Что есть тайна. Экспресс-анализ правового поля ИБ в России::Приложение к журналу СА №2(2010)
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1894
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1936
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1497
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1098
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1667
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

Электронка - 2020!

 Что есть тайна. Экспресс-анализ правового поля ИБ в России

Архив номеров / 2010 / Выпуск №2 (2) / Что есть тайна. Экспресс-анализ правового поля ИБ в России

Рубрика: Безопасность /  Закон есть закон

Николай Конопкин НИКОЛАЙ КОНОПКИН, заместитель директора департамента внедрения и консалтинга LETA IT-company

Что есть тайна
Экспресс-анализ правового поля ИБ в России

Предлагаю рассмотреть подробнее те из документов верхнего уровня, к которым часто приходится обращаться специалистам в области защиты информации

Основу законодательства Российской Федерации в области информационной безопасности составляет Конституция Российской Федерации, федеральные законы, а также ряд нормативно-правовых актов Президента и Правительства, устанавливающие национальные доктрины Российской Федерации в области безопасности и определяющие политику государства в данной сфере. Практические аспекты деятельности, связанной с использованием информации ограниченного распространения, регулируются целым комплексом руководящих, нормативных и методических документов, издаваемых федеральными органами исполнительной власти, уполномоченными осуществлять регулирование в данной сфере в соответствии с предоставленными им полномочиями.

В контексте федерального законодательства широко употребляются следующие понятия для различного рода сведений, доступ к которым может быть ограничен в соответствии с российскими законами:

  • Государственная тайна.
  • Служебная тайна.
  • Коммерческая тайна.
  • Профессиональная тайна.
  • Тайна связи.
  • Тайна переписки.
  • Тайна телефонных переговоров.
  • Тайна почтовых отправлений.
  • Тайна телеграфных или иных сообщений.
  • Врачебная тайна.
  • Медицинская тайна.
  • Тайна завещания.
  • Тайна исповеди.
  • Нотариальная тайна.
  • Адвокатская тайна.
  • Тайна следствия и судопроизводства.
  • Неопубликованные сведения о сущности изобретения, полезной модели или промышленного образца.
  • Банковская тайна.
  • Тайна кредитной истории.
  • Налоговая тайна.
  • Тайна страхования.
  • Аудиторская тайна.
  • Персональные данные.
  • Личная тайна.
  • Семейная тайна.
  • Тайна усыновления ребенка.

Комплекс федерального законодательства, подзаконных актов и государственных стандартов в области защиты информации составляют правовое поле информационной безопасности Российской Федерации, в границах которого в настоящее время действуют, по разным оценкам, от трех до семи миллионов юридических лиц Российской Федерации. Постоянными пользователями системы документов правового поля информационной безопасности являются органы представительной, исполнительной и судебной властей Российской Федерации, субъектов Федерации, предприятия и их объединения, учреждения и организации независимо от их организационно-правовой формы и формы собственности (далее именуются – предприятия), которые по роду своей деятельности обладают информацией, подлежащей защите.

Насчитывается несколько сотен федеральных законов, открытых и закрытых нормативно-правовых актов федерального, местного и отраслевого уровня, в той или иной мере затрагивающие вопросы информационной безопасности, и перечислять все их здесь не имеет смысла. Предлагаю рассмотреть немного подробнее те из документов верхнего уровня (см. таблицу), к которым довольно часто приходится обращаться специалистам в области защиты информации и которые представляются наиболее важными с точки зрения формирования фундаментального подхода к проблемам информационной безопасности. Знание этих правовых актов необходимо не только каждому специалисту в данной области, но будет полезно и руководству компаний, и техническому персоналу.

Основные документы правового поля информационной безопасности

№ п.п. Наименование правового акта Тип, дата
и номер документа
Содержание, краткая характеристика документа
1 Конституция Российской Федерации Принята всенародным голосованием
12 декабря 1993 г.
Конституция налагает на государство обязанность признавать, соблюдать и защищать права и свободы человека и гражданина как высшую ценность. В соответствии со статьей 23 Конституции каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. В то же время, согласно статье 55 Конституции, права и свободы человека и гражданина, в том числе на доступ к информации, могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Федеральные законы (законы Российской Федерации)
2 «О государственной тайне» Закон Российской Федерации
от 21 июля 1993 г.
№ 5485-1 (в ред. 1 декабря 2007 г.)
Наряду с другими актами законодательства регулирует вопросы использования информации, содержащей сведения, составляющие государственную тайну, допуска организаций и должностных лиц к таким сведениям, накладываемых в связи с этим допуском ограничений, лицензирования деятельности, связанной с использованием персональных данных и другие. Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации. И при регистрации Устава предприятия, планирующего получать допуск к работам со сведениями, составляющими государственную тайну, этот вид деятельности указывается в числе прочих в обязательном порядке.
3 «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 года № 149-ФЗ В соответствии со статьей 5 Закона, информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию ограниченного доступа, доступ к которой ограничен федеральными законами. При этом доступ к отдельным категориям сведений не может быть ограничен ни при каких условиях. Это следует учитывать при построении систем защиты информации в информационных системах, предназначенных для обработки информации различных категорий доступа, с тем чтобы при ограничении доступа к конфиденциальной информации не допустить ограничения доступа к информации, подлежащей опубликованию (информации о состоянии окружающей среды, о деятельности государственных органов и органов местного самоуправления и др.).
4 «О безопасности» Закон Российской Федерации
от 5 марта 1992 г. № 2446-1
Закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности. Службы обеспечения безопасности средств связи и информации отнесены законом наряду с другими правоохранительными органами к силам обеспечения безопасности Российской Федерации.
5 «О государственной тайне» Закон Российской Федерации от 21 июня 1993 г. № 5485-I Регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
6 «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. № 149-ФЗ Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации.
7 «О техническом регулировании» Федеральный закон от 27 декабря 2002 г. № 184-ФЗ (в ред. Федерального закона от 23.07.2008 № 160-ФЗ) Регулирует отношения, возникающие при: разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия. Имеет важнейшее значение для определения порядка оценки соответствия средств защиты установленным требованиям. Однако с учетом того, что оценка соответствия может проводиться только согласно техническим регламентам, а в области защиты информации ни одного технического регламента нет, устанавливает, что оценка соответствия средств защиты информации проводится в соответствии с требованиями органов, уполномоченных осуществлять регулирование в области сертификации средств защиты информации – ФСБ России и ФСТЭК России.
8 «О лицензировании отдельных видов деятельности» Федеральный закон от 8 августа 2001 г. № 128-ФЗ Регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. Законом устанавливаются критерии определения и полный перечень лицензируемых видов деятельности, включая виды деятельности, связанные с защитой информации, лицензирование которых осуществляют ФСБ России и ФСТЭК России.
9 «О персональных данных» Федеральный закон от 27 июля 2006 г. № 152-ФЗ Регулирует отношения, связанные с обработкой персональных данных операторами персональных данных. Имеет важнейшее значение практически для каждого юридического и физического лица, использующего или обрабатывающего персональные данные своих сотрудников, клиентов, партнеров и прочих субъектов. Находится в центре уникальной области правового поля информационной безопасности – правового поля персональных данных. Нацелен на защиту конституционных прав граждан на неприкосновенность частной жизни и защиту от ущерба, наносимого компрометацией личных персональных данных. Ставит операторов в жесткие рамки закона, налагает на них ответственность за защиту используемых персональных данных и наделяет уполномоченный орган – Роскомнадзор – законодательно закрепленными правами контроля над деятельностью миллионов операторов персональных данных.
10 Кодекс Российской Федерации об административных правонарушениях От 30 декабря 2001 г. № 195-ФЗ Статьи 5.1, 5.13, 5.39, 5.53, 5.54, 5.55, 13.11, 13.12, 13.13, 13.14, 19.7 определяют меры административной ответственности за нарушения прав и свобод личности в информационной сфере, порядка обращения с информацией ограниченного распространения и правил защиты информации, а также непредоставление информации в установленных законодательством случаях.
11 Уголовный кодекс Российской Федерации От 13 июня 1996 г. № 63-ФЗ Статьи 137, 140, 171, 272 устанавливают уголовную ответственность за нарушение неприкосновенности частной жизни, отказ в предоставлении гражданину информации, незаконное предпринимательство (например, с нарушением лицензионных требований или условий), а также за неправомерный доступ к компьютерной информации.
12 «Об электронной цифровой подписи» Федеральный закон от 10 января 2002 г. № 1-ФЗ (в ред. от 08.11.2007 № 258-ФЗ) Обеспечивает правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Планируются отмена данного закона и внесение изменений в некоторые законодательные акты Российской Федерации в связи с рассмотрением в Государственной Думе проекта федерального закона N 305592-5 «Об электронной подписи» (принят в первом чтении 22 января 2010 г.).
Указы и распоряжения Президента Российской Федерации
13 Доктрина информационной безопасности Российской Федерации Утверждена Президентом Российской Федерации от 9 сентября 2000 г. № Пр-1895 Доктрина формулирует национальные интересы Российской Федерации в информационной сфере и их обеспечение, включающее в себя в том числе защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем. Дает характеристику различных видов угроз информационной безопасности Российской Федерации и их источников. Описывает состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению, а также общие методы обеспечения информационной безопасности Российской Федерации и особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни (экономической, внешнеполитической, научно-технической, духовной, информационно-телекоммуникационной, оборонной, правоохранительной и судебной), а также в условиях чрезвычайных ситуаций. Определяет основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности. Устанавливает основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации. Создает организационную основу Системы обеспечения информационной безопасности Российской Федерации; приводится описание функций и основных элементов Системы.
14 Об утверждении Перечня сведений, отнесенных к государственной тайне Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (в ред. от 06.09.2008 № 1316) Утвержденный указом президента Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. В примечаниях к Перечню содержатся правила толкования конструкций с применением союзов «и», «или», «а также», которые требуется адекватно применять при разработке и толковании любых перечней сведений конфиденциального характера: >   при перечислении сведений через союз «и» … к государственной тайне относятся все сведения в совокупности; >   при перечислении сведений через запятую или союз «или» к государственной тайне относится каждое сведение в отдельности; >   сведения, перечисленные после союза «а также», являются новыми, отличными от предыдущих сведениями, которые в отдельности относятся к государственной тайне.
15 Об утверждении Перечня сведений конфиденциального характера Указ Президента Российской Федерации от 6 марта 1997 г. № 188 Утвержден Перечень сведений конфиденциального характера, включающий в себя шесть групп сведений, в том числе составляющих служебную тайну, коммерческую тайну, тайну следствия и судопроизводства, сведения, связанные с профессиональной деятельностью (в других документах объединяемые понятием «профессиональная тайна»), сведения о сущности изобретения, полезной модели или промышленного образца (так называемые ноу-хау), а также персональные данные.
Постановления Правительства Российской Федерации
16 Положение о государственном лицензировании деятельности в области защиты информации Решение Гостехкомиссии России и ФАПСИ России от 27 апреля 1994 г. № 10 (с дополнениями от 24.06.1997 № 60) Данное Положение – один из первых документов в области сертификации средств защиты информации, в котором использованы такие понятия, как лицензирование в области защиты информации, аттестование объекта в защищенном исполнении и другие. Определяет систему государственного лицензирования деятельности предприятий в области защиты информации как составную часть государственной системы защиты информации. Разделяет виды деятельности в области защиты информации на подлежащие лицензированию Гостехкомиссией России и подлежащие лицензированию ФАПСИ России. Несмотря на то что в связи с принятием ряда других правовых актов в области лицензирования данное Положение устарело, оно до сих пор используется в ФСТЭК России как действующий документ (http://www.fstec.ru/_razd/_isp0o.htm).
17 О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 (в ред. от 22.05.2008 № 384) Утвержденное настоящим Постановлением Положение устанавливает порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых форм по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны. Органами, уполномоченными на ведение лицензионной деятельности, по соответствующим их полномочиям направлениям деятельности, являются ФСБ России, СВР России, Минобороны России и ФСТЭК России. Положением установлены состав документов, представляемых соискателем лицензии, порядок и сроки рассмотрения заявлений, лицензионные требования к соискателям лицензий, а также обязательные условия осуществления лицензируемых видов деятельности. К числу обязательных условий отнесены проведение специальной экспертизы предприятия – соискателя лицензии и государственная аттестация руководителя.
18 Об утверждении Положения о сертификации средств защиты информации Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (в ред. от 17.12.2004 № 808) Утвержденное настоящим Постановлением Положение устанавливает порядок сертификации в Российской Федерации и ее учреждениях за рубежом средств защиты информации, к каковым отнесены технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Федеральными органами по сертификации, уполномоченными создавать соответствующие системы сертификации, определены те же ФСТЭК России, ФСБ России, СВР России и Минобороны России. Срок действия сертификата установлен не более 5 лет.
19 Положение о сертификации средств защиты информации по требованиям безопасности информации Утверждено приказом председателя Гостехкомиссии России от 27 октября 1995 г. № 199 Устанавливает организационную структуру Системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России (зарегистрирована в Госстандарте за номером РОСС RU.0001.01БИ00), функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. В приложениях к Положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и др.
20 Об организации лицензирования отдельных видов деятельности Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 (в ред. от 27.01.2009 № 50) В дополнение к перечню лицензируемых видов деятельности, введенному федеральным законом «О лицензировании отдельных видов деятельности», данным постановлением утверждены Перечень федеральных органов исполнительной власти, осуществляющих лицензирование, с перечислением лицензируемых ими видов деятельности, а также Перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности.
21 О лицензировании деятельности по технической защите конфиденциальной информации Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации. Под такой деятельностью понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней, что фактически означает необходимость получения лицензии не только предприятиями, оказывающими услуги в данной области, но и осуществляющими мероприятия по технической защите конфиденциальной информации исключительно во внутренних целях.
22 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 Утвержденное данным постановлением Положение определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Определяет ФСТЭК России как орган, компетентный осуществлять лицензирование в данной области, за исключением производства средств защиты, которые устанавливаются на объектах исключительной сферы компетенции ФСБ России. В пункте 2 Положения дан перечень этих объектов.
23 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 Постановлением выделены четыре группы видов деятельности, связанных с шифровальными (криптографическими) средствами, и утверждены соответствующие Положения: >   о лицензировании деятельности по распространению шифровальных (криптографических) средств; >   о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств; >   о лицензировании предоставления услуг в области шифрования информации; >   о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникацио нных систем.

 Отметим, что в таблицу не включены такие важнейшие для аналитиков и технических специалистов группы документов, как государственные и международные стандарты в области защиты информации, руководящие документы по защите информации от несанкционированного доступа (Гостехкомиссия России, 1992-1999 гг.), Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К, 2002 г.) с временными методиками контроля, методические документы по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и многие другие, рассмотрение которых выходит далеко за рамки данной статьи.

В ограниченном объеме небольшого исследования невозможно провести сколько-нибудь значимый анализ каждого из документов правового поля. Здесь дан лишь небольшой пример такого экспресс-анализа.

Автор и издатели надеются на то, что заинтересованный читатель сумеет воспользоваться с большой пользой для себя материалом статьи в своей самостоятельной работе по изучению документов правового поля информационной безопасности.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru