Правовые меры защиты информации: ФЗ, указы, распоряжения, постановления, ГОСТ

Правовые меры защиты информации


- федеральные законы;
- указы и распоряжениями Президента РФ;
- постановления Правительства РФ;
- ГОСТы по защите информации;

Правовые меры защиты информации – это законодательное регулирование отношений в этой области. Правовые меры устанавливают правила использования информации и определяют ответственность за нарушение этих правил.

Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Нормативных документов по теме защиты информации реально много. Минимальный их набор, заслуживающий прочтения полностью, независимо от области работы, наверное будет таким:

ФЗ №152 "О персональных данных" обязателен для понимания в любом случае – как минимум персональные данные своих сотрудников вы будете обязаны защищать.

Перейдем к ФЗ №149. Статьи 1-10 ФЗ №149 обязательны для прочтения. В них зафиксированы понятия в сфере защиты информации, принципы регулирования отношений в этой сфере. Кроме того, установлены права и обязанности обладателя информации, рассмотрены вопросы общедоступной информации, права на доступ к информации и ограничения этого права.

Также представляет интерес статья 16 Закона, которая закрепляет понятие защиты информации, устанавливает обязанность обладателя информации осуществлять защиту ее и вести контроль за обеспечением уровня этой защиты.

Согласно пункту 2 статьи 5 ФЗ №149 вся информация подразделяется на общедоступную и информацию ограниченного доступа. О том, что же такое - информация ограниченного доступа закон тактично умалчивает. Логично будет предположить, что это государственная тайна и конфиденциальная информация.

Вопросами защиты государственной тайны заниматься как-то не пришлось. В рамках этого материала можно только отметить, что основной регулятор здесь – это ФСБ России, а законодательство строится на:

Что касается конфиденциальной информации - в Российской Федерации законодательно определено более 50 видов различных тайн и сведений конфиденциального характера. Вот лишь некоторые из них:

Сведения конфиденциального характера

Регулирующий нормативный акт (закон)

Врачебная тайна

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан…»

Коммерческая тайна

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

Тайна связи

Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»

Тайна страхования

Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании…»

Банковская тайна

Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»

Сведения, ставшие известными судебным приставам

Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах»

Налоговая тайна

Налоговый кодекс РФ Часть первая

Ну и так далее…

Возьмем, к примеру, налоговую тайну:

Налоговый кодекс РФ Часть первая. Статья 102. Налоговая тайна:

1. Налоговую тайну составляют любые полученные налоговым органом …сведения о налогоплательщике, за исключением …

2. Налоговая тайна не подлежит разглашению…., за исключением случаев, предусмотренных федеральным законом.

3. Поступившие в налоговые органы… сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.

Статья 313. Налоговый учет. Общие положения

Содержание данных налогового учета (в том числе данных первичных документов) является налоговой тайной. Лица, получившие доступ к информации, содержащейся в данных налогового учета, обязаны хранить налоговую тайну…»


Таким образом, минимальный набор документов по защите информации, подлежащий изучению, будет состоять из ФЗ 149, 152 и законодательства в зависимости от вида тайны или сведений конфиденциального характера.

Далее будем прибавлять документы в зависимости от вида организации, в которой осуществляется защита.

В 99 процентов можно оценить вероятность того, что Ваша организация использует в своей работе электронные цифровые подписи (ЭЦП), значит ФЗ №63 от 06.04.2011 г. «Об электронной подписи» необходимо хотя бы прочитать.

В основном положения ФЗ №63 касается деятельности удостоверяющих центров, однако положения статьи 10 об обязанностях участников электронного взаимодействия подлежат исполнению всеми пользователями ЭЦП.

Еще организация может попадать под действие ФЗ №187 «О безопасности критической информационной инфраструктуры». III категорию объекта присваивают обычно организациям транспорта, связи, энергетики. Соответственно для них будет обязательным знание и исполнение ФЗ №187 и множества подзаконных актов по этой тематике.

Помимо законов, прямо связанных с защитой информации, есть ряд нормативных актов, которые хоть и косвенно касаются этой области, но обязательны для исполнения. Знать наизусть их понятное дело не надо. Примером может служить ФЗ №99 от 04.05.2011 "О лицензировании отдельных видов деятельности". Из закона нас интересует пункт 1 статьи 12, а именно подпункты 1-5.

Из них следует, что под лицензирование попадает:

Посмотреть перечень лицензий можно на сайте ФСТЭК:

В отличие от ФСТЭК, ФСБ не публикует перечень лицензий в открытом доступе. Чтобы проверить такую лицензию, нужно обратиться в ФСБ с письменным запросом, указав реквизиты лицензии.

Или, например, Федеральный Закон №184 от 27.12.2002 "О техническом регулировании".

Из статьи 5 закона следует, что для продукции (работ, услуг) используемой для защиты информации, относимой к информации ограниченного доступа обязательными, помимо требований технических регламентов, являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

На практике это означает, что программы или устройства, используемые для защиты информации, должны иметь действующий сертификат ФСБ или ФСТЭК.

Реестр сертифицированных СЗИ на сайте ФСТЭКа:

https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00

Почему мы в этом материале затрагиваем темы лицензирования и сертификации? Регуляторы (ФСБ или ФСТЭК) приравнивают выполнение работ по защите информации организацией, не имеющей соответствующей лицензии к отсутствию таких работ, а использование технического средства или программы, с просроченным или отсутствующим сертификатом – к отсутствию таких средств или программ. Результат – нарушение и наказание.


Помимо законов, отношения в области защиты информации регулируются указами и распоряжениями Президента РФ и постановлениями Правительства РФ:

Указы и распоряжения Президента РФ

Для государственных учреждений и организаций обязателен для исполнения указ:

"О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 №351.

В нем речь идет о подключение информационных систем и сетей государственных органов, содержащих государственную и служебную тайну, к сети Интернет только с использованием шифровальных (криптографических) средств, имеющих сертификат ФСБ или ФСТЭК.

Постановления Правительства РФ:

- постановлением утверждено Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, котором определены виды работ и услуг, подлежащие обязательному лицензированию, а также установлены требования к соискателю лицензии в зависимости от лицензирующего органа (ФСБ или ФСТЭК)

Положения:

- Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов, например, Роскомнадзора. С ними можно (и нужно) ознакомиться на сайтах соответствующих ведомств.

Наконец, не забудем про ГОСТы, касающиеся тематики разговора. Вот лишь некоторые для примера: