Законодательство по информационной безопасности в России

Код курса КП64, 2 дня

Статус

Авторский курс Алексея Лукацкого

Аннотация

Законодательство по информационной безопасности в России активно развивается. Если на заре возникновения данной тематики в СССР было всего два регулятора, которые эту тему активно продвигали - КГБ и Гостехкомиссия, то на сегодняшний день таких регуляторов 13. Это и ФСБ, и Федеральная служба по техническому экспортному контролю, и Банк России, который регулирует финансовые учреждения, и Минсвязь, и Роскомнадзор, и Национальный антитеррористический комитет и другие структуры, и каждая из них выпускает свои нормативные акты различного уровня, начиная от федерального закона и заканчивая ведомственными приказами. Если с 1992-го года по 2011-й, когда в России активно стала развиваться данная тема, вышло всего порядка ста нормативных актов, касающихся регулирования информационной безопасности, то в последние несколько лет уже издано свыше ста нормативных актов. То есть за столь короткий срок появилось документов законодательного уровня больше, чем за предыдущие 18 лет существования этой отрасли.

Именно этот факт определяет актуальность данного курса – Алексей Лукацкий не только расскажет об истории развития законодательства по ИБ в России, определит его основные направления, но и даст анализ наиболее важных законодательных актов.

В рамках курса будут рассмотрены основные направления развития законодательства в следующих областях:

• персональные данные, по которым ежегодно готовится около 10 нормативных актов различных уровней.
• национальная платежная система, которую регулирует банк России, ежегодно выпускающий около десяти нормативных актов.
• государственные информационные ресурсы, по которым выускаются нормативные документы, обязывающие муниципальные государственные органы применять соответствующие технологии для защиты государственных информационных систем
• защита критически важных объектов, в том числе в информационной сфере. Это объекты ТЭК и промышленности, имеющие отношение к национальной безопасности в РФ.
• операторы связи, для которых разрабатывается определенное количество нормативных актов, уточняющих ту или иную сферу регулирования по вопросам защиты информации в рамках их деятельности.

Аудитория

• Руководители служб безопасности (CSO), отделов информационной безопасности (CISO), советники по безопасности, эксперты по безопасности и т.п.
• Специалисты по ИБ
• Интеграторы и консультанты, выполняющие работы по информационной безопасности для своих заказчиков.

Предварительная подготовка

Рекомендуем предварительно пройти обучение по курсу БТ01 «Безопасность информационных технологий»..

В результате обучения

Вы узнаете:

Вы узнаете:

• О проблемах регулирования ИБ в России
• Об основах государства и права и правоотношениях
• О законодательстве в области ИБ
• О Регуляторах в области ИБ
• О регулирование различных видов тайн
• Об отраслевых требованиях в сфере ИБ
• О применении международного законодательстве по ИБ в России
• О техническом регулировании, оценке соответствия, сертификации и аттестации
• О лицензирование деятельности по защите информации и шифрованию
• О правоприменительной практике в сфере ИБ

Пакет слушателя

В процессе обучения каждый слушатель получит информацию по тематике курса в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра «Информзащита».

Программа курса

1. Проблемы регулирования ИБ в России

1.1. История становления и развития

1.2. Предметная область ИБ

1.3. Результаты работы рабочей группы академика Рыжова

2. Основы государства и права

2.1. Правоотношения

2.1.1. Объекты правоотношений

• Государственная тайна
• Информация ограниченного доступа
• Работы и услуги в области защиты информации (шифрования)
• Операционные риски
• Оценка соответствия средств защиты информации
• Бесперебойность функционирования…
• Защита информации (сама по себе)
• Право на тайну (личной жизни, переписки, связи, телефонных переговоров и т.д.)
• Виды деятельности субъектов
• Средства защиты информации
• Информационные системы

2.1.2. Субъекты правоотношений

• Обладатель информации
• Потребитель информации
• Оператор информационной системы
• Владелец сайта в сети «Интернет»
• Провайдер хостинга
• Разработчики ИТ и средств защиты информации

2.1.3. Что такое информация и информационная система?

• Документированная информация
• Классификация информационных систем

2.1.4. Содержание правоотношений

• Где определена обязанность или право на защиту?
• Могу ли я сам установить требования по защите информации?
• Подпадаю ли я под какие-либо обязательные требованиям по защите информации?
• Ограничен ли я в устанавливаемых требованиях по защите информации?
• Обременен ли я какими-либо обязанностями в процессе реализации требований по защите информации?

2.2.   Вертикальная и горизонтальная структура

• Отрасли права
• Нормативные акты
• Иерархия
• Юридическая сила
• Правила подготовки нормативных актов
• Вступление в силу
• О коррупциогенности
• Прекращение действия
• Обратная сила
• Действие в пространстве

2.3.   Основные принципы права

• «Все, что не запрещено, разрешено» и наоборот
• Каждое правонарушение подразумевает ответственность
• Последующее отменяет предыдущее
• Приоритет специального закона по отношению к общему закону
• Незнание закона не освобождает от ответственности
• Неопубликованные законы не применяются
• Отягчающий закон обратной силы не имеет
• «Презумпция невиновности»

3. Законодательство в области ИБ

3.1.   Структура и иерархия

3.2.   Динамика принятия

3.3.   «Базовое» законодательство

• Трехглавый закон

4. Регуляторы в области ИБ

4.1.   ФСТЭК, ФСБ, ФСО, СВР, МинОбороны, Минсвязи и т.д.

5. Регулирование различных видов тайн

5.1.   Коммерческая тайна

5.2.   Персональные данные

5.3.   Конфиденциальная информация

5.4.   Банковская тайна

6. Отраслевые требования

6.1.   Государственные и муниципальные информационные ресурсы

6.2.   Электронное взаимодействие (СМЭВ и т.п.)

6.3.   Операторы связи и регулирование Интернет

6.4.   Критически важные объекты

6.5.   Участники НПС

6.6.   Банки

7. Международное законодательство в России

7.1.   Контроль западного влияния

7.2.   Интеграция России в мировое сообщество

7.3.   Международная информационная безопасность

7.4.   PCI DSS, ISO 2700x, ISM3, ITIL, COBIT, ISO 20000 и т.п.

8. Другие нормативные акты

8.1.   Стратегия кибербезопасности России

8.2.   Основы госполитики в области повышения культуры ИБ

8.3.   Нормотворчество ФСТЭК

8.4.   Нормотворчество ФСБ

8.5.   Регулирование криптографии

• Ввоз, вывоз и эксплуатация СКЗИ. Деятельность с использованием СКЗИ

9. Технические регулирование. Оценка соответствия. Сертификация и аттестация

10. Лицензирование деятельности по защите информации и шифрованию

11. Контроль и надзор за деятельностью в области защиты информации

12. Наказание за несоблюдение законодательства в области информационной безопасности

12.1.КоАП, УК, ТК, регуляторы…

13. Парафраз о правоприменительной практике

13.1.Права ли пословица "Закон, что дышло…"?

13.2.Решения российских судов, включая Верховный Суд и Конституционный Суд

14. Операционные риски, внутренний контроль

14.1.SOX, ФСФР, COSO, Базель II и требования Банка России