ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ЗАЩИТЫ ИНФОРМАЦИИ Пестунова Тамара Михайловна кандидат технических наук, доцент 1

ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ЗАЩИТЫ ИНФОРМАЦИИ

ОПРЕДЕЛЯЮЩИЕ ФАКТОРЫ В законодательстве всех государств описаны разные виды информации, потенциальная доступность и особенности распространения которой регламентируется в силу тех или иных обстоятельств, обозначены права субъектов информационных отношений в информационной сфере Эта дифференциация порождает определенные требования к используемым ИТ и компьютерным системам с целью обеспечения безопасности.

Основные группы мер 1. Меры ограничительной направленности Направлены на формирование негативного отношения к нарушениям и нарушителям ИБ (в т.ч. с использованием наказаний) 2. Меры созидательной направленности Способствуют повышению образованности общества в области ИБ, формированию информационной культуры, распространению и использованию адекватных ситуациям средств защиты информации ВАЖНО: создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом развития ИТ

Закон об информации, информационных технологиях и защите информации от 27 июля 2006 г. N 149-ФЗ Сфера деятельности закона: 1) осуществление права на поиск, получение, передачу, производство и распространение информации; 2) применение информационных технологий; 3) обеспечение защиты информации.

Закон об ИИТиЗИ: основные понятия информация - сведения (сообщения, данные) независимо от формы их представления; информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники ;

Закон об ИИТиЗИ: основные понятия обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; доступ к информации - возможность получения информации и ее использования; конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

Закон об ИИТиЗИ: основные понятия предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети ;

Закон об ИИТиЗИ: основные понятия документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель; оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Закон об ИИТиЗИ: принципы регулирования свобода поиска, получения, передачи, производства и распространения информации любым законным способом; установление ограничений доступа к информации только федеральными законами; ……. обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации; достоверность информации и своевременность ее предоставления; … недопустимость сбора,хранения, использования и распространения информации о частной жизни лица без его согласия; недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими …

Закон об ИИТиЗИ: принципы регулирования отношений свобода поиска, получения, передачи, производства и распространения информации любым законным способом; установление ограничений доступа к информации только федеральными законами; ……. обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защите содержащейся в них информации; достоверность информации и своевременность ее предоставления; … недопустимость сбора,хранения, использования и распространения информации о частной жизни лица без его согласия; недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими …

Закон об ИИиЗИ: деление информации в зависимости от прав доступа к ней общедоступная информация, общеизвестные сведения и иная информация, доступ к которой не ограничен. может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений по распространению обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, ее распространяющих, указывать себя в качестве ее источника. информация, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Закон об ИИиЗИ: деление информации в зависимости от прав доступа к ней информация, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Государственная тайна Конфиденциальная информация: более 20 видов тайн в российском законодательстве Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Предоставляется только на основании федеральных законов, по разрешению лица, которого она касается, либо по решению суда

Закон об ИИиЗИ: деление информации в зависимости от порядка ее предоставления и распространения: информация, свободно распространяемая; информация, предоставляемая по соглашению лиц, участвующих в соответствующих соглашениях; информация, подлежащая представлению и распространению в соответствии с законодательством Российской Федерации; информация, распространение которой ограничивается или запрещается.

Информация, доступ к которой не может быть ограничен l Конституция, ст право граждан на благоприятную окружающую среду, достоверную информацию о ее состоянии, возмещение ущерба при экологических правонарушениях l Перечни такой информации: Закон об информации, информационных технологиях и защите информации – ст. 8 Закон о гостайне - ст. 10

Информация с ограниченным доступом Государственная тайна Коммерческая Служебная Банковская профессиональная Нотариальная Усыновления Исповеди И др., всего около 50

Информация, доступ к которой не может быть ограничен l Конституция, ст право граждан на благоприятную окружающую среду, достоверную информацию о ее состоянии, возмещение ущерба при экологических правонарушениях l Перечни такой информации: Закон об информации, информационных технологиях и защите информации – ст. 8 Закон о гостайне - ст. 10

Защита информации Защита информации заключается в приняти и правовых организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

Защита информации соблюдение конфиденциальности информации ограниченного доступа, реализацию права на доступ к информации.

Не может быть ограничен доступ к: нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; информации о состоянии окружающей среды ; информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Защита информации Обладатель информации, оператор ИС в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

Защита информации недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; постоянный контроль за обеспечением уровня защищенности информации

ФЗ РФ от 27 июля 2006 г. 152-ФЗ «О персональных данных » Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

Персональные данные это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Принципы обработки ПД: законность целей и способов обработки персональных данных (ПД) и добросовестность; соответствие целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям оператора; соответствие объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД; достоверность ПД, их достаточность для целей обработки, недопустимость обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД; недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем ПД.

Охрана изображения гражданина (введена Федеральным законом от N 231-ФЗ) С татья ГК РФ Обнародование и дальнейшее использование изображения гражданина допускаются только с согласия этого гражданина. ( в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен ). После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда: 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах; 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях за исключением случаев, когда такое изображение является основным объектом использования; 3) гражданин позировал за плату.

Основные законы и другие правовые документы РФ, затрагивающие вопросы ЗИ ФЗ «О государственной тайне» ФЗ «О коммерческой тайне» Уголовный кодекс РФ – гл. 28 Гражданский кодекс РФ - ч. 4. В основной части действует с г. (в т.ч. авторское и смежное право на программы для ЭВМ, базы данных) Кодекс об административных правонарушениях

Прекратили действие l ФЗ РФ от г «Об авторском праве и смежных правах» l ФЗ РФ от г «О правовой охране топологий интегральных микросхем» l ФЗ РФ от г « О правовой охране программ для ЭВМ и БД» l Патентный закон РФ от г l ФЗ РФ от «О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров» l ФЗ РФ от г «О селекционных достижениях» l И др.

правила создания общедоступных источников персональных данных l включение в них фамилии, имя, отчества, года и места рождения, адреса, абонентского номера, сведений о профессии и иных персональных данных будет осуществляться только с письменного согласия субъекта. l Эти сведения могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. l доказывание получения согласия лежит на операторе. l Оператор доказывает, что данные являются общедоступными.

НОРМАТИВНО-ПРАВОВАЯ ОСНОВА ОСУЩЕСТВЛЕНИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

ФЗ РФ от г. 128-ФЗ «О лицензировании отдельных видов деятельности» ЛИЦЕНЗИЯ – специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или частному предпринимателю. ЛИЦЕНЗИРОВАНИЕ – мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий… ЛИЦЕНЗИАТ - юридическое или физическое лицо, имеющее лицензию на осуществляемый вид конкретной деятельности.

ЛИЦЕНЗИРУЕМЫЕ ВИДЫ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫЕ С ЗАЩИТОЙ ИНФОРМАЦИИ Предоставление услуг в области защиты информации Разработка и производство средств защиты конфиденциальной информации Техническая защита конфиденциальной информации Разработка, производство технических средств для негласного съема информации

ЛИЦЕНЗИРУЕМЫЕ ВИДЫ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ (КЗИ) Распространение средств КЗИ Техническое обслуживание средств КЗИ Разработка и производство защищенных с использованием КЗИ информационных и телекоммуникационных систем Выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП, предоставление услуг, связанных с использованием ЭЦП

К шифровальным (криптографическим) средствам относятся Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для: обеспечения безопасности информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; защиты от несанкционированного доступа к информации при ее обработке и хранении; защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи"; изготовления ключевых документов для шифровальных средств независимо от вида носителя ключевой информации.

ЛИЦЕНЗИРУЮЩИЕ ОРГАНЫ Федеральная служба по техническому и экспортному контролю (ФСТЭК России): Аспекты, касающиеся технической защиты информации (в том числе при использовании ЭЦП) Федеральная служба по безопасности (ФСБ России): Аспекты, касающиеся криптографических средств (включая средства КЗИ при реализации ЭЦП) Деятельность, связанная с доступом к сведениям, составляющим гостайну

ПОЛОЖЕНИЕ о лицензировании деятельности по технической защите конфиденциальной информации от г. 290, доп. и изм.: ; ; Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в т.ч. по техническим каналам, специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней

Лицензионные требования а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование в области технической ЗИ, либо специалистами, прошедшими переподготовку по вопросам защиты информации; б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами РФ и НМД по технической защите информации;

Лицензионные требования в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации; г) использование третьими лицами программ для электронно- вычислительных машин или баз данных на основании договора с их правообладателем.

Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации Утверждено пост. Правительства РФ 27 мая 2002 г. 348 (с изм. и доп. от ; от ) Лицензирование деятельности по разработке и/или производству: средств защиты конфиденциальной информации – ФСТЭК России и ее территориальные органы, средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ и Высшего Арбитражного Суда РФ – ФСБ России

Лицензионные требования Дополнительно к перечисленным ранее: д) выполнение требований государственных стандартов РФ, конструкторской, программной и технологической документации, единой системы измерений, системы разработки и запуска в производство средств защиты конфиденциальной информации, а также иных нормативных правовых актов

Положение о сертификации средств защиты информации Утв. Постановлением правительства РФ от 26 июня 1995 г. N 608 (с изм. от , г., г.) Средствами защиты информации являются: технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, средства контроля эффективности защиты информации Они подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. Криптографические (шифровальные) средства должны быть отечественного производства выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России

Участники системы сертификации федеральный орган по сертификации; центральный орган системы сертификации (возглавляет систему сертификации однородной продукции); органы по сертификации средств защиты информации (проводят сертификацию определенной продукции); испытательные лаборатории (проводят сертификационные испытания или отдельные виды этих испытаний для определенной продукции); изготовители-продавцы, исполнители продукции.

Система сертификации средств криптографической защиты информации (POCC RU от ) Правила сертификации по требованиям безопасности информации: шифровальных средств информационно-телекоммуникационных систем и баз данных государственных органов, ЦБ РФ, ВЭБ РФ и их учреждений, иных государственных учреждений РФ. систем и комплексов телекоммуникаций высших органов госвласти РФ; закрытых систем и комплексов телекоммуникаций oорганов госвласти субъектов РФ, oцентральных органов федеральной исполнительной власти, oорганизаций, предприятий, банков и иных учреждений на территории РФ (независимо от ведомственной принадлежности и форм собственности).

Требования безопасности и сертификационные испытания При проведении сертификации продукции подтверждается соответствие ее требованиям безопасности информации. Требования безопасности информации, предъявляемые к продукции, выдаются ФСБ только предприятиям, имеющим лицензию на соответствующий вид деятельности в области защиты информации. Сертификационные испытания образцов продукции проводятся в испытательных лабораториях (центрах), аккредитованных ФСБ