Обзор действующих законов РФ, регулирующих инфобезопасность
13 ноября, 2025
В цифровую эпоху данные стали главным активом бизнеса, а их защита — вопросом выживания компании. Законы информационной безопасности Российской Федерации определяют правила игры: они регламентируют, какие сведения охраняются, кто несет ответственность за их сохранность и какие меры должен предпринять бизнес. От умения работать в рамках этих норм зависит не только юридическая безопасность, но и прибыль вашей компании.
Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”
ФЗ №149-ФЗ — это базовый закон для цифровой среды. Он регулирует обращение с информацией, применение ИТ и особенности защиты данных. Распространяется на компании и ИП, которые собирают, хранят, обрабатывают или распространяют данные (сайты, приложения, инфосистемы).
Отдельно установлены режимы для организаторов распространения данных в интернете: поисковиков, соцсетей, новостных агрегаторов и сервисов объявлений. Бизнес обязан обеспечивать информационную безопасность: предотвращать НСД, восстанавливать данные, а также локализовать базы с ПДн граждан РФ только в России.
Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”
Закон о безопасности критической информационной инфраструктуры касается организаций, чья деятельность напрямую влияет на стабильность государства и жизни граждан. Это госпредприятия и частные компании в сферах энергетики, транспорта, связи, финансов, здравоохранения, науки, обороны, а также в области управления и обеспечения правопорядка. Закон определяет понятие критической информационной инфраструктуры (КИИ), устанавливает обязанности ее субъектов и регулирует взаимодействие с ФСТЭК и ФСБ.
Компании, признанные субъектами КИИ, обязаны:
- создавать систему защиты информации, предотвращать и вовремя локализовывать инциденты;
- обеспечивать устойчивую работу объектов;
- проходить категорирование и уведомлять уполномоченные органы о выявленных инцидентах;
- предоставлять сведения о мерах защиты.
Под регулирование ФЗ №187-ФЗ чаще попадают IT-компании и операторы цифровых платформ, которые ранее не относились к субъектам КИИ. Это увеличивает нагрузку на бизнес, но одновременно снижает риски масштабных кибератак.
Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”
ФЗ №152-ФЗ регулирует порядок сбора, хранения, использования и уничтожения персональных данных. Он обязателен для всех организаций, ИП, самозанятых и просто физлиц, которые работают с клиентами, сотрудниками или пользователями и получают от них сведения — от ФИО и паспортных данных до электронной почты и IP-адреса.
ФЗ № 152-ФЗ устанавливает:
- обязанности операторов по защите данных от неправомерного доступа;
- правила оформления согласия на обработку персональных данных;
- права граждан на доступ, уточнение и удаление информации о себе;
- необходимость локализации баз персональных данных россиян на территории РФ.
Этот ФЗ тесно связан с другими законами об обеспечении информационной безопасности, включая ФЗ № 149-ФЗ и ФЗ № 187-ФЗ. Вместе они формируют систему требований к компаниям, работающим с информацией.
Важно! Последние изменения в 2025 году усилили контроль за передачей данных за рубеж, расширили перечень охраняемых сведений и увеличили штрафы за нарушения. Так, если вы не обеспечите локализацию баз данных с ПДн граждан РФ в России, могут оштрафовать на сумму до 6 млн рублей (ч.8 ст.13.11 КоАП РФ), а за утечку данных — до 20 млн рублей. При повторном нарушении — до 500 млн или 1-3% годового оборота компании (ч.18 ст.13.11 КоАП РФ).
Федеральный закон от 06.04.2011 № 63-ФЗ “Об электронной подписи”
ФЗ №63-ФЗ устанавливает правила использования электронной подписи (ЭП) при заключении сделок, подаче отчетности, обмене документами. Он касается всех компаний и ИП, которые применяют электронный документооборот, взаимодействуют с государственными порталами или используют цифровые сервисы.
ФЗ № 63-ФЗ определяет виды ЭП — простая, усиленная неквалифицированная и усиленная квалифицированная. Последняя приравнивается к собственноручной подписи и используется для юридически значимых действий.
Закон напрямую связан с информационной безопасностью: определяет требования к сертифицированным удостоверяющим центрам, защищенным каналам связи и криптографическим методам. Он минимизирует риск подделки документов и подтверждает подлинность данных в цифровой среде.
Федеральный закон от 29.07.2004 № 98-ФЗ “О коммерческой тайне”
ФЗ №98-ФЗ определяет правила установления и защиты режима коммерческой тайны. Он касается любых организаций и ИП, которые используют конфиденциальные сведения в бизнесе: клиентские базы, технологии, маркетинговые стратегии, финансовые отчеты. Работодатель вправе ограничить доступ к таким данным, но обязан уведомить сотрудников и оформить перечень охраняемой информации.
Также закон закрепляет права и обязанности сторон, регулирует порядок передачи, хранения и использования охраняемых сведений. Нарушение режима влечет гражданско-правовую и административную ответственность.
Стоит учитывать, что ФЗ №98-ФЗ напрямую связан с российскими законами в области информационной безопасности, так как требует внедрения организационных и технических мер для защиты информации от утечек, кражи или неправомерного использования. Он дополняет ФЗ № 152-ФЗ и № 149-ФЗ, формируя комплексную систему защиты данных.
Заключение
Система регулирования работы с ПДн в России построена так, что закон о защите информационной безопасности действует не в одиночку, а в связке с другими нормативными актами. Каждый из них отвечает за свой участок — от защиты персональных данных до сохранности коммерческой тайны и устойчивости критической информационной инфраструктуры. Бизнесу необходимо организовать комплексный подход к защите информации: оценивать риски, внедрять технические и организационные меры, следить за изменениями законодательства и своевременно адаптировать внутренние процессы.
