Общие положения законодательной и нормативно- правовой базы в области защиты информации. Государственные регуляторы в области защиты информации, их полномочия и сфера компетенции. Лекция
Общие положения законодательной и нормативно- правовой базы в области защиты информации
Что является объектом защиты? n На каком основании осуществляется защита объекта? n Какие существуют виды защиты объекта? n На кого возложены функции защиты и контроля их эффективности? n
Информация В информатике наиболее часто используется следующее определение этого термина: Информация — это осознанные сведения об окружающем мире, которые являются объектом хранения, преобразования, передачи и использования. Сведения — это знания, выраженные в сигналах, сообщениях, известиях, уведомлениях и т. д.
Информация Основные виды информации по ее форме представления, способам ее кодирования и хранения, что имеет наибольшее значение для информатики, это: графическая или изобразительная — первый вид, для которого был реализован способ хранения информации об окружающем мире в виде наскальных рисунков, а позднее в виде картин, фотографий, схем, чертежей на бумаге, холсте, мраморе и др. материалах, изображающих картины реального мира; звуковая — мир вокруг нас полон звуков и задача их хранения и тиражирования была решена с изобретение звукозаписывающих устройств в 1877 г. ее разновидностью является музыкальная информация — для этого вида был изобретен способ кодирования с использованием специальных символов, что делает возможным хранение ее аналогично графической информации; текстовая — способ кодирования речи человека специальными символами — буквами, причем разные народы имеют разные языки и используют различные наборы букв для отображения речи; особенно большое значение этот способ приобрел после изобретения бумаги и книгопечатания; числовая — количественная мера объектов и их свойств в окружающем мире; особенно большое значение приобрела с развитием торговли, экономики и денежного обмена; аналогично текстовой информации для ее отображения используется метод кодирования специальными символами — цифрами, причем системы кодирования (счисления) могут быть разными; видеоинформация — способ сохранения визуальных картин окружающего мира, появившийся с изобретением кино. 5
Информация Новейший философский словарь ИНФОРМАЦИЯ (лат. informatio — разъяснение, изложение, осведомленность) — одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п. В границах системно-кибернетического подхода И. рассматривается в контексте трех фундаментальных аспектов любой кибернетической системы: информационном, связанном с реализацией в системе информационном определенной совокупности процессов отражения внешнего мира и внутренней среды системы путем сбора, накопления и переработки соответствующих сигналов; управленческом, учитывающем процессы управленческом функционирования системы, направления ее движения под влиянием полученной И. и степень достижения своих целей; организационном, характеризующем устройство и организационном степень совершенства самой системы управления в терминах ее надежности, живучести, полноты реализуемых функций, совершенства структуры и эффективности затрат на осуществление процессов управления в системе.
Информация Новейший философский словарь Само понятие И. обычно предполагает наличие по крайней мере трех объектов: источника И. , потребителя И. передающей среды. И. не может быть передана, принята или хранима в чистом виде. Носителем ее является сообщение. Сообщение — это кодированный эквивалент события, зафиксированный источником И. и выраженный с помощью последовательности условных физических символов (алфавита), образующих некую упорядоченную совокупность. Средствами передачи сообщений являются каналы связи. По каналу связи сообщения могут передаваться лишь в единственно приемлемой для этого канала форме сигнала. Сигнал — это знак, физический процесс или явление, распространяющееся в канале связи и несущее сообщение о каком-либо событии, состоянии объекта наблюдения или контроля, команды управления, указания и т. п. Так, электрические сигналы распространяются в электронных и электрических цепях, акустические — в среде газа, жидкости или твердого тела и т. д. 7
Несущий И. сигнал, передаваемый средой (каналом) и получаемый потребителем, имеет для последнего определенный смысл, отличный от самого факта поступления этой И. (сообщения). Это достигается за счет специальных соглашений, заключаемых между источником и потребителем И. , в соответствии с которыми сигнал интерпретируется, т. е. , из получаемого сигнала извлекается понятный потребителю смысл. Т. е. простая физическая регистрация принятого сигнала еще не означает, что получена И. от источника, если с помощью известных потребителю правил из этого сигнала не будет извлечен смысл. При этом важно подчеркнуть, что сам сигнал может и не иметь непосредственной физической связи с событием или явлением, о котором он несет И. В этом смысле И. выступает как свойство объектов и явлений порождать многообразие состояний, которые посредством отражения передаются от одного объекта к другому и запечатлеваются в его структуре 8
Структура правовой защиты информации
Система документов в области защиты информации
Законодательная база обеспечения информационной безопасности Конституция Российской Федерации от 12 декабря 1993 г. (с учетом поправок, внесенных Законами г Российской Федерации о поправках к Конституции Российской Федерации от 30. 12. 2008 N 6 -ФКЗ и от 30. 12. 2008 N 7 -ФКЗ) Статья 1 1. Российская Федерация - Россия есть демократическое федеративное правовое государство с республиканской формой правления. Статья 2 Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства. Статья 4 2. Конституция Российской Федерации и федеральные законы имеют верховенство на всей территории Российской Федерации. 3. Российская Федерация обеспечивает целостность и неприкосновенность своей территории.
Статья 8 2. В Российской Федерации признаются и защищаются равным образом частная, государственная, муниципальная и иные формы собственности. Статья 15 1. Конституция Российской Федерации имеет высшую юридическую силу, прямое действие и применяется на всей территории Российской Федерации. Законы и иные правовые акты, принимаемые в Российской Федерации, не должны противоречить Конституции Российской Федерации. 2. Органы государственной власти, органы местного самоуправления, должностные лица, граждане и их объединения обязаны соблюдать Конституцию Российской Федерации и законы. 3. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения. 4. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. 2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Статья 29 4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. 5. Гарантируется свобода массовой информации. Цензура запрещается.
Стратегия национальной безопасности РФ до 2020 года. Утверждена Указом Президента РФ от 12 мая 2009 г. № 537 Настоящая Стратегия является базовым документом по планированию развития системы обеспечения национальной безопасности Российской Федерации, в котором излагаются порядок действий и меры по обеспечению национальной безопасности. Она является основой для конструктивного взаимодействия органов государственной власти, организаций и общественных объединений для защиты национальных интересов Российской Федерации и обеспечения безопасности личности, общества и государства. G Отменяет Концепцию национальной безопасности РФ (Указ Президента РФ от 17 декабря 1997 г. № 1300) !Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.
!Силы и средства обеспечения национальной безопасности сосредоточивают свои усилия и ресурсы на обеспечении национальной безопасности во внутриполитической, экономической, социальной сферах, в сфере науки и образования, в международной, духовной, информационной, военной, оборонно-промышленной и экологической сферах, а также в сфере общественной безопасности. !Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации до 2020 года и Концепции долгосрочного социальноэкономического развития Российской Федерации на период до 2020 года. !На обеспечение национальных интересов Российской Федерации негативное влияние будут оказывать вероятные рецидивы односторонних силовых подходов в международных отношениях, противоречия между основными участниками мировой политики, угроза распространения оружия массового уничтожения и его попадания в руки террористов, а также совершенствование форм противоправной деятельности в кибернетической и биологической областях, в сфере высоких технологий. !Усилится глобальное информационное противоборство, возрастут угрозы стабильности индустриальных и развивающихся стран мира, их социальноэкономическому развитию и демократическим институтам. Стратегия национальной безопасности РФ до 2020 года.
IV. Обеспечение национальной безопасности Стратегическое сдерживание предполагает разработку и системную реализацию комплекса взаимосвязанных политических, дипломатических, военных, экономических, информационных и иных мер, направленных на упреждение или снижение угрозы деструктивных действий со стороны государства-агрессора (коалиции государств). Угрозами военной безопасности являются: политика ряда ведущих зарубежных стран, направленная на достижение преобладающего превосходства в военной сфере, прежде всего в стратегических ядерных силах, путем развития высокоточных, информационных и других высокотехнологичных средств ведения вооруженной борьбы, стратегических вооружений в неядерном оснащении, формирования в одностороннем порядке глобальной системы противоракетной обороны и милитаризации околоземного космического пространства, способных привести к новому витку гонки вооружений, а также на распространение ядерных, химических, биологических технологий, производство оружия массового уничтожения либо его компонентов и средств доставки. Стратегия национальной безопасности РФ до 2020 года.
Доктрина информационной безопасности РФ 9 сентября 2000 г. № Пр-1895. Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Развивает Концепцию национальной безопасности РФ применительно к информационной сфере. Служит основой для: § формирования государственной политики в области обеспечения информационной безопасности РФ; § подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ; § разработки целевых программ обеспечения информационной безопасности Российской Федерации. ¤Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
!Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на прав информации использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. !Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, личности демократии создании правового социального государства, достижении и поддержании государства общественного согласия, в духовном обновлении России !Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной условий инфраструктуры, для реализации конституционных прав и свобод инфраструктуры человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Федеральные законы в области защиты информации «О безопасности» Федеральный закон от 28 декабря 2010 года N 390 -ФЗ Закон РФ от 21 июля 1993 года № 5485 -I(с изменениями и дополнениями от 6 октября 1997 г. № 131 -ФЗ; от 2003 г. № 86 «О государственной тайне» ФЗ; от 2003 г. № 153 -ФЗ; от 2004 г. № 58 -ФЗ; от 2004 г. № 122 ФЗ) ФЗ от 8 августа 2001 года № 128 -ФЗ(с изменениями и дополнениями от 2002 г. № 28 -ФЗ, от 2002 № 31 -ФЗ; от 2002 г. «О лицензировании отдельных видов № 164 -ФЗ; от 2003 г. № 17 -ФЗ; от 2003 г. № 29 -ФЗ; от 2003 г. № 32 деятельности» ФЗ; от 2003 г. № 36 -ФЗ; от 2003 г. № 185 -ФЗ; от 2004 г. № 127 -ФЗ; от 2005 г. № 20 -ФЗ) Кодекс Российской Федерации об От 30 декабря 2001 года № 195 -ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30 административных правонарушениях июня 2003 г. № 86 -ФЗ) От 13 июня 1996 года № 63 -ФЗ (выписка в части вопросов Уголовный кодекс Российской защиты информации) (с изменениями и дополнениями от 8 Федерации декабря 2003 г. № 162 -ФЗ) «Об электронной подписи» «О техническом регулировании» «Об информации, информационных технологиях и о защите информации» «О персональных данных» «О коммерческой тайне» Федеральный закон РФ от 6 апреля 2011 г. N 63 -ФЗ Федеральный закон от 27 декабря 2002 года № 184 -Ф 3 (с изменениями и дополнениями от 9 мая 2005 г. № 45 -ФЗ) Федеральный закон от 27 июля 2006 года № 149 -ФЗ Федеральный закон от 27 июля 2006 года № 152 -ФЗ (в ред. Федеральных законов от 02. 2006 N 19 -ФЗ, от 18. 12. 2006 № 231 -ФЗ, от 24. 07. 2007 № 214 -ФЗ)
Закон РФ «О государственной тайне» от 21 июля 1993 г. № 5485 -1 Определяет основные понятия, полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты. Дает перечень сведений, которые могут быть отнесены к государственной тайне. Указывает принципы засекречивания сведений, перечисляет сведения, не подлежащие засекречиванию. Устанавливает степени секретности сведений и грифы секретности носителей этих сведений. ¤ государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации; ¤ система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
Термины и определения n допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений; n доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну; n средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Перечень сведений, составляющих государственную тайну Государственную тайну составляют: Сведения в военной области. Сведения в области экономики, науки и техники. Сведения в области внешней политики и экономики. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. - ……. - о методах и средствах защиты секретной информации; - об организации и о фактическом состоянии защиты государственной тайны; - ……. . совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством
Степени секретности сведений и грифы секретности носителей этих сведений Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения указанных сведений. Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него; особой важности совершенно секретно
Сведения, не подлежащие отнесению к государственной тайне и засекречиванию þ о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях; þ о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности; þ о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям; þ о фактах нарушения прав и свобод человека и гражданина; þ о размерах золотого запаса и государственных валютных резервах Российской Федерации; þ о состоянии здоровья высших должностных лиц Российской Федерации; þ о фактах нарушения законности органами государственной власти и их должностными лицами. Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам ответственность материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.
Закон РФ «О безопасности» 28 декабря 2010 года N 390 -ФЗ определяет основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством РФ, полномочия и функции федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления в области безопасности, а также статус Совета Безопасности РФ. Основные принципы обеспечения безопасности 1) соблюдение и защита прав и свобод человека и гражданина; 2) законность; 3) системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социальноэкономических, информационных, правовых и иных мер обеспечения безопасности; 4) приоритет предупредительных мер в целях обеспечения безопасности; 5) взаимодействие федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности.
ФЗ «О техническом регулировании» от 27 декабря 2002 г. № 184 -ФЗ Регулирует отношения, возникающие при: !разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации; !разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; !оценке соответствия. Определяет права и обязанности участников регулируемых настоящим Федеральным законом отношений.
Термины и определения n n n n n аккредитация - официальное признание органом по аккредитации компетентности физического или юридического лица выполнять работы в определенной области оценки соответствия; безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации (далее - безопасность) - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений; заявитель - физическое или юридическое лицо, которое для подтверждения соответствия принимает декларацию о соответствии или обращается за получением сертификата соответствия, получает сертификат соответствия; международный стандарт - стандарт, принятый международной организацией; национальный стандарт - стандарт, утвержденный национальным органом Российской Федерации по стандартизации; орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации; оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту; подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов …. требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров; риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда;
ФЗ “Об информации, информационных технологиях и о защите информации” от 27 июля 2006 года Регулирует отношения, возникающие при: Ø осуществлении права на поиск, получение, передачу, производство и распространение информации; Ø применении информационных технологий и обеспечении защиты информации. ¤ информация – сведения (сообщения, данные) независимо от формы их ¤ ¤ представления; обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; доступ к информации - возможность получения информации и её использования;
! Информация может являться объектом публичных, гражданских и иных правовых отношений. ! Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. Классификация информации по категории доступа
предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц; распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; Классификация информации в зависимости от порядка её предоставления или распространения
Обладатель информации Права: J разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; J использовать информацию, в том числе распространять ее, по своему усмотрению; J передавать информацию другим лицам по договору или на ином установленном законом основании; J защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами; J осуществлять иные действия с информацией или разрешать осуществление таких действий. Обязанности: Обязанности L соблюдать права и законные интересы иных лиц; L принимать меры по защите информации; L ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
@ Граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами. @ Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы. @ Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
Не может быть ограничен доступ 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления; 2) информации о состоянии окружающей среды; 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну); 4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией; 5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
ФЗ «О персональных данных» от 27 июля 2006 г. № 152 -ФЗ Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, . . . физическими лицами с использованием средств автоматизации или без использования таких средств, . . . Целью настоящего ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Основные понятия Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: § § § фамилия имя отчество год месяц дата и место рождения адрес семейное, социальное, имущественное положение образование профессия доходы другая информация ? 152 -ФЗ от 27 июля 2006
Термины и определения n Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; n Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; n Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; n Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Распространение персональных данных § передача персональных данных определенному кругу лиц § ознакомление с ПДн неограниченного круга лиц • обнародование персональных данных в СМИ • размещение в информационно-телекоммуникационных сетях • предоставление доступа к ПДн каким-либо иным способом 152 -ФЗ от 27 июля 2006
ФЗ РФ «О коммерческой тайне» . № 98 -ФЗ от 29. 07. 2004 г. (в ред. Федеральных законов от 02. 2006 N 19 -ФЗ, от 18. 12. 2006 N 231 -ФЗ, от 24. 07. 2007 N 214 -ФЗ) ¤Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; ¤Информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны; ¤ Обладатель информации, составляющей коммерческую тайну – лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайне. ¤Доступ к информации, составляющей коммерческую тайну - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. ¤ Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, или иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
¤ Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона. ¤ Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом. ¤ Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.
Охрана конфиденциальности информации Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя: þ определение перечня информации, составляющей коммерческую тайну; определение перечня þ ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; þ учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; þ регулирование отношений по использованию информации, составляющей отношений коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; þ нанесение на материальные носители (документы), содержащие нанесение информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Охрана конфиденциальности информации M Наряду с мерами, указанными выше, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры. M Меры по охране конфиденциальности информации признаются разумно достаточными, если: L исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; J обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. M Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Предоставление информации, составляющей коммерческую тайну ! Обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами. ! В случае отказа обладателя информации, составляющей коммерческую тайну, предоставить ее органу государственной власти, иному государственному органу, органу местного самоуправления данные органы вправе затребовать эту информацию в судебном порядке. ! Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию обязаны предоставить эту информацию по запросу судов, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации. ! На документах, предоставляемых указанным органам государственной власти и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Ответственность за нарушение Федерального закона p 1. Нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в p p соответствии с законодательством Российской Федерации. 2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации. 3. Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну, несут перед обладателем информации, составляющей коммерческую тайну, гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей. 4. Лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности. 5. По требованию обладателя информации, составляющей коммерческую тайну, лицо, указанное в части 4 настоящей статьи, обязано принять меры по охране конфиденциальности информации. При отказе такого лица принять указанные меры обладатель информации, составляющей коммерческую тайну, вправе требовать в судебном порядке защиты своих прав.
Сведения, которые не могут составлять коммерческую тайну Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений: 1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры; 2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности; 3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов; 4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно -эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом; 5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест; 6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам; 7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений; 8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности; 9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации; 10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица; 11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Федеральный закон Российской Федерации "Об электронной подписи" N 63 -ФЗ от 6 апреля 2011 г. Регулирует отношения в области использования электронных подписей при совершении гражданскоправовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. Федеральный закон от 10 января 2002 года N 1 -ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, N 2, ст. 127) признать утратившим силу с 1 июля 2012 года. 45
Основные понятия, используемые в настоящем Федеральном законе 1) электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию; 2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи; 3) квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган); 4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи; 46
Основные понятия 5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи; 6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи); 7) удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом; 8) аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона; 9) средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи; 10) средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра; 11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане; 12) корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц; 13) информационная система общего пользования - информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано. 47
Виды электронных подписей Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись). Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Неквалифицированной электронной подписью является электронная подпись, которая: 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: 1) ключ проверки электронной подписи указан в квалифицированном сертификате; 2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи. 48
Указы и распоряжения Президента Российской Федерации Об утверждении Концепции национальной безопасности Российской Федерации Указ Президента Российской Федерации от 1997 года № 1300 (с изменениями и дополнениями от 10 января 2000 года № 24) Указ Президента Российской Федерации от 16 августа 2004 Вопросы Федеральной службы по техническому и года № 1085 (с изменениями и дополнениями от 2005 г. № 330; экспортному контролю от 2005 г. № 846; от 2006 г. № 1321) Вопросы Межведомственной комиссии по защите государственной тайны Указ Президента Российской Федерации от 2004 г. № 1286 Указ Президента Российской Федерации от 1995 года № 1203 Об утверждении Перечня сведений, отнесенных к (с изменениями и дополнениями от 1998 года № 61; от 2001 государственной тайне года № 659; от 2001 года № 1114; от 2002 года № 518; от 2005 г. № 243; от 2006 г. № 90) Об утверждении Перечня должностных лиц органов государственной власти Российской Федерации, наделенных полномочиями по отнесению сведений к государственной тайне Распоряжение Президента Российской Федерации от 2005 г. № 151 -рп Об утверждении Перечня сведений конфиденциального характера Указ Президента Российской Федерации от 1997 года № 188 О составе межведомственного коллегиального органа - коллегии Федеральной службы по техническому и экспортному контролю Распоряжение Президента Российской Федерации от 2005 г. № 298 -рп Об учреждении флага Федеральной службы по техническому и экспортному контролю Указ Президента Российской Федерации от 2005 г. № 1364 О реестре должностей федеральной государственной гражданской службы Указ Президента Российской Федерации от 2005 г. № 1574
Указы Президента РФ и Постановления Правительства РФ Постановление Совета Министров Правительства РФ № 912 -51 от 15 сентября 1993 г. Вводит соответствующее Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» . Указ Президента РФ «Вопросы Федеральной службы по техническому и экспортному контролю» от 16 августа 2004 г. № 1085. Вводит в действие Положение «О Федеральной службе по техническому и экспортному контролю» в котором определяются полномочия и организация деятельности ФСТЭК. Постановление Правительства РФ «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 3 ноября 1994 г. № 1233. Постановление Правительства РФ «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от 29 декабря 2007 г. N 957 Определяет порядок лицензирования деятельности по распространению шифровальных (криптографических) средств, осуществляемой юридическими лицами и индивидуальными предпринимателями. Указ Президента РФ «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 года № 1203 В соответствии со статьей 4 Закона РФ «О государственной тайне» утверждается перечень сведений, отнесенных к государственной тайне. Правительству РФ предписывается организовать работу по приведению действующих нормативных актов в соответствие с Перечнем сведений, отнесенных к государственной тайне.
Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188. Утверждает перечень сведений конфиденциального характера 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17 марта 2008 г. № 351 В целях обеспечения информационной безопасности РФ при использовании информационно-телекоммуникационных сетей (И-ТС), позволяющих осуществлять передачу информации через гос. границу РФ, в том числе при использовании международной компьютерной сети "Интернет", постановляет: а) подключение информационных систем (ИС), И-ТС и средств вычислительной техники (СВТ), применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие гос. тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к И-ТС, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к международной компьютерной сети "Интернет" не допускается; б) при необходимости подключения ИС, И-ТС и СВТ, указанных в подпункте "а" настоящего пункта, к И-ТС международного информационного обмена (МИО) такое подключение производится только с использованием специально предназначенных для этого средств защиты информации (СЗИ), в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в ФСБ РФ и (или) получивших подтверждение соответствия в ФСТЭК. Выполнение данного требования является обязательным для операторов ИС, владельцев И-ТС и (или) СВТ;
Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17 марта 2008 г. № 351 в) государственные органы в целях защиты общедоступной информации, размещаемой в И-ТС МИО, используют только СЗИ, прошедшие в установленном законодательством РФ порядке сертификацию в ФСБ РФ и (или) получившие подтверждение соответствия в ФСТЭК; г) размещение технических средств, подключаемых к И-ТС МИО, содержащие сведения, составляющие гос. тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях. Финансирование расходов, связанных с размещением технических средств в указанных помещениях федеральных органов гос. власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в федеральном бюджете на содержание этих органов. Признать утратившим силу Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» от 12 мая 2004 г. № 611.
Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17. 11. 2007 № 781 Персональными данными гражданина, подлежащим защите, признается любая информация, относящаяся к физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к ним, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Обмен персональными данными при их обработке в информационных системах (ИС) осуществляется по защищенным каналам связи.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. При обработке персональных данных в ИС должно быть обеспечено: - предотвращение несанкционированного доступа к данным или передачи их лицам, не имеющим права доступа; - своевременное обнаружение фактов несанкционированного доступа; - недопущение воздействия средства обработки данных, в результате которого они могут быть может быть нарушено их функционирование; - возможность незамедлительного восстановления данных, измененных или уничтоженных при несанкционированном доступе; - постоянный контроль за обеспечением уровня защищенности персональных данных. 55
Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 г. N 687 г. В целях реализации ФЗ "О персональных данных" Правительство РФ постановляет: 1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. 2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением. 3. Настоящее постановление вступает в силу по истечении одного месяца со дня его официального опубликования. I. Общие положения II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации 13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Положения по защите информации Положение о Федеральной службе по техническому и Утверждено Указом Президента Российской экспортному контролю Федерации от 16 августа 2004 года № 1085 Положение о Межведомственной комиссии по защите Утверждено Указом Президента Российской государственной тайны Федерации от 6 октября 2004 г. № 1286 Положение о лицензировании деятельности Утверждено постановлением Правительства предприятий, учреждений и организаций по Российской Федерации от 15 апреля 1995 года проведению работ, связанных с использованием № 333 (с изменениями и дополнениями от 23 сведений, составляющих государственную тайну, апреля 1996 г. № 509; от 30 апреля 1997 г. № созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг 513; от 29 июля 1998 г. № 854; от 3 октября 2002 г. № 731; от 17 декабря 2004 г. № 807) по защите государственной тайны Утверждено постановлением Правительства Положение о лицензировании образовательной Российской Федерации от 18 октября 2000 года деятельности № 796 (с изменениями и дополнениями от 3 октября 2002 г. № 731) Решение Гостехкомиссии России и ФАПСИ Положение о государственном лицензировании от 27 апреля 1994 года № 10 (с дополнениями деятельности в области защиты информации от 24 июня 1997 года № 60) Утверждено постановлением Правительства Положение о лицензировании разработки авиационной техники, в том числе авиационной Российской Федерации от 27 мая 2002 года № 346 (с изменениями и дополнениями от 3 техники двойного назначения октября 2002 года № 731) Утверждено постановлением Правительства Положение о лицензировании производства авиационной техники, в том числе авиационной Российской Федерации от 27 мая 2002 года № 346 (с изменениями и дополнениями от 3 техники двойного назначения октября 2002 года № 731) Утверждено постановлением Правительства Положение о лицензировании ремонта авиационной Российской Федерации от 27 мая 2002 года № техники, в том числе авиационной 346 (с изменениями и дополнениями от 3 техники двойного назначения октября 2002 года № 731)
Положения по защите информации Положение о лицензировании производства оружия и основных частей огнестрельного оружия Положение о лицензировании деятельности в области вооружения и военной техники Положение о лицензировании разработки и производства боеприпасов Положение о лицензировании утилизации боеприпасов Положение о лицензировании производства пиротехнических изделий Утверждено постановлением Правительства Российской Федерации от 2002 года № 455 (с изменениями и дополнениями от 2002 года № 731) Утверждено постановлением Правительства Российской Федерации от 2002 года № 456 (с изменениями и дополнениями от 2002 года № 731) Утверждено постановлением Правительства Российской Федерации от 2002 года № 467 (с изменениями и дополнениями 2002 года № 731) Положение о лицензировании деятельности по Утверждено постановлением Правительства распространению пиротехнических изделий IV Российской Федерации от 2002 года № 467 (с и V классов в соответствии с государственным изменениями и дополнениями от 2002 года № 731) стандартом Положение о лицензировании деятельности по Утверждено постановлением Правительства технической Российской Федерации от 15 августа 2006 г. № 504 защите конфиденциальной информации Положение о лицензировании деятельности по Утверждено постановлением Правительства разработке и (или) производству средств Российской Федерации от 31 августа 2006 г. № 532 защиты конфиденциальной информации Утверждено постановлением Правительства Положение о лицензировании деятельности по Российской Федерации от 1998 года № 564 (с международному информационному обмену изменениями и дополнениями от 2002 года № 731)
Положения по защите информации Положение о сертификации средств защиты информации Утверждено постановлением Правительства Российской Федерации от 1995 года № 608 (с изменениями и дополнениями от 1996 г. № 509; от 1999 г. № 342; от 2004 г. № 808) Положение о сертификации средств защиты Утверждено приказом председателя информации по требованиям безопасности Гостехкомиссии России от 1995 года № 199 информации Положение по аттестации объектов информатизации Утверждено председателем Гостехкомиссии по требованиям безопасности информации России от 25 ноября 1994 года Положение об аккредитации испытательных лабораторий и органов по сертификации средств Решение председателя Гостехкомиссии России защиты информации по требованиям безопасности от 25 ноября 1994 года информации Типовое положение об органе по сертификации Утверждено приказом председателя средств защиты информации по требованиям Гостехкомиссии России от 5 января 1996 года № 3 безопасности информации Типовое положение об органе по аттестации Утверждено приказом председателя объектов информатизации по требованиям Гостехкомиссии России от 5 января 1996 года № 3 безопасности информации Типовое положение об испытательной лаборатории Утверждено приказом председателя Гостехкомиссии Россииот 25 ноября 1994 г. Положение о размещении и использовании на территории Российской Федерации, на Утверждено постановлением Правительства континентальном шельфе и в исключительной Российской Федерации экономической зоне Российской от 29 августа 2001 года № 633 Федерации иностранных технических средств наблюдения и контроля Положение о лицензировании деятельности по Утверждено постановлением Правительства изготовлению защищенной от подделок Российской Федерации от 11 ноября 2002 г. № 817 полиграфической продукции, в том числе бланков (с изменениями и дополнениями от 9 декабря 2002 ценных бумаг, а также торговли указанной г. № 745; от 18 мая 2005 г. № 309) продукцией
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 года № 195 -ФЗ Статья 13. 11. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Ø Ø предупреждение на граждан в размере от 300 до 500 рублей; для должностных лиц от 500 до 1 000 рублей; для юридических лиц от 5 000 до 10 000 рублей. Статья 13. 12. Нарушение правил защиты информации. 1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну). Ø Ø Ø на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1 000 рублей; на юридических лиц - от 5 000 до 10 000 рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну). Административный штраф: Ø Ø Ø на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от 1 000 до 2 000 рублей; на юридических лиц - от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей ГТ, созданием средств, предназначенных для ЗИ, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей ГТ. Административный штраф: Ø на должностных лиц в размере от 2 000 до 3 000 рублей; Ø на юридических лиц - от 15 000 до 20 000 рублей. 4. Использование несертифицированных средств, предназначенных для ЗИ, составляющей ГТ. Административный штраф: Ø на должностных лиц в размере от 3 000 до 4 000 рублей; Ø на юридических лиц - от 20 000 до 30 000 рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Грубое* нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) Административный штраф Ø на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица от 1 000 до 1 500 рублей или административное приостановление деятельности на срок до девяноста суток; Ø на должностных лиц - от 1 000 до 1 500 рублей; Ø на юридических лиц - от 10 000 до 15 000 рублей или административное приостановление деятельности на срок до девяноста суток. 5. * Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
Статья 13. Незаконная деятельность в области защиты информации. 1. Занятие видами деятельности в области ЗИ (за исключением информации, составляющей ГТ) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна). Административный штраф: § на граждан в размере от 500 до 1 000 рублей с конфискацией средств защиты информации или без таковой; § на должностных лиц - от 2 000 до 3 000 рублей с конфискацией средств защиты информации или без таковой; § на юридических лиц - от 10 000 до 20 000 рублей с конфискацией средств защиты информации или без таковой.
2. Занятие видами деятельности, связанной с использованием и ЗИ, составляющей ГТ, созданием средств, предназначенных для ЗИ, составляющей ГТ, осуществлением мероприятий и (или) оказанием услуг по ЗИ, составляющей ГТ без лицензии. Административный штраф: § на должностных лиц в размере от 4 000 до 5 000 рублей; § на юридических лиц - от 30 000 до 40 000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей ГТ, или без таковой. Статья 13. 14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Административный штраф: § на граждан в размере от 500 до 1 000 рублей; § на должностное лицо - от 4 000 до 5 000 рублей.
Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63 -ФЗ Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации: Ø Ø штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до 1 года, либо арест на срок до 4 месяцев.
2. Те же деяния, совершенные лицом с использованием своего 2. служебного положения: Ø штраф в размере от 150 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до 2 лет, Ø либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, Ø либо арест на срок от 4 до 6 месяцев. Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений 1. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан: Ø штраф в размере до 80 000 рублей, или в размере заработной платы или иного дохода осужденного за период до 6 месяцев, Ø либо обязательные работы на срок от 120 до 180 часов, Ø либо исправительные работы на срок до 1 года.
2. То же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации: Ø штраф в размере от 150 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, Ø либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, Ø либо обязательные работы на срок от ста восьмидесяти до 240 часов, Ø либо арест на срок от 2 до 4 месяцев. 3. Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации: Ø штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, Ø либо ограничение свободы на срок до 3 лет, Ø либо лишение свободы на срок до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет
Статья 146. Нарушение авторских и смежных прав 1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю, наказывается штрафом в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от 3 до 6 месяцев. 2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, наказываются штрафом в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок до двух лет. 3. Деяния, предусмотренные частью второй настоящей статьи, если они совершены: группой лиц по предварительному сговору или организованной группой; в особо крупном размере; лицом с использованием своего служебного положения, наказываются лишением свободы на срок до 6 лет со штрафом в размере до 500 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет либо без такового. Примечание. Деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают пятьдесят тысяч рублей, а в особо крупном размере - двести пятьдесят тысяч рублей. 69
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну 1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом: Ø штраф в размере до 80 000 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 1 до 6 месяцев, либо лишение свободы на срок до 2 лет. Ø 2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе: Ø штраф в размере до 120 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, либо лишение свободы на срок до 3 лет. Ø
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности: Ø штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, либо лишение свободы на срок до 5 лет. Ø 4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия: Ø лишение свободы на срок до 10 лет.
Статья 272. Неправомерный доступ к компьютерной информации. 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Ø штраф до 200 000 рублей Ø или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, Ø либо исправительными работами на срок от 6 месяцев до 1 года, Ø либо лишением свободы на срок до 2 лет 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Ø штраф от 100 000 до 300 000 рублей Ø или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, Ø либо исправительными работами на срок от 1 года до 2 лет, Ø либо арестом на срок от 3 до 6 месяцев, Ø либо лишением свободы на срок до 5 лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. 1. Ø 2. Ø Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами. лишение свободы на срок до 3 лет со штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия. лишение свободы на срок от 3 до 7 лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. 1. Ø Ø Ø 2. Ø Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательные работы на срок от 180 до 240 часов, либо ограничение свободы на срок до 2 лет. То же деяние, повлекшее по неосторожности тяжкие последствия. лишение свободы на срок до 4 лет.
ФЗ «О внесении изменений в Трудовой кодекс РФ. » от 30. 06. 2006 № 90 -ФЗ Статья 37. Порядок ведения коллективных переговоров Участники коллективных переговоров, другие лица, связанные с ведением коллективных переговоров, не должны разглашать полученные сведения, если эти сведения относятся к охраняемой законом тайне (государственной, служебной, коммерческой и иной). Лица, разгласившие указанные сведения, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами. Статья 81. Расторжение трудового договора по инициативе работодателя разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника; Статья 358. Обязанности государственных инспекторов труда Государственные инспекторы труда обязаны хранить охраняемую законом тайну (государственную, служебную, коммерческую и иную), ставшую им известной при осуществлении ими своих полномочий, а также после оставления своей должности, считать абсолютно конфиденциальным источник всякой жалобы на недостатки или нарушения положений трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, воздерживаться от сообщения работодателю сведений о заявителе, если проверка проводится в связи с его обращением, а заявитель возражает против сообщения работодателю данных об источнике жалобы. Установленный ст. 391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Раздел «Рассмотрение и разрешение индивидуальных трудовых споров» .
Государственные регуляторы в области защиты информации, их полномочия и сфера компетенции.
Основные подходы государственной политики по обеспечению информационной безопасности
Положение о государственной система защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам Утверждено постановлением Совета Министров – Правительством Российской Федерации от 15 сентября 1993 г. № 912 -51. ! Определяет задачи и структуру государственной система защиты информации в Российской Федерации ! Является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, во всех органах власти и прочих организациях независимо от их организационно-правовой формы и формы собственности. ! Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых работ.
Главные направления работ по защите информации Pобеспечение эффективного управления системой защиты информации; Pопределение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения; Pанализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите; Pразработка организационно-технических мероприятий по защите информации и их реализация; Pорганизация и проведение контроля состояния защиты информации.
Основные организационно-технические мероприятиям по защите информации & лицензирование деятельности предприятий в области защиты информации; & аттестование объектов по выполнению требований обеспечения защиты информации проведении работ со сведениями соответствующей степени секретности; & сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам; & категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонительной, экономической, политической и научнотехнической и других сферах деятельности государства; & обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
Основные организационно-технические мероприятиям по защите информации @ оповещение о пролетах космических и других воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации; @ введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите; @ создание и применение информационных и автоматизированных систем управления в защищенном исполнении; @ разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи; @ разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование; @ применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.
Основные задачи государственной системы защиты информации Pпроведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности; Pисключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения; Pпринятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации; Pанализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок; Pорганизация сил, создание средств защиты информации и контроля за ее эффективностью; Pконтроль состояния защиты информации в органах государственной власти и на предприятиях.
Организационная структура Государственной системы защиты информации
Правовые документы, определяющие права и функции основных элементов ГСЗИ !“Положение о государственной система защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам” Утверждено постановлением Совета Министров – Правительством Российской Федерации от 15 сентября 1993 г. № 912 -51. !“Положение о Федеральной службе по техническому и экспортному контролю” Утверждено Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. !“Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3. !“Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 5 января 1996 г. № 3. !“Типовое положение об испытательной лаборатории” Утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 25 ноября 1994 г. !“Положение о Межведомственной комиссии по защите государственной тайны” Утверждено Указом Президента Российской Федерации от 6 октября 2004 г. № 1286
“Положение о Межведомственной комиссии по защите государственной тайны” Утверждено Указом Президента Российской Федерации от 6 октября 2004 г. № 1286 ! Является коллегиальным органом, координирующим деятельность федеральных органов государственной власти и органов государственной власти субъектов РФ по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных правовых актов и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне. ! Руководство деятельностью Межведомственной осуществляет Президент Российской Федерации. ! В своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, Законом Российской Федерации "О государственной тайне", иными федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации. комиссии
В положении рассмотрены: Ш Ш ь ь Основные полномочия Межведомственной комиссии; Состав комиссии и полномочия её председателя: В состав Межведомственной комиссии входят руководители федеральных органов исполнительной власти, Администрации Президента РФ, Аппарата Правительства РФ и (или) их заместители. Состав Межведомственной комиссии по должностям утверждается Президентом Российской Федерации, а персональный состав - Правительством Российской Федерации. Ш Вопросы организационно-технического обеспечения деятельности Межведомственной комиссии осуществляемого центральным аппаратом ФСТЭК. Ш Периодичность заседания Межведомственной комиссии: ь На плановой основе в соответствии с Регламентом, утверждаемым председателем Межведомственной комиссии. ь В случае необходимости по решению председателя Межведомственной комиссии могут проводиться внеочередные заседания.
§ § § проводят единую техническую политику, осуществляют координацию и методическое руководство работами по защите информации на подведомственных органу государственной власти предприятиях; выполняют функции заказчика по проведению научно-исследовательских и опытно-конструкторских работ по проблемам защиты информации, а также заказчика поисковых научно-исследовательских работ по этим проблемам; разрабатывают предложения для федеральных программ по защите информации; организуют аттестование подведомственных органу государственной власти объектов по выполнению требований обеспечения защиты информации проведении работ со сведениями соответствующей степени секретности, сертификацию средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам, проведение специальных проверок и специальных исследований технических средств; готовят рекомендации и указания по лицензированию деятельности предприятий в области защиты информации.
§ проверяют и оценивают состояние защиты информации и оказывают методическую помощь на местах в организации и проведении мероприятий по защите информации; § участвуют в аттестовании объектов по выполнению требований обеспечения защиты информации проведении работ со сведениями соответствующей степени секретности; § осуществляют активное противодействие возможному ведению разведки техническими средствами их мест постоянного или временного пребывания иностранных граждан на территории Российской Федерации.
§ • • • В пределах своей специализации разрабатывают: научные основы и концепции, проекты федеральных программ, нормативно-технических и методических документов по защите информации; § Обобщают и анализируют информацию о силах и средствах технической разведки, прогнозируют ее возможности; § Осуществляют разработку (корректировку) модели иностранной технической разведки и методик оценки ее возможностей; § Проводят научные исследования и работы по созданию технических средств защиты информации и контроля за ее эффективностью.
§ § Организация работ по защите информации на предприятиях осуществляется их руководителями. В зависимости от объема работ по защите информации руководителем предприятия создаются структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам. § Подразделения по ЗИ (штатные специалисты) на предприятиях: ü осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, ü определяют совместно с заказчиком работ основные направления комплексной защиты информации, ü участвуют в согласовании технических (тактико-технических) заданий на проведение работ, ü дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.
Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации. Осуществляют: ü первичную подготовку специалистов по комплексной защите информации; ü переподготовку (повышение квалификации) специалистов по защите информации органов государственной власти и предприятий; ü усовершенствование знаний руководителей органов государственной власти и предприятий в области защиты информации.
Целями защиты информации являются: P предотвращение утечки информации по техническим каналам; P предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации; P соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки; P сохранение возможности управления процессом обработки и пользования информацией.
Задачи защиты информации: @предотвращения перехвата техническими средствами информации, передаваемой по каналам связи; @предотвращения утечки обрабатываемой информации за счет ПЭМИН, создаваемых функционирующими техническими средствами, а также электроакустических преобразований; @исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; @предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; @выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств); @предотвращения перехвата техническими средствами речевой информации из помещений и объектов.
Категории нарушений по степени важности Первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность её утечки по техническим каналам; Вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам; Третья - невыполнение других требований по защите информации. Положение о государственной система защиты информации в РФ от ИТР и от ее утечки по техническим каналам
Положение о федеральной службе по техническому и экспортному контролю (в ред. Указа Президента РФ от 30. 11. 2006 № 1321) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: þ обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере (далее - ключевые системы информационной инфраструктуры), в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям (далее - безопасность информации в ключевых системах информационной инфраструктуры); þ противодействия иностранным техническим разведкам на территории Российской Федерации (далее - противодействие техническим разведкам); þ обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее - техническая защита информации); þ защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; þ осуществления экспортного контроля
Положение о федеральной службе безопасности Российской Федерации (в ред. Указов Президента РФ от 17. 11. 2008 N 1625) Федеральная служба безопасности Российской Федерации (ФСБ России) является федеральным органом исполнительной власти, в пределах своих полномочий осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны государственной границы Российской Федерации …. , обеспечивающим информационную безопасность Российской Федерации …. . Основными задачами ФСБ России являются: 1) управление органами безопасности, а также организация их деятельности; 3) организация выявления, предупреждения и пресечения разведывательной и иной деятельности специальных служб и организаций иностранных государств, отдельных лиц, направленной на нанесение ущерба безопасности Российской Федерации; 6) организация в пределах своих полномочий во взаимодействии с федеральными органами государственной власти борьбы с … незаконным оборотом …. , специальных технических средств, предназначенных для негласного получения информации, …; 11) обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку; 14) формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности; 15) организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.
Для решения основных задач ФСБ России осуществляет следующие функции: 12) в пределах своих полномочий разрабатывает меры по защите сведений, составляющих государственную тайну, осуществляет контроль за обеспечением сохранности сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах государственной власти субъектов РФ, воинских формированиях и организациях, осуществляет меры, связанные с допуском граждан к сведениям, составляющим государственную тайну, а также с допуском предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны; 15) координирует деятельность: …. по обеспечению криптографической и инженернотехнической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом; в области разработки, производства, закупки, ввоза в РФ и вывоза из РФ специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления ОРД, а также … по выявлению нарушений установленного порядка разработки, производства, реализации, приобретения в целях продажи, ввоза в РФ и вывоза из РФ специальных технических средств, предназначенных для негласного получения информации; 16) определяет порядок осуществления контроля за обеспечением защиты сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, воинских формированиях и организациях, а также порядок проведения мероприятий, связанных с допуском граждан к сведениям, составляющим государственную тайну, и с приемом на военную службу (работу) в органы безопасности; 17) определяет порядок осуществления в пределах своих полномочий контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории РФ и в ее учреждениях, находящихся за пределами РФ, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам
Для решения основных задач ФСБ России осуществляет следующие функции: 20) участвует в разработке и реализации мер по обеспечению информационной безопасности страны и защите сведений, составляющих государственную тайну; 20. 1) в пределах своих полномочий разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения информационной безопасности информационно-телекоммуникационных систем и сетей критически важных объектов, а также организует и осуществляет контроль за обеспечением информационной безопасности указанных систем и сетей; 20. 2) разрабатывает и устанавливает своими нормативными правовыми актами и технической документацией (конструкторской, технологической и программной документацией, техническими условиями, документами по стандартизации и метрологии, инструкциями, наставлениями, руководствами и положениями) обязательные требования в области технического регулирования к оборонной продукции (работам, услугам), поставляемой для ФСБ России по государственному оборонному заказу, к продукции (работам, услугам), используемой в органах федеральной службы безопасности в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, к продукции (работам, услугам), сведения о которой составляют государственную тайну, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, утилизации и захоронения указанной продукции; 21) осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов безопасности в этих областях;
Для решения основных задач ФСБ России осуществляет следующие функции: 25) осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в области предоставления на территории Российской Федерации услуг по шифрованию информации и выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах; 47) организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационнотелекоммуникационных систем, а также информационно-телекоммуникационных систем и сетей критически важных объектов; 49) осуществляет подготовку экспертных заключений на предложения о проведении работ по созданию специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, а также информационно-телекоммуникационных систем и сетей критически важных объектов; 51) осуществляет сбор, хранение, обработку и использование документированной информации ограниченного доступа для обеспечения контрразведывательной, оперативно-разыскной и иной деятельности, отнесенной федеральным законодательством к компетенции органов безопасности; разрабатывает, в установленном порядке создает и использует информационные системы, системы связи и передачи данных, а также средства защиты информации, в том числе средства криптографической защиты;
Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций Утверждено Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций находится в ведении Министерства связи и массовых коммуникаций Российской Федерации. Полномочия: государственный контроль и надзор: … 5. 1. 1. 4. за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных; имеет право : имеет право 6. 5. в порядке и случаях, которые установлены законодательством Российской Федерации, применять в установленной сфере ведения меры профилактического и пресекательного характера, направленные на недопущение нарушений юридическими лицами и гражданами обязательных требований в этой сфере и (или) ликвидацию последствий таких нарушений;
Скачать презентацию Общие положения законодательной и нормативно- правовой базы в
7efc5a7fc2bf157bf0676149d162ea2f.ppt