Справочник законодательства РФ в области информационной безопасности
Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации
Предисловие
Для облегчения восприятия весь массив документов разделен на смысловые блоки, которые применяются для регулирования тех или иных областей информационной безопасности.
К сожалению большая часть приведенных документов применяется для регулирования сразу нескольких областей права, поэтому предложенная классификация весьма условна. Документы в справочнике упоминаются только один раз. Это немного затрудняет поиск, но существенно сокращает объем справочника.
Предлагаемый справочник не является исчерпывающим, но содержит, пожалуй, основные направления обеспечения информационной безопасности в России.
В справочнике, за редким исключением, отсутствуют ссылки на документы ограниченного распространения, национальные стандарты и проекты документов.
Большая часть документов представлена в виде ссылок на справочно-правовую систему «Консультант+», при этом некоторые документы будут недоступны для бесплатного просмотра в рабочее время. Для таких документов рядом с названием в квадратных скобках будет даваться альтернативная ссылка, доступная в рабочее время.
Представленные документы актуальны на момент публикации данного справочника.
Приятного просмотра и успешной работы!
Основы законодательства
- «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ)
- Федеральный закон от 14.06.1994 N 5-ФЗ (ред. от 01.07.2017) «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания»
Комментарий. Данный закон и изданные на его основе документы определяют случаи, при которых нормативно-правовые акты государственных регуляторов считаются обязательными к применению.
- Указ Президента РФ от 23.05.1996 N 763 (ред. от 29.05.2017) «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти»
- Постановление Правительства РФ от 13.08.1997 N 1009 (ред. от 31.10.2018) «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации»
Стратегические документы
- «Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года» (утв. Президентом РФ 24.07.2013 N Пр-1753) [Гарант]
- Указ Президента РФ от 31.12.2015 N 683 «О Стратегии национальной безопасности Российской Федерации»
- Указ Президента РФ от 05.12.2016 N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» [Кодекс]
- Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы» [Кодекс]
- Выписка из Основных направлений научных исследований в области обеспечения информационной безопасности Российской Федерации (утв. Секретарем Совета Безопасности Российской Федерации Н.П.Патрушевым 31 августа 2017 г.)
Системообразующие документы
Комментарий. Данные документы тем или иным образом регулируют практически любую ситуацию, связанную с обеспечением ИБ.
- «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ (ред. от 03.08.2018)
- «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 N 14-ФЗ (ред. от 29.07.2018)
- «Гражданский кодекс Российской Федерации (часть третья)» от 26.11.2001 N 146-ФЗ (ред. от 03.08.2018)
- «Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ (ред. от 23.05.2018)
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) «Об информации, информационных технологиях и о защите информации»
- Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» [Кодекс]
Государственные регуляторы
ФСТЭК России
- Указ Президента РФ от 16.08.2004 N 1085 (ред. от 08.05.2018) «Вопросы Федеральной службы по техническому и экспортному контролю» (Выписка)
- Приказ ФСТЭК России от 12.05.2005 N 167 (ред. от 26.04.2018) «Об утверждении Регламента Федеральной службы по техническому и экспортному контролю» (Зарегистрировано в Минюсте России 06.06.2005 N 6682) [Кодекс]
ФСБ России
- Федеральный закон от 03.04.1995 N 40-ФЗ (ред. от 07.03.2018) «О федеральной службе безопасности»
- Указ Президента РФ от 11.08.2003 N 960 (ред. от 03.07.2018) «Вопросы Федеральной службы безопасности Российской Федерации» [Кодекс]
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь)
Роскомнадзор
Банк России
Комментарий. Полномочия ЦБ в области ИБ «размазаны» по законодательству, в частности, в законах «О национальной платежной системе», «О безопасности критической информационной инфраструктуры Российской Федерации» и др.
Техническое регулирование
Комментарий. Здесь под техническим регулированием подразумевается: стандартизация (определение необходимости использования национальных или международных стандартов), определение процедур оценки соответствия средств защиты информации (например, обязательная сертификация), определение мероприятий по аттестации объектов информатизации по требованиям безопасности информации, особенности проведения измерений.
- Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 29.07.2017) «О техническом регулировании»
- Федеральный закон от 26.06.2008 N 102-ФЗ (ред. от 13.07.2015) «Об обеспечении единства измерений»
- Федеральный закон от 29.06.2015 N 162-ФЗ (ред. от 03.07.2016) «О стандартизации в Российской Федерации»
Техническое регулирование. Сертификация средств защиты информации
Комментарий. Закон устанавливает обязанность использования бюро кредитных историй сертифицированных средств защиты информации.
- Постановление Правительства РФ от 26.06.1995 N 608 (ред. от 21.04.2010) «О сертификации средств защиты информации» [Кодекс]
- Постановление Правительства РФ от 21.04.2010 N 266 (ред. от 03.11.2014) «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения и о внесении изменения в Положение о сертификации средств защиты информации» (вместе с «Положением об особенностях оценки соответствия продукции (работ, услуг,) используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг,) сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания,) производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения») [Кодекс]
- Приказ ФСТЭК России от 10.04.2015 N 33 «Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности» (Зарегистрировано в Минюсте России 20.05.2015 N 37342) [Кодекс]
- Приказ ФСТЭК России от 03.04.2018 N 55 «Об утверждении Положения о системе сертификации средств защиты информации» (Зарегистрировано в Минюсте России 11.05.2018 N 51063) [Кодекс]
Техническое регулирование. Аттестация объектов информатизации
Комментарий. Необходимость обязательной аттестации объектов информатизации по требованиям безопасности информации содержится также и в других документах, например, в Приказе ФСТЭК России от 11.02.2013 N 17 и др.
- «Положение по аттестации объектов информатизации по требованиям безопасности информации» (утв. Гостехкомиссией РФ 25.11.1994) [Кодекс]
- «Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации» (утв. Приказом Гостехкомиссии от 05.01.1996 N 3) [Кодекс]
Лицензирование деятельности в области информационной безопасности
Комментарий. Лицензирование деятельности, связанной с защитой или обработкой государственной тайны, осуществляется в соответствии с законом «О государственной тайне» и выпущенными на его основе документами.
- Постановление Правительства РФ от 21.11.2011 N 957 (ред. от 26.06.2018) «Об организации лицензирования отдельных видов деятельности»
- Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) «О лицензировании деятельности по технической защите конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по технической защите конфиденциальной информации»)
- Постановление Правительства РФ от 03.03.2012 N 171 (ред. от 15.06.2016) «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»)
- Постановление Правительства РФ от 12.04.2012 N 287 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации»
- Постановление Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
- Постановление Правительства РФ от 16.04.2012 N 314 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
- Приказ ФСБ России от 30.08.2012 N 440 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» [Кодекс]
- Приказ ФСБ России от 23.03.2016 N 182 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (Зарегистрировано в Минюсте России 18.04.2016 N 41821) [Кодекс]
- Приказ ФСТЭК России от 17.07.2017 N 133 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации» (Зарегистрировано в Минюсте России 11.08.2017 N 47757) [Кодекс]
- ПЕРЕЧЕНЬ технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79[ФСТЭК России]
Комментарий. В документе содержится исчерпывающий перечень основных руководящих документов ФСТЭК России.
- ПЕРЕЧЕНЬ контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79[ФСТЭК России]
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 26 марта 2015 г. N 240/13/1139 «О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации»
Информационная безопасность и персонал
Комментарий. Документы определяют: обязанности персонала по обеспечению ИБ, меры дисциплинарной ответственности, особенности обработки ПДн персонала, типовые требования к персоналу, особенности повышения квалификации.
- «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 11.10.2018)
- Федеральный закон от 27.07.2004 N 79-ФЗ (ред. от 30.10.2018) «О государственной гражданской службе Российской Федерации»
- Постановление Правительства РФ от 06.05.2016 N 399 (ред. от 11.07.2018) «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса» (вместе с «Правилами организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса») [Кодекс]
- «Квалификационный справочник должностей руководителей, специалистов и других служащих» (утв. Постановлением Минтруда России от 21.08.1998 N 37) (ред. от 27.03.2018) [Кодекс]
Судебные тяжбы, компьютерная криминалистика
- «Уголовно-процессуальный кодекс Российской Федерации» от 18.12.2001 N 174-ФЗ (ред. от 30.10.2018)
- «Арбитражный процессуальный кодекс Российской Федерации» от 24.07.2002 N 95-ФЗ (ред. от 03.08.2018)
- «Гражданский процессуальный кодекс Российской Федерации» от 14.11.2002 N 138-ФЗ (ред. от 03.08.2018)
- «Кодекс административного судопроизводства Российской Федерации» от 08.03.2015 N 21-ФЗ (ред. от 19.07.2018)
Ответственность за нарушения в области информационной безопасности
Комментарий. Меры дисциплинарной, гражданско-правовой ответственности, а также требования по компенсации морального вреда описаны в «Трудовом кодексе РФ», «Гражданском кодексе РФ» и других документах.
- «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 03.10.2018)
- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ (ред. от 11.10.2018)
Руководящие документы ФСТЭК России
Комментарий. С полным перечнем руководящих документов ФСТЭК России можно ознакомиться в «Перечне технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (новая редакция)».
Криптография
- Приказ ФАПСИ от 13.06.2001 N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Зарегистрировано в Минюсте РФ 06.08.2001 N 2848)[Кодекс]
- Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382) [Кодекс]
- Решение Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 (ред. от 16.10.2018) «О мерах нетарифного регулирования» (вместе с «Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза органов и тканей человека, крови и ее компонентов, образцов биологических материалов человека», «Положением о вывозе с таможенной территории Евразийского экономического союза минерального сырья», «Положением о вывозе с таможенной территории Евразийского экономического союза диких живых животных, отдельных дикорастущих растений и дикорастущего лекарственного сырья», «Положением о вывозе с таможенной территории Евразийского экономического союза редких и находящихся под угрозой исчезновения видов диких живых животных и дикорастущих растений, включенных в красные книги государств — членов Евразийского экономического союза», «Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза опасных отходов», «Положением о вывозе с таможенной территории Евразийского экономического союза культурных ценностей, документов национальных архивных фондов и оригиналов архивных документов», «Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств», «Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза наркотических средств, психотропных веществ и их прекурсоров»)
- ИЗВЕЩЕНИЕ ФСБ России от 18.07.2016 по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет»
Электронная подпись
Комментарий. Электронная подпись является одним из видов аналога собственноручной подписи, применение которого регламентируется ГК РФ.
- Постановление Правительства РФ от 25.01.2013 N 33 (ред. от 20.11.2018) «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» (вместе с «Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг»)
- Приказ ФСБ РФ от 27.12.2011 N 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» [Кодекс]
- Приказ ФСБ РФ от 27.12.2011 N 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» (Зарегистрировано в Минюсте РФ 09.02.2012 N 23191) [Кодекс]
- Приказ Министерства связи и массовых коммуникаций РФ от 30 ноября 2015 г. N 486 «Об утверждении административных регламентов предоставления Министерством связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации удостоверяющих центров и исполнения Министерством связи и массовых коммуникаций Российской Федерации государственной функции по осуществлению государственного контроля и надзора за соблюдением аккредитованными удостоверяющими центрами требований, которые установлены Федеральным законом „Об электронной подписи“ и на соответствие которым эти удостоверяющие центры были аккредитованы» [Кодекс]
- Приказ Минкомсвязи России от 22.08.2017 N 436 «Об утверждении Порядка формирования и ведения реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров» (Зарегистрировано в Минюсте России 22.09.2017 N 48283) [Кодекс]
Государственная тайна
- Закон РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) «О государственной тайне»
- Постановление Правительства РФ от 15.04.1995 N 333 (ред. от 23.08.2018) «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» [Кодекс]
- Постановление Правительства РФ от 04.09.1995 N 870 (ред. от 18.03.2016) «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» [Pravo.GOV.RU]
- Указ Президента РФ от 30.11.1995 N 1203 (ред. от 03.09.2018) «Об утверждении Перечня сведений, отнесенных к государственной тайне» [Кодекс]
- Постановление Правительства РФ от 06.02.2010 N 63 (ред. от 29.12.2016) «Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне»
Служебная тайна
- Постановление Правительства РФ от 03.11.1994 N 1233 (ред. от 18.03.2016) «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»[Кодекс]
Коммерческая тайна
Банковская тайна
Комментарий. Понятие банковской тайны также определено в ГК РФ.
Инсайдерская информация
- Федеральный закон от 27.07.2010 N 224-ФЗ (ред. от 03.08.2018) «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»
- Указание Банка России от 11.09.2014 N 3379-У (ред. от 20.12.2017) «О перечне инсайдерской информации лиц, указанных в пунктах 1 — 4, 11 и 12 статьи 4 Федерального закона „О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации“ (Зарегистрировано в Минюсте России 15.10.2014 N 34325) [Кодекс]
Защита связи
- Федеральный закон от 17.07.1999 N 176-ФЗ (ред. от 29.06.2018) „О почтовой связи“
- Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 03.08.2018) „О связи“
- Постановление Правительства РФ от 25.06.2009 N 532 (ред. от 28.01.2015) „Об утверждении перечня средств связи, подлежащих обязательной сертификации“ [Кодекс]
- Постановление Правительства РФ от 27.08.2005 N 538 (ред. от 25.09.2018) „Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность“ [Кодекс]
- Постановление Правительства РФ от 12.04.2018 N 445 (ред. от 20.11.2018) „Об утверждении Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи“ [Кодекс]
- Приказ Мининформсвязи РФ от 09.01.2008 N 1 „Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации“ (Зарегистрировано в Минюсте РФ 23.01.2008 N 10993) [Кодекс]
Государственные и муниципальные информационные системы (ГИС и МИС)
Комментарий. Основным федеральным законом про государственные (ГИС) и муниципальные информационные системы (МИС) является Федеральный закон от 27.07.2006 N 149-ФЗ.
Комментарий. Требования данного закона должны учитываться при разработке ГИС, используемых для взаимодействия с гражданами.
Комментарий. Описывает особенности использования информационных систем в судах
Комментарий. Описывает особенности использования информационных систем в государственных органах, в том числе обязанность публиковать перечни используемых информационных систем.
- Приказ Управления делами Президента РФ от 03.10.2017 N 402 „Об утверждении Порядка организации работы по обеспечению доступа к информации о деятельности Управления делами Президента Российской Федерации“ (Зарегистрировано в Минюсте России 31.10.2017 N 48737)[Кодекс]
- Постановление Правительства РФ от 18.05.2009 N 424 „Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям“ [Кодекс]
- Постановление Правительства РФ от 24.11.2009 N 953 (ред. от 20.04.2017) „Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти“ (вместе с „Требованиями к технологическим, программным и лингвистическим средствам обеспечения пользования официальным сайтом Правительства Российской Федерации в сети Интернет“) [Кодекс]
- Постановление Правительства РФ от 08.09.2010 N 697 (ред. от 30.06.2018) „О единой системе межведомственного электронного взаимодействия“ (вместе с „Положением о единой системе межведомственного электронного взаимодействия“) [Кодекс]
- Постановление Правительства РФ от 08.06.2011 N 451 (ред. от 25.09.2018) „Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме“ (вместе с „Положением об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме“)
- Постановление Правительства РФ от 26.06.2012 N 644 (ред. от 25.09.2018) „О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов“ (вместе с „Положением о федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов“) [Кодекс]
- Постановление Правительства РФ от 10.07.2013 N 584 (ред. от 30.06.2018) „Об использовании федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (вместе с «Правилами использования федеральной государственной информационной системы „Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме“) [Кодекс]
- Постановление Правительства РФ от 31.07.2014 N 747 „О перечне личных, семейных и домашних нужд, удовлетворение которых не влечет исполнения обязанностей, предусмотренных частями 2 — 4 статьи 10.1 Федерального закона “Об информации, информационных технологиях и о защите информации» [Кодекс]
- Распоряжение Правительства РФ от 29.12.2014 N 2769-р (ред. от 18.10.2018) <Об утверждении Концепции региональной информатизации> [Кодекс]
- Постановление Правительства РФ от 06.07.2015 N 675 (ред. от 25.09.2018) «О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона „Об информации, информационных технологиях и о защите информации“ (вместе с „Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации“, „Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации“) [Кодекс]
- Постановление Правительства РФ от 06.07.2015 N 676 (ред. от 11.05.2017) „О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации“ [Кодекс]
- Постановление Правительства РФ от 14.11.2015 N 1235 (ред. от 25.09.2018) „О федеральной государственной информационной системе координации информатизации“ (вместе с „Положением о федеральной государственной информационной системе координации информатизации“)
- Приказ Минкомсвязи РФ от 25.08.2009 N 104 „Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования“ (Зарегистрировано в Минюсте РФ 25.09.2009 N 14874)
- Приказ Минкомсвязи России от 31.05.2013 N 127 (ред. от 15.06.2016) „Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры“ (Зарегистрировано в Минюсте России 05.11.2013 N 30318) [Кодекс]
- Приказ Минкомсвязи России от 27.06.2013 N 149 „Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети “Интернет» в форме открытых данных, а также для обеспечения ее использования" (Зарегистрировано в Минюсте России 16.08.2013 N 29414) [Кодекс]
- Приказ Минкомсвязи России от 22.08.2013 N 220 (ред. от 27.03.2014) «Об утверждении методических рекомендаций для исполнительных органов государственной власти субъектов Российской Федерации по осуществлению учета и классификации информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, создаваемых и приобретаемых за счет средств бюджетов субъектов Российской Федерации, а также по составу сведений, размещаемых в системе учета информационных систем» [Кодекс]
- Приказ Минкомсвязи России от 07.12.2015 N 514 «Об утверждении порядка внесения сведений в реестр территориального размещения технических средств информационных систем и формы акта о выявленных несоответствиях сведений, содержащихся в реестре» (Зарегистрировано в Минюсте России 19.02.2016 N 41157) [Кодекс]
- Приказ Минкомсвязи России от 11.02.2016 N 44 «Об утверждении правил размещения информации в федеральной государственной информационной системе координации информатизации» (Зарегистрировано в Минюсте России 25.05.2016 N 42260) [Кодекс]
Государственные и муниципальные информационные системы. Обеспечение безопасности
- Приказ ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования (Зарегистрировано в Минюсте РФ 13.10.2010 N 18704) [Кодекс]
- Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 15.02.2017) „Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах“ (Зарегистрировано в Минюсте России 31.05.2013 N 28608) [Кодекс]
- »Методический документ. Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014) [ФСТЭК России]
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 6 марта 2015 г. N 240/22/879 «О банке данных угроз безопасности информации»
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от от 22 июня 2017 г. № 240/22/3031 «О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем»
- ФСТЭК России. Методика определения угроз безопасности информации в информационных системах (ПРОЕКТ)
Государственные и муниципальные информационные системы. Открытые данные
- Распоряжение Правительства РФ от 10.07.2013 N 1187-р (ред. от 24.03.2018) <О Перечнях информации о деятельности государственных органов, органов местного самоуправления, размещаемой в сети «Интернет» в форме открытых данных> [Кодекс]
- «Методические рекомендации по публикации открытых данных государственными органами и органами местного самоуправления, а также технические требования к публикации открытых данных. Версия 3.0» (утв. протоколом заседания Правительственной комиссии по координации деятельности Открытого Правительства от 29.05.2014 N 4) [Кодекс]
Государственные и муниципальные информационные системы. Московская область
- Закон Московской области от 10.07.2009 N 80/2009-ОЗ (ред. от 27.07.2013) «О государственных информационных системах Московской области и обеспечении доступа к содержащейся в них информации» (принят постановлением Мособлдумы от 02.07.2009 N 1/85-П) [Кодекс]
- Постановление Губернатора МО от 02.03.2010 N 21-ПГ (ред. от 25.09.2017) «Об учете и регистрации информационных систем Московской области» (вместе с «Положением об учете и регистрации информационных систем Московской области») [Кодекс]
Подключение к Интернет государственных систем
- Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
- Указ Президента РФ от 22.05.2015 N 260 «О некоторых вопросах информационной безопасности Российской Федерации» (вместе с «Порядком подключения информационных систем и информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети „Интернет“ и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети „Интернет“)
- Приказ ФСО России от 07.09.2016 N 443 „Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети “Интернет»(Зарегистрировано в Минюсте России 14.10.2016 N 44039) [Кодекс]
Критическая информационная инфраструктура (КИИ)
- Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
- «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 N 803) [Совет безопасности РФ]
- Постановление Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [Кодекс]
- Постановление Правительства РФ от 17.02.2018 N 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» [Кодекс]
- Приказ ФСТЭК России от 14.03.2014 N 31 (ред. от 09.08.2018) «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» (Зарегистрировано в Минюсте России 30.06.2014 N 32919) [Кодекс]
- Приказ ФСТЭК России от 06.12.2017 N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации (Зарегистрировано в Минюсте России 08.02.2018 N 49966) [Кодекс]
- Приказ ФСТЭК России от 11.12.2017 N 229 „Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации“ (Зарегистрировано в Минюсте России 28.12.2017 N 49500) [Кодекс]
- Приказ ФСТЭК России от 21.12.2017 N 235 „Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования“ (Зарегистрировано в Минюсте России 22.02.2018 N 50118) [Кодекс]
- Приказ ФСТЭК России от 22.12.2017 N 236 „Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий“ (Зарегистрировано в Минюсте России 13.04.2018 N 50753) [Кодекс]
- Приказ ФСТЭК России от 25.12.2017 N 239 (ред. от 09.08.2018) „Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации“ (Зарегистрировано в Минюсте России 26.03.2018 N 50524) [Кодекс]
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 4 мая 2018 г. № 240/22/2339 о методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 24 августа 2018 г. № 240/25/3752 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
Комментарий. Основным федеральным законом по ГосСОПКА является Федеральный закон от 26.07.2017 N 187-ФЗ. Применение ГосСОПКА тесно связанно с защитой критической информационной инфраструктуры, но в общем случае шире этой задачи.
- »Выписка из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (утв. Президентом РФ 12.12.2014 N К 1274) [Совет безопасности РФ]
- Указ Президента РФ от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [Кодекс]
- Приказ ФСБ России от 24.07.2018 N 366 «О Национальном координационном центре по компьютерным инцидентам» (вместе с «Положением о Национальном координационном центре по компьютерным инцидентам») (Зарегистрировано в Минюсте России 06.09.2018 N 52109) [Кодекс]
- Приказ ФСБ России от 24.07.2018 N 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (Зарегистрировано в Минюсте России 06.09.2018 N 52108) [Кодекс]
- Приказ ФСБ России от 24.07.2018 N 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения» (Зарегистрировано в Минюсте России 06.09.2018 N 52107)[Кодекс]
Персональные данные (ПДн)
- Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19.12.2005 N 160-ФЗ [Кодекс]
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
- Указ Президента РФ от 30.05.2005 N 609 (ред. от 01.07.2014) «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» [Кодекс]
- Указ Президента РФ от 29.12.2012 N 1709 (ред. от 07.12.2016) «О паспорте гражданина Российской Федерации, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем на электронном носителе информации дополнительные биометрические персональные данные его владельца»
- Указ Президента РФ от 24.11.2014 N 735 «О сборе биометрических персональных данных иностранных граждан и лиц без гражданства» [Кодекс]
- Постановление Правительства РФ от 06.07.2008 N 512 (ред. от 27.12.2012) «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» [Кодекс]
- Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» [Кодекс]
- Постановление Пленума Верховного Суда РФ от 15.06.2010 N 16 (ред. от 09.02.2012) «О практике применения судами Закона Российской Федерации „О средствах массовой информации“ [Гарант]
Комментарий. Постановление поясняет понятие „общественный интерес“ при обработке информации, а также дает разъяснения по использованию ГК РФ Статья 152.1. „Охрана изображения гражданина“.
- Постановление Пленума Верховного Суда РФ от 23.06.2015 N 25 „О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации“ [Гарант]
Комментарий. Постановление поясняет применение ГК РФ Статья 152.1. „Охрана изображения гражданина“.
- Приказ Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014) „Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных“
- (Зарегистрировано в Минюсте России 13.12.2011 N 22595) [Кодекс]
- Приказ Роскомнадзора от 16.07.2010 N 482 (ред. от 19.08.2011) „Об утверждении образца формы уведомления об обработке персональных данных“ (вместе с „Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных“) [Кодекс]
- Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 15.06.2017) „Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных“ (Зарегистрировано в Минюсте России 19.04.2013 N 28212) [Кодекс]
- Приказ Роскомнадзора от 30.05.2017 N 94 „Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения“ [Кодекс]
- »Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (утв. Банком России 15.10.2015 N 499-П) (ред. от 20.07.2016) (Зарегистрировано в Минюсте России 04.12.2015 N 39962) [Кодекс]
Комментарий. Данный документ, пожалуй, является единственным документов в Российском законодательстве, устанавливающим перечень данных, необходимых для идентификации физических лиц.
- <Разъяснения> Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» [Кодекс]
- <Разъяснения> Роскомнадзора от 2 сентября 2013 года «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»
Персональные данные. Обеспечение безопасности
- Постановление Правительства РФ от 18.09.2012 N 940 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю» [Кодекс]
- Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 06.09.2014) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» [Кодекс]
- Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ») (Зарегистрировано в Минюсте России 10.09.2013 N 29935) [Кодекс]
- «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 „Об утверждении требований и методов по обезличиванию персональных данных“ (утв. Роскомнадзором 13.12.2013) [Кодекс]
- Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) „Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных“ (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
Комментарий.Защита персональных данных в государственных и муниципальных информационных системах осуществляется в соответствии с Приказом ФСТЭК России от 11.02.2013 N 17.
- Приказ ФСБ России от 10.07.2014 N 378 „Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности“ (Зарегистрировано в Минюсте России 18.08.2014 N 33620) [Кодекс]
- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утв. ФСБ России 31.03.2015 N 149/7/2/6-432 [Кодекс]
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСБ России от 15.06.2017 «О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ»
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных» [Кодекс]
- ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК России от 15.07.2013 N 240/22/2637 «По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 „Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах“ и приказа ФСТЭК России от 18 февраля 2013 г. N 21 „Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных“
- »Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008) [Кодекс]
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14.02.2008) [Кодекс]
Персональные данные. Блокировка нарушителей
Комментарий. Законодательная основа блокировки нарушителей установлена в Федеральном законе от 27.07.2006 N 149-ФЗ.
- Постановление Правительства РФ от 19.08.2015 N 857 «Об автоматизированной информационной системе „Реестр нарушителей прав субъектов персональных данных“ (вместе с „Правилами создания, формирования и ведения автоматизированной информационной системы “Реестр нарушителей прав субъектов персональных данных») [Кодекс]
- Приказ Роскомнадзора от 22.07.2015 N 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи» (Зарегистрировано в Минюсте России 14.08.2015 N 38532) [Кодекс]
- Приказ Роскомнадзора от 22.07.2015 N 85 «Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 17.08.2015 N 38544) [Кодекс]
Персональные данные. Банковская специфика
- <Письмо> Банка России от 14.03.2014 N 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан» [Кодекс]
- Указание Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» (Зарегистрировано в Минюсте России 18.03.2016 N 41455) [Кодекс]
Персональные данные. Единая биометрическая система (ЕБС)
Комментарий. Законодательная основа единой биометрической системы установлена в Федеральном законе от 27.07.2006 N 149-ФЗ.
- Распоряжение Правительства РФ от 22.02.2018 N 293-р <О возложении на публичное акционерное общество междугородной и международной электрической связи «Ростелеком» функций оператора единой информационной системы персональных данных> [Кодекс]
- Постановление Правительства РФ от 28.03.2018 N 335 «Об определении федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных» [Кодекс]
- Постановление Правительства РФ от 29.06.2018 N 747 «Об установлении требований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» [Кодекс]
- Приказ Минкомсвязи России от 21.06.2018 N 307 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года N 149-ФЗ „Об информации, информационных технологиях и о защите информации“ (вместе с „Методикой проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, для двух независимых биометрических алгоритмов“, „Методикой проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, для одного бимодального алгоритма“) (Зарегистрировано в Минюсте России 29.06.2018 N 51496) [Кодекс]
- Приказ Минкомсвязи России от 25.06.2018 N 321 „Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации“ (Зарегистрировано в Минюсте России 04.07.2018 N 51532) [Кодекс]
- Приказ Минкомсвязи России от 25.06.2018 N 322 „Об определении размера платы, взимаемой оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, за предоставление банкам, соответствующим критериям, установленным абзацами вторым — четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 г. n 115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», информации о степени соответствия предоставленных биометрических персональных данных биометрическим персональным данным клиента-физического лица, содержащимся в указанной системе" [Кодекс]
- Приказ Минкомсвязи России от 25.06.2018 N 323 «Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей» (Зарегистрировано в Минюсте России 29.06.2018 N 51497) [Кодекс]
- Указание Банка России и ПАО “Ростелеком” от 9 июля 2018 г. N 4859-У/01/01/782-18 “О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе” [Кодекс]
Персональные данные. Особые случаи обработки ПДн
- Федеральный закон от 01.04.1996 N 27-ФЗ (ред. от 29.07.2018) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
- Федеральный закон от 22.04.1996 N 39-ФЗ (ред. от 28.11.2018) «О рынке ценных бумаг»
- Федеральный закон от 27.05.1996 N 57-ФЗ (ред. от 07.03.2018) «О государственной охране»[Кодекс]
- «Воздушный кодекс Российской Федерации» от 19.03.1997 N 60-ФЗ (ред. от 03.08.2018)
- Федеральный закон от 15.11.1997 N 143-ФЗ (ред. от 03.08.2018) «Об актах гражданского состояния»
- Федеральный закон от 28.03.1998 N 53-ФЗ (ред. от 28.11.2018) «О воинской обязанности и военной службе»
- «Налоговый кодекс Российской Федерации (часть первая)» от 31.07.1998 N 146-ФЗ
- (ред. от 27.11.2018)
- «Налоговый кодекс Российской Федерации (часть вторая)» от 05.08.2000 N 117-ФЗ
- (ред. от 27.11.2018)
- Федеральный закон от 07.08.2001 N 115-ФЗ (ред. от 23.04.2018) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
- Федеральный закон от 26.10.2002 N 127-ФЗ (ред. от 28.11.2018) «О несостоятельности (банкротстве)»
- Федеральный закон от 10.12.2003 N 173-ФЗ (ред. от 28.11.2018) «О валютном регулировании и валютном контроле»
- Федеральный закон от 23.12.2003 N 177-ФЗ (ред. от 28.11.2018) «О страховании вкладов физических лиц в банках Российской Федерации»
- Федеральный закон от 27.07.2004 N 79-ФЗ (ред. от 30.10.2018) «О государственной гражданской службе Российской Федерации»
- Федеральный закон от 22.10.2004 N 125-ФЗ (ред. 28.12.2017) «Об архивном деле в Российской Федерации» [Кодекс]
- Федеральный закон от 06.12.2011 N 402-ФЗ (ред. от 28.11.2018) «О бухгалтерском учете»
- Федеральный закон от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон „О микрофинансовой деятельности и микрофинансовых организациях“
- Закон г. Москвы от 22.12.2004 N 90 (ред. от 30.04.2014) „О квотировании рабочих мест“ [Кодекс]
Персональные данные. Сроки хранения
Комментарий. Сроки хранения документов по личному составу определяются Федеральным законом от 22 октября 2004 N 125-ФЗ.
- Постановление ФКЦБ РФ от 16.07.2003 N 03-33/пс „Об утверждении Положения о порядке и сроках хранения документов акционерных обществ“ (Зарегистрировано в Минюсте РФ 21.08.2003 N 4994)
- Приказ Минкультуры России от 31.07.2007 N 1182 (ред. от 28.04.2011) „Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения“ (Зарегистрировано в Минюсте России 27.09.2007 N 10194)
- Приказ Минкультуры России от 25.08.2010 N 558 (ред. от 16.02.2016) „Об утверждении “Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Зарегистрировано в Минюсте России 08.09.2010 N 18380)
Персональные данные. Международные требования
Персональные данные. Примеры внутренних документов
- Приказ Роскомнадзора от 03.12.2012 N 1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (Зарегистрировано в Минюсте России 29.12.2012 N 26506) [Кодекс]
- «Рекомендации Роскомнадзора от от 27 июля 2017 года по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ „О персональных данных“[Кодекс]
- »Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация «Россия»), 2010 [Ассоциация Российских банков]
Комментарий. Документ устарел, но содержит вполне актуальные примеры внутренних документов.
Национальная платежная система
- Федеральный закон от 27.06.2011 N 161-ФЗ (ред. от 03.08.2018) «О национальной платежной системе»
- Постановление Правительства РФ от 13.06.2012 N 584 «Об утверждении Положения о защите информации в платежной системе» [Кодекс]
- Указание Банка России от 14.09.2011 N 2695-У «О требованиях к обеспечению бесперебойности осуществления перевода электронных денежных средств» (Зарегистрировано в Минюсте РФ 23.09.2011 N 21877) [Кодекс]
- «Положение о бесперебойности функционирования платежных систем и анализе рисков в платежных системах» (утв. Банком России 31.05.2012 N 379-П) (ред. от 10.07.2014) (Зарегистрировано в Минюсте России 13.06.2012 N 24544) [Кодекс]
- «Положение о порядке осуществления наблюдения в национальной платежной системе» (утв. Банком России 31.05.2012 N 380-П) (ред. от 18.01.2016) (Зарегистрировано в Минюсте России 15.06.2012 N 24585) [Кодекс]
- «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 N 382-П) (ред. от 07.05.2018) (Зарегистрировано в Минюсте России 14.06.2012 N 24575) [Кодекс]
- Указание Банка России от 09.06.2012 N 2831-У (ред. от 30.03.2018) «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» (Зарегистрировано в Минюсте России 14.06.2012 N 24573) [Кодекс]
- «Положение о порядке признания Банком России платежной системы национально значимой платежной системой» (утв. Банком России 11.06.2014 N 422-П) (ред. от 27.06.2017) (Зарегистрировано в Минюсте России 20.06.2014 N 32822) [Кодекс]
- «Положение о требованиях к защите информации в платежной системе Банка России» (утв. Банком России 24.08.2016 N 552-П) (Зарегистрировано в Минюсте России 06.12.2016 N 44582)[Кодекс]
- «Положение о платежной системе Банка России» (утв. Банком России 06.07.2017 N 595-П) (Зарегистрировано в Минюсте России 06.10.2017 N 48458)
Банковская безопасность. Нормативно-правовые акты Банка России
- «Положение о порядке сообщения банком в электронном виде налоговому органу об открытии или о закрытии счета, вклада (депозита), об изменении реквизитов счета, вклада (депозита)» (утв. Банком России 07.09.2007 N 311-П) (ред. от 29.04.2014) (Зарегистрировано в Минюсте России 08.10.2007 N 10265)
- <Письмо> Банка России от 07.12.2007 N 197-Т «О рисках при дистанционном банковском обслуживании» [Кодекс]
- <Письмо> Банка России от 31.03.2008 N 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем Интернет-банкинга» [Кодекс]
- Положение Банка России от 29 августа 2008 г. № 321-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“ [Кодекс]
- <Письмо> Банка России от 30.01.2009 N 11-Т „О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга“ [Кодекс]
- <Письмо> Банка России от 02.10.2009 N 120-Т „О памятке “О мерах безопасного использования банковских карт» [Кодекс]
- <Письмо> Банка России от 23.10.2009 N 128-Т «О Рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет» [Кодекс]
- Указание Банка России от 25.11.2009 N 2346-У (ред. от 16.11.2017) «О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета» (Зарегистрировано в Минюсте России 25.12.2009 N 15828) [Кодекс]
- <Письмо> Банка России от 26.10.2010 N 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» [Кодекс]
- <Письмо> Банка России от 22.11.2010 N 154-Т «О рекомендациях по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием» [Кодекс]
- Инструкция Банка России от 05.12.2013 N 147-И (ред. от 20.12.2016) «О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации (Банка России)» (Зарегистрировано в Минюсте России 21.02.2014 N 31391) [Кодекс]
- <Письмо> Банка России от 24.03.2014 N 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» [Кодекс]
- «Положение о порядке направления в банк отдельных документов налоговых органов, а также направления банком в налоговый орган отдельных документов банка в электронной форме в случаях, предусмотренных законодательством Российской Федерации о налогах и сборах» (утв. Банком России 06.11.2014 N 440-П) (Зарегистрировано в Минюсте России 25.11.2014 N 34911)[Кодекс]
- Указание Банка России от 24.11.2016 N 4212-У (ред. от 06.12.2017) «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации» (Зарегистрировано в Минюсте России 14.12.2016 N 44718) [Кодекс]
- «Положение о Плане счетов бухгалтерского учета для кредитных организаций и порядке его применения» (утв. Банком России 27.02.2017 N 579-П) (ред. от 12.11.2018) (Зарегистрировано в Минюсте России 20.03.2017 N 46021)
- Указание Банка России от 30.08.2017 N 4512-У (ред. от 21.12.2017) «Об объеме и порядке передачи уполномоченными банками как агентами валютного контроля информации органам валютного контроля» (Зарегистрировано в Минюсте России 08.12.2017 N 49185) [Кодекс]
- «Положение о представлении кредитными организациями по запросам Федеральной службы по финансовому мониторингу информации об операциях клиентов, о бенефициарных владельцах клиентов и информации о движении средств по счетам (вкладам) клиентов» (утв. Банком России 20.09.2017 N 600-П) (Зарегистрировано в Минюсте России 01.12.2017 N 49080) [Кодекс]
Банковская безопасность. Стандарты Банка России
- СТО БР ИББС-1.0-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения
- СТО БР ИББС-1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности
- СТО БР ИББС-1.2-2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014
- СТО БР ИББС-1.3-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
- СТО БР ИББС-1.4-2018 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге
- РС БР ИББС-2.0-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0
- РС БР ИББС-2.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0
- РС БР ИББС-2.2-2009. Обеспечение информационной безопасности организаций банковской системы Российской Федерации
- РС БР ИББС-2.5-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности
- РС БР ИББС-2.6-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем [Банк России]
- РС БР ИББС-2.7-2015. Ресурсное обеспечение информационной безопасности
- РС БР ИББС-2.8-2015. Обеспечение информационной безопасности при использовании технологии виртуализации
- РС БР ИББС-2.9-2016. Предотвращение утечек информации
- СТО БР НПС-1.0-2017 Финансовые сообщения в НПС. Общие положения
- СТО БР НПС-1.1-2018 Финансовые сообщения в НПС. Обмен финансовыми сообщениями в НПС при переводе денежных средств по инициативе плательщика. Модели связей
- СТО БР БФБО-1.5-2018 О Формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации [Банк России]
Банковская безопасность. ГОСТы по безопасности
- ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер.
- ГОСТ Р 57580.2-2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия
Международные требования по безопасности платежных карт
- Payment Card Industry (PCI) Data Security Standard v3.2.1
- Payment Card Industry (PCI) PIN Security Requirements v2.0
- Payment Card Industry (PCI) Card Production and Provisioning. Physical Security Requirements v2.0
- Payment Card Industry (PCI) Card Production and Provisioning. Logical Security Requirements v2.0
- Payment Card Industry (PCI) Token Service Providers v1.0
- Payment Card Industry (PCI) Payment Application Data Security Standard v3.2
- Payment Card Industry (PCI) PIN Transaction Security (PTS) Hardware Security Module (HSM) v3
- Payment Card Industry (PCI) Point-to-Point Encryption v2.0 Rev. 1.1
- Payment Card Industry (PCI) PIN Transaction Security (PTS) Point of Interaction (POI)
- Payment Card Industry EMV 3-D Secure 3DS SDK v1.0
- Payment Card Industry (PCI) Software-based PIN Entry on COTS Security Requirements v1.0
- Payment Card Industry (PCI) Software-based PIN Entry on COTS Test Requirements v1.0
- Payment Card Industry 3-D Secure (PCI 3DS) Security Requirements and Assessment Procedures for EMV 3-D Secure Core Components: ACS, DS, and 3DS Server v1.0
- Payment Card Industry 3-D Secure (PCI 3DS) PCI 3DS Data Matrix For use with PCI 3DS Core Security Standard v1.0
- Payment Card Industry 3-D Secure (PCI 3DS) Security Requirements and Assessment Procedures for EMV 3-D Secure SDK v1.0