информационная безопасность. 1. Основные понятия и принципы, осуществляемые в лицензионной деятельности в области защиты информации в Российской Федерации
Скачать 116.21 Kb.
|
1. Основные понятия и принципы, осуществляемые в лицензионной деятельности в области защиты информации в Российской Федерации. лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования; 2) лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа; 3) лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом, в соответствии с федеральными законами, указанными в части 3 статьи 1 настоящего Федерального закона и регулирующими отношения в соответствующих сферах деятельности; 4) лицензирующие органы - уполномоченные федеральные органы исполнительной власти или их территориальные органы и в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование; 5) соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии; 6) лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию; 7) лицензионные требования - совокупность требований, которые установлены положениями о лицензировании конкретных видов деятельности, основаны на соответствующих требованиях законодательства Российской Федерации и направлены на обеспечение достижения целей лицензирования; 8) место осуществления отдельного вида деятельности, подлежащего лицензированию (далее - место осуществления лицензируемого вида деятельности), - объект (помещение, здание, сооружение, иной объект), который предназначен для осуществления лицензируемого вида деятельности и (или) используется при его осуществлении, соответствует лицензионным требованиям, принадлежит соискателю лицензии или лицензиату на праве собственности либо ином законном основании, имеет почтовый адрес или другие позволяющие идентифицировать объект данные. Место осуществления лицензируемого вида деятельности может совпадать с местом нахождения соискателя лицензии или лицензиата. Основными принципами осуществления лицензирования являются: 1) обеспечение единства экономического пространства на территории Российской Федерации; 2) установление лицензируемых видов деятельности федеральным законом; 3) установление федеральными законами единого порядка лицензирования отдельных видов деятельности на территории Российской Федерации; 4) установление исчерпывающих перечней лицензионных требований в отношении лицензируемых видов деятельности положениями о лицензировании конкретных видов деятельности; 5) открытость и доступность информации о лицензировании, за исключением информации, распространение которой запрещено или ограничено в соответствии с законодательством Российской Федерации; 6) недопустимость взимания с соискателей лицензий и лицензиатов платы за осуществление лицензирования, за исключением уплаты государственной пошлины в размерах и в порядке, которые установлены законодательством Российской Федерации о налогах и сборах; 7) соблюдение законности при осуществлении лицензирования. 2 Цели и критерии лицензирования 1. Лицензирование отдельных видов деятельности осуществляется в целях предотвращения ущерба правам, законным интересам, жизни или здоровью граждан, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, обороне и безопасности государства, возможность нанесения которого связана с осуществлением юридическими лицами и индивидуальными предпринимателями отдельных видов деятельности. Осуществление лицензирования отдельных видов деятельности в иных целях не допускается. 2. Задачами лицензирования отдельных видов деятельности являются предупреждение, выявление и пресечение нарушений юридическим лицом, его руководителем и иными должностными лицами, индивидуальным предпринимателем, его уполномоченными представителями (далее - юридическое лицо, индивидуальный предприниматель) требований, которые установлены настоящим Федеральным законом, другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации. Соответствие соискателя лицензии этим требованиям является необходимым условием для предоставления лицензии, их соблюдение лицензиатом обязательно при осуществлении лицензируемого вида деятельности. 3. К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение указанного в части 1настоящей статьи ущерба и регулирование которых не может осуществляться иными методами, кроме как лицензированием. 3. Органы лицензирования и виды деятельности, подлежащие лицензированию. лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы, а в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование; • ФСБ России • ФСБ России, ФСТЭК России • ФСТЭК России • ФНС России • Минпромторг России • Минпромторг России, Росгвардия • Минпромторг России • Ростехнадзор • МЧС России • Минпромторг России, Россельхознадзор • Росздравнадзор • Роспотребнадзор • Ространснадзор • Росприроднадзор • ФМС России • Роскомнадзор • Рособрнадзор • Государственная корпорация по космической деятельности "Роскосмос" • Росреестр • Росгидромет • Росздравнадзор, Россельхознадзор • Минкультуры России • Росгвардия • Россельхознадзор • Федеральная пробирная палата 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: 1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); 2) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации; 3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); 4) разработка и производство средств защиты конфиденциальной информации; 5) деятельность по технической защите конфиденциальной информации; 6) производство и реализация защищенной от подделок полиграфической продукции; 7) разработка, производство, испытание и ремонт авиационной техники, за исключением беспилотных авиационных систем и (или) их элементов, включающих беспилотные гражданские воздушные суда с максимальной взлетной массой 30 килограммов и менее; • оказание медицинских услуг; • образование; • Продажа алкоголя; • деятельность по проектированию, разработке, производству, ремонту, утилизации оружия и военной техники, торговля такой продукцией; • деятельность по проектированию, разработке, производству, ремонту, испытаниям авиационной техники разного назначения; • услуги в сфере шифрования и защиты данных; • разработка, изготовление и продажа лекарств и медицинского оборудования; • услуги перевозки людей и грузов; • некоторые строительные, инженерные и изыскательные работы; • производство некоторых видов продукции массового потребления; • организация и проведение азартных игр, услуги тотализатора; • обращение наркотических и психотропных препаратов различного назначения. 4. Основные понятия и принципы, осуществляемые в сертификационной деятельности в области защиты информации в Российской Федерации. Сертификация – форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договора. Технический регламент – документ, который устанавливает обязательные для применения и исполнения требования к объектам технического регулирования. Сертификат соответствия – документ удостоверяющий соответствие объекта требованиям технических регламентов, документам сертификации или условиям договора. Основные принципы подтверждения соответствия являются: Доступность информации о порядке осуществления подтверждения соответствия заинтересованным лицам; Недопустимость применения обязательного подтверждения соответствия к объектам, в отношении которых не устанавливаются требования технических регламентов; Установление перечня форм и схем обязательного подтверждения соответствия в отношении определения видов продукции в соответствии с техническим регламентом; Уменьшение сроков осуществления обязательного подтверждения соответствия и затрат заявителя; Недопустимость принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определённой системе добровольной сертификации; Защита имущественных интересов заявителей, соблюдение КТ в отношении сведений, полученных при осуществлении подтверждения соответствия; Недопустимость подмены обязательного подтверждения соответствия добровольной сертификации. Сертификации в системе сертификации ФСТЭК России подлежат: средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам; средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации; средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации. Сертификация средств защиты информации осуществляется на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также техническими условиями, техническим заданием, заданием по безопасности, согласованными заявителями на сертификацию с ФСТЭК России 5. Органы сертификации в Российской Федерации. Участниками системы сертификации ФСТЭК России являются: федеральный орган по сертификации; организации, аккредитованные ФСТЭК России в качестве органа по сертификации; организации, аккредитованные ФСТЭК России в качестве испытательной лаборатории (далее - испытательные лаборатории); изготовители средств защиты информации. Системы сертификации создаются: ФСБ, ФСТЭК, МО РФ. Уполномочены проводить работы по сертификации СЗИ в пределах компетенций, определённых для них законодательством и иными нормативными актами. 6. Пути несанкционированного доступа, классификация способов и средств защиты информации. Пути НСд: перехват ПЭМИН, высокочастотное излучение, закладные устройства, визуальный КУИ, акустико-вибрационный КУИ, вещественный КУИ, вирусное ПО и обходы безопасности атакуемой системы, Классификация способов и средств ЗИ. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; Соблюдение конфиденциальности информации ограниченного доступа; Реализацию права на доступ к информации. Классификация СЗИ: Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов. Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации. Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации. Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации. Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности. Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. 7. Состав и направления защиты конфиденциальных документов от несанкционированного доступа. Для сохранения конфиденциальных сведений от разглашения используются следующие приемы: 1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией. 2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии. 3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией. 4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств. 8. Источники конфиденциальной информации и каналы её разглашения Основными источниками конфиденциальной информации являются: • персонал предприятия, допущенный к конфиденциальной информации; • материальные носители конфиденциальной информации (документы, изделия); • технические средства, осуществляющие хранение и обработку конфиденциальной информации; • средства коммуникации, используемые в целях передачи конфиденциальной информации; • передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию. Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате: • утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей; • невыполнения работником требований по защите конфиденциальной информации; • излишней разговорчивости персонала в местах общего пользования; • работ с конфиденциальной информацией в присутствии посторонних лиц; • несанкционированной передачи конфиденциальной информации другому работнику; • отсутствия грифов секретности на документах, нанесения маркировки на носителях. 9. система защиты ценной иформаци и конфиденциальных документов Система защиты информации (СЗИ) представляет собой комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному (незаконному) доступу к информации. Комплексность системы защиты достигается ее формированием из различных элементов - правовых, организационных, технических и программно-математических. В правовой элемент системы защиты может также включаться страхование ценной информации от различных рисков. Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы. Иерархическая последовательность доступа реализуется по принципу "чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать". В соответствии с этой последовательностью определяется необходимая степень ужесточения защитных мер, структура рубежей (эшелонов) защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности организации. 10. Технология защиты документной информации, защищённый документооборот Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения документированной конфиденциальной информации по потребителям в процессе управленческой и производственной деятельности. Главным направлением защиты документированной информации (документов) от всех видов угроз является формирование защищенного документооборота и использование в обработке и хранении документов технологической системы, обеспечивающей безопасность информации на любом типе носителя. За счет этого достигается возможность контроля конфиденциальной информации в ее источниках и каналах распространения. 11. Обработка поступивших и отправляемых документов. Все поступившие конфиденциальные документы подлежат немедленному учету. Документы, не отнесенные к разряду конфиденциальных, повторно внимательно просматриваются и передаются сотруднику, занятому обработкой и хранением открытых документов. В процессе обработки поступивших конфиденциальных документов решаются следующие задачи защиты информации и ее носителей: - не допустить попадания в данную организацию конфиденциальных документов других предприятий и организаций; - убедиться, что конверты, пакеты с конфиденциальными документами не вскрывались на пути следования от отправителя до адресата; - предотвратить утрату документов после вскрытия пакета; - исключить возможность ознакомления технических работников организации с конфиденциальными документами; - исключить возможность ознакомления любых работников организации с конфиденциальными документами, имеющими пометку "Лично"; - не допустить утерю документов и их частей за счет неполного изъятия их из конвертов; - убедиться в комплектности документа, наличии всех листов, экземпляров и иных частей, отсутствии факта подмены документа. В процессе обработки отправляемых конфиденциальных документов решаются следующие задачи защиты информации и ее носителей: - исключить возможность тайного вскрытия пакета и несанкционированного ознакомления с документами в процессе их пересылки (передачи) адресату, подмены документов и листов; - ограничить возможности утери, кражи или подмены пакета с конфиденциальным документом; - подтвердить факт отправки документа и правильность оформления этого факта в учетных формах; - исключить ошибочную отправку документа, пакета другому адресату, необоснованную рассылку документов ряду адресатов. Конвертование и отправка конфиденциальных документов осуществляются сотрудником службы конфиденциальной документации. Отправка документов лично исполнителями не допускается. 12. Понятие и виды защищаемой информации по законодательству РФ Фз 149 об информации инф технологиях и о защите информации Информацией является совокупность формализованных знаний (сообщений, данных) и сведений независимо от формы их представления К информации ограниченного доступа названный Федеральный закон относит следующие виды информации: государственную тайну; информацию, составляющую коммерческую тайну; информацию, составляющую служебную тайну; персональные данные; профессиональную тайну. Правовой защите подлежит любая информация (ФЗ «Об информации, информационных технологиях и защите информации»). Информация является объектом гражданских прав и имеет собственника. Информация может быть ограниченного доступа, ознакомление с которой ограничивается ее собственником или в соответствии с законодательством, и общедоступной, предназначенной для неограниченного круга лиц Ограничения (установление режима) использования информации устанавливаются законом или собственником информации, которые объявляют степень (уровень) ее конфиденциальности. Конфиденциальными в соответствии с законом являются, в частности, такие виды информации: - содержащая государственную тайну - передаваемая путем переписки, телефонных переговоров, почтовых телеграфных или иных сообщений - содержащая служебную тайну (ст. 139 ГК РФ), коммерческую тайну (ст. 139 ГК РФ и ст. 183 УК РФ), банковскую тайну (ст. 183 УК РФ), личную тайну (ст. 137 УК РФ), семейную тайну (ст. 137 УК РФ), информация, являющаяся объектом авторских и смежных прав (ГК РФ, ч. IV); - информация, непосредственно затрагивающая права и свободы гражданина или персональные данные 13. Государственная тайна как особый вид защищаемой информации. Федеральным законом от 27 июля 2006 г. № 149-ФЗ (в ред. 28.12.2013 вступ в силу 01.02.2014) Об информации, информационных технологиях и о защите информации установлено, что ограничение доступа к информации устанавливается федеральными законами и преследует следующие цели: защиту основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны, обеспечение безопасности государства. Государственная тайна, в соответствии с законодательством Российской Федерации, это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации; 14. правовая защита конфиденциальной информации Основой правовой защиты конфиденциальной информации является заключение договоров и соглашений с условием о неразглашении. необходимо ввести условие о неразглашении в содержание трудового договора или в приложении к нему. Закон 149-ФЗ. Опираясь на него, вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Закон дает рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также меры ответственности, применяемые за нарушение порядка обращения с важными данными. · 152-ФЗ о персональных данных. Касается практически любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах. Если вы собираетесь работать на западный рынок, потребуется изучить аналог 152-ФЗ, действующий на территории Евросоюза, — GDPR. · Приказ 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в сферах, которые могут влиять на безопасность, здоровье и комфорт граждан. К этой категории можно отнести здравоохранение (в т.ч. работу частных клиник), транспортные услуги, услуги по предоставлению связи, банковскую, финансовую деятельность. 15. Нормативно-правовое регулирование профессиональной тайны. Под профессиональной тайной понимается охраняемая законом конфиденциальная информация, ставшая известной лицу в силу исполнения им профессиональных обязанностей. В отличие от персональных данных профессиональная тайна охватывает сведения как о гражданах, так и о юрлицах. Из Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 6 марта 1997 г. N 188 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Ее составляют любые сведения, связанные с оказанием адвокатом юридической помощи доверителю (п. 1 ст. 8 Закона об адвокатуре ФЗ-63). В частности, адвокат не вправе разглашать, кто к нему обратился, какие сведения он получил от доверителя, какие доказательства и документы собрал в ходе подготовки к делу, какую сумму он получил от доверителя за оказание юрпомощи и т.д. (п. 5 ст. 6 Кодекса профессиональной этики адвоката).
Банк не вправе разглашать сведения о клиенте, какие суммы он хранит на счетах и во вкладах, какие операции производит (п. 1 ст. 857 ГК РФ, ч. 1 ст. 26 Закона о банках и банковской деятельности ФЗ-395). Данные сведения банк может передавать только самим клиентам или их представителям, в бюро кредитных историй на основаниях и в порядке, предусмотренных законом. Государственным органам и их должностным лицам, а также иным лицам - исключительно в случаях и в порядке, предусмотренных законом (п. 2 ст. 857 ГК РФ).
Ее по общему правилу составляют любые сведения и документы, как полученные, так и составленные в рамках аудиторской деятельности (ч. 1 ст. 9 Закона об аудиторской деятельности ФЗ-307). При проведении аудиторской проверки аудитор (аудиторская организация) получает доступ к обширным сведениям, например к данным о работе организации: о ее сделках, контрагентах, долгах, внутренней организационной структуре и пр. По общему правилу аудитор (аудиторская организация) не вправе передавать полученные сведения и документы третьим лицам либо разглашать их без предварительного письменного согласия, в частности, организации (ч. 3, 3.1 ст. 9 Закона об аудиторской деятельности).
При заключении и исполнении договора страхования страховщик получает сведения о страхователе, в частности производит осмотр страхуемого имущества или даже назначает экспертизу его стоимости. Разглашать такие сведения он не вправе (ст. 946 ГК РФ). Врачебная тайна Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. (Федеральный закон от 21.11.2011 N 323-ФЗ (ред. от 02.07.2021) "Об основах охраны здоровья граждан в Российской Федерации" (с изм. и доп., вступ. в силу с 01.01.2022). |