Основы российского законодательства по вопросам защиты информации
1. Информация как объект защиты. 2. Система документов по защите информации. 3. Ответственность за нарушения в сфере защиты информации.
Введение
Основным регулятором в области защиты информации является Федеральная служба по техническому и экспортному контролю (ФСТЭК России):
ФСТЭК России осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
- обеспечения безопасности информации в ключевых системах информационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;
- противодействия иностранным техническим разведкам на территории Российской Федерации;
- технической защиты информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом;
- осуществления экспортного контроля.
Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации об объектах защиты.
Техническая защита информации (ТЗИ) – деятельность, направленная на обеспечение некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических и средств.
Обеспечение безопасности информации в ключевых системах информационной инфраструктуры (ОБИ в КСИИ) – деятельность, направленная на исключение или затруднение реализации в отношении управляющих информационных систем деструктивных воздействий, в результате которых может сложиться чрезвычайная ситуация.
Экспортный контроль (ЭК) – деятельность, направленная на исключение при осуществлении внешнеэкономической деятельности незаконного распространения товаров, информации, работ и услуг, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники либо при подготовке и свершении террористических актов.
Техническая защита информация (ТЗИ), обеспечение безопасности информации в ключевых системах информационной инфраструктуры (ОБИ в КСИИ) заключаются в проведении мероприятий по обеспечению неизменности свойств безопасности информации, таких как конфиденциальность, целостность, доступность. Необходимо исключить утечку информации, ее уничтожение (модификацию) и блокирование. При этом достигается цель по нейтрализации актуальных угроз реализующихся по техническим каналам, за счет несанкционированного доступа и иных специальных воздействий.
Часть 1. Информация как объект защиты
Основными угрозами безопасности информации являются:
- Деятельность иностранных спецслужби преступных сообществ по добыванию защищаемой информации в результате её утечки по техническим каналам в процессе обработки, хранения и передачи в средствах информатизации и системах телекоммуникации. Технический канал утечки информации – совокупность источника информация, среды распространения сигналов и приемника этих сигналов, обуславливающая возможность перехвата информации
- Совершение со стороны внешних и внутренних нарушителей противоправных действий за счет несанкционированного доступа к защищаемой информации, циркулирующей в информационных системах органов власти и организаций. Несанкционированный доступ – получение информации с нарушением установленных прав и правил доступа к ней
- Распространение злоумышленниками вредоносных программ, оказывающих деструктивное воздействие на автоматизированные системы управления технологическими и чувствительными процессами с целью дезорганизации деятельности критически важных, потенциально опасных и социально значимых объектов. Деструктивное информационное воздействие – компьютерная атака, направленная на нарушение нормального функционирования информационных систем
- Наличие в программном обеспечении средств информатизации и систем телекоммуникации компонентов, имеющих недекларированные возможности. Недекларированные возможности – не описанные в документации функции программных продуктов, при использовании которых возможно нарушение свойств безопасности информации
- Наличие в импортных технических средствах и системах обработки информации возможно внедренных закладных электронных устройств. Закладное электронное устройство – скрытно установленный элемент средства негласного съема информации.
Основы законодательства по вопросам защиты информации можно представить следующим образом:
Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»
Статья 1. Сфера действия настоящего Федерального закона
1.Настоящий закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Информация – сведения (сообщения, данные) независимо от формы их предоставления.
Документированная информация – зафиксированная на материальном носителе
информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Электронный документ – документированная информация, представленная в
электронной форме, то есть в виде пригодном для восприятия человеком с использованием электронных вычислительных машин,
а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Электронное сообщение – информация, переданная или полученная
пользователем информационно-телекоммуникационной сети.
Статья 5. Информация как объект правовых отношений
2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию,
а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Статья 7. Общедоступная информация
К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается федеральными законами…
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Конфиденциальная информация – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Что же такое - информация ограниченного доступа?
Перечень нормативных актов, относящих сведения к категории ограниченного доступа
1 | Врачебная тайна | Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан…» |
2 | Коммерческая тайна | Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» |
3 | Тайна связи | Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» |
4 | Тайна страхования | Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании…» |
5 | Банковская тайна | Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности» |
... | Сведения, ставшие известными судебным приставам | Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах» |
В Российской Федерации законодательно определено более 50 видов различных тайн и сведений конфиденциального характера, возьмем для примера налоговый кодекс Российской Федерации, часть первая:
Статья 102. Налоговая тайна
1. Налоговую тайну составляют любые полученные налоговым органом …сведения о налогоплательщике, за исключением …
2. Налоговая тайна не подлежит разглашению…., за исключением случаев, предусмотренных федеральным законом.
3. Поступившие в налоговые органы… сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.
Статья 313. Налоговый учет. Общие положения
Содержание данных налогового учета (в том числе данных первичных документов) является налоговой тайной. Лица, получившие доступ к информации, содержащейся в данных налогового учета, обязаны хранить налоговую тайну…
Указ Президента РФ от 6 мрта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»:
- Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные)…
- Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты…
- Служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна)…
- Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений)…
- Сведения, связанные с коммерческой деятельностью (коммерческая тайна)…
- Сведения о сущности изобретения, полезной модели или промышленного образца до их официальной публикации…
- Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов...
Служебная тайна – конфиденциальные сведения, образующиеся в процессе управленческой деятельности органа или организации, распространение которых препятствует реализации органом или организацией предоставленных ему полномочий либо иным образом отрицательно сказывается на их реализации, а также конфиденциальные сведения, полученные органом или организацией в соответствии с их компетенцией в установленном законодательством порядке.
Концепция Федерального закона «О служебной тайне» (согласована с заинтересованными органами власти)
Проект Федерального закона № 124871-4 «О служебной тайне» (отклонен, перерабатывается)
Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Автоматизированная обработк персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Федеральный Закон ОТ 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»
Статья 6. Обладатель информации
1.Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
2.От имени Российской Федерации…правомочия обладателя информации осуществляются государственными органами…в пределах их полномочий.
Статья 13. Информационные системы
…государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов…
Статья 14. Государственные информационные системы
1.Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях...
9.Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами…
Статья 16. Защита информации
1.Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования…; 2)соблюдение конфиденциальности информации ограниченного доступа; 3)реализацию права на доступ к информации.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам…
Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
.. 4.Обладатель информации, оператор информационной системы ... обязаны обеспечить:
предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
постоянный контроль за обеспечением уровня защищенности информации.
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Часть 2. Система документов по защите информации
Виды законодательных актов Российской Федерации в области защиты информации представлены на рисунке:
К документам стратегического планирования относятся:
- Доктрина информационной безопасности Российской Федерации, утверждена Указом Президента Российской Федерации от 05.12.2016 № 646;
- Основы государственной политики Российской Федерации в области противодействия иностранным техническим разведкам и технической защиты информации, утверждены Указом Президента Российской Федерации от 15.04.2016 № 185;
- Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации, утверждены Президентом Российской Федерации 3 февраля 2012 г., № 803.
Федеральные законы:
- 1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- 2. Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне».
- 3. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
- 4. Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности».
- 5. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- 6. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Нормативная правовая база по защите информации делится на:
Защита информации, составляющей государственную тайну:
- Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне»;
- Указ Президента Российской Федерацииот 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Инструкция по обеспечению режима секретности в Российской Федерации, утверждена постановлением Правительства Российской Федерации от 5 января 2004 г. № 3-1;
- Положение о сертификации средств защиты информации, утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608;
- Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, утверждено постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333.
- Требования к защите информации, составляющей государственную тайну прописаны в документе «Требования по технической защите информации, содержащей сведения, составляющие государственную тайну, утверждены приказом ФСТЭК России от 20 октября 2016 г. № 025, которые заменили «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), утверждены решением Гостехкомиссии России от 23 мая 1997 г. № 55 (с извещениями 1-2005, 1-2006, 1-2008)».
Руководящие документы по защите информации, составляющей государственную тайну:
- Временные требования по защите информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах, созданных с использование суперкомпьютерных технологий утверждены ФСТЭК России 17 августа 2012 г.;
- Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, Гостехкомиссия России, 1992 г.;
- Специальные и общие технические требования, предъявляемые к защищенным волоконно-оптическим системам передачи информации, утверждены приказом ФСТЭК России от 15 ноября 2005 г. № 448 (с изменениями).
Решения межведомственной комиссии:
- Типовая инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники, одобрена решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 г. № 172;
- Методические рекомендации по организации и проведению государственной аттестации и Перечень организаций, окончание которых дает право считаться прошедшим государственную аттестацию, одобрены решениями МВК от 13 марта 1996 г. № 3 и от 28 апреля 2015 г. № 305;
- Рекомендации по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобрены решением Межведомственной комиссии по защите государственной тайны от 30 октября 2014 г. № 293;
- Типовая инструкция по обеспечению защиты государственной тайны при осуществлении международного сотрудничества, одобрена решением Межведомственной комиссии по защите государственной тайны от 6 декабря 2005 г. № 106.
Методики:
- Сборник методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники, от утечки за счет ПЭМИН (новая редакция), утвержден приказом ФСТЭК России от 30 декабря 2005 г. № 075;
- Методики оценки возможностей радио-, радиотехнической, акустической речевой разведок, утверждены приказом ФСТЭК России от 8 сентября 2005 г. № 054 (применяются в части акустической речевой разведки);
- Методика инструментального контроля выполнения норм противодействия акустической речевой разведке, утверждена приказом Гостехкомиссии России от 26 июля 2000 г. № 304;
- Методика построения и оптимизации пространственной системы активной защиты информации от утечки за счет ПЭМИН распределенного объекта информатизации, утверждена приказом ФСТЭК России от 16 мая 2014 г. № 013;
- Методика оценки защищенности информации, циркулирующей на распределенном объекте информатизации, от утечки за счет ПЭМИН с учетом применения средств активной защиты, утверждена приказом ФСТЭК России от 16 мая 2014 г. № 013.
Стандарты:
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
- ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие технические требования»;
- ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
- ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
- ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний» ;
Информационные сообщения:
- Модель иностранных технических разведок на период до 2025 года (Модель ИТР-2025), утверждена приказом ФСТЭК России от 1 декабря 2015 г. № 047 (с приложениями);
- Информационные сообщения ФСТЭК России от 23 апреля 2014 г. № 240/13/1434 и № 240/13/1435 по вопросам предоставления и переоформления лицензий на деятельность в области защиты государственной тайны;
- Информационные сообщения ФСТЭК России от 14 августа 2015 г. № 240/24/3441 и от 12 января 2016 г. № 240/24/87 по вопросам продления сроков действия сертификатов соответствия на средства активной защиты информации;
- Информационное сообщения ФСТЭК России от 28 ноября 2016 г. № 240/24/5587 о продлении сроков действия сертификатов соответствия на средства защиты информации от несанкционированного доступа Secret Net 6;
- Информационное сообщение ФСТЭК России от 23 января 2015 г. № 240/24/223 по порядку продления сроков действия сертификатов соответствия на средства защиты информации по упрощенной схеме.
Защита государственного информационного ресурса, не отнесенного к государственной тайне
Законы:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и федеральные законы относящие информацию к категории ограниченного доступа
Указы:
- Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Постановления:
- Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты… информации…, не содержащей сведения, составляющие государственную тайну…, утверждено постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330;
- Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии и уполномоченном органе, по космической деятельности утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233-р.
Требования:
- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждены приказом ФСТЭК России от 11 февраля 2013 г. № 17
Методики:
- Меры защиты информации в государственных информационных системах, утверждены ФСТЭК России 11 февраля 2014 г.;
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282;
- Методика определения угроз в информационных системах (проект).
Стандарты:
- ГОСТ Р 56545-2015 «Защиты информации. Уязвимости информационных систем. Правила описания уязвимостей»;
- ГОСТ Р 56546-2015 «Защиты информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».;
- Проект ГОСТ Р «Защита информации. Защита информации при использовании технологии виртуализации. Общие положения»;
- Проект ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
Информационные:
- Информационное сообщение от 15 июля 2013 г. № 240/22/2637 по вопросам защиты информации в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17;
- Информационное сообщения ФСТЭК России от 12 апреля 2016 г. № 240/13/1649 об уязвимостях в сертифицированных средствах защиты информации от несанкционированного доступа Secret Net 6 и мерах по их нейтрализации;
- Информационные сообщения ФСТЭК России от 7 апреля 2014 г. № 240/24/1208 и от 19 июня 2015 г. № 240/24/24987 по вопросам использования сертифицированных ОС Windows в условиях прекращения поддержки их разработчиком;
- Информационное сообщение ФСТЭК России от 20 июля 2016 г. № 240/24/3271 об использовании сертифицированных средств антивирусной защиты семейства Касперский 6.0 в условиях прекращения поддержки их разработчиком;
- Информационное сообщение ФСТЭК России от 1 июня 2016 г. № 240/24/3246 об уязвимостях в сертифицированных средствах защиты информации от несанкционированного доступа Dallas Lock 8.0.
Обеспечение безопасности персональных данных при их автоматизированной обработке в иных информационных системах
Постановления:
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждено постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
- Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты… информации…, не содержащей сведения, составляющие государственную тайну…, утверждено постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330;
- Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»…, операторами, являющимися государственными или муниципальными органами, утвержден постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211;
Требования:
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Методики, информационные сообщения:
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.;
- Информационное сообщение от 15 июля 2013 г. № 240/22/2637 по вопросам обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 18 февраля 2013 г. № 21.
Обеспечение безопасности информации на объектах критической информационной инфраструктуры
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и федеральные законы о транспортной, энергетической, промышленной и иной безопасности;
- Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31;
- Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну, утверждено приказом ФСТЭК России от 25 февраля 2009 г. № 07;
- Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утверждено приказом ФСТЭК России от 29 мая 2009 г. № 191.
- Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий, утверждена Секретарем Совета Безопасности Российской Федерации 8 ноября 2005 г.;
- Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры и Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России, 2007 г.;
- Положение о реестре ключевых систем информационной инфраструктуры, утверждено приказом ФСТЭК России от 4 марта 2009 г. № 74;
- Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18 мая 2007 г.;
- Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18 мая 2007 г.
Обеспечение безопасности информации в информационных системах общего пользования
Законы:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Постановления:
- Постановление Правительства Российской Федерации от 18 мая 2009 г. № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям».
Требования:
- Требования по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования, утверждены приказом Минкомсвязи России от 25 августа 2009 г. № 104;
- Требования о защите информации, содержащейся в информационных системах общего пользования, утверждены совместным приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489.
Часть 3. Ответственность за правонарушения в области защиты информации
Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»
Статья 17. Ответственность за правонарушения в сфере… защиты информации
1.Нарушение требований настоящего закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. - Кодекс Российской Федерации об административных правонарушениях статьи 13.12 и 13.13.
Статья 13.12 Нарушение правил защиты информации
Часть 1.
Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну):
- на граждан – штраф от 1000 до 1500 рублей; - на должностных лиц – штраф от 1500 до 2500 рублей; - на юридических лиц – штраф от 15000 до 20000 рублей. Часть 2.
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну):
- на граждан – штраф от 1000 до 2500 рублей с конфискацией несертифицированных средств защиты информации или без таковой; - на должностных лиц – штраф от 2500 до 3000 рублей; - на юридических лиц – штраф от 20000 до 25000 рублей с конфискацией несертифицированных средств защиты информации или без таковой. Часть 3.
Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну:
- на должностных лиц – штраф от 2000 до 3000 рублей; - на юридических лиц – штраф от 20000 до 25000 рублей. Часть 4.
Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну:
- на должностных лиц – штраф от 3000 до 4000 рублей; - на юридических лиц – штраф от 20000 до 30000 рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой. Часть 5.
Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну):
- на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, штраф от 2000 до 3000 рублей или административное приостановление деятельности на срок до 90 суток; - на должностных лиц – штраф от 2000 до 3000 рублей; - на юридический лиц – штраф от 20000 до 25000 рублей или административное приостановление деятельности на срок до 90 суток.
Федеральным законом от 2 февраля 2013 г. № 341-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в статью 13.12 дополнительно внесены части 6 и 7: Часть 6.
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи:
- на граждан – штраф от 500 до 1000 рублей; - на должностных лиц – штраф от 1000 до 2000 рублей; - на юридических лиц – штраф от 10000 до 15000 рублей. Часть 7.
Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния:
- на граждан – штраф от 1000 до 2000 рублей; - на должностных лиц – штраф от 3000 до 4000 рублей; - на юридических лиц – штраф от 15000 до 20000 рублей.
Статья 13.13 Незаконная деятельность в области защиты информации
Часть 1.
Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна):
- на граждан – штраф от 500 до 1000 рублей с конфискацией средств защиты информации или без таковой; - на должностных лиц – штраф от 2000 до 3000 рублей с конфискацией средств защиты информации или без таковой; - на юридических лиц – штраф от 10000 до 20000 рублей с конфискацией средств защиты информации или без таковой. Часть 2.
Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии:
- на должностных лиц – штраф от 4000 до 5000 рублей; - на юридических лиц – штраф от 30000 до 40000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
Все нарушения по защите информации можно разделить на три категории:
Первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам.
Вторая категория – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам.
Третья категория – невыполнение других требований по защите информации.
По факту нарушения первой категории Управление ФСТЭК по соответствующему федеральному округу может выдать предписание на приостановление работы на объекте контроля до устранения нарушений, с одновременным уведомлением территориального органа безопасности (ФСБ России) и передачей материалов по факту нарушения в прокуратуру.