Правовые меры защиты информации
- федеральные законы;
- указы и распоряжениями Президента РФ;
- постановления Правительства РФ;
- ГОСТы по защите информации;
Правовые меры защиты информации – это законодательное регулирование отношений в этой области. Правовые меры устанавливают правила использования информации и определяют ответственность за нарушение этих правил.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.
Нормативных документов по теме защиты информации реально много. Минимальный их набор, заслуживающий прочтения полностью, независимо от области работы, наверное будет таким:
- Федеральный закон №152 от 27.07.2006 "О персональных данных"
- Федеральный Закон №149 от 27.07.2006 "Об информации, информационных технологиях и о защите информации".
ФЗ №152 "О персональных данных" обязателен для понимания в любом случае – как минимум персональные данные своих сотрудников вы будете обязаны защищать.
Перейдем к ФЗ №149. Статьи 1-10 ФЗ №149 обязательны для прочтения. В них зафиксированы понятия в сфере защиты информации, принципы регулирования отношений в этой сфере. Кроме того, установлены права и обязанности обладателя информации, рассмотрены вопросы общедоступной информации, права на доступ к информации и ограничения этого права.
Также представляет интерес статья 16 Закона, которая закрепляет понятие защиты информации, устанавливает обязанность обладателя информации осуществлять защиту ее и вести контроль за обеспечением уровня этой защиты.
Согласно пункту 2 статьи 5 ФЗ №149 вся информация подразделяется на общедоступную и информацию ограниченного доступа. О том, что же такое - информация ограниченного доступа закон тактично умалчивает. Логично будет предположить, что это государственная тайна и конфиденциальная информация.
Вопросами защиты государственной тайны заниматься как-то не пришлось. В рамках этого материала можно только отметить, что основной регулятор здесь – это ФСБ России, а законодательство строится на:
- законе РФ от 21.07.1993№5485-1 «О государственной тайне»;
- указе Президента от 30.11.1995 №1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;
- перечни сведений, подлежащие засекречиванию, уполномоченных органов государственной власти.
Что касается конфиденциальной информации - в Российской Федерации законодательно определено более 50 видов различных тайн и сведений конфиденциального характера. Вот лишь некоторые из них:
|
Сведения конфиденциального характера |
Регулирующий нормативный акт (закон) |
|---|---|
|
Врачебная тайна |
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан…» |
|
Коммерческая тайна |
Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» |
|
Тайна связи |
Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» |
|
Тайна страхования |
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании…» |
|
Банковская тайна |
Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности» |
|
Сведения, ставшие известными судебным приставам |
Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах» |
|
Налоговая тайна |
Налоговый кодекс РФ Часть первая |
Ну и так далее…
Возьмем, к примеру, налоговую тайну:
Налоговый кодекс РФ Часть первая. Статья 102. Налоговая тайна:
1. Налоговую тайну составляют любые полученные налоговым органом …сведения о налогоплательщике, за исключением …
2. Налоговая тайна не подлежит разглашению…., за исключением случаев, предусмотренных федеральным законом.
3. Поступившие в налоговые органы… сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.
Статья 313. Налоговый учет. Общие положения
Содержание данных налогового учета (в том числе данных первичных документов) является налоговой тайной. Лица, получившие доступ к информации, содержащейся в данных налогового учета, обязаны хранить налоговую тайну…»
Таким образом, минимальный набор документов по защите информации, подлежащий изучению, будет состоять из ФЗ 149, 152 и законодательства в зависимости от вида тайны или сведений конфиденциального характера.
Далее будем прибавлять документы в зависимости от вида организации, в которой осуществляется защита.
В 99 процентов можно оценить вероятность того, что Ваша организация использует в своей работе электронные цифровые подписи (ЭЦП), значит ФЗ №63 от 06.04.2011 г. «Об электронной подписи» необходимо хотя бы прочитать.
В основном положения ФЗ №63 касается деятельности удостоверяющих центров, однако положения статьи 10 об обязанностях участников электронного взаимодействия подлежат исполнению всеми пользователями ЭЦП.
Еще организация может попадать под действие ФЗ №187 «О безопасности критической информационной инфраструктуры». III категорию объекта присваивают обычно организациям транспорта, связи, энергетики. Соответственно для них будет обязательным знание и исполнение ФЗ №187 и множества подзаконных актов по этой тематике.
Помимо законов, прямо связанных с защитой информации, есть ряд нормативных актов, которые хоть и косвенно касаются этой области, но обязательны для исполнения. Знать наизусть их понятное дело не надо. Примером может служить ФЗ №99 от 04.05.2011 "О лицензировании отдельных видов деятельности". Из закона нас интересует пункт 1 статьи 12, а именно подпункты 1-5.
Из них следует, что под лицензирование попадает:
- разработка, производство, распространение криптографических средств и специальных технических средств, предназначенных для негласного получения информации;
- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации
- разработка и производство средств защиты конфиденциальной информации и деятельность по технической защите конфиденциальной информации.
Посмотреть перечень лицензий можно на сайте ФСТЭК:
- Деятельность по технической защите конфиденциальной информации:
- Разработка и производство СЗИ:
https://fstec.ru/normotvorcheskaya/litsenzirovanie/72-reestry/216-reestr01
https://fstec.ru/normotvorcheskaya/litsenzirovanie/72-reestry/217-reestr02
В отличие от ФСТЭК, ФСБ не публикует перечень лицензий в открытом доступе. Чтобы проверить такую лицензию, нужно обратиться в ФСБ с письменным запросом, указав реквизиты лицензии.
Или, например, Федеральный Закон №184 от 27.12.2002 "О техническом регулировании".
Из статьи 5 закона следует, что для продукции (работ, услуг) используемой для защиты информации, относимой к информации ограниченного доступа обязательными, помимо требований технических регламентов, являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.
На практике это означает, что программы или устройства, используемые для защиты информации, должны иметь действующий сертификат ФСБ или ФСТЭК.
Реестр сертифицированных СЗИ на сайте ФСТЭКа:
Почему мы в этом материале затрагиваем темы лицензирования и сертификации? Регуляторы (ФСБ или ФСТЭК) приравнивают выполнение работ по защите информации организацией, не имеющей соответствующей лицензии к отсутствию таких работ, а использование технического средства или программы, с просроченным или отсутствующим сертификатом – к отсутствию таких средств или программ. Результат – нарушение и наказание.
Помимо законов, отношения в области защиты информации регулируются указами и распоряжениями Президента РФ и постановлениями Правительства РФ:
Указы и распоряжения Президента РФ
- "Вопросы федеральной службы по техническому и экспортному контролю" от 16.08.2004 №1085 – определяет цели и задачи ФСТЭК России.
- "Об утверждении перечня сведений конфиденциального характера" от 06.03.1997 №188.
«Основными задачами ФСТЭК России являются:
9) осуществление в пределах своей компетенции контроля деятельности по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации … и организациях;
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации …
10) выдает предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;»
Для государственных учреждений и организаций обязателен для исполнения указ:
"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 №351.
В нем речь идет о подключение информационных систем и сетей государственных органов, содержащих государственную и служебную тайну, к сети Интернет только с использованием шифровальных (криптографических) средств, имеющих сертификат ФСБ или ФСТЭК.
Постановления Правительства РФ:
- "О лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 г.
- "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" от 03.03.2012 №171
- В соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" ФЗ №99 постановлением вводится положение о лицензировании деятельности по технической защите конфиденциальной информации. В положении определен закрытый перечень работ и услуг по защите конфиденциальной информации, подлежащих лицензированию.
- постановлением утверждено Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, котором определены виды работ и услуг, подлежащие обязательному лицензированию, а также установлены требования к соискателю лицензии в зависимости от лицензирующего органа (ФСБ или ФСТЭК)
Положения:
- Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.
- Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов, например, Роскомнадзора. С ними можно (и нужно) ознакомиться на сайтах соответствующих ведомств.
Наконец, не забудем про ГОСТы, касающиеся тематики разговора. Вот лишь некоторые для примера:
- ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
- ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
- ГОСТ Р 51188-98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
- ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
- ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
- ГОСТ Р 52069.0-2013 Защита информации. Система стандартов. Основные положения
- ГОСТ Р 52447-2005 Защита информации. Техника защиты информации. Номенклатура показателей качества
- ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
Полный перечень ГОСТов есть на сайте ФСТЭК. Вот ссылка:
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/377-
Не соблюдение законов по защите информации влечет за собой угрозы
информационной безопасности. Реализация угроз может привести к негативным
последствиям, что в свою очередь наказуемо в соответствии с этими законами
вплоть до уголовной ответственности (к примеру статьи 272-274 Уголовного
кодекса РФ).
На этой оптимистичной ноте заканчиваем обзор правовых мер защиты
информации. Хотелось бы думать, что материал получился доступным для
понимания. Переходим к организационным мерам защиты.
