Какие документы регламентируют работу с информацией — Контур.Эгида

Какие документы регламентируют работу с информацией

30 апреля 2025

При построении системы информационной безопасности в компании, важно опираться на требования регуляторов, которые описаны в различных нормативных документах, чаще всего законах и приказах. Собрали в одной статье ссылки на самые важные документы и рассказали, чем они могут быть полезны.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Защита персональных данных

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Основной закон об обращении с информацией в России устанавливает права и обязанности по созданию, хранению, распространению и защите информации.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Базовый закон о защите персональных данных граждан объясняет, что считается персональными данными и как их можно собирать, хранить, обрабатывать и передавать.

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, от 15.09.2008 № 687
Этот документ определяет правила защиты данных на бумажных носителях: анкеты, личные дела, заявления. 

Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ конкретизирует, какие организационные (регламенты, политика безопасности) и технические (антивирусы, шифрование, контроль доступа) меры необходимо внедрить в IT-системах. В том числе помогает выстроить систему защиты персональных данных на серверах, рабочих станциях, мобильных устройствах.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление определяет 4 уровня защищённости информационных систем в зависимости от объёма и характера обрабатываемых данных и вводит понятие аттестации и сертификации систем защиты.

Приказ ФСБ РФ от 10.07.2014 № 378 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Приказ описывает, какие именно криптографические меры нужно применять информационных систем разного уровня защищенности.

Защита критической информационной инфраструктуры

Федеральный закон от 26.07.2017 N 187-ФЗ
Устанавливает требования к защите объектов критической информационной инфраструктуры (КИИ): энергоснабжение, транспорт, банковские системы, здравоохранение и т.д. Показывает, какие объекты и процессы нужно защищать (если организация относится к сфере КИИ — ТЭК, связь, транспорт, здравоохранение и др.).

Постановление Правительства РФ от 08.02.2018 N 127
Описывает, как определять значимость объектов КИИ и присваивать им категории,  даёт готовый алгоритм, как определить, какие объекты в организации являются критичными.

Приказ ФСТЭК России от 25 декабря 2017 г. N 239
Устанавливает требования к организации процессов безопасности, к ИТ-инфраструктуре и средствам защиты информации на объектах КИИ. Дает конкретный список того, что должна включать система безопасности: анализ угроз, проектирование, внедрение защиты, контроль эффективности. Может служить чек-листом для подготовки к проверкам ФСТЭК.

Приказ ФСТЭК России от 21 декабря 2017 г. N 235
Раскрывает методику, по которой проводится категорирование объектов КИИ (по последствиям нарушений работы объекта). Дает пошаговую инструкцию для категорирования: какие критерии учитывать, как оформить результаты.

Приказ ФСТЭК России от 22 декабря 2017 г. N 236
Устанавливает порядок уведомления о киберинцидентах в отношении объектов КИИ. Показывает, когда и как нужно сообщать об инцидентах (например, атаках, утечках) в ФСТЭК.

Приказ ФСБ России №366 от 24.07.2018 «О НКЦКИ»
Учреждает Национальный координационный центр по компьютерных инцидентам как орган для координации действий при компьютерных инцидентах. 

Приказ ФСБ России №367 от 24.07.2018
Регламентирует порядок взаимодействия организаций с НКЦКИ при выявлении и ликвидации компьютерных инцидентов. 

Приказ ФСБ России от 24 июля 2018 г. № 368
Определяет, какие криптосредства можно использовать, какие стандарты шифрования обязательны. Помогает выбирать правильные сертифицированные средства защиты (безопасные и легальные).

Работа с государственными информационными системами

Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Определяет минимальные требования по защите персональных данных и служебной информации в государственных информационных системах (ГИС), даже если они не содержат гостайну.

Приказ ФСТЭК от 29 апреля 2021 г. N 77 
Этот приказ утверждает порядок организации и проведения работы по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей гостайну. 

ФИС ГИА — Постановление Правительства РФ от 29.11.2021 № 2085
Документ регулирует создание и функционирование Федеральной информационной системы государственной итоговой аттестации обучающихся (ФИС ГИА). Она аккумулирует данные о результатах ЕГЭ, ОГЭ и других итоговых экзаменов по всей стране. Если организация (например, образовательное учреждение или оператор системы) участвует в передаче или обработке данных ГИА, постановление помогает понять свои обязанности.

ФИС ГНА — Федеральный закон от 02.07.2013 № 185-ФЗ (ст. 41)
Управляет работой Федеральной информационной системы государственной научной аттестации (ФИС ГНА). Эта система собирает сведения о присвоении ученых степеней и званий.

ФИС ФРДО — Постановление Правительства РФ от 31.05.2021 № 825
Регламентирует функционирование Федерального реестра документов об образовании и квалификации (ФИС ФРДО). В реестре содержатся все выданные дипломы, аттестаты, удостоверения о квалификациях.

АИСТ ГБД — Федеральный закон от 16.04.2001 № 44-ФЗ
О создании Автоматизированной информационной системы территориального государственного банка данных о детях, оставшихся без попечения родителей. Этот закон устанавливает порядок формирования и использования этого банка данных

Суперсервис — Постановление Правительства РФ от 26.01.2023 № 89
Устанавливает принципы организации суперсервисов — государственных цифровых сервисов, которые позволяют гражданам получать комплексные услуги в одном месте (например, «Поступление в вуз онлайн», «Рождение ребёнка»).

Защита конфиденциальной информации и аттестация

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены решением Гостехкомиссии России от 30.08.2002 № 282

Это один из базовых документов по защите информации, которая не является государственной тайной, но всё равно требует защиты (например, коммерческая тайна,конфиденциальная информация, служебная информация).

СТР-К описывает требования к проектированию и созданию защищенных информационных систем, средствам технической защиты информации (СЗИ), проведению контроля эффективности мер защиты. 

Документа нет в открытом доступе, он предоставлен для служебного пользования лицензиатам ФСТЭК на осуществление деятельности по технической защите информации.

Лицензирование

ФСБ — Постановление Правительства РФ от 16.04.2012 № 313
Определяет порядок получения лицензии ФСБ на разработку, производство, распространение средств криптографической защиты (шифрование), техническое обслуживание таких средств, оказание услуг в области защиты информации с использованием шифрования.

ФСТЭК — Постановление Правительства РФ от 03.02.2012 № 79
Устанавливает порядок лицензирования ФСТЭК организаций, которые разрабатывают и внедряют средства защиты информации, строят системы защиты конфиденциальной информации (не гостайна!), проводят работы по технической защите данных.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Контур.Эгида

Сервисы для ИБ

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Контур.Эгида

Сервисы для ИБ

Узнать больше
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться