Незнание закона не освобождает от ответственности
Для того, чтобы снизить шансы того, что вам предложат пойти подмыться и не попросят в вашем присутствии сделать телевизор погромче необходимо знать и соблюдать законы той страны, в которой вы живёте. Пентеста, да и в целом работы за ПК, это тоже касается, так что несколько законов, которые было бы неплохо прочитать.
Законодательство Российской Федерации в сфере информационной безопасности (ИБ) по состоянию на 2025 год представляет собой сложившуюся систему нормативных правовых актов, регулирующих защиту информации, персональных данных, критической информационной инфраструктуры (КИИ) и обеспечение информационного суверенитета. Оно включает федеральные законы, указы Президента, постановления Правительства, а также подзаконные акты ведомств, таких как ФСТЭК, ФСБ и Роскомнадзор. Ниже представлен обзор ключевых аспектов и изменений, актуальных на 2025 год, основанный на доступной информации.
Основные нормативные акты
Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»
Это базовый закон, регулирующий отношения в сфере поиска, получения, передачи, производства и распространения информации, применения информационных технологий и защиты информации. В 2024 году внесены изменения (ФЗ № 411 от 23.11.2024, вступили в силу с 01.01.2025), уточняющие порядок ограничения доступа к информации, распространяемой с нарушением законодательства (например, фейковые новости, призывы к экстремизму). Также введены новые положения о мониторинге информационно-телекоммуникационных сетей и регулировании использования российских программ для ЭВМ и баз данных. Закон определяет принципы правового регулирования, включая право на доступ к информации, ограничение доступа к охраняемой законом информации и ответственность за нарушения.
Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»
Регулирует обработку персональных данных (ПДн), включая их защиту, хранение и передачу. Поправки, внесенные ФЗ № 233-ФЗ от 08.08.2024 и другими актами, вступили в силу в течение 2025 года. Они усиливают административную ответственность за утечки ПДн: штрафы для юридических лиц составляют 5–15 млн рублей за первое нарушение и до 1–3% от годовой выручки за повторные. Также уточнены требования к обезличиванию ПДн и их хранению в российских ЦОДах. Минцифры определило требования к ФГИС для обработки обезличенных данных, что направлено на усиление контроля за их использованием.
Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»
Регулирует защиту КИИ, включая государственные и частные объекты, сбои в работе которых могут угрожать национальной безопасности. С 1 марта 2025 года вступают в силу изменения, уточняющие требования к безопасности значимых объектов КИИ, включая обязательную категорирование объектов и государственный контроль. Закон устанавливает государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Федеральный закон № 98-ФЗ от 29.07.2004 «О коммерческой тайне»
Определяет порядок защиты информации, составляющей коммерческую тайну, включая меры по охране конфиденциальности. Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи» Регулирует использование электронной подписи для обеспечения безопасности информационных процессов.
Указ Президента РФ № 646 от 05.12.2016 «Об утверждении Доктрины информационной безопасности Российской Федерации»
Определяет национальные интересы в информационной сфере, угрозы и приоритеты государственной политики. Доктрина подчеркивает важность технологического суверенитета и защиты от киберугроз.
Указ Президента РФ № 500 от 13.06.2024
Вносит изменения в Указ № 250 от 01.05.2022, запрещая с 1 января 2025 года использование сервисов по обеспечению ИБ, предоставляемых организациями из недружественных стран.
Ключевые изменения в 2025 году
- Усиление ответственности за утечки данных С 30 мая 2025 года вступили в силу поправки, ужесточающие штрафы за утечки ПДн. Компании теперь обязаны уведомлять Роскомнадзор об обработке ПДн, а нарушение этого порядка влечет штрафы до 300 000 рублей для юрлиц и ИП.
- Борьба с кибермошенничеством С 4 июня 2025 года стартовал пилотный проект по выявлению и блокировке фишинговых сайтов и приложений, маскирующихся под официальные ресурсы. Цель — оперативное реагирование на киберугрозы. Законодательство, вступившее в силу с 1 июня 2025 года, запрещает банкам, госорганам, операторам связи и владельцам агрегаторов использовать иностранные мессенджеры для общения с гражданами, что направлено на защиту данных и снижение рисков утечек.
- Цифровой кодекс РФ В середине 2025 года планируется представить проект Федерального закона «Цифровой кодекс РФ», который должен консолидировать нормы в сфере ИТ и ИБ, включая регулирование цифровых технологий и кибербезопасности.
- Мониторинг и контроль сетей Роскомнадзор получил расширенные полномочия по мониторингу информационно-телекоммуникационных сетей, включая сбор IP-адресов и геолокации пользователей Рунета через интернет-провайдеров и мобильных операторов. Введены правила взаимодействия Роскомнадзора с иностранными агентами и ограничения доступа к ресурсам, нарушающим законодательство.
Регулирование ведомств
- ФСТЭК РФ: Устанавливает требования к защите информации в государственных информационных системах и персональных данных (приказы № 17 и № 21 от 2013 года).
- ФСБ РФ: Регулирует вопросы криптографической защиты и информационной безопасности в системах общего пользования (приказ № 416/489 от 2010 года).
- Роскомнадзор: Контролирует соблюдение законодательства о ПДн, ограничивает доступ к запрещенной информации и взаимодействует с операторами связи.
Тенденции и приоритеты
- Технологический суверенитет: Акцент на использовании российских программ и оборудования для защиты информации, особенно в КИИ.
- Усиление кибербезопасности: Развитие государственной системы противодействия компьютерным атакам и борьба с фишингом и дезинформацией.
- Защита прав граждан: Гарантия неприкосновенности частной жизни и персональных данных через ужесточение ответственности за нарушения.
Помимо данных законов, указов и актов есть ещё куча других, относящихся к определённым отраслям или компаниям, так что за изменениями лучше постоянно следить самостоятельно.