Лекция 3 ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ. ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ.
Правовые акты РФ в области ИБ 2 1. Конституция РФ, международные договоры РФ. 2. Законы Федерального уровня РФ. 3. Постановления правительства, указы президента, нормативные правовые акты федеральных министерств, служб и ведомств (в частности, приказы ФСБ, руководящие документы ФСТЕК). 4. Нормативные правовые акты субъектов РФ, органов местного самоуправления.
Правовые акты РФ в области ИБ 3 Первый подуровень в иерархии соподчинённости законодательных актов можно назвать конституционным, он представлен рядом конституционных норм. Специфика второго подуровня состоит в том, что федеральные законы, регулирующие отношения в информационной среде и принятые в соответствии с ними нормативные акты подчинены Конституции и не могут ей противоречить. Третий подуровень – «подзаконные» нормативные акты. Наряду с указами Президента РФ и постановлениями Правительства к ним относятся акты центральных органов государственного управления РФ. На законодательном уровне важно создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Конституция РФ 4 Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.
Конституция РФ 5 Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья 29 гарантирует право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
Уголовный кодекс РФ 6 В главе 28 (Преступления в сфере компьютерной информации): статья 272. Неправомерный доступ к компьютерной информации; статья 273. Создание, использование и распространение вредоносных программ для ЭВМ; статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. 272 имеет дело с посягательствами на конфиденциальность, 273 - с вредоносным ПО, 274 - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ.
Закон «Об информации, информационных технологиях и о защите информации» (149 -ФЗ) 7 Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149 -ФЗ (принят Государственной Думой 8 июля 2006 года). Последние поправки вносились 21. 07. 2014.
Статья 1. Сфера действия настоящего Федерального закона. (149 -ФЗ) 8 1. Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации. 2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 9 В настоящем Федеральном законе используются следующие основные понятия: 1) информация - сведения (сообщения, данные) независимо от формы их представления; 2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; 3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 10 4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники; 5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; 6) доступ к информации - возможность получения информации и ее использования;
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 11 7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; 8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; 9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; 10) электронное сообщение - информация, переданная или полученная пользователем информационнотелекоммуникационной сети;
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 12 11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель; 11. 1) электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах; (п. 11. 1 введен Федеральным законом от 27. 07. 2010 N 227 -ФЗ)
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 13 12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных; 13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет"; (п. 13 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ, в ред. Федерального закона от 07. 06. 2013 N 112 -ФЗ)
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 14 14) страница сайта в сети "Интернет" (далее также - интернет- страница) - часть сайта в сети "Интернет", доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети "Интернет"; (п. 14 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ) 15) доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет"; (п. 15 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ) 16) сетевой адрес - идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему; (п. 16 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ)
Статья 2. Основные понятия, используемые в настоящем Федеральном законе. (149 -ФЗ) 15 17) владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте; (п. 17 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ) 18) провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет"; (п. 18 введен Федеральным законом от 28. 07. 2012 N 139 -ФЗ) 19) единая система идентификации и аутентификации - федеральная государственная информационная система, порядок использования которой устанавливается Правительством Российской Федерации и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах. (п. 19 введен Федеральным законом от 07. 06. 2013 N 112 -ФЗ)
Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации. (149 -ФЗ) 16 1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом; 2) установление ограничений доступа к информации только федеральными законами; 3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами; 4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации; 5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации; 6) достоверность информации и своевременность ее предоставления; 7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия; 8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Статья 5. Информация как объект правовых отношений. (149 -ФЗ) 17 1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. 2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). 3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на: 1) информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. 4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.
Статья 9. Ограничение доступа к информации. (149 -ФЗ) (фрагмент) 18 1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне. Примечание. По вопросу, касающемуся порядка обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, см. Постановление Правительства РФ от 03. 11. 1994 N 1233. 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Статья 13. Информационные системы. (149 -ФЗ) (фрагмент) 19 1. Информационные системы включают в себя: 1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов; 2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления; 3) иные информационные системы.
Статья 16. Защита информации. (149 -ФЗ) (фрагмент) 20 1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. 3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
Статья 16. Защита информации. (149 -ФЗ) (фрагмент) 21 4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1. ) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2. ) своевременное обнаружение фактов несанкционированного доступа к информации; 3. ) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4. ) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5. ) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6. ) постоянный контроль за обеспечением уровня защищенности информации.
Закон «О государственной тайне» (от 06. 10. 1997 N 131 -ФЗ) 22 Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Закон «О государственной тайне» (от 06. 10. 1997 N 131 -ФЗ) 23 Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях. Допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений. Доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.
Закон «О государственной тайне» (от 06. 10. 1997 N 131 -ФЗ) 24 Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него. Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Перечень сведений, составляющих государственную тайну, - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
Статья 5 (фрагмент). Перечень сведений, составляющих государственную тайну (от 06. 10. 1997 N 131 -ФЗ) 25 Следующие категории сведений (подробно описано в законе, что относится к данным категориям сведений) 1. Сведения в военной области (включая сведения о стратегических и оперативных планах, о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов, о тактикотехнических характеристиках и возможностях боевого применения). 2. Сведения в области экономики, науки и техники (включая сведения о достижениях науки и техники, имеющих важное оборонное или экономическое значение, влияющих на безопасность государства, о запасах платины, природных, а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых РФ). 3. Сведения в области внешней политики и экономики. 4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Закон о лицензировании отдельных видов деятельности (99 -ФЗ) 26 Принят Государственной Думой 22 апреля 2011 года. Одобрен Советом Федерации 27 апреля 2011 года. Последние коррективы вносились 14. 10. 2014. Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю. Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом. Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании. Лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом. Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности. "
Закон о лицензировании отдельных видов деятельности (99 -ФЗ) 27 Статья 12 устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды: распространение шифровальных (криптографических) средств; техническое обслуживание шифровальных (криптографических) средств; предоставление услуг в области шифрования информации; разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); разработка и (или) производство средств защиты конфиденциальной информации; техническая защита конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Закон о лицензировании отдельных видов деятельности (99 -ФЗ) 28 Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности: деятельность, связанная с защитой государственной тайны; деятельность в области связи; образовательная деятельность.
Закон «О Персональных данных» (152 -ФЗ) 29 Федеральный закон "О Персональных данных" от 27 июля 2006 года номер 152 -ФЗ (принят Государственной Думой 8 июля 2006 года). Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Закон «Об электронной подписи» (63 -ФЗ) 30 Принят Государственной Думой 25 марта 2011 года. Одобрен Советом Федерации 30 марта 2011 года. Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) 31 ФСТЭК России является федеральным органом исполнительной власти России, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере; противодействия иностранным техническим разведкам на территории Российской Федерации; обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом; защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; осуществления экспортного контроля.
Федеральная служба безопасности Российской Федерации (ФСБ России) 32 Федеральная служба безопасности Российской Федерации (ФСБ России) — спецслужба, федеральный орган исполнительной власти Российской Федерации, осуществляющий в пределах своих полномочий решение задач по обеспечению безопасности Российской Федерации. В соответствии со статьёй 8 Федерального закона от 3 апреля 1995 г. № 40 -ФЗ «О федеральной службе безопасности» , деятельность органов ФСБ осуществляется по следующим основным направлениям: контрразведывательная деятельность; борьба с терроризмом; защита конституционного строя; борьба с особо опасными формами преступности; разведывательная деятельность; пограничная деятельность; обеспечение информационной безопасности;
Актуальность законов РФ 33 Компания "Консультант. Плюс" образована в 1992 г. Является разработчиком системы Консультант. Плюс - самой распространенной справочно-правовой системой (по исследованию Всероссийского центра изучения общественного мнения (ВЦИОМ), 2014 г. ). Общероссийская Сеть распространения правовой информации Консультант. Плюс состоит из 300 региональных информационных центров, расположенных в крупных городах, и более 400 сервисных подразделений в небольших населенных пунктах. http: //www. consultant. ru/
Итог 34 Можно наметить следующие основные направления деятельности на законодательном уровне: разработка новых законов с учетом интересов всех категорий субъектов информационных отношений; обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов; интеграция в мировое правовое пространство; учет современного состояния информационных технологий.
Скачать презентацию Лекция 3 ЗАКОНОДАТЕЛЬНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ ЗАКОН
Лекция 3[pptx]