Нормативные документы РФ в области информационной безопасности Лекция

Нормативные документы РФ в области информационной безопасности Лекция Шестаков А.П.

2 © Шестаков А.П. Нормативные документы 2 Список законов к рассмотрению «О государственной тайне» «Об информации, информационных технологиях и о защите информации»

3 © Шестаков А.П. Нормативные документы 3 Закон «О государственной тайне» (21.07.1993) Статья 2. Основные понятия, используемые в Законе Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.

4 © Шестаков А.П. Нормативные документы 4 Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и(или) в сопроводительной документации на него. Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

5 © Шестаков А.П. Нормативные документы 5 Закон «О государственной тайне» Статья 5. Перечень сведений, составляющих государственную тайну Государственную тайну составляют: сведения в военной области; сведения в области экономики, науки и техники; сведения в области внешней политики и экономики; сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности;

6 © Шестаков А.П. Нормативные документы 6 Закон «О государственной тайне» Статья 7. Сведения, не подлежащие отнесению к государственной тайне и засекречиванию Не подлежат отнесению к государственной тайне и засекречиванию сведения: о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

7 © Шестаков А.П. Нормативные документы 7 о фактах нарушения прав и свобод человека и гражданина; о размерах золотого запаса и государственных валютных резервах РФ; о состоянии здоровья высших должностных лиц РФ; о фактах нарушения законности органами государственной власти и их должностными лицами.

8 © Шестаков А.П. Нормативные документы 8 Закон «О государственной тайне» Статья 8. Степени секретности сведений и грифы секретности носителей этих сведений Статья 9. Порядок отнесения сведений к государственной тайне Статья 10. Ограничения прав собственности предприятий, учреждений, организаций и граждан РФ на информацию в связи с ее засекречиванием Статья 11. Порядок засекречивания сведений и их носителей Статья 17. Передача сведений, составляющих государственную тайну, в связи с выполнением совместных и других работ

9 © Шестаков А.П. Нормативные документы 9 Закон «О государственной тайне» Статья 22. Основания для отказа должностному лицу или гражданину в допуске к государственной тайне Основанием для отказа должностному лицу или гражданину в допуске к государственной тайне могут являться: признание его судом недееспособным, ограниченно дееспособным или рецидивистом, нахождения его под судом или следствием за государственные и иные тяжкие преступления, наличие у него неснятой судимости за эти преступления; наличие у него медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, согласно перечню, утверждаемому Министерством здравоохранения РФ;

10 © Шестаков А.П. Нормативные документы 10 постоянное проживание его самого и(или) его близких родственников за границей и(или) оформление указанными лицами документов для выезда на постоянное жительство в другие государства; выявление в результате проверочных мероприятий действий оформляемого лица, создающих угрозу РФ; уклонение его от проверочных мероприятий и(или) сообщение им заведомо ложных анкетных данных.

11 © Шестаков А.П. Нормативные документы 11 Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ Статья 1. Сфера действия настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. 2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

12 © Шестаков А.П. Нормативные документы 12 Об информации, информационных технологиях и о защите информации Статья 2. Основные понятия, используемые в настоящем Федеральном законе В настоящем Федеральном законе используются следующие основные понятия: 1) информация - сведения (сообщения, данные) независимо от формы их представления; 2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; 3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; 4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники; 5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

13 Об информации, информационных технологиях и о защите информации 6) доступ к информации - возможность получения информации и ее использования; 7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; 8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; 9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; 10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети; 11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель; 12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. © Шестаков А.П. Нормативные документы 13

14 Статья 8. Право на доступ к информации 1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами. 2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы. 3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности. © Шестаков А.П. Нормативные документы 14

15 4. Не может быть ограничен доступ к: 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. © Шестаков А.П. Нормативные документы 15

16 5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения. 6. Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд. © Шестаков А.П. Нормативные документы 16

17 7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством. 8. Предоставляется бесплатно информация: 1) о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях; 2) затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица; 3) иная установленная законом информация. 9. Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами. © Шестаков А.П. Нормативные документы 17

18 Статья 16. Защита информации 1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа, 3) реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. 3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи. © Шестаков А.П. Нормативные документы 18

19 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации. © Шестаков А.П. Нормативные документы 19

20 5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. © Шестаков А.П. Нормативные документы 20

21 Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации 1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. © Шестаков А.П. Нормативные документы 21

22 2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. 3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги: 1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений; 2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации. © Шестаков А.П. Нормативные документы 22

23 Закон «Об электронной подписи» от 6 апреля 2011 г. N 63-ФЗ © Шестаков А.П. Нормативные документы 23 Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.

24 Статья 2. Основные понятия 1) электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию; 2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи; 3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган);

25 Основные понятия 4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи; 5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи; 6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи); 7) удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

26 Основные понятия 8) аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона; 9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи; 10) средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра; 11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане;

27 Основные понятия 12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц; 13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.