Организационно-техническое и правовое обеспечение информационной безопасности Российской Федерации

ФЕДЕРАЛЬНАЯ СЛУЖБА ИСПОЛНЕНИЯ НАКАЗАНИЙ 

ФЕДЕРАЛЬНОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 

ВЫСШЕГО ОБРАЗОВАНИЯ  

ВОРОНЕЖСКИЙ ИНСТИТУТ ФСИН РОССИИ 

 
 
 
 
  
 
 
 
 
 
 
 

ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОЕ  

И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ  

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

РОССИЙСКОЙ ФЕДЕРАЦИИ 

 
 

Учебник 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Воронеж 

2022 

УДК 004.42:005.92 
ББК 32.965:67.4/67.9 
О-64 

Утверждено методическим советом Воронежского института ФСИН России 
21 июня 2022 г., протокол № 10 

Р е ц е н з е н т ы: 
профессор кафедры безопасности информационных систем  
факультета информационных систем и технологий ФГБОУ ВО «Санкт-Петербургский 
государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича,  
доктор технических наук, профессор М. В. Буйневич; 
профессор кафедры информационной безопасности телекоммуникационных сетей 
ФКОУ ВО Воронежский институт ФСИН России,  
доктор технических наук, профессор В. И. Сумин 

Организационно-техническое и правовое обеспечение информационной 
безопасности Российской Федерации: учебник / сост. И. Г. Дровникова, 
А. В. Калач, И. И. Лившиц, Е. А. Рогозин, А. В. Скрыпников. ; ФКОУ ВО Воро-
нежский институт ФСИН России – Воронеж : ИПЦ "Научная книга", 2022. – 304 с. 

ISBN 978-5-4446-1743-4 

Издание содержит теоретические сведения об основах организационной 
защиты информации, лицензировании, сертификации средств защиты, аттестации 
объектов информатизации, а также вопросы, связанные с использованием техни-
ческих средств защиты информации, в том числе контроля эффективности меро-
приятий по защите информации. В учебнике изложены основные положения пра-
вового обеспечении информационной безопасности Российской Федерации: опре-
делено содержание правового обеспечения информационной безопасности, место 
информационной безопасности в системе национальной безопасности страны, 
приведены основные положения законодательства в области обеспечения инфор-
мационной безопасности Российской Федерации. Рассмотрены вопросы правового 
регулирования защиты государственной тайны, конфиденциальной информации, 
информационной безопасности в сфере интеллектуальной собственности и юри-
дической ответственности за нарушение правовых норм в области информацион-
ной безопасности. Представлен примерный перечень вопросов для самоконтроля 
и тестовых заданий для подготовки к промежуточной аттестации. 
Рекомендуется обучающимся образовательных организаций высшего профессионального 
образования, получающим образование 10.05.02 «Информационная безопасность 
телекоммуникационных систем» для подготовки к учебным занятиям по 
дисциплинам «Основы информационной безопасности», «Организационное и правовое 
обеспечение информационной безопасности», «Техническая защита информации», 
и направлению подготовки 40.04.01 «Юриспруденция». 
УДК 004.42:005.92 
ББК 32.965:67.4/67.9 

Издано в авторской редакции 

ISBN 978-5-4446-1743-4  

© ФКОУ ВО Воронежский институт 
ФСИН России, 2022 
© Дровникова И. Г., Калач А. В., Лившиц И. И., 
Рогозин Е. А., Скрыпников А. В., 2022 
© ИПЦ "Научная книга", 2022 

О-64 

Оглавление

Введение……………………………………………………………………...
8

Раздел 1. Организационно-техническое обеспечение 
информационной безопасности Российской Федерации………………….
10

Глава 1. Основы организационного обеспечения 
информационной безопасности…………………...………………………...

10

1.1. Понятие и сущность защиты информации……………………….
10

1.2. Понятие и содержание организационного обеспечения 
информационной безопасности……………………………………….. 13

Глава 2. Государственная система обеспечения информационной 
безопасности Российской Федерации………………………………………
15

2.1. Обеспечение информационной безопасности 
как приоритетное направление государственной политики 
Российской Федерации…………………………………………………
15

2.2. Понятие, задачи и состав системы обеспечения 
информационной безопасности………………………..........................
17

2.3. Полномочия органов государственной власти 
Российской Федерации в области обеспечения 
информационной безопасности.………………………………………. 22

Глава 3. Лицензирование в области обеспечения информационной 
безопасности…………………………………………………………………. 49

3.1. Основные понятия и положения системы государственного 
лицензирования…….…………………………………………………...
49

3.2. Организация и осуществление лицензирования отдельных 
видов деятельности в области защиты информации…………………
55

Глава 4. Сертификация в области обеспечения информационной 
безопасности……………………………..…………………………………... 66

4.1. Организация и порядок сертификации продукции 
в системе Федеральной службы по техническому 
и экспортному контролю.…….………………………………………...
66

4.1.1. Система сертификации ФСТЭК России…………………..
67

4.1.2. Порядок проведения сертификации средства 
защиты информации………………………………………………
70

4.2. Организация и порядок сертификации продукции 
в системе   Федеральной службы безопасности……………………...
87

4.2.1. Организационная структура системы 
сертификации СЗИ-ГТ…….……………………………………...
90

4.2.2. Порядок проведения сертификации 
и инспекционного контроля………………………………………
94

Глава 5. Аттестация объектов информатизации по требованиям 
безопасности информации…………………………………………………..
100

5.1. Организационная структура системы аттестации 
объектов информатизации по требованиям безопасности 
информации……………………………………………………………..
103

5.2. Порядок проведения аттестации объектов информатизации 
по требованиям безопасности информации…………………………..
105

5.3. Требования к нормативным и методическим документам 
по аттестации объектов информатизации…………………………….. 110

5.4. Порядок проведения аттестации объектов информатизации 
на соответствие требованиям безопасности информации 
от утечки по техническим каналам……………………………………
111

5.5. Организационно-техническое обеспечение защиты 
информации на объектах информатизации…………………………...
118

5.5.1. Основные понятия и положения технической 
защиты информации………………………………………………
118

5.5.2. Организационно-технические мероприятия 
по защите информации…………………………………………… 122

5.5.3. Технические средства, используемые 
в рамках обеспечения информационной безопасности………...
126

Раздел 2. Правовое обеспечение информационной безопасности 
Российской Федерации………………………………………………………
137

Глава 6. Понятие и содержание правового обеспечения 
информационной безопасности.…………………………………………….
137

Глава 7. Место информационной безопасности 
в национальной безопасности РФ…………………………………………..
140

7.1. Безопасность государства: содержание и принципы 
обеспечения……………………………………………………………..
140

7.2. Стратегия национальной безопасности РФ………………………
141

7.3. Доктрина информационной безопасности РФ…………………...
143

Глава 8. Основы законодательства в области обеспечения 
информационной безопасности РФ………………………………………...
148

8.1. Классификация и структура нормативных правовых актов 
в сфере обеспечения информационной безопасности……………….
148

8.2. Права и свобода человека и гражданина в сфере 
информационной безопасности……………………………………….. 154

Глава 9. Информация как объект правоотношений в сфере 
обеспечения информационной безопасности……………………………...
158

9.1. Объект правоотношений в сфере обеспечения 
информационной безопасности……………………………………….. 158

9.2. Понятие и виды защищаемой информации……………………… 160

9.3. Правовое обеспечение защиты критической 
информационной инфраструктуры……………………………………
163

Глава 10. Государственная тайна как особый вид защищаемой 
информации…………………………………………………………………..
169

10.1. Понятие и сущность государственной тайны…………………..
169

10.2. Правовое обеспечение защиты государственной тайны……….
170

Глава 11. Правовое регулирование защиты сведений 
конфиденциального характера………………………………………………
176

11.1. Персональные данные как вид защищаемой 
информации………….………………………………………………….
176

11.2. Служебная тайна как вид защищаемой информации…………..
187

11.3. Коммерческая тайна как вид защищаемой информации………. 189

11.4. Правовое регулирование защиты сведений, 
связанных с профессиональной деятельностью……………………...
193

Глава 12. Правовое регулирование информационной безопасности 
в сфере интеллектуальной собственности…………………………………. 200

12.1. Защита интеллектуальной собственности в системе 
правового регулирования информационной безопасности………….
200

12.2. Основы авторского права………………………………………...
201

12.3. Основы патентного права………………………………………... 204

Глава 13. Юридическая ответственность за нарушение 
правовых норм в области информационной безопасности……………….. 210

13.1. Понятие юридической ответственности………………………...
210

13.2. Виды юридической ответственности…………………………… 211

13.3. Содержание УК РФ и КоАП РФ по вопросам 
ответственности в сфере информационной безопасности…………..
214

Вопросы для самоконтроля………………………………………………….
252

Тестовые задания…………………………………………………………….
260

Перечень рекомендуемой литературы……………..……………………….
285

Приложения…………………………………………………………………..
295

 
 

ВВЕДЕНИЕ 

В последние несколько лет в мире наблюдается значительный рост 

числа преступлений в компьютерной сфере, направленных на объекты 
критической инфраструктуры, вызванный их интеграцией с информационными 
технологиями. К сожалению, с ростом количества пользователей в 
сети происходит неизбежный рост кибератак и их вариативности. Не вызывает 
удивления тот факт, что глобализация способствует не только развитию 
экономической деятельности, но и раскрывает новые возможности 
для хакерских групп по проведению кибератак различного уровня и масштаба.  


Все специалисты по информационной безопасности рано или поздно 

сталкиваются с вопросами законодательного регулирования своей деятельности. 
Первой проблемой при этом обычно является поиск документов, 
где прописаны те или иные требования. 

За 2021 год в Российской Федерации всего было принято 287 нормативных 
правовых актов в области информационной безопасности, средств 
защиты информации, обработки персональных данных, импортозамещения 
в сфере ИТ и цифровой экономики в целом.  

Почти половина принятых нормативных правовых актов касается 

цифровой экономики – 45% (129 актов) от общего числа принятых в ис-
следуемой области. Следующее место по количеству принятых актов заня-
ла тема биометрии и персональных данных – на ее долю пришлось 18% 
(51 акт) всех принятых в сфере актов. Третье место с долей 16% (45 актов) 
заняла тема информационной безопасности (защиты информации, техни-
ческой защиты информации). 

Драматические события политического и экономического плана, 

случившиеся в первой половине 2022 года, не могли не оказать влияния на 
формирование мировой и российской картин утечек информации. С нача-
лом Специальной военной операции РФ многие вызовы в области кибер-
безопасности проявились еще сильнее, на фоне антироссийской истерики и 
формирования нового многополярного мира последовал очередной виток 
кибервойн.  

В новой реальности охота за персональными данными со стороны 

организованной киберпреступности становится все более интенсивной, ко-
личество атак неуклонно увеличивается, цена утечки существенно увели-
чилась, и выявление внутренних злоумышленников стало еще более акту-
альной задачей по всему миру. 

Рекомендуется обучающимся образовательных организаций высшего 
профессионального образования, получающим образование 10.05.02  
«Информационная безопасность телекоммуникационных систем» для под-
готовки к учебным занятиям по дисциплинам «Основы информационной 
безопасности», «Организационное и правовое обеспечение информацион-
ной безопасности», «Техническая защита информации», и направлению 
подготовки 40.04.01 «Юриспруденция». 

РАЗДЕЛ 1. ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  

РОССИЙСКОЙ ФЕДЕРАЦИИ 

 

ГЛАВА 1. ОСНОВЫ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

 

1.1. Понятие и сущность защиты информации 

 

В настоящее время при рассмотрении вопросов, связанных с защи-

той информации, рассматривается три основных компонента, связанных с 
данным понятием: объект, угроза, защита.  

Объектом защиты в данном случае являются информация или но-

ситель информации, или информационный процесс, которые необходимо 
защищать в соответствии с поставленной целью защиты информации [1]. 
В связи с возможностью перехода информации из одной формы в другую, 
а также с многообразием видов носителей информации определить пол-
ный перечень объектов защиты практически невозможно. Обычно объек-
ты защиты определяют по основному признаку – содержат ли они или 
присутствует (циркулирует) ли в них информация ограниченного доступа. 
В соответствии с Национальным стандартом Российской Федерации  
«Защита 
информации. 
Основные 
термины 
и 
определения»  

(ГОСТ Р50922-2006) к объектам защиты информации могут быть отнесе-
ны: охраняемая территория, здание (сооружение), выделенное помещение, 
автоматизированная система, информация и (или) информационные ре-
сурсы объекта информатизации. 

Носитель информации – это материальный объект, в том числе фи-

зическое поле, в котором информация находит свое отражение в виде 
символов, образов, сигналов, технических решений и процессов, количе-
ственных характеристик физических величин [1]. 

Различают следующие виды носителей информации: 
– люди (обслуживающий персонал, пользователи информации и ин-

формационных ресурсов и др.);  

– документ (согласно ст. 2 Федерального закона от 27 июля 2006 г. 

№ 149-ФЗ «Об информации, информационных технологиях и о защите 
информации» документированная информация – зафиксированная на 
материальном носителе путем документирования информация с реквизи-
тами, позволяющими определить такую информацию или в установлен-
ных законодательством Российской Федерации случаях ее материальный 
носитель [2]. Данный термин указывает на три основных признака доку-
мента: наличие материального носителя информации; идентифицируе-
мость зафиксированных на носителе сведений; возможность изменения 
форм ее закрепления, т.е. возможность копирования информации. Доку-

менты могут быть классифицированы по ряду признаков: по видам дея-
тельности, по происхождению, по месту возникновения, по содержанию, 
по гласности, по форме, по срокам хранения, в зависимости от способа 
воспроизведения, по стадиям создания и др. Документы являются наибо-
лее информативными носителями, так как они содержат, как правило, до-
стоверную информацию в отработанном и сжатом виде; особую ценность 
имеют подписанные и утвержденные документы); 

– публикации (информационные носители в виде разнообразных изда-

ний: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты и т.д.); 

– технические носители (носители любой формы, кино-, фотомате-

риалы, магнитные носители, видеодиски, распечатки данных и программ 
на принтерах и др.); 

– технические средства обеспечения производственной и трудовой 

деятельности (телефоны, телевизоры, радиоприемники, системы громкого-
ворящей связи, усилительные системы, охранные и пожарные системы, ав-
томатизированные системы обработки данных и др.); 

– промышленные и производственные отходы (несут сведения об 

используемых материалах, их составе, особенностях производства, техно-
логии). 

Угроза – одно из ключевых понятий в сфере обеспечения информа-

ционной безопасности. В соответствии с Национальным стандартом Рос-
сийской Федерации «Защита информации. Основные термины и опреде-
ления» (ГОСТ Р 50922-2006) под угрозой (безопасности информации) по-
нимается совокупность условий и факторов, создающих потенциальную 
или реально существующую опасность нарушения безопасности инфор-
мации  [3].  

Фактором, воздействующим на защищаемую информацию, считает-

ся явление, действие или процесс, результатом которого могут быть утеч-
ка, искажение, уничтожение защищаемой информации, блокирование до-
ступа к ней. Источником угрозы безопасности информации является субъ-
ект (физическое лицо, материальный объект или физическое явление), яв-
ляющийся непосредственной причиной возникновения угрозы безопасно-
сти информации.  

К наиболее важным свойствам угрозы относятся избирательность, 

предсказуемость и вредоносность. Избирательность характеризует наце-
ленность угрозы на нанесение вреда тем или иным конкретным свойствам 
объекта безопасности. Предсказуемость характеризует наличие признаков 
возникновения угрозы, позволяющих заранее прогнозировать возмож-
ность появления угрозы и определять конкретные объекты защиты, на ко-
торые она будет направлена (в том числе на нарушение какого свойства 
информации, конфиденциальности, целостности или доступности, она бу-
дет направлена). Вредоносность характеризует возможность нанесения 
вреда различной тяжести объекту безопасности. Вред, как правило, может 

быть оценен стоимостью затрат на ликвидацию последствий проявления 
угрозы либо на предотвращение ее появления. 

Необходимо выделить два наиболее важных типа угроз: 
– намерение нанести вред, которое появляется в виде объявленного 

мотива деятельности субъекта; 

– возможность нанесения вреда – существование достаточных для 

этого условий и факторов. 

Особенность первого типа угроз заключается в неопределенности 

возможных последствий, неясности вопроса о наличии у угрожающего 
субъекта (злоумышленника) сил и средств, достаточных для осуществле-
ния намерения. 

Особенность второго типа угроз заключается в том, что последствия 

(нарушение безопасности информации) определены. При этом предпола-
гается, что у угрожающего субъекта имеется полный набор сил и средств, 
с использованием которых он имеет возможность реализовать угрозу. 

Под защитой информации понимается деятельность, направленная 

на предотвращение утечки защищаемой информации, несанкционирован-
ных и непреднамеренных воздействий на защищаемую информацию [4].  

Более широким понятием защиты информации является комплекс 

организационных, правовых и технических мер по предотвращению угроз 
информационной безопасности и устранению их последствий.  

Выделяют следующие виды защиты информации [1]: 
– правовая защита информации – защита информации правовыми 

методами, включающая в себя разработку законодательных и норматив-
ных правовых документов (актов), регулирующих отношения субъектов по 
защите информации, применение этих документов (актов), а также надзор 
и контроль за их исполнением; 

– техническая защита информации – защита информации, заклю-

чающаяся в обеспечении некриптографическими методами безопасности 
информации (данных), подлежащей (подлежащих) защите в соответствии с 
действующим законодательством, с применением технических, программ-
ных и программно-технических средств; 

- криптографическая защита информации – защита информации с 

помощью ее криптографического преобразования; 

- физическая защита информации – защита информации путем 

применения организационных мероприятий и совокупности средств, со-
здающих препятствия для проникновения или доступа неуполномоченных 
физических лиц к объекту защиты. 

Организационные мероприятия по обеспечению физической защиты 

информации предусматривают установление режимных, временных, тер-
риториальных, пространственных ограничений на условия использования 
и порядок функционирования объекта защиты. 

Понятие «защита информации» тесно связано с понятием «безопас-

ность информации». Сущность защиты информации заключается в преду-
преждении, выявлении, обнаружении, нейтрализации угроз, ликвидации 
их последствий, т.е. в обеспечении безопасности информации. Под без-
опасностью информации [5] понимается состояние защищенности ин-
формации, при котором обеспечены ее конфиденциальность, доступность, 
целостность. Информационная безопасность – это состояние защищен-
ности информационной среды, информационная безопасность государства 
– состояние защищенности его национальных интересов в информацион-
ной сфере, определяющихся совокупностью сбалансированных интересов 
личности, общества и государства [6]. 

 
1.2. Понятие и содержание организационного обеспечения  

информационной безопасности 

 

Исполнение законов и других нормативных правовых актов, регла-

ментирующих вопросы обеспечения защиты информации, прежде всего 
основано на организаторской деятельности соответствующих структур, создаваемых 
в государстве, ведомствах, учреждениях и организациях. Именно 
эта деятельность составляет содержание организационного обеспечения 
информационной безопасности.  

Под организационным обеспечением информационной безопасности 
следует понимать совокупность специализированных органов, а также 
методов, сил и средств, реализующих задачи по защите информации. 

Основной целью организационного обеспечения информационной 

безопасности является реализация на практике мер по защите информации 
с помощью выбранных сил и средств.   

Организационная защита информации – составная часть системы 

защиты информации, определяющая и вырабатывающая порядок и правила 
функционирования объектов защиты и деятельности должностных лиц 
в целях обеспечения защиты информации. 

Организационная защита информации тесно связана с правовым и 

инженерно-техническим направлением защиты информации: защита информации 
организуется на основе законов и иных нормативных правовых 
актов и с помощью инженерно-технических решений. На организационном 
уровне решаются следующие задачи обеспечения безопасности инфор-
мации: 

– организация работ по разработке системы защиты информации; 
– ограничение доступа к информации; 
– разграничение доступа к информации; 
– планирование мероприятий по защите информации; 
– разработка документации, необходимой для регламентации защиты 

информации; 

– воспитание и обучение обслуживающего персонала защищаемых 

объектов; 

– сертификация средств защиты информации; 
– лицензирование деятельности по защите информации; 
– аттестация объектов защиты (объектов информатизации); 
– совершенствование системы защиты информации; 
– оценка эффективности функционирования системы защиты ин-

формации; 

– контроль выполнения установленных требований по защите ин-

формации. 

Применительно к защите конкретного объекта организационная за-

щита представлена следующими направлениями:  

– организация режима и охраны; 
– организация работы с сотрудниками (подбор и расстановка персо-

нала, обучение правилам работы с информацией, ознакомление с мерами 
ответственности за нарушение правил защиты информации и др.); 

– организация работы с документами и документированной инфор-

мацией;  

– организация использования технических средств сбора, обработки, 

накопления и хранения информации; 

– организация работы по анализу внутренних и внешних угроз ин-

формации и выработке мер по обеспечению ее защиты; 

– организация работы по проведению систематического контроля за 

обеспечением защиты информации. 

 
 

ГЛАВА 2. ГОСУДАРСТВЕННАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ 

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  

РОССИЙСКОЙ ФЕДЕРАЦИИ 

 

2.1. Обеспечение информационной безопасности  

как приоритетное направление государственной политики  

Российской Федерации 

 

Современный этап развития государства характеризуется все более 

возрастающей ролью информационной сферы. Под информационной сфе-
рой принято понимать совокупность информации, объектов информатиза-
ции, информационных систем, сайтов, сетей связи, информационных тех-
нологий, а также субъектов, деятельность которых связана с обеспечением 
информационной безопасности, а также совокупность механизмов регули-
рования общественных отношений в данной сфере [7]. Бурное развитие со-
временных информационных технологий, открывающих безграничные 
возможности, в то же время таит в себе новые угрозы безопасности лично-
сти, общества и государства, что требует от государства пристального вни-
мания к вопросам обеспечения информационной безопасности.  

Сегодня ни у кого не возникает сомнений в том, что национальная 

безопасность Российской Федерации напрямую зависит от состояния за-
щищенности информационной сферы. И прежде всего это объясняется 
тем, что именно информационная сфера обеспечивает функционирование 
всех остальных сфер жизни общества и государства.  

Базовым документом, определяющим политику Российской Федера-

ции в сфере информационной безопасности, является Доктрина информа-
ционной безопасности Российской Федерации (далее – Доктрина), утвер-
жденная Указом Президента РФ от 05.12.2016 № 646 [7]. Данный доку-
мент пришел на смену ранее действовавшей Доктрине информационной 
безопасности 2000 года (заметим, что концептуальный документ такого 
рода в российской истории был первым). 

Разработка и принятие новой Доктрины вызваны объективными обстоятельствами, 
связанными, прежде всего, с необходимостью соответствия 
вызовам времени в отношении правовой основы обеспечения информационной 
безопасности государства. 

Рассмотрим основные новеллы данного документа. 
Во-первых, Доктрина расширяет понятийный аппарат, вводит следующие 
термины: информационная сфера, национальные интересы Российской 
Федерации в информационной сфере, угроза информационной безопасности 
Российской Федерации, обеспечение информационной безопасности, 
силы обеспечения информационной безопасности, средства обеспечения 
информационной безопасности, система обеспечения информационной 
безопасности, информационная инфраструктура Российской Федерации.