Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Курс по законодательству в области ИБ

14,912 views

Published on

Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!

Published in: Business

Курс по законодательству в области ИБ

  1. 1. Законодательство поинформационной безопасностиЛукацкий Алексей, консультант по безопасности
  2. 2. Обо мне• Опыт работы в области ИБ – 20 лет– «Ящик», госкорпорация, ритейл, банк,разработчик средств защиты,производитель сетевого оборудования• Текущее место – Cisco• Участник рабочей группы ЦБ/АРБпо разработке СТО БР ИББС ’2010/12,консультационного центра АРБ поПДн (горячая линия) и требований по ИБ НПС• Член Консультативного совета при РКН позащите прав субъектов ПДн• Член рабочей группы при ФСТЭК по разработке требований позащите ПДн и государственных информационных систем• Член рабочей группы при Совете Федерации по внесениюизменений в ФЗ-152 и по разработке Стратегиикибербезопасности• Эксперт РАЭК
  3. 3. Обо мне• Участник ПК1 «Защита информациив кредитно-финансовой сфере»ТК122 Ростехрегулирования• Участник ПК127 «Методы и средстваобеспечения безопасности ИТ» ТК22Ростехрегулирования(роль ISO/IEC JTC 1/SC 27 в России)• Участник ТК 362 «Защита информации»• Автор 5 книг и 600+ статей• Автор множества курсов по ИБ– «Что скрывает законодательство оперсональных данных»– «Измерение эффективности ИБ»– «Моделирование угроз»– «Управление инцидентами ИБ»– «Как связать безопасность и бизнес» и многих других
  4. 4. Высокоуровневая карта курсаУ нас естьинформационныеактивы?У нас естьинформационныеактивы?Что входит в активы?Что входит в активы?Их надо защищать?Почему?Их надо защищать?Почему?Это обязанностьЭто обязанностьЭто правоЭто право• Где определена обязанность или право на защиту?• Могу ли я сам установить требования по защите информации?• Подпадаю ли я под какие-либо обязательные требованиям по защите информации?• Ограничен ли я в устанавливаемых требованиях по защите информации?• Обременен ли я какими-либо обязанностями в процессе реализации требований позащите информации?• Что мне грозит, если я не буду реализовывать требования по защите информации?• Кто может меня проверить в отношении реализации требований по защитеинформации?
  5. 5. О чем пойдет речь• Основы государства и права– Вертикальная и горизонтальная структура– Основные принципы права– Правила подготовки нормативных актов• Законодательство в области ИБ– История становления и развития– Структура и иерархия• Регуляторы в области ИБ– ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д.• «Базовое» законодательство– Трехглавый закон• Технические регулирование. Сертификация и аттестация• Лицензирование деятельности по защите информации
  6. 6. О чем пойдет речь• Виды тайн– Коммерческая тайна– Персональные данные– Конфиденциальная информация– Банковская тайна• Отраслевые требования– Госорганы– Операторы связи– Критически важные объекты– Участники НПС– Банки• Международное законодательство в России– PCI DSS, ISO 2700x, ISM3, ITIL, COBIT, ISO 20000 и т.п.
  7. 7. О чем пойдет речь• Наказание за несоблюдение законодательства в областиинформационной безопасности– КоАП, УК, ТК, регуляторы…• Парафраз о правоприменительной практике– Права ли пословица "Закон, что дышло…"?– Решения российских судов, включая Верховный Суд иКонституционный Суд• Операционные риски, внутренний контроль– SOX, ФСФР, COSO, Базель II и требования Банка России
  8. 8. ПРОБЛЕМЫРЕГУЛИРОВАНИЯ ИБ
  9. 9. Проблемы нормотворчества ИБ• Отсутствие организационной системы выработки и реализациигосударственной системы в области обеспечения ИБ с учетоминтересов граждан, общества и государства• Отсутствие четко выраженной государственной информационнойполитики и ее бессистемное развитие• Низкая эффективность правоприменения• Низкая правовая и информационная культура у регуляторов изаконодателей• Неудовлетворительное финансирование• Большое количество регуляторов и несогласованность ихдействий между собой• Исторический бэкграунд
  10. 10. ИБ В РОССИИ: ОТКУДАТОРЧАТ НОГИ?
  11. 11. Криптография в России ведет свой отсчет с времен ИванаГрозного• Активнаявнешнеполитическаядеятельность• Дипломатическаяпереписка• Войны и военныеконфликты• Перлюстрацияперепискиреволюционеров• 8-й Спецотдел ВЧК• КГБ
  12. 12. Защита информации – удел спецслужб!
  13. 13. ПДИТР – что это такое?• Противодействие иностраннымтехническим разведкам• Обеспечение государственной тайны• Гостехкомиссия СССР• Федеральная служба по техническомуи экспортному контролю• Служба внешней разведки• Главное разведывательноеуправление• Федеральная служба охраны• …
  14. 14. А потом наступила перестройка!• Малый бизнес, частноепредпринимательство• Олигархи, приватизация• Коммерческая тайна, конкуренция• Потребность хранить свои тайны всекрете• А специалисты все те же– ФСБ– ФСТЭК– БСТМ МВД– Совет Безопасности– ФСО– Госдума– …
  15. 15. Вы защищаете свою информацию от утечек черезбатарею? А через кондиционер? А через розетки?• Технические каналы утечкиинформации– ПЭМИН– Виброакустика– Видовые утечки• Объектовая охрана• Вирусов было мало ираспространялись они на 5-тидюймовых дискетах соскоростью один компьютер внеделю, один этаж в месяц• Скорость 2400 бод быланормой, а владелец модемаUSR на 33600 бод был богачом
  16. 16. Что важнее? Конфиденциальность или доступность? Аможет неотказуемость или подотчетность?• Изначально спецслужбыобеспечивали толькоконфиденциальность защищаемойинформации• Действующее законодательствоориентировано на различные видытайн– В российских НПА свыше 60 видовтайн• Почти ни слова о доступности ицелостности, о подотчетности иаутентичности, о контролируемостии неотказуемости
  17. 17. Все меняется, но не безопасники у регуляторов ;-(Что?С кем?Способ?Сколько?Как?ГостайнаИТРЗакрытоНеважноГриф (Кцд)КТ, БТ, ПДнИнсайдер, хакерОткрытоROI, TCO, NPVКто? КГБ эксКГБДЦКФормат Файлы МультимедиаТехнологии Закрытые АС Облака, mobilityИзменения Статика Динамика
  18. 18. А ВООБЩЕ, ЧТО ТАКОЕИНФОРМАЦИОННАЯБЕЗОПАСНОСТЬ?
  19. 19. От какого термина отталкиваться?• Все зависит от определения ИБ• ИБ – это не универсальное, не стандартное понятие• Оно персонифицировано в каждой конкретной ситуации, длякаждой конкретной организации, для каждого конкретного CISO– В одной и той же компании, разные CISO могут по-разномузаниматься ИБ– В одной и той же компании при одном и том же CISO, но разныхCEO, ИБ может двигаться в разных направлениях• ИБ – это понятие, зависящее от множества факторов/элементов• От этого будет зависеть и спектррассматриваемого/учитываемого законодательства
  20. 20. Термин «безопасность»• Безопасность – отсутствие опасности– В.Даль• Безопасность – состояние, при котором не угрожает опасность– С.Ожегов• Безопасность – состояние защищенности жизненно важныхинтересов личности, общества и государства от внутренних ивнешних угроз– ФЗ «О безопасности»
  21. 21. Термин «безопасность»• Безопасность информации - деятельность, направленная напредотвращение или существенное затруднениенесанкционированного доступа к информации (или воздействияна информацию)– ФСТЭК• ИБ – технологическая задача, обеспечивающая целостность,конфиденциальность и доступность– А как же борьбы со спамом? Или шантаж DDoS?• Безопасность - состояние защищенности объекта от внешних ивнутренних угроз
  22. 22. Термин «безопасность»• Безопасность – системное свойство, позволяющее развиваться ипроцветать в условиях конфликтов, неопределенности и рисковна основе самоорганизации и управления• Безопасность – деятельность людей, общества, государства повыявлению, предупреждению, ослаблению, устранению иотражению опасностей и угроз, способных погубить их, лишитьценностей, нанести неприемлемый ущерб, закрыть путь длявыживания и развития• Информационная безопасность - динамическое состояниесохранения жизненно важных параметров предприятия винформационной сфере
  23. 23. Как я понимаю ИБ?!• Информационная безопасность - состояние защищенностиинтересов стейкхолдеров предприятия в информационнойсфере, определяющихся совокупностью сбалансированныхинтересов личности, общества, государства и бизнеса• Очень емкое и многоуровневое определение• Может без изменения применяться в ЛЮБОЙ организации– Меняться будет только наполнение ее ключевых элементов –стейкхолдеры, информационная сфера, интересы
  24. 24. Стейкхолдеры ИБ• ИТ• ИБ• Юристы• Служба внутреннего контроля• HR• Бизнес-подразделения• Руководство• ПользователиВнутрипредприятияВнутрипредприятия• Акционеры• Клиенты• Партнеры• АудиторыСнаружипредприятияСнаружипредприятия• ФСТЭК• ФСБ• Роскомнадзор• СВР• МО• Банк РоссииРегуляторыРегуляторы
  25. 25. Информационная сфера• Информационная сфера - этосовокупность информации,информационнойинфраструктуры, субъектов,осуществляющих сбор,формирование,распространение ииспользование информации,а также системы регулированиявозникающих при этомотношений• Обычно мы защищаем толькоинформацию и информационнуюинфраструктуру
  26. 26. Интересы стейкхолдеров• Универсального списка интересов не существует – у каждогопредприятия на каждом этапе его развития в различномокружении при различных руководителях интересы различныИБ• Конфиденциальность• Целостность• ДоступностьЮристы• Соответствие• Защита отпреследования• Новые законыРегуляторы• СоответствиеПользователи• Тайна переписки• БесперебойныйИнтернет• Комфорт работыАкционеры• Рост стоимости акций• Контроль топ-менеджмента• ПрозрачностьИТ• Доступностьсервисов• Интеграция• Снижение CapEx
  27. 27. У разной ИБ и угрозы разные!Традиционные• Вредоносное ПО• DDoS• Утечки• НСД• Превышениепривилегий• Нарушениеработоспособностиприложения• Кража ключей ЭПНетрадиционные• Приход регулятора спроверкой• Отсутствие лицензииФСБ у предприятия• Отсутствиесертификата ФСТЭКна систему защиты• Внесение изменения ваттестованный объектинформатизации
  28. 28. Предметная область ИБПредметнаяобластьПредметнаяобластьЗащитаинформации иправ на нееЗащитаинформации иправ на нееПраво на доступ кинформацииПраво на доступ кинформацииПраво на тайнуПраво на тайнуПраво наинтеллектуальнуюсобственностьПраво наинтеллектуальнуюсобственностьЗащита от«вредной»информацииЗащита от«вредной»информацииЗащитаинформационныхсистем и прав нанихЗащитаинформационныхсистем и прав нанихИсточник: Доктрина информационной безопасности РФ
  29. 29. Что мы НЕ будем рассматривать?!• Защита сведений, составляющих государственную тайну• Защита интеллектуальной собственности• Защита от вредной информации• Корпоративное регулирование ИБ• Электронная подпись и удостоверяющие центры
  30. 30. КТО ТАКОЙ АКАДЕМИКРЫЖОВ?
  31. 31. Уровни политики безопасности РФДоктринаДоктринаКонцепция национальной безопасностиКонцепция национальной безопасностиКонцепция информационнойбезопасностиКонцепция информационнойбезопасностиПрограммыПрограммы
  32. 32. Алгоритм поведенияИнтересы личности,общества игосударстваУгрозыОценкавозможностейпарирования угроз изащиты интересовЗадачиФункцииСтруктуры и органыМеры
  33. 33. 2 взгляда на безопасность РФ
  34. 34. Приоритеты безопасностиБезопасностьличностиБезопасностьобществаБезопасностьгосударстваБезопасностьгосударстваБезопасностьобществаБезопасностьличностиРезультаты комиссииакадемика Рыжова Текущее отношение
  35. 35. Кто привлекается к системе обеспечения безопасностиРФ?Законодательная властьИсполнительная властьСудебная властьГосударственные организацииОбщественные организацииГражданеПрезидент РФФедеральное Собрание РФПравительство РФСовет Безопасности РФИсполнительная властьФЗ«Обезопасности»Концепциянациональнойбезопасности
  36. 36. Структура законодательного регулированияСистемаобщественныхотношенийСистема праваСистемазаконодательства• Очень часто под термином«законодательство» понимают нетолько законы в собственномзначении этого слова (акты,принятые парламентом), но и всюсовокупность нормативных актовили даже всех вообще документовпо конкретному вопросу• Случаи перехода общественныхотношений в правоотношения– По воле субъекта– Помимо воли и желания субъекта– Регулируется моралью,обычаями, эстетическиминормами
  37. 37. ПРАВООТНОШЕНИЯ
  38. 38. Правоотношения• Правоотношения – конкретное общественное отношение,регулируемое правовыми нормами• Правоотношение характеризуется следующими элементами:– Объект правоотношения - то, по поводу чего складываетсяправоотношение– Субъекты правоотношения - стороны, участники правоотношения– Содержание правоотношения - составляют два взаимосвязанныхэлемента• Субъективное право и юридическая обязанность, которымисвязаны субъекты правоотношения• Субъективное право – это возможность определенногоповедения• Юридическая обязанность – соответствующая обязанностьопределенного поведения
  39. 39. Объекты правоотношений в области ИБ• Государственная тайна• Информация ограниченного доступа• Работы и услуги в области защиты информации (шифрования)• Операционные риски• Оценка соответствия средств защиты информации• Бесперебойность функционирования…• Защита информации (сама по себе)• Право на тайну (личной жизни, переписки, связи, телефонныхпереговоров и т.д.)• Виды деятельности субъектов• Средства защиты информации• Информационные системы
  40. 40. Виды информации ограниченного доступа• 65 видов тайн вроссийскомзаконодательстве• Персональныеданные• Коммерческая тайна• Банковская тайна• Тайна переписки• Инсайдерскаяинформация• Служебная тайна• Тайна кредитнойистории• …
  41. 41. Что такое конфиденциальная информация?• Понятие «конфиденциальная информация» изъято изтерминологии законодательства• Вместо него введены понятия– «информация ограниченного доступа»– «информация, в отношение которой установлено требование обобеспечении ее конфиденциальности»– «конфиденциальность информации»• Формально не существует деятельности и по технической защитеконфиденциальной информации– Нет объекта защиты!• Указ Президента №188 «Об утверждении перечня сведенийконфиденциального характера» также формально теперь не связанс другими нормативными актами
  42. 42. Виды деятельности• Деятельность кредитных организаций• Деятельность в области связи• Деятельность, связанная с защитой государственной тайны• Деятельность по технической защите конфиденциальнойинформации• Деятельность по разработке и (или) производству средств защитыконфиденциальной информации• Разработка, производство, реализация и приобретение в целяхпродажи специальных технических средств, предназначенных длянегласного получения информации• Деятельность по изготовлению защищенной от подделокполиграфической продукции• Деятельность по производству и реализации специальногоигрового оборудования
  43. 43. Право на тайну• Тайна переписки, телефонных переговоров, почтовых,телеграфных и иных сообщений• Тайна частной жизни• Личная тайна• Семейная тайна
  44. 44. Риски, бесперебойность функционирования и ИБИБИБ РискиРиски БесперебойностьБесперебойность
  45. 45. Какие риски бесперебойности рассматривает БанкРоссии?
  46. 46. Меры по обеспечению бесперебойностифункционирования (по 2695-У)• Меры, направленные на недопущение нарушенийфункционирования операционных и технологических средств,устройств, информационных систем, обеспечивающих учетинформации об остатках электронных денежных средств и ихперевод, а также меры по устранению нарушений• Анализ причин нарушений функционирования операционных итехнологических средств, устройств, информационных систем,выработку и реализацию мер по их устранению• Обеспечение сохранения функциональных возможностейоперационных и технологических средств, устройств,информационных систем при сбоях в их, осуществление ихтестирования в целях выявления недостатков функционирования,а в случае выявления указанных недостатков принятие мер по ихустранению
  47. 47. Операционные риски• …несанкционированное использование информационных систем иресурсов…, подлог и (или) подделка платежных и иныхдокументов, несанкционированное проникновение винформационные системы, повреждение или утрата основныхсредств и других материальных активов• Выход из строя оборудования и систем (например, сбой (отказ) вработе автоматизированной информационной системы платежнойНКО, систем связи, поломка оборудования)…, отсутствие(несовершенство) системы защиты и (или) порядка доступа кинформации, неправильная организация информационного обменавнутри платежной НКО, ошибки при вводе и обработке данных приосуществлении переводов денежных средств без открытиябанковских счетов и связанных с ними иных банковских операций,утеря документов и др.– Указание Банка России 2840-У от 25 июня 2012 года
  48. 48. Субъект правоотношений• Обладатель информации– Посредник• Потребитель информации– Могут быть особенности ввоза шифровальных средств• Оператор информационной системы– Оператором информационной системы является собственникиспользуемых для обработки содержащейся в базах данныхинформации технических средств, который правомернопользуется такими базами данных, или лицо, с которым этотсобственник заключил договор об эксплуатации информационнойсистемы• Владелец сайта в сети «Интернет»• Провайдер хостинга• Разработчики ИТ и средств защиты информации
  49. 49. Обладатели информацииОбладательинформацииОбладательинформацииФизическоелицоФизическоелицоЮридическоелицоЮридическоелицоРоссийскаяФедерацияРоссийскаяФедерацияСубъект РФСубъект РФМуниципальноеобразованиеМуниципальноеобразование
  50. 50. Что такое информация?• Информация – сведения (сообщения, данные) независимо отформы их представления– 149-ФЗ «Об информации, информационных технологиях изащите информации»– Юристы до сих пор спорят о правильном толковании термина• Форма представления– Письменная (и иные материальные формы – пластик и т.д.)– Оптическая– Электрические сигналы– Устная– Магнитная– Полупроводниковая– В виде изображения или видеозаписи
  51. 51. Права обладателя информации• Обладатель информации вправе устанавливать свои требованияк информации ограниченного доступа, в частности:– разрешать или ограничивать доступ к информации, определятьпорядок и условия доступа,– использовать информацию, в т.ч. распространять ее, по своемуусмотрению,– передавать информацию другим лицам по договору или на иномзаконном основании– защищать установленными законом способом свои права– осуществлять иные действия с информацией или разрешатьосуществление таких действий
  52. 52. Документированная информация• Недокументированная информация ограниченного доступа такжетребует защиты, но эти вопросы мало проработаны• Отсутствие материального носителя для недокументированнойинформации (например, воплощенная в устной форме) непозволяет иметь полноценную доказательную базу, еслиинформация будет разглашена без согласия ее обладателя– По этой причине существуют трудности правовой защиты видео-и голосовой информации ограниченного доступаИнформацияИнформацияДокументированнаяДокументированнаяНедокументированнаяНедокументированная
  53. 53. Обязанности обладателя информации• Обладатель информации при осуществлении своих прав обязан:– соблюдать права и законные интересы иных лиц– принимать меры по защите информации– ограничивать доступ к информации, если такая обязанностьустановлена федеральными законами
  54. 54. Виды информационных систем• Информационная система– Совокупность содержащейся в базах данных информации иобеспечивающих ее обработку информационных технологий итехнических средств• Существуют разные классификации информационных систем– ФЗ-149– Приказ ФСТЭК №17– РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д)– РД ФСТЭК по ключевым система информационнойинфраструктуры– Постановление Правительства №1119– Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от31.08.2010 "Об утверждении Требований о защите информации,содержащейся в информационных системах общегопользования"
  55. 55. Классификация информационных систем по ФЗ-149• Государственные информационные системы– Федеральные информационные системы и региональныеинформационные системы, созданные на основаниисоответственно федеральных законов, законов субъектовРоссийской Федерации, на основании правовых актовгосударственных органов• Муниципальные информационные системы– Созданы на основании решения органа местногосамоуправления– Установленные требования к государственным информационнымсистемам распространяются на муниципальныеинформационные системы, если иное не предусмотренозаконодательством РФ о местном самоуправлении• Иные информационные системы
  56. 56. Классификация информационных систем по приказуФСТЭК №17• Информационная система имеет федеральный масштаб, еслиона функционирует на территории РФ (в пределах федеральногоокруга) и имеет сегменты в субъектах Российской Федерации,муниципальных образованиях и (или) организациях.• Информационная система имеет региональный масштаб, еслиона функционирует на территории субъекта РФ и имеет сегментыв одном или нескольких муниципальных образованиях и (или)подведомственных и иных организациях.• Информационная система имеет объектовый масштаб, если онафункционирует на объектах одного федерального органагосударственной власти, органа государственной власти субъектаРФ, муниципального образования и (или) организации и не имеетсегментов в территориальных органах, представительствах,филиалах, подведомственных и иных организациях
  57. 57. Обязанность защиты• Обладатель информации обязан принимать меры по защитеинформации– Ст.6 ФЗ-149• Обладатель информации, оператор информационной системы вслучаях, установленных законодательством РоссийскойФедерации, обязаны обеспечить…– Ст.16 ФЗ-149Требования по защитеустанавливаетТребования по защитеустанавливаетОбладательОбладательЗаконодательство РФЗаконодательство РФ• Какиетребования?• Есть лиограничения?• Какиеподводныекамни?
  58. 58. Какие требования по защите установленызаконодательством РФ?• Защита информации в государственных информационныхсистемах• Защита персональных данных• Защита информации при осуществлении денежных переводов– В рамках Национальной платежной системы• Защита ключевых систем информационной инфраструктуры– Вызывает вопросы• Отдельные требования в рамках других сфер деятельности– Кредитные бюро, разработчики игровых автоматов и т.д.
  59. 59. Какие требования по защите может установитьобладатель информации?Требования позащите выбираютсяТребования позащите выбираютсяСамостоятельноСамостоятельноНа основе лучшихпрактикНа основе лучшихпрактик• К лучшим практикам (стандартам) с требованиями по защитепринято относить– ISO 270xx– IT-Grundschutz Methodology– СТО БР ИББС– …
  60. 60. ВВЕДЕНИЕ В СИСТЕМУПРАВА
  61. 61. Отрасли права• Частное право– Гражданское• Публичное право– Конституционное (государственное)– Уголовное– Административное– Процессуальное• Международное право
  62. 62. Взаимосвязь отраслей праваГосорган Компания ФизлицоКонституцияПрокуратураГражданскоеправоПроцессуальноеправоАдминистративноеправоКонституционноеправоСудСуд Уголовноеправо
  63. 63. Отрасли законодательства• Семейное• Земельное• Хозяйственное• О собственности• Банковское• Торговое• Трудовое• Налоговое• Таможенное• Информационное• О государственной безопасности• …
  64. 64. Источники права• Нормативные акты• Правовой обычай– Представляет собой санкционированное государством правилоповедения, сложившееся в обществе в результате егомногократного и длительного применения– В области ИБ отсутствуют, но есть в области права• Прецедент (в России не применяется)– Решение судебного органа по конкретному делу, котороерассматривается в качестве образца при рассмотрении таких жеили аналогичных дел– Существует два вида прецедентов: судебный иадминистративный (решение, принимаемое административныморганом или административным судом)• Правовой договор– Например, коллективный или международный договор
  65. 65. НОРМАТИВНЫЕ АКТЫ
  66. 66. Что такое НПА• «Нормативный правовой акт - это письменный официальныйдокумент, принятый (изданный) в определенной формеправотворческим органом в пределах его компетенции инаправленный на установление, изменение или отмену правовыхнорм. В свою очередь, под правовой нормой принято пониматьобщеобязательное государственное предписание постоянногоили временного характера, рассчитанное на многократноеприменение»– Постановление Государственной Думы Федерального СобранияРоссийской Федерации от 11 ноября 1996 г. N 781-II ГД «Обобращении в Конституционный Суд Российской Федерации»
  67. 67. Нормативные и ненормативные акты• Указы Президента могут быть нормативными, т.е. содержатьобщеобязательные правила поведения, и ненормативными(например, о награждении какого-либо лица)• Распоряжения Правительства РФ - не имеют нормативногохарактера, принимаются по оперативным вопросам• Ведомственные акты также могут быть нормативными иненормативными (например, о составе какого-либо комитета)
  68. 68. Нормативные и ненормативные акты• Нормативные акты отличаются от ненормативных по следующимпризнакам– Адресованы неопределенному или широкому кругу лиц.– Возможность неоднократного применения акта• Бывают ситуации, когда в одном документе имеются какправовые нормы, так и индивидуальные предписания– В этом смысле такой документ следует считать «нормативным»актом, но «источником права» будет, строго говоря, только та егочасть, где устанавливаются правовые нормы
  69. 69. Высокоуровневая иерархия нормативных актовНормативныеактыНормативныеактыМеждународныеМеждународныеНациональныеНациональныеЗаконодательныеЗаконодательныеПодзаконныеПодзаконные
  70. 70. Иерархия нормативно-правовых актовМеждународныйдоговорМеждународныйдоговорКонституцияКонституцияФедеральныеконституционныезаконыФедеральныеконституционныезаконыОсновызаконодательстваОсновызаконодательстваКодексыКодексыФедеральныезаконыФедеральныезаконыУказы иРаспоряженияПрезидента РФУказы иРаспоряженияПрезидента РФПостановления иРаспоряженияПравительства РФПостановления иРаспоряженияПравительства РФАкты министерстви ведомствАкты министерстви ведомствКонституции иУставы субъектовРФКонституции иУставы субъектовРФЗаконы субъектовРФЗаконы субъектовРФАкты органовместногосамоуправленияАкты органовместногосамоуправления
  71. 71. ЮРИДИЧЕСКАЯ СИЛА
  72. 72. Юридическая сила• Вертикальная– Акт вышестоящего органа (должностного лица) обладаетбóльшей юридической силой, чем акт нижестоящего органа(должностного лица)• Горизонтальная– Новый акт имеет бóльшую юридическую силу по отношению кранее принятому (изданному) по тому же вопросу нормативномуакту того же государственного органа (должностного лица)– Классический принцип – последующий акт отменяетпредшествующий– Могут быть исключения (но редко)
  73. 73. Юридическая сила и международные договора• Горизонтальная– Принцип «нового акта» не распространяется на ратификациюмеждународных договоров и на новые законы, посвященные темже вопросам, которые решены в международном договоре• Государства не могут обуславливать неисполнениемеждународных договоров особенностями национальногозаконодательства– Венская конвенция о праве международных договоров
  74. 74. Могут ли разные ФЗ иметь разную юридическую силу?• в ст. 76 Конституции РФ не определяется и не можетопределяться иерархия актов внутри одного их вида, в данномслучае - федеральных законов. Ни один федеральный закон всилу ст. 76 Конституции РФ не обладает по отношению к другомуфедеральному закону большей юридической силой. Правильныйже выбор на основе установления и исследования фактическихобстоятельств и истолкование норм, подлежащих применению вконкретном деле, относится не к ведению КС РФ, а к ведениюсудов общей юрисдикции и арбитражных судов. Данная правоваяпозиция сформулирована и неоднократно подтвержденаКонституционным Судом РФ в ряде решений, в том числе вопределениях от 9 апреля 1998 года № 48-О, от 12 марта 1998года № 51-О, от 19 мая 1998 года № 62-О, от 8 октября 1998 года№ 195-О– ОПРЕДЕЛЕНИЕ КС РФ от 05.11.1999 № 182-О
  75. 75. Что делать, если один ФЗ противоречит другому?• В отношении федеральных законов как актов одинаковойюридической силы применяется правило «lex posterior derogatpriori» («последующий закон отменяет предыдущие»),означающее, что даже если в последующем законе отсутствуетспециальное предписание об отмене ранее принятыхзаконоположений, в случае коллизии между ними действуетпоследующий закон; вместе с тем независимо от временипринятия приоритетными признаются нормы того закона, которыйспециально предназначен для регулирования соответствующихотношений– ПОСТАНОВЛЕНИЕ КС РФ от 29.06.2004 № 13-П
  76. 76. ПОСТАНОВЛЕНИЕПРАВИТЕЛЬСТВА №1009
  77. 77. Документы регуляторов• Должны быть опубликованы в открытой печати– п.2 ст.4 ФЗ-152– п.17 Постановления Правительства №1009 от 13.08.1997 «Обутверждении Правил подготовки нормативных правовых актовфедеральных органов исполнительной власти и ихгосударственной регистрации»• Должны быть зарегистрированы в МинЮсте, т.к. могутзатрагивать обязанности гражданина и устанавливать правовойстатус организаций– п.10 Постановления Правительства №1009 от 13.08.1997• Должны быть подписаны только руководителем ФСТЭК, ФСБ– п.9 Постановления Правительства №1009 от 13.08.1997
  78. 78. К чему это ведет?..• Федеральные органы исполнительной власти направляют дляисполнения нормативные правовые акты, подлежащиегосударственной регистрации, только после их регистрации иофициального опубликования• При нарушении указанных требований нормативные правовыеакты, как не вступившие в силу, применяться не могут– п.19 Постановления Правительства №1009 от13.08.1997• Нелегитимность нормативно-правового акта определяет толькосуд и МинЮст
  79. 79. Изменение 1009-ПП• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторыеакты Правительства Российской Федерации»– Проекты НПА и нормативных документов ФОИП, которымирегулируются отношения в области организации иосуществления государственного контроля (надзора), в областиустановления, применения и исполнения обязательныхтребований к продукции или связанным с ними процессампроектирования (включая изыскания), производства,строительства, монтажа, наладки, эксплуатации, хранения,перевозки, реализации и утилизации, в области оценкисоответствия и в области безопасности процессов производства,подлежат направлению в МЭР РФ на заключение об оценкерегулирующего воздействия
  80. 80. Изменение 1009-ПП (окончание)• ПП-336 от 15 мая 2010 года «О внесении изменений в некоторыеакты Правительства Российской Федерации»– В этом заключении дается оценка регулирующего воздействиясоответствующих решений с целью выявления положений,вводящих избыточные административные и иные ограничения иобязанности для субъектов предпринимательской и инойдеятельности или способствующих их введению, а такжеположений, способствующих возникновению необоснованныхрасходов субъектов предпринимательской и иной деятельности ибюджетов всех уровней бюджетной системы РоссийскойФедерации
  81. 81. ВСТУПЛЕНИЕ В СИЛУ
  82. 82. Вступление нормативного акта в силу• Закон вступает в силу с момента его опубликования, если иное неустановлено в самом законе• Порядок вступления в силу нормативно-правовых актовопределяется– п.3.ст.15 Конституции РФ– ФЗ от 14.06.94 № 5-ФЗ «О порядке опубликования и вступления всилу федеральных конституционных законов, федеральныхзаконов, актов палат Федерального Собрания»– Указом Президента РФ от 23 мая 1996 года № 763 «О порядкеопубликования и вступления в силу актов ПрезидентаРоссийской Федерации, Правительства Российской Федерации инормативных правовых актов Федеральных органовисполнительной власти»– Постановление Правительства РФ от 13 августа 1997 г. № 1009
  83. 83. Вступление нормативного акта в силу• По общему правилу федеральные конституционные законы,федеральные законы вступают в силу одновременно на всейтерритории РФ по истечении 10 дней после дня их официальногоопубликования• Однако самим законом может быть установлен специальныйпорядок вступления его в силу• Наиболее распространенным специальным правилом являетсяуказание в самом законе точной даты вступления его в силу, номогут быть и разновидности этого правила– например, «Настоящий Федеральный закон вводится в действиена всей территории Российской Федерации через шесть месяцевпосле его официального опубликования» (ФЗ-152)
  84. 84. Опубликование закона• В силу п.3.ст.15 Конституции РФ законы подлежат официальномуопубликованию• Неопубликованные законы не применяются• Любые нормативные правовые акты, затрагивающие права,свободы и обязанности человека и гражданина, не могутприменяться, если они не опубликованы официально длявсеобщего сведения• Официальным опубликованием закона считается перваяпубликация полного текста соответствующего закона в– «Парламентской газете»– «Российской газете»– Собрании законодательства РФ– На официальном интернет-портале правовой информации(www.pravo.gov.ru)
  85. 85. Опубликование актов Президента и Правительства• Акты Президента РФ, имеющие нормативный характер,вступают в силу одновременно на всей территории РФ поистечении 7 дней после дня их первого официальногоопубликования• Акты Правительства РФ, затрагивающие права, свободы иобязанности человека и гражданина, устанавливающие правовойстатус федеральных органов исполнительной власти, а такжеорганизаций, вступают в силу одновременно на всей территорииРФ по истечении 7 дней после дня их первого официальногоопубликования• Иные акты Президента РФ и Правительства РФ, в том числеакты, содержащие сведения, составляющие государственнуютайну, или сведения конфиденциального характера, вступают всилу со дня их подписания
  86. 86. Опубликование актов Президента и Правительства• Официальным опубликованием актов Президента РФ иПравительства РФ считается публикация их текстов– в «Российской газете»– в Собрании законодательства РФ– официальными являются также тексты названных актов,распространяемые в машиночитаемом виде научно-техническимцентром правовой информации «Система»• Так же как и законы, акты Президента РФ и Правительства РФмогут устанавливать иной порядок вступления их в силу, чтошироко используется в правотворческой деятельности какПрезидента РФ, так и Правительства РФ
  87. 87. Опубликование ведомственных актов• Под официальной публикацией признается публикация– в газете "Российские вести" в течение 10 дней после дня ихрегистрации– а также в Бюллетене нормативных актов федеральныхорганов исполнительной власти издательства "Юридическаялитература"– Официальным также является указанный Бюллетень,распространяемый в машиночитаемом виде научно -техническим центром правовой информации "Система"
  88. 88. Опубликование актов субъектов РФ и органов местногосамоуправления• Акты субъектов Российской Федерации подлежат официальномуопубликованию в изданиях субъекта РФ - так, например, в Москвеакты публикуются– в газете «Тверская, 13»– в «Ведомостях Московской Думы»– в «Вестник Мэрии Москвы»
  89. 89. О КОРРУПЦИОГЕННОСТИНОРМАТИВНЫХ АКТОВ
  90. 90. О коррупциогенности НПА• Любые нормативно-правовые акты должны проходить проверкупо методике проведения экспертизы проектов нормативныхправовых актов и иных документов в целях выявления в нихположений, способствующих созданию условий для проявлениякоррупции– Постановление Правительства от 5 марта 2009 г. №196• Новый ФЗ-152 не проходил такую проверку!
  91. 91. О коррупциогенности НПА (продолжение)• Факторы, связанные с реализацией полномочий органагосударственной власти– Установление неопределенных, трудновыполнимых иобременительных требований к организациям– Отсутствие четкой регламентации прав организаций– Возможность необоснованного установления исключений изобщего порядка для организаций по усмотрению органов власти– Установление общеобязательных правил поведения вподзаконном акте в условиях отсутствия закона– Употребление неустоявшихся, двусмысленных терминов икатегорий оценочного характера– 5 из 9 факторов!
  92. 92. О коррупциогенности НПА (продолжение)• Факторы, связанные с правовыми пробелами– Отсутствие порядка совершения органами власти определенныхдействий либо одного из элементов такого порядка– Отсутствие превентивных антикоррупционных норм– Отсутствие норм о юридической ответственности служащих, атакже норм об обжаловании их действий (бездействия) ирешений– Отсутствие норм, обеспечивающих возможность осуществленияконтроля, в том числе общественного, за действиями органоввласти– Отсутствие норм, предусматривающих раскрытие информации одеятельности органов власти и порядка получения информациипо запросам граждан и организаций– 5 из 7 факторов
  93. 93. О коррупциогенности НПА (окончание)• Факторы системного характера– Противоречия (нормативные коллизии), в том числе внутренние,между нормами, создающие для органов власти возможностьпроизвольного выбора норм, подлежащих применению вконкретном случае
  94. 94. ПРЕКРАЩЕНИЕ ДЕЙСТВИЯНОРМАТИВНЫХ АКТОВ
  95. 95. Прекращение действия нормативных актов• Прекращение действия законов и других нормативно-правовыхактов, а также утрата ими юридической силы происходят врезультате следующих обстоятельств– в результате истечения срока действия закона или иногонормативно-правового акта, который заранее указывается всамом акте– в результате прямой отмены действующего нормативно-правового акта и замены его другим актом, изданнымкомпетентным государственным органом– в результате замены действующего нормативного акта другимактом, устанавливающим в данной области новые правилаповедения. Юридическая сила прежнего акта утрачивается вмомент введения в действие нового акта
  96. 96. ИМЕЕТ ЛИ ЗАКОНОБРАТНУЮ СИЛУ?
  97. 97. Закон обратной силы не имеет• Это в общем случае так, но в различных отраслях правасуществуют особые правила действия правовых актов• Для гражданско-правовых отношений, вытекающих иззаключенного договора, в качестве исключения введено правило(п.2 ст.422 ГК РФ):– действие закона, устанавливающего обязательные для сторонправила, иные, чем те, которые действовали при заключениидоговора, может распространяться на отношения, возникшие изранее заключенного договора, если это прямо указано в законе
  98. 98. Закон обратной силы не имеет• В отношении уголовных правоотношений действует правилоиного рода (ст.10 УК РФ):– уголовный закон, устанавливающий преступность деяния,смягчающий наказание или иным образом улучшающийположение лица, совершившего преступление, имеет обратнуюсилу, то есть распространяется на лиц, совершившихпреступление до вступления такого закона в силу...• Уголовный закон, устанавливающий преступность деяния,усиливающий наказание или иным образом ухудшающийположение лица, обратной силы не имеет
  99. 99. ДЕЙСТВИЕ НОРМАТИВНОГОАКТА В ПРОСТРАНСТВЕ
  100. 100. Действие нормативных актов в пространстве• По территориальному критерию все нормативно-правовые актыподразделяются на акты, действие которых распространяется на– всю территорию государства– акты, охватывающие определенную ее часть– акты, действие которых распространяется за пределытерритории страны• «Если международным договором Российской Федерацииустановлены иные правила, чем предусмотренные законом, топрименяются правила международного договора»– Ст.15 Конституции РФ• Примеры: PCI DSS, Евроконвенция по персональным данным
  101. 101. Сила международных договоров• Общепризнанные принципы и нормы международного права имеждународные договоры РФ являются составной частью ееправовой системы• Если международным договором РФ установлены иные правила,чем предусмотренные законом, то применяются правиламеждународного договора– п. 4 ст. 15 Конституции РФ• При этом Конституция РФ и федеральные законы имеютверховенство на всей территории Российской Федерации– п. 2 ст. 4 Конституции РФ• Дуализм решается следующим образом - международныйдоговор и его нормы должен быть имплементирован внациональное законодательство национальным законом– Напрямую применять международный договор невозможно
  102. 102. ОСНОВНЫЕДОКТРИНАЛЬНЫЕПРИНЦИПЫ
  103. 103. Основные доктринальные принципы• «Все, что не запрещено, разрешено» и наоборот• Каждое правонарушение подразумевает ответственность• Последующее отменяет предыдущее• Приоритет специального закона по отношению к общему закону• Незнание закона не освобождает от ответственности• Неопубликованные законы не применяются• Отягчающий закон обратной силы не имеет• «Презумпция невиновности»
  104. 104. Все, что не запрещено, разрешено• Основополагающий принцип частного права (диспозитивнаянорма)• У государственных органов принцип прямо противоположный –«все, что не разрешено, запрещено» (императивная норма)– Госорганы действуют только в рамках своей компетенции,установленной нормативными актами
  105. 105. Каждое правонарушение подразумевает ответственность• Если ответственность за нарушение какого-либо нормативноготребования не установлена, то и данное требование вюридическом смысле не существует
  106. 106. Последующее отменяет предыдущее• Posterior potior est priori – этот принцип относится ко всемофициальным юридическим актам• В этом контексте формулируется следующее правило: из двухправовых актов, изданных одним и тем же государственныморганом по одному и тому же вопросу, действует акт, принятый вболее позднее время
  107. 107. Общие и специальные нормы права• По предмету действия различаются законы общие и специальные• Специальный закон детализирует общее правило, устанавливаетисключения или особенности регулирования некоторыхотношений, которые входят в предмет регулирования общегозакона• Отсюда вытекает принцип lex speciali derogat legi generali (еслиесть специальный закон, то общий не применяется)
  108. 108. Общие и специальные нормы права• Если нормативные акты, содержащие общую и специальнуюнорму находятся в иерархической соподчиненности, то актнизшей силы может устанавливать специальные нормы лишь втом случае, если это прямо предусмотрено актом высшей силы• При наличии общей нормы закона подзаконные нормативныеакты применяются тогда, когда общий закон прямопредусматривает установление специальных норм именно вподзаконных актах – например, в постановлениях правительства
  109. 109. Пример: оценка соответствияФЗ-149ФЗ-149Оценка соответствиятолько длягосударственныхинформационныхсистемДля остальныхзаказчиковтребований по оценкесоответствия средствзащиты нетФЗ-152ФЗ-152Средства защитыперсональных данныхподлежат оценкесоответствия вустановленномпорядке
  110. 110. Пример: защита ПДн при переводе денежных средствФЗ-152ФЗ-152Общие нормы позащите ПДнТребования по защитеустановлены в ПП-1119Детальныетребованияустановлены приказомФСТЭК №21ФЗ-161ФЗ-161Распространяется назащиту информациипри осуществленииденежных средств, вт.ч. на ПДнТребования позащите, в т.ч. ПДн,установлены в 382-П
  111. 111. Неопубликованные законы не применяются• Любой закон должен быть опубликован для всеобщего сведения,прежде чем можно будет его применять и, в частности,привлекать к юридической ответственности на основании этогозакона• Нельзя привлекать к ответственности за нарушение закона,которого не просто не знают, но и, по общему правилу, не могутзнать• «Законы подлежат официальному опубликованию.Неопубликованные законы не применяются. Любые нормативныеправовые акты, затрагивающие права, свободы и обязанностичеловека и гражданина, не могут применяться, если они неопубликованы официально для всеобщего сведения»– ч.3 ст.15 Конституции РФ
  112. 112. Неопубликованные законы не применяются• Не бывает нормативных правовых актов, не опубликованных длявсеобщего сведения. Если нормативный акт, тем более –затрагивающий права, свободы и обязанности, не опубликован,то он не является правовым, не имеет юридической силы
  113. 113. Пример: сертификация средств защиты ГИС и ПДн• ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствияпродукции (работ, услуг), используемой в целях защитысведений, относимых к охраняемой в соответствии сзаконодательством РФ информации ограниченного доступа, несодержащей сведения, составляющие государственную тайну, атакже процессов ее проектирования (включая изыскании),производства, строительства, монтажа, наладки, эксплуатации,хранения, перевозки, реализации, утилизации и захоронения,об особенностях аккредитации органов по сертификации ииспытательных лабораторий (центров), выполняющих работы поподтверждению соответствия указанной продукции (работ,услуг)»– ДСП
  114. 114. Постановление Правительства 330• Сфера применения - государственные информационные ресурсыи персданные– Нелогично, но зато не на все виды информации• Оценка соответствия осуществляется в формах обязательнойсертификации и государственного контроля (надзора)– Теперь только сертифицированные средства защитыинформации• Принцип подтверждения соответствия – «ограниченный доступ кинформации и документам, касающимся установленияобязательных требований, сертификационных испытанийпродукции и подтверждения ее соответствия, а также методов испособов защиты информации конфиденциального характера»
  115. 115. Где взять ПП-330?• Cisco направила официальный запрос в ФСТЭК по фактуполучения ПП-330– Ответ: вы не лицензиат ФСТЭК, документ вам не положен• Один лицензиат ФСТЭК направил официальный запрос в ФСТЭКпо факту получения ПП-330– Ответ: мы не Правительство и не можем распространять егодокументы• Резюме: на законных основаниях получить текст ПП-330 вы неможете
  116. 116. А надо ли выполнять ПП-330?• На основании и во исполнение … могут принимать нормативныеправовые акты по отдельным вопросам, касающимся обработкиперсональных данных… такие акты …подлежат официальномуопубликованию– Ст.4.2 ФЗ-152• Открытость и доступность для юридических лиц ииндивидуальных предпринимателей нормативных правовыхактов, устанавливающих обязательные требования, выполнениекоторых проверяется при проведении государственного контроля(надзора)– ФЗ-294
  117. 117. Отягчающий закон обратной силы не имеет• Закон, устанавливающий или отягчающий ответственность,обратной силы не имеет, т.е. действует на будущее (ex nunc) и неприменяется к деяниям, которые были совершены до еговступления в силу. Наоборот, смягчающий закон имеет обратнуюсилу, т.е. применяется к деяниям, совершенным до его принятия• «Никто не может нести ответственность за деяние, которое вмомент его совершения не признавалось правонарушением. Еслипосле совершения правонарушения ответственность за негоустранена или смягчена, применяется новый закон»– ч.2 ст.54 Конституции РФ
  118. 118. Отягчающий закон обратной силы не имеет• Если закон устраняет ответственность, т.е. устанавливает, чтосоответствующее деяние не является правонарушением, то ондолжен применяться ex tunc – ко всем деяниям, которые былисовершены с момента принятия прежнего закона– Все наказанные по прежнему закону должны бытьреабилитированы• Если же закон не устраняет, а только смягчает юридическуюответственность, т.е. не отрицает, что деяние являетсяправонарушением, то он должен применяться, по меньшей мере,к тем уже совершенным деяниям, ответственность за которыееще не наступила (например, наказание еще не назначено)
  119. 119. Обвиняемый считается невиновным, пока его виновностьне доказана• Административное право (презумпция правомерности): истец(заявитель) должен доказать, что административный акт несоответствует закону• Конституционное право (презумпция правомерности): заявительдолжен доказать, что закон не соответствует Конституции• Уголовное право (презумпция невиновности): обвинитель должендоказать, что обвиняемый совершил преступление• Гражданское право: истец должен доказать, что ответчик невыполнил обязательства или причинил вред– Не существует понятия презумпции невиновности - речь идет лишьоб обязанности надлежащего ответчика выполнить обязательствои возместить убытки или возместить причиненный им вред– При этом предполагается вина лица, в отношении которогоустановлено, что оно нарушило обязательство или причинило вред
  120. 120. Обвиняемый не обязан доказывать свою невиновность• Частная формулировка презумпции невиновности– Запрет возлагать доказывание невиновности на обвиняемого(подсудимого) не лишает обвиняемого права опровергать доводыобвинения и тем самым подтверждать свою невиновность• В гражданском процессе лицо, против которого подан иск, необязано доказывать, что оно не является надлежащим ответчиком.Оно признается надлежащим ответчиком лишь в том случае, еслиистец предъявит достаточные доказательства того, что лицо,привлеченное по данному делу в качестве ответчика, не выполнилообязательство или причинило вред– Лицо, уже признанное надлежащим ответчиков, обязано выполнитьтребования истца, либо доказать, что оно не обязано выполнятьэти требования. Поэтому отсутствие вины, в частности, наличиенепреодолимой силы или умысла потерпевшего, доказываетсясамим лицом, нарушившим обязательство или причинившим вред
  121. 121. РЕГУЛЯТОРЫ И ИХТРЕБОВАНИЯ
  122. 122. Регуляторы в области ИБИБИБФСТЭКФСТЭКФСБФСБМинком-связьМинком-связьМОМОСВРСВРФСОФСОЦБЦБPCICouncilРКНСовБезМВДМинЭнерго
  123. 123. А это еще не все ;-)• 23 августа 2012 года Президент Путин подписал Указ «Обутверждении Положения об Управлении Президента РоссийскойФедерации по применению информационных технологий иразвитию электронной демократии»– Участие в обеспечении реализации решений ПрезидентаРоссийской Федерации, Администрации Президента РоссийскойФедерации, координационных и совещательных органов приПрезиденте Российской Федерации по вопросам примененияинформационных технологий в целях обеспечения безопасностиграждан в информационно-коммуникационных сетях• Росфинмониторинг хочет регулировать электронные деньги• Национальный антитеррористический комитет хочетрегулировать деятельность кибертеррористов икиберэкстремистов
  124. 124. ДИНАМИКА ПРИНЯТИЯНОРМАТИВНЫХ АКТОВ
  125. 125. В среднем появляется 4 нормативных акта в месяц012345678
  126. 126. Большинство нормативных актов обязательны86156 7ОбязательныйРекомендацииПожеланиеРазъяснение
  127. 127. Процесс разработки нормативных актов продолжается4074ПроектПринят
  128. 128. Около половины всех нормативных актов – этоФедеральные Законы или Постановления Правительства326526222013251 241 Распоряжение ПравительстваПоложение Банка РоссииУказание Банка РоссииИнформационное сообщениеФедеральный законПриказПостановление ПравительстваПоручение ПравительстваПоручение ПрезидентаМетодикаПисьмо Банка РоссииКодексПолитикаСтандартПисьмо ФТС
  129. 129. Инициаторы появления нормативных актовтрадиционные141817125141522 1 131 11МинкомсвязьБанк РоссииФСТЭКФСБРоскомнадзорПрезидент РоссииПравительство РоссииСовет ФедерацииСовет БезопасностиМинэкономразвитияВерховный судНП НПСФССПФедеральная нотариальная палатаФТС
  130. 130. НПС/банки/госорганы/операторы связи – в приоритетепоследних дней5917108102 1 1 1 1 1 ВсеНПСБанкиГосорганыОператоры связиТЭКУК, ТСЖ, ЖК, ЖСКНотариусы
  131. 131. Что происходило относительно недавно?• Постановления Правительства поперсональным данным• Финансовая отрасль– ФЗ «О национальной платежнойсистеме»– ПП-584 и 382-П• ФЗ «Об электронной подписи»– Планируют вновь перенести на01.01.2015• ФЗ «О госуслугах» и СМЭВ• Безопасность ТЭК и КВО• Новые НПА о лицензировании• Новые НПА об оценке соответствия• Борьба с негативной информацией• Интеграция в мировое сообщество• Требования по УЦ и ЭП
  132. 132. Что будет происходить совсем скоро?• Персональные данные– Новые приказы ФСТЭК и ФСБ• Финансовая отрасль– Новые документы по НПС– СТО БР ИББС v5• Требования к КВО и ТЭК• Контроль Интернет– «Черные списки»– Борьба с анонимайзерами– Контроль социальных сетей– Облачные технологии• Контроль западного влияния
  133. 133. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
  134. 134. Базовая иерархия документов по ПДнПриказы ииные документыПостановленияПравительстваЗаконыКонвенции и иныемеждународные договораЕвропейскаяКонвенцияЕвропейскаяКонвенцияФЗ №152 от26.07.2006ФЗ №160 от19.12.2005ФЗ №152 от26.07.2006ФЗ №160 от19.12.2005№1119 от01.11.2012№1119 от01.11.2012Приказ ФСТЭК№21 от18.02.2013Приказ ФСТЭК№21 от18.02.20132 методички отФСБ2 методички отФСБ№687 от15.09.2008№687 от15.09.2008№512 от6.07.2008№512 от6.07.2008№221 от21.03.2012№221 от21.03.2012№940 от18.09.2012№940 от18.09.2012ДирективыЕвросоюза /ЕвропарламентаРекомендацииОЭСРРекомендацииАТЭС• Тематику ПДн поднимают около двух сотен федеральныхзаконов, указов Президента, постановлений Правительства идругих нормативных актов– Не всегда напрямую – могут упоминаться категории ПДн,относящиеся к разряду общедоступных и т.д.
  135. 135. Это не все?!• Тематику ПДн поднимают около двух сотен федеральныхзаконов, указов Президента, постановлений Правительства идругих нормативных актов– Не всегда напрямую – могут упоминаться категории ПДн,относящиеся к разряду общедоступных и т.д.– Знание законов, включая ГК РФ, позволяет оптимизироватьвопросы, связанные с обработкой ПДн

×