Основы российского законодательства по вопросам защиты информации


1. Информация как объект защиты.
2. Система документов по защите информации.
3. Ответственность за нарушения в сфере защиты информации.


Введение

Основным регулятором в области защиты информации является Федеральная служба по техническому и экспортному контролю (ФСТЭК России):



ФСТЭК России осуществляет реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

Противодействие иностранным техническим разведкам (ПД ИТР) – деятельность, направленная на исключение или затруднение получения иностранными техническими разведкам разведывательной информации об объектах защиты.

Техническая защита информации (ТЗИ) – деятельность, направленная на обеспечение некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических и средств.

Обеспечение безопасности информации в ключевых системах информационной инфраструктуры (ОБИ в КСИИ) – деятельность, направленная на исключение или затруднение реализации в отношении управляющих информационных систем деструктивных воздействий, в результате которых может сложиться чрезвычайная ситуация.

Экспортный контроль (ЭК) – деятельность, направленная на исключение при осуществлении внешнеэкономической деятельности незаконного распространения товаров, информации, работ и услуг, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники либо при подготовке и свершении террористических актов.

Техническая защита информация (ТЗИ), обеспечение безопасности информации в ключевых системах информационной инфраструктуры (ОБИ в КСИИ) заключаются в проведении мероприятий по обеспечению неизменности свойств безопасности информации, таких как конфиденциальность, целостность, доступность. Необходимо исключить утечку информации, ее уничтожение (модификацию) и блокирование. При этом достигается цель по нейтрализации актуальных угроз реализующихся по техническим каналам, за счет несанкционированного доступа и иных специальных воздействий.


Часть 1. Информация как объект защиты


Основными угрозами безопасности информации являются:

  1. Деятельность иностранных спецслужби преступных сообществ по добыванию защищаемой информации в результате её утечки по техническим каналам в процессе обработки, хранения и передачи в средствах информатизации и системах телекоммуникации. Технический канал утечки информации – совокупность источника информация, среды распространения сигналов и приемника этих сигналов, обуславливающая возможность перехвата информации
  2. Совершение со стороны внешних и внутренних нарушителей противоправных действий за счет несанкционированного доступа к защищаемой информации, циркулирующей в информационных системах органов власти и организаций. Несанкционированный доступ – получение информации с нарушением установленных прав и правил доступа к ней
  3. Распространение злоумышленниками вредоносных программ, оказывающих деструктивное воздействие на автоматизированные системы управления технологическими и чувствительными процессами с целью дезорганизации деятельности критически важных, потенциально опасных и социально значимых объектов. Деструктивное информационное воздействие – компьютерная атака, направленная на нарушение нормального функционирования информационных систем
  4. Наличие в программном обеспечении средств информатизации и систем телекоммуникации компонентов, имеющих недекларированные возможности. Недекларированные возможности – не описанные в документации функции программных продуктов, при использовании которых возможно нарушение свойств безопасности информации
  5. Наличие в импортных технических средствах и системах обработки информации возможно внедренных закладных электронных устройств. Закладное электронное устройство – скрытно установленный элемент средства негласного съема информации.

Основы законодательства по вопросам защиты информации можно представить следующим образом:



Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»


Статья 1. Сфера действия настоящего Федерального закона

1.Настоящий закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.

Информация – сведения (сообщения, данные) независимо от формы их предоставления.
Документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Электронный документ – документированная информация, представленная в электронной форме, то есть в виде пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети.


Статья 5. Информация как объект правовых отношений


2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.


Статья 7. Общедоступная информация


К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.


Статья 9. Ограничение доступа к информации


1. Ограничение доступа к информации устанавливается федеральными законами…

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Конфиденциальная информация – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Что же такое - информация ограниченного доступа?



Перечень нормативных актов, относящих сведения к категории ограниченного доступа


1 Врачебная тайна Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан…»
2 Коммерческая тайна Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
3 Тайна связи Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»
4 Тайна страхования Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании…»
5 Банковская тайна Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»
... Сведения, ставшие известными судебным приставам Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах»

В Российской Федерации законодательно определено более 50 видов различных тайн и сведений конфиденциального характера, возьмем для примера налоговый кодекс Российской Федерации, часть первая:

Статья 102. Налоговая тайна

1. Налоговую тайну составляют любые полученные налоговым органом …сведения о налогоплательщике, за исключением …

2. Налоговая тайна не подлежит разглашению…., за исключением случаев, предусмотренных федеральным законом.

3. Поступившие в налоговые органы… сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.

Статья 313. Налоговый учет. Общие положения

Содержание данных налогового учета (в том числе данных первичных документов) является налоговой тайной. Лица, получившие доступ к информации, содержащейся в данных налогового учета, обязаны хранить налоговую тайну…


Указ Президента РФ от 6 мрта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»:


  1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные)…
  2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты…
  3. Служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна)…
  4. Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений)…
  5. Сведения, связанные с коммерческой деятельностью (коммерческая тайна)…
  6. Сведения о сущности изобретения, полезной модели или промышленного образца до их официальной публикации…
  7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов...

Служебная тайна – конфиденциальные сведения, образующиеся в процессе управленческой деятельности органа или организации, распространение которых препятствует реализации органом или организацией предоставленных ему полномочий либо иным образом отрицательно сказывается на их реализации, а также конфиденциальные сведения, полученные органом или организацией в соответствии с их компетенцией в установленном законодательством порядке.



Концепция Федерального закона «О служебной тайне» (согласована с заинтересованными органами власти)



Проект Федерального закона № 124871-4 «О служебной тайне» (отклонен, перерабатывается)


Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»


Статья 7. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Автоматизированная обработк персональных данных – обработка персональных данных с помощью средств вычислительной техники.


Федеральный Закон ОТ 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»


Статья 6. Обладатель информации

1.Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

2.От имени Российской Федерации…правомочия обладателя информации осуществляются государственными органами…в пределах их полномочий.

Статья 13. Информационные системы

…государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов…

Статья 14. Государственные информационные системы

1.Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях...

9.Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами…

Статья 16. Защита информации

1.Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования…;
2)соблюдение конфиденциальности информации ограниченного доступа;
3)реализацию права на доступ к информации.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам…

Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

..
4.Обладатель информации, оператор информационной системы ... обязаны обеспечить:

предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

постоянный контроль за обеспечением уровня защищенности информации.


ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»


Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.



Часть 2. Система документов по защите информации


Виды законодательных актов Российской Федерации в области защиты информации представлены на рисунке:



К документам стратегического планирования относятся:




Федеральные законы:


  1. 1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. 2. Закон Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне».
  3. 3. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
  4. 4. Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности».
  5. 5. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  6. 6. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Нормативная правовая база по защите информации делится на:



Защита информации, составляющей государственную тайну:


Руководящие документы по защите информации, составляющей государственную тайну:

Решения межведомственной комиссии:

Методики:

Стандарты:

Информационные сообщения:


Защита государственного информационного ресурса, не отнесенного к государственной тайне



Законы:

Указы:

Постановления:

Требования:

Методики:

Стандарты:

Информационные:


Обеспечение безопасности персональных данных при их автоматизированной обработке в иных информационных системах


Постановления:

Требования:

Методики, информационные сообщения:


Обеспечение безопасности информации на объектах критической информационной инфраструктуры


  1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и федеральные законы о транспортной, энергетической, промышленной и иной безопасности;
  2. Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утверждены приказом ФСТЭК России от 14 марта 2014 г. № 31;
  3. Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, содержащей сведения, составляющие государственную тайну, утверждено приказом ФСТЭК России от 25 февраля 2009 г. № 07;
  4. Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, утверждено приказом ФСТЭК России от 29 мая 2009 г. № 191.
  5. Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий, утверждена Секретарем Совета Безопасности Российской Федерации 8 ноября 2005 г.;
  6. Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры и Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России, 2007 г.;
  7. Положение о реестре ключевых систем информационной инфраструктуры, утверждено приказом ФСТЭК России от 4 марта 2009 г. № 74;
  8. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18 мая 2007 г.;
  9. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России 18 мая 2007 г.

Обеспечение безопасности информации в информационных системах общего пользования


Законы:

Постановления:

Требования:

Часть 3. Ответственность за правонарушения в области защиты информации


Федеральный Закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информции»


Статья 17. Ответственность за правонарушения в сфере… защиты информации

1.Нарушение требований настоящего закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. - Кодекс Российской Федерации об административных правонарушениях статьи 13.12 и 13.13.

Статья 13.12 Нарушение правил защиты информации

Часть 1.

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну):

- на граждан – штраф от 1000 до 1500 рублей;
- на должностных лиц – штраф от 1500 до 2500 рублей;
- на юридических лиц – штраф от 15000 до 20000 рублей.

Часть 2.

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну):

- на граждан – штраф от 1000 до 2500 рублей с конфискацией несертифицированных средств защиты информации или без таковой;
- на должностных лиц – штраф от 2500 до 3000 рублей;
- на юридических лиц – штраф от 20000 до 25000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Часть 3.

Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну:

- на должностных лиц – штраф от 2000 до 3000 рублей;
- на юридических лиц – штраф от 20000 до 25000 рублей.

Часть 4.

Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну:

- на должностных лиц – штраф от 3000 до 4000 рублей;
- на юридических лиц – штраф от 20000 до 30000 рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

Часть 5.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну):

- на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, штраф от 2000 до 3000 рублей или административное приостановление деятельности на срок до 90 суток;
- на должностных лиц – штраф от 2000 до 3000 рублей;
- на юридический лиц – штраф от 20000 до 25000 рублей или административное приостановление деятельности на срок до 90 суток.

Федеральным законом от 2 февраля 2013 г. № 341-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в статью 13.12 дополнительно внесены части 6 и 7:

Часть 6.

Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи:

- на граждан – штраф от 500 до 1000 рублей;
- на должностных лиц – штраф от 1000 до 2000 рублей;
- на юридических лиц – штраф от 10000 до 15000 рублей.

Часть 7.

Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния:

- на граждан – штраф от 1000 до 2000 рублей;
- на должностных лиц – штраф от 3000 до 4000 рублей;
- на юридических лиц – штраф от 15000 до 20000 рублей.


Статья 13.13 Незаконная деятельность в области защиты информации


Часть 1.

Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна):

- на граждан – штраф от 500 до 1000 рублей с конфискацией средств защиты информации или без таковой;
- на должностных лиц – штраф от 2000 до 3000 рублей с конфискацией средств защиты информации или без таковой;
- на юридических лиц – штраф от 10000 до 20000 рублей с конфискацией средств защиты информации или без таковой.

Часть 2.

Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии:

- на должностных лиц – штраф от 4000 до 5000 рублей;
- на юридических лиц – штраф от 30000 до 40000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

Все нарушения по защите информации можно разделить на три категории:

Первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам.

Вторая категория – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам.

Третья категория – невыполнение других требований по защите информации.

По факту нарушения первой категории Управление ФСТЭК по соответствующему федеральному округу может выдать предписание на приостановление работы на объекте контроля до устранения нарушений, с одновременным уведомлением территориального органа безопасности (ФСБ России) и передачей материалов по факту нарушения в прокуратуру.



Ранее:
Экономические аспекты информационной безопасности. Методика оценки совокупной стоимости владения для подсистемы ИБ