Рубрика:
Безопасность /
Закон есть закон
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
НИКОЛАЙ КОНОПКИН, заместитель директора департамента внедрения и консалтинга LETA IT-company
Что есть тайна Экспресс-анализ правового поля ИБ в России
Предлагаю рассмотреть подробнее те из документов верхнего уровня, к которым часто приходится обращаться специалистам в области защиты информации
Основу законодательства Российской Федерации в области информационной безопасности составляет Конституция Российской Федерации, федеральные законы, а также ряд нормативно-правовых актов Президента и Правительства, устанавливающие национальные доктрины Российской Федерации в области безопасности и определяющие политику государства в данной сфере. Практические аспекты деятельности, связанной с использованием информации ограниченного распространения, регулируются целым комплексом руководящих, нормативных и методических документов, издаваемых федеральными органами исполнительной власти, уполномоченными осуществлять регулирование в данной сфере в соответствии с предоставленными им полномочиями.
В контексте федерального законодательства широко употребляются следующие понятия для различного рода сведений, доступ к которым может быть ограничен в соответствии с российскими законами:
- Государственная тайна.
- Служебная тайна.
- Коммерческая тайна.
- Профессиональная тайна.
- Тайна связи.
- Тайна переписки.
- Тайна телефонных переговоров.
- Тайна почтовых отправлений.
- Тайна телеграфных или иных сообщений.
- Врачебная тайна.
- Медицинская тайна.
- Тайна завещания.
- Тайна исповеди.
- Нотариальная тайна.
- Адвокатская тайна.
- Тайна следствия и судопроизводства.
- Неопубликованные сведения о сущности изобретения, полезной модели или промышленного образца.
- Банковская тайна.
- Тайна кредитной истории.
- Налоговая тайна.
- Тайна страхования.
- Аудиторская тайна.
- Персональные данные.
- Личная тайна.
- Семейная тайна.
- Тайна усыновления ребенка.
Комплекс федерального законодательства, подзаконных актов и государственных стандартов в области защиты информации составляют правовое поле информационной безопасности Российской Федерации, в границах которого в настоящее время действуют, по разным оценкам, от трех до семи миллионов юридических лиц Российской Федерации. Постоянными пользователями системы документов правового поля информационной безопасности являются органы представительной, исполнительной и судебной властей Российской Федерации, субъектов Федерации, предприятия и их объединения, учреждения и организации независимо от их организационно-правовой формы и формы собственности (далее именуются – предприятия), которые по роду своей деятельности обладают информацией, подлежащей защите.
Насчитывается несколько сотен федеральных законов, открытых и закрытых нормативно-правовых актов федерального, местного и отраслевого уровня, в той или иной мере затрагивающие вопросы информационной безопасности, и перечислять все их здесь не имеет смысла. Предлагаю рассмотреть немного подробнее те из документов верхнего уровня (см. таблицу), к которым довольно часто приходится обращаться специалистам в области защиты информации и которые представляются наиболее важными с точки зрения формирования фундаментального подхода к проблемам информационной безопасности. Знание этих правовых актов необходимо не только каждому специалисту в данной области, но будет полезно и руководству компаний, и техническому персоналу.
Основные документы правового поля информационной безопасности
№ п.п. |
Наименование правового акта |
Тип, дата и номер документа |
Содержание, краткая характеристика документа |
1 |
Конституция Российской Федерации |
Принята всенародным голосованием 12 декабря 1993 г. |
Конституция налагает на государство обязанность признавать, соблюдать и защищать права и свободы человека и гражданина как высшую ценность. В соответствии со статьей 23 Конституции каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. В то же время, согласно статье 55 Конституции, права и свободы человека и гражданина, в том числе на доступ к информации, могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. |
Федеральные законы (законы Российской Федерации) |
2 |
«О государственной тайне» |
Закон Российской Федерации от 21 июля 1993 г. № 5485-1 (в ред. 1 декабря 2007 г.) |
Наряду с другими актами законодательства регулирует вопросы использования информации, содержащей сведения, составляющие государственную тайну, допуска организаций и должностных лиц к таким сведениям, накладываемых в связи с этим допуском ограничений, лицензирования деятельности, связанной с использованием персональных данных и другие. Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации. И при регистрации Устава предприятия, планирующего получать допуск к работам со сведениями, составляющими государственную тайну, этот вид деятельности указывается в числе прочих в обязательном порядке. |
3 |
«Об информации, информационных технологиях и о защите информации» |
Федеральный закон от 27 июля 2006 года № 149-ФЗ |
В соответствии со статьей 5 Закона, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. При этом доступ к отдельным категориям сведений не может быть ограничен ни при каких условиях. Это следует учитывать при построении систем защиты информации в информационных системах, предназначенных для обработки информации различных категорий доступа, с тем чтобы при ограничении доступа к конфиденциальной информации не допустить ограничения доступа к информации, подлежащей опубликованию (информации о состоянии окружающей среды, о деятельности государственных органов и органов местного самоуправления и др.). |
4 |
«О безопасности» |
Закон Российской Федерации от 5 марта 1992 г. № 2446-1 |
Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Службы обеспечения безопасности средств связи и информации отнесены законом наряду с другими правоохранительными органами к силам обеспечения безопасности Российской Федерации. |
5 |
«О государственной тайне» |
Закон Российской Федерации от 21 июня 1993 г. № 5485-I |
Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. |
6 |
«Об информации, информационных технологиях и о защите информации» |
Федеральный закон от 27 июля 2006 г. № 149-ФЗ |
Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации. |
7 |
«О техническом регулировании» |
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (в ред. Федерального закона от 23.07.2008 № 160-ФЗ) |
Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия. Имеет важнейшее значение для определения порядка оценки соответствия средств защиты установленным требованиям. Однако с учетом того, что оценка соответствия может проводиться только согласно техническим регламентам, а в области защиты информации ни одного технического регламента нет, устанавливает, что оценка соответствия средств защиты информации проводится в соответствии с требованиями органов, уполномоченных осуществлять регулирование в области сертификации средств защиты информации – ФСБ России и ФСТЭК России. |
8 |
«О лицензировании отдельных видов деятельности» |
Федеральный закон от 8 августа 2001 г. № 128-ФЗ |
Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. Законом устанавливаются критерии определения и полный перечень лицензируемых видов деятельности, включая виды деятельности, связанные с защитой информации, лицензирование которых осуществляют ФСБ России и ФСТЭК России. |
9 |
«О персональных данных» |
Федеральный закон от 27 июля 2006 г. № 152-ФЗ |
Регулирует отношения, связанные с обработкой персональных данных операторами персональных данных. Имеет важнейшее значение практически для каждого юридического и физического лица, использующего или обрабатывающего персональные данные своих сотрудников, клиентов, партнеров и прочих субъектов. Находится в центре уникальной области правового поля информационной безопасности – правового поля персональных данных. Нацелен на защиту конституционных прав граждан на неприкосновенность частной жизни и защиту от ущерба, наносимого компрометацией личных персональных данных. Ставит операторов в жесткие рамки закона, налагает на них ответственность за защиту используемых персональных данных и наделяет уполномоченный орган – Роскомнадзор – законодательно закрепленными правами контроля над деятельностью миллионов операторов персональных данных. |
10 |
Кодекс Российской Федерации об административных правонарушениях |
От 30 декабря 2001 г. № 195-ФЗ |
Статьи 5.1, 5.13, 5.39, 5.53, 5.54, 5.55, 13.11, 13.12, 13.13, 13.14, 19.7 определяют меры административной ответственности за нарушения прав и свобод личности в информационной сфере, порядка обращения с информацией ограниченного распространения и правил защиты информации, а также непредоставление информации в установленных законодательством случаях. |
11 |
Уголовный кодекс Российской Федерации |
От 13 июня 1996 г. № 63-ФЗ |
Статьи 137, 140, 171, 272 устанавливают уголовную ответственность за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации, незаконное предпринимательство (например, с нарушением лицензионных требований или условий), а также за неправомерный доступ к компьютерной информации. |
12 |
«Об электронной цифровой подписи» |
Федеральный закон от 10 января 2002 г. № 1-ФЗ (в ред. от 08.11.2007 № 258-ФЗ) |
Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Планируются отмена данного закона и внесение изменений в некоторые законодательные акты Российской Федерации в связи с рассмотрением в Государственной Думе проекта федерального закона N 305592-5 «Об электронной подписи» (принят в первом чтении 22 января 2010 г.). |
Указы и распоряжения Президента Российской Федерации |
13 |
Доктрина информационной безопасности Российской Федерации |
Утверждена Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895 |
Доктрина формулирует национальные интересы Российской Федерации в информационной сфере и их обеспечение, включающее в себя в том числе защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. Дает характеристику различных видов угроз информационной безопасности Российской Федерации и их источников. Описывает состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению, а также общие методы обеспечения информационной безопасности Российской Федерации и особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни (экономической, внешнеполитической, научно-технической, духовной, информационно-телекоммуникационной, оборонной, правоохранительной и судебной), а также в условиях чрезвычайных ситуаций. Определяет основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности. Устанавливает основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации. Создает организационную основу Системы обеспечения информационной безопасности Российской Федерации; приводится описание функций и основных элементов Системы. |
14 |
Об утверждении Перечня сведений, отнесенных к государственной тайне |
Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (в ред. от 06.09.2008 № 1316) |
Утвержденный указом президента Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. В примечаниях к Перечню содержатся правила толкования конструкций с применением союзов «и», «или», «а также», которые требуется адекватно применять при разработке и толковании любых перечней сведений конфиденциального характера: > при перечислении сведений через союз «и» … к государственной тайне относятся все сведения в совокупности; > при перечислении сведений через запятую или союз «или» к государственной тайне относится каждое сведение в отдельности; > сведения, перечисленные после союза «а также», являются новыми, отличными от предыдущих сведениями, которые в отдельности относятся к государственной тайне. |
15 |
Об утверждении Перечня сведений конфиденциального характера |
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 |
Утвержден Перечень сведений конфиденциального характера, включающий в себя шесть групп сведений, в том числе составляющих служебную тайну, коммерческую тайну, тайну следствия и судопроизводства, сведения, связанные с профессиональной деятельностью (в других документах объединяемые понятием «профессиональная тайна»), сведения о сущности изобретения, полезной модели или промышленного образца (так называемые ноу-хау), а также персональные данные. |
Постановления Правительства Российской Федерации |
16 |
Положение о государственном лицензировании деятельности в области защиты информации |
Решение Гостехкомиссии России и ФАПСИ России от 27 апреля 1994 г. № 10 (с дополнениями от 24.06.1997 № 60) |
Данное Положение – один из первых документов в области сертификации средств защиты информации, в котором использованы такие понятия, как лицензирование в области защиты информации, аттестование объекта в защищенном исполнении и другие. Определяет систему государственного лицензирования деятельности предприятий в области защиты информации как составную часть государственной системы защиты информации. Разделяет виды деятельности в области защиты информации на подлежащие лицензированию Гостехкомиссией России и подлежащие лицензированию ФАПСИ России. Несмотря на то что в связи с принятием ряда других правовых актов в области лицензирования данное Положение устарело, оно до сих пор используется в ФСТЭК России как действующий документ (http://www.fstec.ru/_razd/_isp0o.htm). |
17 |
О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны |
Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 (в ред. от 22.05.2008 № 384) |
Утвержденное настоящим Постановлением Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Органами, уполномоченными на ведение лицензионной деятельности, по соответствующим их полномочиям направлениям деятельности, являются ФСБ России, СВР России, Минобороны России и ФСТЭК России. Положением установлены состав документов, представляемых соискателем лицензии, порядок и сроки рассмотрения заявлений, лицензионные требования к соискателям лицензий, а также обязательные условия осуществления лицензируемых видов деятельности. К числу обязательных условий отнесены проведение специальной экспертизы предприятия – соискателя лицензии и государственная аттестация руководителя. |
18 |
Об утверждении Положения о сертификации средств защиты информации |
Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (в ред. от 17.12.2004 № 808) |
Утвержденное настоящим Постановлением Положение устанавливает порядок сертификации в Российской Федерации и ее учреждениях за рубежом средств защиты информации, к каковым отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Федеральными органами по сертификации, уполномоченными создавать соответствующие системы сертификации, определены те же ФСТЭК России, ФСБ России, СВР России и Минобороны России. Срок действия сертификата установлен не более 5 лет. |
19 |
Положение о сертификации средств защиты информации по требованиям безопасности информации |
Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 г. № 199 |
Устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (зарегистрирована в Госстандарте за номером РОСС RU.0001.01БИ00), функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и др. |
20 |
Об организации лицензирования отдельных видов деятельности |
Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 (в ред. от 27.01.2009 № 50) |
В дополнение к перечню лицензируемых видов деятельности, введенному федеральным законом «О лицензировании отдельных видов деятельности», данным постановлением утверждены Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, с перечислением лицензируемых ими видов деятельности, а также Перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности. |
21 |
О лицензировании деятельности по технической защите конфиденциальной информации |
Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 |
Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации. Под такой деятельностью понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, что фактически означает необходимость получения лицензии не только предприятиями, оказывающими услуги в данной области, но и осуществляющими мероприятия по технической защите конфиденциальной информации исключительно во внутренних целях. |
22 |
О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации |
Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 |
Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Определяет ФСТЭК России как орган, компетентный осуществлять лицензирование в данной области, за исключением производства средств защиты, которые устанавливаются на объектах исключительной сферы компетенции ФСБ России. В пункте 2 Положения дан перечень этих объектов. |
23 |
Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами |
Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 |
Постановлением выделены четыре группы видов деятельности, связанных с шифровальными (криптографическими) средствами, и утверждены соответствующие Положения: > о лицензировании деятельности по распространению шифровальных (криптографических) средств; > о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; > о лицензировании предоставления услуг в области шифрования информации; > о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникацио нных систем. |
Отметим, что в таблицу не включены такие важнейшие для аналитиков и технических специалистов группы документов, как государственные и международные стандарты в области защиты информации, руководящие документы по защите информации от несанкционированного доступа (Гостехкомиссия России, 1992-1999 гг.), Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К, 2002 г.) с временными методиками контроля, методические документы по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и многие другие, рассмотрение которых выходит далеко за рамки данной статьи.
В ограниченном объеме небольшого исследования невозможно провести сколько-нибудь значимый анализ каждого из документов правового поля. Здесь дан лишь небольшой пример такого экспресс-анализа.
Автор и издатели надеются на то, что заинтересованный читатель сумеет воспользоваться с большой пользой для себя материалом статьи в своей самостоятельной работе по изучению документов правового поля информационной безопасности.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|