Главная страница
Навигация по странице:

  • Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной

  • Закон "Об информации, информационных технологиях и о защите информации"

  • Другие законы и нормативные акты

  • Лицензируемый вид деятельности

  • Правовое обеспечение инф безопасности (1). Законодательный уровень информационной безопасности


    Скачать 375.82 Kb.
    НазваниеЗаконодательный уровень информационной безопасности
    Анкорfdddfdf
    Дата18.01.2022
    Размер375.82 Kb.
    Формат файлаpdf
    Имя файлаПравовое обеспечение инф безопасности (1).pdf
    ТипЗакон
    #334675
    страница1 из 3
      1   2   3

    1
    Законодательный уровень информационной безопасности
    В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов
    информационных отношений необходимо сочетать меры следующих уровней:
    • законодательного;
    • административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
    • процедурного (меры безопасности, ориентированные на людей);
    • программно-технического.
    Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом; потому, что так поступать не принято.
    Мы будем различать на законодательном уровне две группы мер:
    • меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

    направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
    На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов
    информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.
    Самое важное (и, вероятно, самое трудное) на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
    Обзор российского законодательства в области информационной безопасности
    Правовые акты общего назначения, затрагивающие вопросы информационной
    безопасности
    Основным законом Российской Федерации является Конституция, принятая 12 декабря
    1993 года.
    В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
    Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 – право на знание достоверной информации о состоянии окружающей среды.
    В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами

    2 информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
    Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
    В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от
    15 мая
    2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности. (Примечание: Утратила силу с 1 января 2008 года. – Федеральный закон от 18.12.2006 N 231–ФЗ.)
    Весьма продвинутым в плане информационной безопасности является Уголовный
    кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 – "Преступления в сфере компьютерной информации" – содержит три статьи:
    • статья 272. Неправомерный доступ к компьютерной информации;
    • статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
    • статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
    Первая имеет дело с посягательствами на конфиденциальность, вторая – с вредоносным
    ПО, третья – с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
    Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
    Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями на 22 августа 2004 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
    Закон "Об информации, информационных технологиях и о защите информации"
    Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ (принят
    Государственной Думой 8 июля 2006 года). В нем даются основные определения, намечаются

    3 направления, в которых должно развиваться законодательство в данной области, регулируются отношения, возникающие:
    1. при осуществлении права на поиск, получение, передачу, производство и распространение информации;
    2. при применении информационных технологий;
    3. при обеспечении защиты информации.
    Процитируем основные определения:
    1.
    информация – сведения (сообщения, данные) независимо от формы их представления;
    2.
    информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
    3.
    информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
    4.
    информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
    5.
    обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
    6.
    доступ к информации – возможность получения информации и ее использования;
    7.
    конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
    8.
    предоставление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
    9.
    распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
    10.
    электронное
    сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
    11.
    документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
    12.
    оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
    Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на нетрадиционность определения конфиденциальности информации, приравнивающего конфиденциальность к неразглашению.
    В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:
    1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
    2. установление ограничений доступа к информации только федеральными законами;

    4 3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
    4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
    5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
    6. достоверность информации и своевременность ее предоставления;
    7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
    8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
    Отметим, что в этих принципах явным образом фигурируют целостность
    (достоверность) и доступность (своевременность предоставления) информации.
    В статье 9 Закона содержатся следующие положения:
    9. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
    10. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
    11. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной
    тайне.
    12. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую
    тайну, служебную
    тайну и иную
    тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
    Отметим, что в этой статье упор делается на конфиденциальность информации.
    Статья 11 "Документирование информации" содержит следующие важные положения:
    1. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.
    2. В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.
    Статья 16 целиком посвящена вопросам защиты информации. Процитируем ее полностью.
    1.
    Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
    1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления,

    5 распространения, а также от иных неправомерных действий в отношении такой информации;
    2) соблюдение конфиденциальности информации ограниченного доступа;
    3) реализацию права на доступ к информации.
    2.
    Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
    3.
    Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
    4.
    Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
    1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
    2) своевременное обнаружение фактов несанкционированного доступа к информации;
    3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
    4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
    5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
    6) постоянный контроль за обеспечением уровня защищенности информации.
    5.
    Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
    6.
    Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
    В процитированной статье Закона фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации.
    Явным образом не упомянуты такие меры, как аккредитация, сертификация и лицензирование, но в пунктах 5 и 6 они, конечно, подразумеваются.
    Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информационных технологиях и о защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.
    Другие законы и нормативные акты
    Мы продолжим наш обзор Законом "О лицензировании отдельных видов деятельности" от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года, последняя учтенная редакция от 30.12.2008 номер 309-ФЗ, с изменением, внесенным
    Федеральным Законом от 22.12.2008 номер 272-ФЗ). Начнем с основных определений.

    6
    Лицензия – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
    Лицензируемый вид деятельности – вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим
    Федеральным законом.
    Лицензирование – мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании.
    Лицензирующие органы – федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом.
      1   2   3


    написать администратору сайта