персонифицировано в каждой конкретной ситуации, для
каждой конкретной организации, для каждого конкретного CISO
– В одной и той же компании, разные CISO могут по-разному
заниматься ИБ
– В одной и той же компании при одном и том же CISO, но разных
CEO, ИБ может двигаться в разных направлениях
• ИБ – это понятие, зависящее от множества факторов/элементов
• От этого будет зависеть и спектр
рассматриваемого/учитываемого законодательства

20. Термин «безопасность»
• Безопасность – отсутствие опасности
– В.Даль
• Безопасность – состояние, при котором не угрожает опасность
– С.Ожегов
• Безопасность – состояние защищенности жизненно важных
интересов личности, общества и государства от внутренних и
внешних угроз
– ФЗ «О безопасности»

21. Термин «безопасность»
• Безопасность информации - деятельность, направленная на
предотвращение или существенное затруднение
несанкционированного доступа к информации (или воздействия
на информацию)
– ФСТЭК
• ИБ – технологическая задача, обеспечивающая целостность,
конфиденциальность и доступность
– А как же борьбы со спамом? Или шантаж DDoS?
• Безопасность - состояние защищенности объекта от внешних и
внутренних угроз

22. Термин «безопасность»
• Безопасность – системное свойство, позволяющее развиваться и
процветать в условиях конфликтов, неопределенности и рисков
на основе самоорганизации и управления
• Безопасность – деятельность людей, общества, государства по
выявлению, предупреждению, ослаблению, устранению и
отражению опасностей и угроз, способных погубить их, лишить
ценностей, нанести неприемлемый ущерб, закрыть путь для
выживания и развития
• Информационная безопасность - динамическое состояние
сохранения жизненно важных параметров предприятия в
информационной сфере

23. Как я понимаю ИБ?!
• Информационная безопасность - состояние защищенности
интересов стейкхолдеров предприятия в информационной
сфере, определяющихся совокупностью сбалансированных
интересов личности, общества, государства и бизнеса
• Очень емкое и многоуровневое определение
• Может без изменения применяться в ЛЮБОЙ организации
– Меняться будет только наполнение ее ключевых элементов –
стейкхолдеры, информационная сфера, интересы

24. Стейкхолдеры ИБ
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри
предприятия
Внутри
предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи
предприятия
Снаружи
предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• Банк России
РегуляторыРегуляторы

25. Информационная сфера
• Информационная сфера - это
совокупность информации,
информационной
инфраструктуры, субъектов,
осуществляющих сбор,
формирование,
распространение и
использование информации,
а также системы регулирования
возникающих при этом
отношений
• Обычно мы защищаем только
информацию и информационную
инфраструктуру

26. Интересы стейкхолдеров
• Универсального списка интересов не существует – у каждого
предприятия на каждом этапе его развития в различном
окружении при различных руководителях интересы различны
ИБ
• Конфиденциальность
• Целостность
• Доступность
Юристы
• Соответствие
• Защита от
преследования
• Новые законы
Регуляторы
• Соответствие
Пользователи
• Тайна переписки
• Бесперебойный
Интернет
• Комфорт работы
Акционеры
• Рост стоимости акций
• Контроль топ-
менеджмента
• Прозрачность
ИТ
• Доступность
сервисов
• Интеграция
• Снижение CapEx

27. У разной ИБ и угрозы разные!
Традиционные
• Вредоносное ПО
• DDoS
• Утечки
• НСД
• Превышение
привилегий
• Нарушение
работоспособности
приложения
• Кража ключей ЭП
Нетрадиционные
• Приход регулятора с
проверкой
• Отсутствие лицензии
ФСБ у предприятия
• Отсутствие
сертификата ФСТЭК
на систему защиты
• Внесение изменения в
аттестованный объект
информатизации

28. Предметная область ИБ
Предметная
область
Предметная
область
Защита
информации и
прав на нее
Защита
информации и
прав на нее
Право на доступ к
информации
Право на доступ к
информации
Право на тайнуПраво на тайну
Право на
интеллектуальную
собственность
Право на
интеллектуальную
собственность
Защита от
«вредной»
информации
Защита от
«вредной»
информации
Защита
информационных
систем и прав на
них
Защита
информационных
систем и прав на
них
Источник: Доктрина информационной безопасности РФ

29. Что мы НЕ будем рассматривать?!
• Защита сведений, составляющих государственную тайну
• Защита интеллектуальной собственности
• Защита от вредной информации
• Корпоративное регулирование ИБ
• Электронная подпись и удостоверяющие центры

30. КТО ТАКОЙ АКАДЕМИК
РЫЖОВ?

31. Уровни политики безопасности РФ
ДоктринаДоктрина
Концепция национальной безопасностиКонцепция национальной безопасности
Концепция информационной
безопасности
Концепция информационной
безопасности
ПрограммыПрограммы

32. Алгоритм поведения
Интересы личности,
общества и
государства
Угрозы
Оценка
возможностей
парирования угроз и
защиты интересов
ЗадачиФункцииСтруктуры и органы
Меры

33. 2 взгляда на безопасность РФ

34. Приоритеты безопасности
Безопасность
личности
Безопасность
общества
Безопасность
государства
Безопасность
государства
Безопасность
общества
Безопасность
личности
Результаты комиссии
академика Рыжова Текущее отношение

35. Кто привлекается к системе обеспечения безопасности
РФ?
Законодательная власть
Исполнительная власть
Судебная власть
Государственные организации
Общественные организации
Граждане
Президент РФ
Федеральное Собрание РФ
Правительство РФ
Совет Безопасности РФ
Исполнительная власть
ФЗ«Обезопасности»
Концепция
национальной
безопасности

36. Структура законодательного регулирования
Система
общественных
отношений
Система права
Система
законодательства
• Очень часто под термином
«законодательство» понимают не
только законы в собственном
значении этого слова (акты,
принятые парламентом), но и всю
совокупность нормативных актов
или даже всех вообще документов
по конкретному вопросу
• Случаи перехода общественных
отношений в правоотношения
– По воле субъекта
– Помимо воли и желания субъекта
– Регулируется моралью,
обычаями, эстетическими
нормами

37. ПРАВООТНОШЕНИЯ

38. Правоотношения
• Правоотношения – конкретное общественное отношение,
регулируемое правовыми нормами
• Правоотношение характеризуется следующими элементами:
– Объект правоотношения - то, по поводу чего складывается
правоотношение
– Субъекты правоотношения - стороны, участники правоотношения
– Содержание правоотношения - составляют два взаимосвязанных
элемента
• Субъективное право и юридическая обязанность, которыми
связаны субъекты правоотношения
• Субъективное право – это возможность определенного
поведения
• Юридическая обязанность – соответствующая обязанность
определенного поведения

39. Объекты правоотношений в области ИБ
• Государственная тайна
• Информация ограниченного доступа
• Работы и услуги в области защиты информации (шифрования)
• Операционные риски
• Оценка соответствия средств защиты информации
• Бесперебойность функционирования…
• Защита информации (сама по себе)
• Право на тайну (личной жизни, переписки, связи, телефонных
переговоров и т.д.)
• Виды деятельности субъектов
• Средства защиты информации
• Информационные системы

40. Виды информации ограниченного доступа
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
• Служебная тайна
• Тайна кредитной
истории
• …

41. Что такое конфиденциальная информация?
• Понятие «конфиденциальная информация» изъято из
терминологии законодательства
• Вместо него введены понятия
– «информация ограниченного доступа»
– «информация, в отношение которой установлено требование об
обеспечении ее конфиденциальности»
– «конфиденциальность информации»
• Формально не существует деятельности и по технической защите
конфиденциальной информации
– Нет объекта защиты!
• Указ Президента №188 «Об утверждении перечня сведений
конфиденциального характера» также формально теперь не связан
с другими нормативными актами

42. Виды деятельности
• Деятельность кредитных организаций
• Деятельность в области связи
• Деятельность, связанная с защитой государственной тайны
• Деятельность по технической защите конфиденциальной
информации
• Деятельность по разработке и (или) производству средств защиты
конфиденциальной информации
• Разработка, производство, реализация и приобретение в целях
продажи специальных технических средств, предназначенных для
негласного получения информации
• Деятельность по изготовлению защищенной от подделок
полиграфической продукции
• Деятельность по производству и реализации специального
игрового оборудования

43. Право на тайну
• Тайна переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений
• Тайна частной жизни
• Личная тайна
• Семейная тайна

44. Риски, бесперебойность функционирования и ИБ
ИБИБ РискиРиски БесперебойностьБесперебойность

45. Какие риски бесперебойности рассматривает Банк
России?

46. Меры по обеспечению бесперебойности
функционирования (по 2695-У)
• Меры, направленные на недопущение нарушений
функционирования операционных и технологических средств,
устройств, информационных систем, обеспечивающих учет
информации об остатках электронных денежных средств и их
перевод, а также меры по устранению нарушений
• Анализ причин нарушений функционирования операционных и
технологических средств, устройств, информационных систем,
выработку и реализацию мер по их устранению
• Обеспечение сохранения функциональных возможностей
операционных и технологических средств, устройств,
информационных систем при сбоях в их, осуществление их
тестирования в целях выявления недостатков функционирования,
а в случае выявления указанных недостатков принятие мер по их
устранению

47. Операционные риски
• …несанкционированное использование информационных систем и
ресурсов…, подлог и (или) подделка платежных и иных
документов, несанкционированное проникновение в
информационные системы, повреждение или утрата основных
средств и других материальных активов
• Выход из строя оборудования и систем (например, сбой (отказ) в
работе автоматизированной информационной системы платежной
НКО, систем связи, поломка оборудования)…, отсутствие
(несовершенство) системы защиты и (или) порядка доступа к
информации, неправильная организация информационного обмена
внутри платежной НКО, ошибки при вводе и обработке данных при
осуществлении переводов денежных средств без открытия
банковских счетов и связанных с ними иных банковских операций,
утеря документов и др.
– Указание Банка России 2840-У от 25 июня 2012 года

48. Субъект правоотношений
• Обладатель информации
– Посредник
• Потребитель информации
– Могут быть особенности ввоза шифровальных средств
• Оператор информационной системы
– Оператором информационной системы является собственник
используемых для обработки содержащейся в базах данных
информации технических средств, который правомерно
пользуется такими базами данных, или лицо, с которым этот
собственник заключил договор об эксплуатации информационной
системы
• Владелец сайта в сети «Интернет»
• Провайдер хостинга
• Разработчики ИТ и средств защиты информации

49. Обладатели информации
Обладатель
информации
Обладатель
информации
Физическое
лицо
Физическое
лицо
Юридическое
лицо
Юридическое
лицо
Российская
Федерация
Российская
Федерация
Субъект РФСубъект РФ
Муниципальное
образование
Муниципальное
образование

50. Что такое информация?
• Информация – сведения (сообщения, данные) независимо от
формы их представления
– 149-ФЗ «Об информации, информационных технологиях и
защите информации»
– Юристы до сих пор спорят о правильном толковании термина
• Форма представления
– Письменная (и иные материальные формы – пластик и т.д.)
– Оптическая
– Электрические сигналы
– Устная
– Магнитная
– Полупроводниковая
– В виде изображения или видеозаписи

51. Права обладателя информации
• Обладатель информации вправе устанавливать свои требования
к информации ограниченного доступа, в частности:
– разрешать или ограничивать доступ к информации, определять
порядок и условия доступа,
– использовать информацию, в т.ч. распространять ее, по своему
усмотрению,
– передавать информацию другим лицам по договору или на ином
законном основании
– защищать установленными законом способом свои права
– осуществлять иные действия с информацией или разрешать
осуществление таких действий

52. Документированная информация
• Недокументированная информация ограниченного доступа также
требует защиты, но эти вопросы мало проработаны
• Отсутствие материального носителя для недокументированной
информации (например, воплощенная в устной форме) не
позволяет иметь полноценную доказательную базу, если
информация будет разглашена без согласия ее обладателя
– По этой причине существуют трудности правовой защиты видео-
и голосовой информации ограниченного доступа
ИнформацияИнформация
ДокументированнаяДокументированная
НедокументированнаяНедокументированная

53. Обязанности обладателя информации
• Обладатель информации при осуществлении своих прав обязан:
– соблюдать права и законные интересы иных лиц
– принимать меры по защите информации
– ограничивать доступ к информации, если такая обязанность
установлена федеральными законами

54. Виды информационных систем
• Информационная система
– Совокупность содержащейся в базах данных информации и
обеспечивающих ее обработку информационных технологий и
технических средств
• Существуют разные классификации информационных систем
– ФЗ-149
– Приказ ФСТЭК №17
– РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)
– РД ФСТЭК по ключевым система информационной
инфраструктуры
– Постановление Правительства №1119
– Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от
31.08.2010 "Об утверждении Требований о защите информации,
содержащейся в информационных системах общего
пользования"

55. Классификация информационных систем по ФЗ-149
• Государственные информационные системы
– Федеральные информационные системы и региональные
информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов
Российской Федерации, на основании правовых актов
государственных органов
• Муниципальные информационные системы
– Созданы на основании решения органа местного
самоуправления
– Установленные требования к государственным информационным
системам распространяются на муниципальные
информационные системы, если иное не предусмотрено
законодательством РФ о местном самоуправлении
• Иные информационные системы

56. Классификация информационных систем по приказу
ФСТЭК №17
• Информационная система имеет федеральный масштаб, если
она функционирует на территории РФ (в пределах федерального
округа) и имеет сегменты в субъектах Российской Федерации,
муниципальных образованиях и (или) организациях.
• Информационная система имеет региональный масштаб, если
она функционирует на территории субъекта РФ и имеет сегменты
в одном или нескольких муниципальных образованиях и (или)
подведомственных и иных организациях.
• Информационная система имеет объектовый масштаб, если она
функционирует на объектах одного федерального органа
государственной власти, органа государственной власти субъекта
РФ, муниципального образования и (или) организации и не имеет
сегментов в территориальных органах, представительствах,
филиалах, подведомственных и иных организациях

57. Обязанность защиты
• Обладатель информации обязан принимать меры по защите
информации
– Ст.6 ФЗ-149
• Обладатель информации, оператор информационной системы в
случаях, установленных законодательством Российской
Федерации, обязаны обеспечить…
– Ст.16 ФЗ-149
Требования по защите
устанавливает
Требования по защите
устанавливает
ОбладательОбладатель
Законодательство РФЗаконодательство РФ
• Какие
требования?
• Есть ли
ограничения?
• Какие
подводные
камни?

58. Какие требования по защите установлены
законодательством РФ?
• Защита информации в государственных информационных
системах
• Защита персональных данных
• Защита информации при осуществлении денежных переводов
– В рамках Национальной платежной системы
• Защита ключевых систем информационной инфраструктуры
– Вызывает вопросы
• Отдельные требования в рамках других сфер деятельности
– Кредитные бюро, разработчики игровых автоматов и т.д.

59. Какие требования по защите может установить
обладатель информации?
Требования по
защите выбираются
Требования по
защите выбираются
СамостоятельноСамостоятельно
На основе лучших
практик
На основе лучших
практик
• К лучшим практикам (стандартам) с требованиями по защите
принято относить
– ISO 270xx
– IT-Grundschutz Methodology
– СТО БР ИББС
– …

60. ВВЕДЕНИЕ В СИСТЕМУ
ПРАВА

61. Отрасли права
• Частное право
– Гражданское
• Публичное право
– Конституционное (государственное)
– Уголовное
– Административное
– Процессуальное
• Международное право

62. Взаимосвязь отраслей права
Госорган Компания Физлицо
Конституция
Прокуратура
Гражданское
право
Процессуальное
право
Административное
право
Конституционное
право
Суд
Суд Уголовное
право

63. Отрасли законодательства
• Семейное
• Земельное
• Хозяйственное
• О собственности
• Банковское
• Торговое
• Трудовое
• Налоговое
• Таможенное
• Информационное
• О государственной безопасности
• …

64. Источники права
• Нормативные акты
• Правовой обычай
– Представляет собой санкционированное государством правило
поведения, сложившееся в обществе в результате его
многократного и длительного применения
– В области ИБ отсутствуют, но есть в области права
• Прецедент (в России не применяется)
– Решение судебного органа по конкретному делу, которое
рассматривается в качестве образца при рассмотрении таких же
или аналогичных дел
– Существует два вида прецедентов: судебный и
административный (решение, принимаемое административным
органом или административным судом)
• Правовой договор
– Например, коллективный или международный договор

65. НОРМАТИВНЫЕ АКТЫ

66. Что такое НПА
• «Нормативный правовой акт - это письменный официальный
документ, принятый (изданный) в определенной форме
правотворческим органом в пределах его компетенции и
направленный на установление, изменение или отмену правовых
норм. В свою очередь, под правовой нормой принято понимать
общеобязательное государственное предписание постоянного
или временного характера, рассчитанное на многократное
применение»
– Постановление Государственной Думы Федерального Собрания
Российской Федерации от 11 ноября 1996 г. N 781-II ГД «Об
обращении в Конституционный Суд Российской Федерации»

67. Нормативные и ненормативные акты
• Указы Президента могут быть нормативными, т.е. содержать
общеобязательные правила поведения, и ненормативными
(например, о награждении какого-либо лица)
• Распоряжения Правительства РФ - не имеют нормативного
характера, принимаются по оперативным вопросам
• Ведомственные акты также могут быть нормативными и
ненормативными (например, о составе какого-либо комитета)

68. Нормативные и ненормативные акты
• Нормативные акты отличаются от ненормативных по следующим
признакам
– Адресованы неопределенному или широкому кругу лиц.
– Возможность неоднократного применения акта
• Бывают ситуации, когда в одном документе имеются как
правовые нормы, так и индивидуальные предписания
– В этом смысле такой документ следует считать «нормативным»
актом, но «источником права» будет, строго говоря, только та его
часть, где устанавливаются правовые нормы

69. Высокоуровневая иерархия нормативных актов
Нормативные
акты
Нормативные
акты
МеждународныеМеждународные
НациональныеНациональные
ЗаконодательныеЗаконодательные
ПодзаконныеПодзаконные

70. Иерархия нормативно-правовых актов
Международный
договор
Международный
договор
КонституцияКонституция
Федеральные
конституционные
законы
Федеральные
конституционные
законы
Основы
законодательства
Основы
законодательства
КодексыКодексы
Федеральные
законы
Федеральные
законы
Указы и
Распоряжения
Президента РФ
Указы и
Распоряжения
Президента РФ
Постановления и
Распоряжения
Правительства РФ
Постановления и
Распоряжения
Правительства РФ
Акты министерств
и ведомств
Акты министерств
и ведомств
Конституции и
Уставы субъектов
РФ
Конституции и
Уставы субъектов
РФ
Законы субъектов
РФ
Законы субъектов
РФ
Акты органов
местного
самоуправления
Акты органов
местного
самоуправления

71. ЮРИДИЧЕСКАЯ СИЛА

72. Юридическая сила
• Вертикальная
– Акт вышестоящего органа (должностного лица) обладает
бóльшей юридической силой, чем акт нижестоящего органа
(должностного лица)
• Горизонтальная
– Новый акт имеет бóльшую юридическую силу по отношению к
ранее принятому (изданному) по тому же вопросу нормативному
акту того же государственного органа (должностного лица)
– Классический принцип – последующий акт отменяет
предшествующий
– Могут быть исключения (но редко)

73. Юридическая сила и международные договора
• Горизонтальная
– Принцип «нового акта» не распространяется на ратификацию
международных договоров и на новые законы, посвященные тем
же вопросам, которые решены в международном договоре
• Государства не могут обуславливать неисполнение
международных договоров особенностями национального
законодательства
– Венская конвенция о праве международных договоров

74. Могут ли разные ФЗ иметь разную юридическую силу?
• в ст. 76 Конституции РФ не определяется и не может
определяться иерархия актов внутри одного их вида, в данном
случае - федеральных законов. Ни один федеральный закон в
силу ст. 76 Конституции РФ не обладает по отношению к другому
федеральному закону большей юридической силой. Правильный
же выбор на основе установления и исследования фактических
обстоятельств и истолкование норм, подлежащих применению в
конкретном деле, относится не к ведению КС РФ, а к ведению
судов общей юрисдикции и арбитражных судов. Данная правовая
позиция сформулирована и неоднократно подтверждена
Конституционным Судом РФ в ряде решений, в том числе в
определениях от 9 апреля 1998 года № 48-О, от 12 марта 1998
года № 51-О, от 19 мая 1998 года № 62-О, от 8 октября 1998 года
№ 195-О
– ОПРЕДЕЛЕНИЕ КС РФ от 05.11.1999 № 182-О

75. Что делать, если один ФЗ противоречит другому?
• В отношении федеральных законов как актов одинаковой
юридической силы применяется правило «lex posterior derogat
priori» («последующий закон отменяет предыдущие»),
означающее, что даже если в последующем законе отсутствует
специальное предписание об отмене ранее принятых
законоположений, в случае коллизии между ними действует
последующий закон; вместе с тем независимо от времени
принятия приоритетными признаются нормы того закона, который
специально предназначен для регулирования соответствующих
отношений
– ПОСТАНОВЛЕНИЕ КС РФ от 29.06.2004 № 13-П

76. ПОСТАНОВЛЕНИЕ
ПРАВИТЕЛЬСТВА №1009

77. Документы регуляторов
• Должны быть опубликованы в открытой печати
– п.2 ст.4 ФЗ-152
– п.17 Постановления Правительства №1009 от 13.08.1997 «Об
утверждении Правил подготовки нормативных правовых актов
федеральных органов исполнительной власти и их
государственной регистрации»
• Должны быть зарегистрированы в МинЮсте, т.к. могут
затрагивать обязанности гражданина и устанавливать правовой
статус организаций
– п.10 Постановления Правительства №1009 от 13.08.1997
• Должны быть подписаны только руководителем ФСТЭК, ФСБ
– п.9 Постановления Правительства №1009 от 13.08.1997

78. К чему это ведет?..
• Федеральные органы исполнительной власти направляют для
исполнения нормативные правовые акты, подлежащие
государственной регистрации, только после их регистрации и
официального опубликования
• При нарушении указанных требований нормативные правовые
акты, как не вступившие в силу, применяться не могут
– п.19 Постановления Правительства №1009 от13.08.1997
• Нелегитимность нормативно-правового акта определяет только
суд и МинЮст

79. Изменение 1009-ПП
• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые
акты Правительства Российской Федерации»
– Проекты НПА и нормативных документов ФОИП, которыми
регулируются отношения в области организации и
осуществления государственного контроля (надзора), в области
установления, применения и исполнения обязательных
требований к продукции или связанным с ними процессам
проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации, в области оценки
соответствия и в области безопасности процессов производства,
подлежат направлению в МЭР РФ на заключение об оценке
регулирующего воздействия

80. Изменение 1009-ПП (окончание)
• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторые
акты Правительства Российской Федерации»
– В этом заключении дается оценка регулирующего воздействия
соответствующих решений с целью выявления положений,
вводящих избыточные административные и иные ограничения и
обязанности для субъектов предпринимательской и иной
деятельности или способствующих их введению, а также
положений, способствующих возникновению необоснованных
расходов субъектов предпринимательской и иной деятельности и
бюджетов всех уровней бюджетной системы Российской
Федерации

81. ВСТУПЛЕНИЕ В СИЛУ

82. Вступление нормативного акта в силу
• Закон вступает в силу с момента его опубликования, если иное не
установлено в самом законе
• Порядок вступления в силу нормативно-правовых актов
определяется
– п.3.ст.15 Конституции РФ
– ФЗ от 14.06.94 № 5-ФЗ «О порядке опубликования и вступления в
силу федеральных конституционных законов, федеральных
законов, актов палат Федерального Собрания»
– Указом Президента РФ от 23 мая 1996 года № 763 «О порядке
опубликования и вступления в силу актов Президента
Российской Федерации, Правительства Российской Федерации и
нормативных правовых актов Федеральных органов
исполнительной власти»
– Постановление Правительства РФ от 13 августа 1997 г. № 1009

83. Вступление нормативного акта в силу
• По общему правилу федеральные конституционные законы,
федеральные законы вступают в силу одновременно на всей
территории РФ по истечении 10 дней после дня их официального
опубликования
• Однако самим законом может быть установлен специальный
порядок вступления его в силу
• Наиболее распространенным специальным правилом является
указание в самом законе точной даты вступления его в силу, но
могут быть и разновидности этого правила
– например, «Настоящий Федеральный закон вводится в действие
на всей территории Российской Федерации через шесть месяцев
после его официального опубликования» (ФЗ-152)

84. Опубликование закона
• В силу п.3.ст.15 Конституции РФ законы подлежат официальному
опубликованию
• Неопубликованные законы не применяются
• Любые нормативные правовые акты, затрагивающие права,
свободы и обязанности человека и гражданина, не могут
применяться, если они не опубликованы официально для
всеобщего сведения
• Официальным опубликованием закона считается первая
публикация полного текста соответствующего закона в
– «Парламентской газете»
– «Российской газете»
– Собрании законодательства РФ
– На официальном интернет-портале правовой информации
(www.pravo.gov.ru)

85. Опубликование актов Президента и Правительства
• Акты Президента РФ, имеющие нормативный характер,
вступают в силу одновременно на всей территории РФ по
истечении 7 дней после дня их первого официального
опубликования
• Акты Правительства РФ, затрагивающие права, свободы и
обязанности человека и гражданина, устанавливающие правовой
статус федеральных органов исполнительной власти, а также
организаций, вступают в силу одновременно на всей территории
РФ по истечении 7 дней после дня их первого официального
опубликования
• Иные акты Президента РФ и Правительства РФ, в том числе
акты, содержащие сведения, составляющие государственную
тайну, или сведения конфиденциального характера, вступают в
силу со дня их подписания

86. Опубликование актов Президента и Правительства
• Официальным опубликованием актов Президента РФ и
Правительства РФ считается публикация их текстов
– в «Российской газете»
– в Собрании законодательства РФ
– официальными являются также тексты названных актов,
распространяемые в машиночитаемом виде научно-техническим
центром правовой информации «Система»
• Так же как и законы, акты Президента РФ и Правительства РФ
могут устанавливать иной порядок вступления их в силу, что
широко используется в правотворческой деятельности как
Президента РФ, так и Правительства РФ

87. Опубликование ведомственных актов
• Под официальной публикацией признается публикация
– в газете "Российские вести" в течение 10 дней после дня их
регистрации
– а также в Бюллетене нормативных актов федеральных
органов исполнительной власти издательства "Юридическая
литература"
– Официальным также является указанный Бюллетень,
распространяемый в машиночитаемом виде научно -
техническим центром правовой информации "Система"

88. Опубликование актов субъектов РФ и органов местного
самоуправления
• Акты субъектов Российской Федерации подлежат официальному
опубликованию в изданиях субъекта РФ - так, например, в Москве
акты публикуются
– в газете «Тверская, 13»
– в «Ведомостях Московской Думы»
– в «Вестник Мэрии Москвы»

89. О КОРРУПЦИОГЕННОСТИ
НОРМАТИВНЫХ АКТОВ

90. О коррупциогенности НПА
• Любые нормативно-правовые акты должны проходить проверку
по методике проведения экспертизы проектов нормативных
правовых актов и иных документов в целях выявления в них
положений, способствующих созданию условий для проявления
коррупции
– Постановление Правительства от 5 марта 2009 г. №196
• Новый ФЗ-152 не проходил такую проверку!

91. О коррупциогенности НПА (продолжение)
• Факторы, связанные с реализацией полномочий органа
государственной власти
– Установление неопределенных, трудновыполнимых и
обременительных требований к организациям
– Отсутствие четкой регламентации прав организаций
– Возможность необоснованного установления исключений из
общего порядка для организаций по усмотрению органов власти
– Установление общеобязательных правил поведения в
подзаконном акте в условиях отсутствия закона
– Употребление неустоявшихся, двусмысленных терминов и
категорий оценочного характера
– 5 из 9 факторов!

92. О коррупциогенности НПА (продолжение)
• Факторы, связанные с правовыми пробелами
– Отсутствие порядка совершения органами власти определенных
действий либо одного из элементов такого порядка
– Отсутствие превентивных антикоррупционных норм
– Отсутствие норм о юридической ответственности служащих, а
также норм об обжаловании их действий (бездействия) и
решений
– Отсутствие норм, обеспечивающих возможность осуществления
контроля, в том числе общественного, за действиями органов
власти
– Отсутствие норм, предусматривающих раскрытие информации о
деятельности органов власти и порядка получения информации
по запросам граждан и организаций
– 5 из 7 факторов

93. О коррупциогенности НПА (окончание)
• Факторы системного характера
– Противоречия (нормативные коллизии), в том числе внутренние,
между нормами, создающие для органов власти возможность
произвольного выбора норм, подлежащих применению в
конкретном случае

94. ПРЕКРАЩЕНИЕ ДЕЙСТВИЯ
НОРМАТИВНЫХ АКТОВ

95. Прекращение действия нормативных актов
• Прекращение действия законов и других нормативно-правовых
актов, а также утрата ими юридической силы происходят в
результате следующих обстоятельств
– в результате истечения срока действия закона или иного
нормативно-правового акта, который заранее указывается в
самом акте
– в результате прямой отмены действующего нормативно-
правового акта и замены его другим актом, изданным
компетентным государственным органом
– в результате замены действующего нормативного акта другим
актом, устанавливающим в данной области новые правила
поведения. Юридическая сила прежнего акта утрачивается в
момент введения в действие нового акта

96. ИМЕЕТ ЛИ ЗАКОН
ОБРАТНУЮ СИЛУ?

97. Закон обратной силы не имеет
• Это в общем случае так, но в различных отраслях права
существуют особые правила действия правовых актов
• Для гражданско-правовых отношений, вытекающих из
заключенного договора, в качестве исключения введено правило
(п.2 ст.422 ГК РФ):
– действие закона, устанавливающего обязательные для сторон
правила, иные, чем те, которые действовали при заключении
договора, может распространяться на отношения, возникшие из
ранее заключенного договора, если это прямо указано в законе

98. Закон обратной силы не имеет
• В отношении уголовных правоотношений действует правило
иного рода (ст.10 УК РФ):
– уголовный закон, устанавливающий преступность деяния,
смягчающий наказание или иным образом улучшающий
положение лица, совершившего преступление, имеет обратную
силу, то есть распространяется на лиц, совершивших
преступление до вступления такого закона в силу...
• Уголовный закон, устанавливающий преступность деяния,
усиливающий наказание или иным образом ухудшающий
положение лица, обратной силы не имеет

99. ДЕЙСТВИЕ НОРМАТИВНОГО
АКТА В ПРОСТРАНСТВЕ

100. Действие нормативных актов в пространстве
• По территориальному критерию все нормативно-правовые акты
подразделяются на акты, действие которых распространяется на
– всю территорию государства
– акты, охватывающие определенную ее часть
– акты, действие которых распространяется за пределы
территории страны
• «Если международным договором Российской Федерации
установлены иные правила, чем предусмотренные законом, то
применяются правила международного договора»
– Ст.15 Конституции РФ
• Примеры: PCI DSS, Евроконвенция по персональным данным

101. Сила международных договоров
• Общепризнанные принципы и нормы международного права и
международные договоры РФ являются составной частью ее
правовой системы
• Если международным договором РФ установлены иные правила,
чем предусмотренные законом, то применяются правила
международного договора
– п. 4 ст. 15 Конституции РФ
• При этом Конституция РФ и федеральные законы имеют
верховенство на всей территории Российской Федерации
– п. 2 ст. 4 Конституции РФ
• Дуализм решается следующим образом - международный
договор и его нормы должен быть имплементирован в
национальное законодательство национальным законом
– Напрямую применять международный договор невозможно

102. ОСНОВНЫЕ
ДОКТРИНАЛЬНЫЕ
ПРИНЦИПЫ

103. Основные доктринальные принципы
• «Все, что не запрещено, разрешено» и наоборот
• Каждое правонарушение подразумевает ответственность
• Последующее отменяет предыдущее
• Приоритет специального закона по отношению к общему закону
• Незнание закона не освобождает от ответственности
• Неопубликованные законы не применяются
• Отягчающий закон обратной силы не имеет
• «Презумпция невиновности»

104. Все, что не запрещено, разрешено
• Основополагающий принцип частного права (диспозитивная
норма)
• У государственных органов принцип прямо противоположный –
«все, что не разрешено, запрещено» (императивная норма)
– Госорганы действуют только в рамках своей компетенции,
установленной нормативными актами

105. Каждое правонарушение подразумевает ответственность
• Если ответственность за нарушение какого-либо нормативного
требования не установлена, то и данное требование в
юридическом смысле не существует

106. Последующее отменяет предыдущее
• Posterior potior est priori – этот принцип относится ко всем
официальным юридическим актам
• В этом контексте формулируется следующее правило: из двух
правовых актов, изданных одним и тем же государственным
органом по одному и тому же вопросу, действует акт, принятый в
более позднее время

107. Общие и специальные нормы права
• По предмету действия различаются законы общие и специальные
• Специальный закон детализирует общее правило, устанавливает
исключения или особенности регулирования некоторых
отношений, которые входят в предмет регулирования общего
закона
• Отсюда вытекает принцип lex speciali derogat legi generali (если
есть специальный закон, то общий не применяется)

108. Общие и специальные нормы права
• Если нормативные акты, содержащие общую и специальную
норму находятся в иерархической соподчиненности, то акт
низшей силы может устанавливать специальные нормы лишь в
том случае, если это прямо предусмотрено актом высшей силы
• При наличии общей нормы закона подзаконные нормативные
акты применяются тогда, когда общий закон прямо
предусматривает установление специальных норм именно в
подзаконных актах – например, в постановлениях правительства

109. Пример: оценка соответствия
ФЗ-149ФЗ-149
Оценка соответствия
только для
государственных
информационных
систем
Для остальных
заказчиков
требований по оценке
соответствия средств
защиты нет
ФЗ-152ФЗ-152
Средства защиты
персональных данных
подлежат оценке
соответствия в
установленном
порядке

110. Пример: защита ПДн при переводе денежных средств
ФЗ-152ФЗ-152
Общие нормы по
защите ПДн
Требования по защите
установлены в ПП-
1119
Детальные
требования
установлены приказом
ФСТЭК №21
ФЗ-161ФЗ-161
Распространяется на
защиту информации
при осуществлении
денежных средств, в
т.ч. на ПДн
Требования по
защите, в т.ч. ПДн,
установлены в 382-П

111. Неопубликованные законы не применяются
• Любой закон должен быть опубликован для всеобщего сведения,
прежде чем можно будет его применять и, в частности,
привлекать к юридической ответственности на основании этого
закона
• Нельзя привлекать к ответственности за нарушение закона,
которого не просто не знают, но и, по общему правилу, не могут
знать
• «Законы подлежат официальному опубликованию.
Неопубликованные законы не применяются. Любые нормативные
правовые акты, затрагивающие права, свободы и обязанности
человека и гражданина, не могут применяться, если они не
опубликованы официально для всеобщего сведения»
– ч.3 ст.15 Конституции РФ

112. Неопубликованные законы не применяются
• Не бывает нормативных правовых актов, не опубликованных для
всеобщего сведения. Если нормативный акт, тем более –
затрагивающий права, свободы и обязанности, не опубликован,
то он не является правовым, не имеет юридической силы

113. Пример: сертификация средств защиты ГИС и ПДн
• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством РФ информации ограниченного доступа, не
содержащей сведения, составляющие государственную тайну, а
также процессов ее проектирования (включая изыскании),
производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации, утилизации и захоронения,
об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по
подтверждению соответствия указанной продукции (работ,
услуг)»
– ДСП

114. Постановление Правительства 330
• Сфера применения - государственные информационные ресурсы
и персданные
– Нелогично, но зато не на все виды информации
• Оценка соответствия осуществляется в формах обязательной
сертификации и государственного контроля (надзора)
– Теперь только сертифицированные средства защиты
информации
• Принцип подтверждения соответствия – «ограниченный доступ к
информации и документам, касающимся установления
обязательных требований, сертификационных испытаний
продукции и подтверждения ее соответствия, а также методов и
способов защиты информации конфиденциального характера»

115. Где взять ПП-330?
• Cisco направила официальный запрос в ФСТЭК по факту
получения ПП-330
– Ответ: вы не лицензиат ФСТЭК, документ вам не положен
• Один лицензиат ФСТЭК направил официальный запрос в ФСТЭК
по факту получения ПП-330
– Ответ: мы не Правительство и не можем распространять его
документы
• Резюме: на законных основаниях получить текст ПП-330 вы не
можете

116. А надо ли выполнять ПП-330?
• На основании и во исполнение … могут принимать нормативные
правовые акты по отдельным вопросам, касающимся обработки
персональных данных… такие акты …подлежат официальному
опубликованию
– Ст.4.2 ФЗ-152
• Открытость и доступность для юридических лиц и
индивидуальных предпринимателей нормативных правовых
актов, устанавливающих обязательные требования, выполнение
которых проверяется при проведении государственного контроля
(надзора)
– ФЗ-294

117. Отягчающий закон обратной силы не имеет
• Закон, устанавливающий или отягчающий ответственность,
обратной силы не имеет, т.е. действует на будущее (ex nunc) и не
применяется к деяниям, которые были совершены до его
вступления в силу. Наоборот, смягчающий закон имеет обратную
силу, т.е. применяется к деяниям, совершенным до его принятия
• «Никто не может нести ответственность за деяние, которое в
момент его совершения не признавалось правонарушением. Если
после совершения правонарушения ответственность за него
устранена или смягчена, применяется новый закон»
– ч.2 ст.54 Конституции РФ

118. Отягчающий закон обратной силы не имеет
• Если закон устраняет ответственность, т.е. устанавливает, что
соответствующее деяние не является правонарушением, то он
должен применяться ex tunc – ко всем деяниям, которые были
совершены с момента принятия прежнего закона
– Все наказанные по прежнему закону должны быть
реабилитированы
• Если же закон не устраняет, а только смягчает юридическую
ответственность, т.е. не отрицает, что деяние является
правонарушением, то он должен применяться, по меньшей мере,
к тем уже совершенным деяниям, ответственность за которые
еще не наступила (например, наказание еще не назначено)

119. Обвиняемый считается невиновным, пока его виновность
не доказана
• Административное право (презумпция правомерности): истец
(заявитель) должен доказать, что административный акт не
соответствует закону
• Конституционное право (презумпция правомерности): заявитель
должен доказать, что закон не соответствует Конституции
• Уголовное право (презумпция невиновности): обвинитель должен
доказать, что обвиняемый совершил преступление
• Гражданское право: истец должен доказать, что ответчик не
выполнил обязательства или причинил вред
– Не существует понятия презумпции невиновности - речь идет лишь
об обязанности надлежащего ответчика выполнить обязательство
и возместить убытки или возместить причиненный им вред
– При этом предполагается вина лица, в отношении которого
установлено, что оно нарушило обязательство или причинило вред

120. Обвиняемый не обязан доказывать свою невиновность
• Частная формулировка презумпции невиновности
– Запрет возлагать доказывание невиновности на обвиняемого
(подсудимого) не лишает обвиняемого права опровергать доводы
обвинения и тем самым подтверждать свою невиновность
• В гражданском процессе лицо, против которого подан иск, не
обязано доказывать, что оно не является надлежащим ответчиком.
Оно признается надлежащим ответчиком лишь в том случае, если
истец предъявит достаточные доказательства того, что лицо,
привлеченное по данному делу в качестве ответчика, не выполнило
обязательство или причинило вред
– Лицо, уже признанное надлежащим ответчиков, обязано выполнить
требования истца, либо доказать, что оно не обязано выполнять
эти требования. Поэтому отсутствие вины, в частности, наличие
непреодолимой силы или умысла потерпевшего, доказывается
самим лицом, нарушившим обязательство или причинившим вред

121. РЕГУЛЯТОРЫ И ИХ
ТРЕБОВАНИЯ

122. Регуляторы в области ИБ
ИБИБ
ФСТЭКФСТЭК
ФСБФСБ
Минком-
связь
Минком-
связь
МОМО
СВРСВР
ФСОФСО
ЦБЦБ
PCI
Council
РКН
СовБез
МВД
МинЭнерго

123. А это еще не все ;-)
• 23 августа 2012 года Президент Путин подписал Указ «Об
утверждении Положения об Управлении Президента Российской
Федерации по применению информационных технологий и
развитию электронной демократии»
– Участие в обеспечении реализации решений Президента
Российской Федерации, Администрации Президента Российской
Федерации, координационных и совещательных органов при
Президенте Российской Федерации по вопросам применения
информационных технологий в целях обеспечения безопасности
граждан в информационно-коммуникационных сетях
• Росфинмониторинг хочет регулировать электронные деньги
• Национальный антитеррористический комитет хочет
регулировать деятельность кибертеррористов и
киберэкстремистов

124. ДИНАМИКА ПРИНЯТИЯ
НОРМАТИВНЫХ АКТОВ

125. В среднем появляется 4 нормативных акта в месяц
0
1
2
3
4
5
6
7
8

126. Большинство нормативных актов обязательны
86
15
6 7
Обязательный
Рекомендации
Пожелание
Разъяснение

127. Процесс разработки нормативных актов продолжается
40
74
Проект
Принят

128. Около половины всех нормативных актов – это
Федеральные Законы или Постановления Правительства
3
2
6
5
26
22
20
1
3
2
5
1 2
4
1 Распоряжение Правительства
Положение Банка России
Указание Банка России
Информационное сообщение
Федеральный закон
Приказ
Постановление Правительства
Поручение Правительства
Поручение Президента
Методика
Письмо Банка России
Кодекс
Политика
Стандарт
Письмо ФТС

129. Инициаторы появления нормативных актов
традиционные
14
18
17
12
5
14
15
2
2 1 1
3
1 1
1
Минкомсвязь
Банк России
ФСТЭК
ФСБ
Роскомнадзор
Президент России
Правительство России
Совет Федерации
Совет Безопасности
Минэкономразвития
Верховный суд
НП НПС
ФССП
Федеральная нотариальная палата
ФТС

130. НПС/банки/госорганы/операторы связи – в приоритете
последних дней
59
17
10
8
10
2 1 1 1 1 1 Все
НПС
Банки
Госорганы
Операторы связи
ТЭК
УК, ТСЖ, ЖК, ЖСК
Нотариусы

131. Что происходило относительно недавно?
• Постановления Правительства по
персональным данным
• Финансовая отрасль
– ФЗ «О национальной платежной
системе»
– ПП-584 и 382-П
• ФЗ «Об электронной подписи»
– Планируют вновь перенести на
01.01.2015
• ФЗ «О госуслугах» и СМЭВ
• Безопасность ТЭК и КВО
• Новые НПА о лицензировании
• Новые НПА об оценке соответствия
• Борьба с негативной информацией
• Интеграция в мировое сообщество
• Требования по УЦ и ЭП

132. Что будет происходить совсем скоро?
• Персональные данные
– Новые приказы ФСТЭК и ФСБ
• Финансовая отрасль
– Новые документы по НПС
– СТО БР ИББС v5
• Требования к КВО и ТЭК
• Контроль Интернет
– «Черные списки»
– Борьба с анонимайзерами
– Контроль социальных сетей
– Облачные технологии
• Контроль западного влияния

133. ПЕРСОНАЛЬНЫЕ ДАННЫЕ

134. Базовая иерархия документов по ПДн
Приказы и
иные документы
Постановления
Правительства
Законы
Конвенции и иные
международные договора
Европейская
Конвенция
Европейская
Конвенция
ФЗ №152 от
26.07.2006
ФЗ №160 от
19.12.2005
ФЗ №152 от
26.07.2006
ФЗ №160 от
19.12.2005
№1119 от
01.11.2012
№1119 от
01.11.2012
Приказ ФСТЭК
№21 от
18.02.2013
Приказ ФСТЭК
№21 от
18.02.2013
2 методички от
ФСБ
2 методички от
ФСБ
№687 от
15.09.2008
№687 от
15.09.2008
№512 от
6.07.2008
№512 от
6.07.2008
№221 от
21.03.2012
№221 от
21.03.2012
№940 от
18.09.2012
№940 от
18.09.2012
Директивы
Евросоюза /
Европарламента
Рекомендации
ОЭСР
Рекомендации
АТЭС
• Тематику ПДн поднимают около двух сотен федеральных
законов, указов Президента, постановлений Правительства и
других нормативных актов
– Не всегда напрямую – могут упоминаться категории ПДн,
относящиеся к разряду общедоступных и т.д.

135. Это не все?!
• Тематику ПДн поднимают около двух сотен федеральных
законов, указов Президента, постановлений Правительства и
других нормативных актов
– Не всегда напрямую – могут упоминаться категории ПДн,
относящиеся к разряду общедоступных и т.д.
– Знание законов, включая ГК РФ, позволяет оптимизировать
вопросы, связанные с обработкой ПДн

136. Обработка – это не только обработка
• Обработка ПДн – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных

137. Что такое персональные данные
• Персональные данные – любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных)
– Ст.3 ФЗ-152
• «Персональные данные» означают любую информацию об
определенном или поддающемся определению физическом лице
(субъект данных)
– ФЗ от 19.12.2005 №160 «О ратификации конвенции Совета
Европы о защите физических лиц при автоматизированной
обработке персональных данных»