Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Обзор российского законодательства в области информационной безопасности

Симметричные методы шифрования | Электронная цифровая подпись | Подсистема обеспечения целостности | Архитектуры системы хранения данных | Пакет руководящих документов Гостехкомиссии России | Пояснительные записки к эскизному, техническому проектам | Обзор и классификация межсетевых экранов | Безопасность или производительность | Высокая готовность |


Читайте также:
  1. B этом кратком обзоре ясно видно учение Библии о том, что есть только один Бог Иегова, являющийся и Отцом, и Сыном, и Святым Духом.
  2. http://www.metalinfo.ru/ru/news/24688 В Ленобласти разместится «Балтийская кремниевая долина».
  3. I. Общие требования безопасности
  4. II. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
  5. II. Обзор литературы
  6. II. Требования безопасности перед началом работы
  7. II. Требования техники безопасности при осуществлении охоты

Юридическую основу регламентации информационных общественных отношений составляет Конституция РФ:

«Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом…» (ст. 29, п. 4);

«Интеллектуальная собственность охраняется законом» (ст. 44, п. 1).

Одновременно с этим, отдельные информационно-правовые нормы введены в различные отрасли законодательства РФ - конституционное, административное, финансовое, в законодательство о предприятиях и предпринимательской деятельности, трудовое и ряд других.

В настоящее время ответственность за правонарушения в информационной сфере регулируется нормами Гражданского(в первую очередь четвертая его часть (от 18 декабря 2006 г. 230 ФЗ)) и Уголовного кодексов РФ, Кодекса об административных правонарушениях.

Однако, основополагающим среди российских законов, посвящённых вопросам информационной безопасности является Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», сменивший закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года. В нём даются основные определения и намечаются направления развития законодательства в данной области. В соответствии с данным законом выделяются общедоступная информация, и информация ограниченного доступа.

Федеральным законом от 21 июля 1993 г. N 5485-1 "О государственной тайне" устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».

Отдельными Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

В частности Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

В законодательстве однозначно не определено понятие служебной тайны. Вместе с тем анализ нормативных актов позволяет выявить содержание и основные признаки отнесения информации к служебной тайне.

Попросту говоря, служебная тайна - это информация, доступ к которой ограничен органами государственной власти и федеральными законами (сведения об усыновлении, вкладах граждан в различного рода банки, характере заболеваний пациентов и т. д.). Служебная тайна не подлежит разглашению, кроме случаев, когда те или иные сведения запрашиваются правоохранительными органами.

Согласно Указу Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера» разница между служебной и коммерческой тайной состоит в том, что коммерческая тайна - это сведения, связанные с коммерческой деятельностью, а служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти. Для того чтобы разобраться в существе служебной тайны, обратимся к утвержденному Правительством РФ от 03.11.94 (постановление № 1233) Положению о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.

Положение направлено на урегулирование вопросов, связанных с обращением информации в федеральных органах исполнительной власти, а также в подведомственных им предприятиях, в учреждениях и организациях. Определен гриф конфиденциальности информации - «для служебного пользования». В соответствии с Положением к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничение на распространение которой диктуется служебной необходимостью.

Положение предписывает руководителям федеральных органов исполнительной власти в пределах своей компетенции определять категорию должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения, обеспечивать ее защиту и т. д.

Таким образом, можно утверждать, что потенциальными носителями служебной тайны являются, как минимум, все служащие, которые работают в государственных органах, органах законодательной, исполнительной и судебной власти, а также в подведомственных им предприятиях, учреждениях и организациях.

Информация может быть отнесена к служебной тайне, если она отвечает следующим требованиям:

Отнесена федеральным законом (пока такого закона нет) к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости.

Является конфиденциальной информацией другого лица (коммерческая тайна, банковская тайна, тайна частной жизни).

Не является государственной тайной и не попадает под перечень информации, составляющей государственную тайну.

Получена представителем государственного органа или органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и в порядке, установленных федеральным законодательством, и имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам.

Первый парадокс заключается в том, что определения информационной безопасности нет ни в одном законе. В лучшем случае, речь идет о защите информации, которая существенно сужает общепринятое в мировой практике понятие информационной безопасности (information security), присутствующее, к примеру, в международных стандартах ISO 27001 и 27002, переводы которых приняты и как российские стандарты. В то же время в Доктрине информационной безопасности, подписанной Президентом Российской Федерации 9 сентября 2000 г., дано развернутое определение этого термина, не совпадающее с международными стандартами, но значительно расширяющее его по сравнению с ISO.

Второй парадокс состоит в том, что в законах нет понятия конфиденциальной информации. Деятельность по технической защите конфиденциальной информации предусмотрена Федеральным законом "О лицензировании отдельных видов деятельности", однако само определение конфиденциальной информации отсутствует. Есть сведения конфиденциального характера, но не в законах, а в Указе Президента РФ 1997 г. № 188. Правда, в соответствии с распоряжением Правительства РФ 2007 г. № 1055 р еще в третьем квартале прошлого года должен был появиться Указ Президента Российской Федерации о признании утратившими силу указов по вопросам защиты сведений конфиденциального характера, но каких — пока не ясно. Автору известны всего два открытых указа по этой теме — упоминавшийся № 188 и № 351 от 17 марта 2008 г. "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена".

Вместо понятия "конфиденциальная информация" в законах используется "информация ограниченного доступа" (вводит его ФЗ "Об информации, информационных технологиях и о защите информации", получивший в среде профессионалов наименование "Трехглавый закон"). Таким образом, не ясно, на техническую защиту какой именно информации необходимо получать лицензию в соответствии с законом о лицензировании и Постановлением Правительства РФ 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации".

Попутно выясняется, что к информации ограниченного доступа не относятся сведения, составляющие коммерческую тайну, которые, с легкой руки законодателей, с 1 января 2008 г. (после вступления в силу четвертой части Гражданского кодекса и новой редакции ФЗ "О коммерческой тайне") стали объектом интеллектуальной деятельности. А в первой же статье "Трехглавого закона" указывается, что его положения "не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности". Поставив знак равенства между информацией, составляющей коммерческую тайну, и секретом производства, закон к тому же, с одной стороны, лишил права обладать коммерческой тайной непроизводственные организации, с другой — расширил понятие секрета производства до такой степени, что под него можно подвести фактически любые сведения ("…сведения любого характера — производственные, технические, экономические, организационные и другие, в том числе о результатах интеллектуальной деятельности в научно технической сфере, а также сведения о способах осуществления профессиональной деятельности".). Уж какое тут производство…

Законы, регулирующие проблемы обеспечения информационной безопасности, устанавливают наиболее общие требования, обязательные для всех участников возникающих при этом отношений, не раскрывая содержания мероприятий и конкретных правил.

Кроме того, в информационной сфере действуют:

– Указы Президента РФ;

– Постановления Правительства Российской Федерации;

– Государственные стандарты Российской Федерации.

Детализация требований, в общем виде изложенных в законах, осуществляется Правительством РФ (в виде постановлений) и органами исполнительной власти, уполномоченными в области безопасности. Зона ответственности разделена между двумя ведомствами — ФСБ и ФСТЭК: все, что связано с криптографией (средства шифрования и ЭЦП), регулируется ФСБ России, а разработка и применение всех остальных средств защиты информации — прерогатива ФСТЭК. Для регулирования используются три основных механизма: лицензирование деятельности, сертификация продуктов и аттестация объектов информатизации и помещений, где ведутся работы с информацией ограниченного доступа.

Регулирование производится путем выдвижения обязательных для выполнения требований (с установлением области их применения) и разработки рекомендаций и методических материалов по их выполнению (тоже, как правило, с определением сферы использования).

Примером обязательных требований является сертификация средств защиты информации, составляющей государственную тайну, а также предназначенных для защиты персональных данных; рекомендательных — стандарты банка России по информационной безопасности или соглашение Basel II.

Область применения требований и/или рекомендаций устанавливается исходя из определенных законами и соответствующими положениями полномочий органов исполнительной власти. Так, Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ 2005), утвержденное приказом ФСБ России, обязательно в случаях, если информация конфиденциального характера подлежит защите в соответствии с российским законодательством (персональные данные), а также для государственных органов и организаций, выполняющих государственные заказы. Для организаций, занимающихся защитой информации, доступ к которой ограничивается обладателем (коммерческая тайна), для общедоступных и открытых ресурсов, для применения ЭЦП в документообороте, информация которого не относится к конфиденциальной, ПКЗ 2005 носит рекомендательный характер.

Область применения отдельных нормативных и методических документов регуляторов существенно ограничивается тем, что эти документы имеют закрытый характер.

Обычно считается, что национальные стандарты (ГОСТы) являются документами добровольного применения (согласно ст.12 ФЗ-184 "О техническом регулировании"), т.е. не могут быть обязательными к использованию. Иными словами, различные ГОСТы, имеющие отношение к информационной безопасности (18044 по управлению инцидентами, 18045 по оценке безопасности ИТ, 27001 и т.д.), носят характер рекомендательный. Но это не так.

17 октября 2009 года было принято Постановление Правительства №822 "Об утверждении Положения об особенностях стандартизации оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, а также процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции" (в Консультанте).

Основной объем текста постановления касается стандартизации оборонной продукции, но в 3-й части говорится и о нашей теме. Ст.27 говорит о том, что стандартизация того, что попадает в 5-ю статью ФЗ-184 осуществляется Ростехрегулированием, ФСТЭК, ФСБ, МинОбороны и СВР. А вот 28-я, последняя статья ПП-822, говорит о том, что обязательность применения этим самых стандартов устанавливается государственными заказчиками работ по стандартизации и 4-мя регуляторами, названными выше.


Дата добавления: 2015-10-24; просмотров: 104 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Подсистема антивирусной защиты| Роль ведомственных документов и стандартов информационной безопасности

mybiblioteka.su - 2015-2024 год. (0.013 сек.)