Тема 1.2.  Законодательство в области информационной безопасности

  Правовое обеспечение информационной безопасности Российской Федерации должно базироваться прежде всего на соблюдение принципов законности, баланса интересов граждан, общества, и государства в информационной сфере.

   Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

   Для начала следует разобраться в структуре правовой системы Российской Федерации.   см. ---- >

     Первоисточником права в РФ является Конституция РФ, принятая 12 декабря 1993 года. В ней закреплены основные права и свободы человека и гражданина РФ, в частности: Человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина - обязанность государства.
 

Ст.2

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Ст.24

Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Ст.29 п.4

   Законы РФ о поправках к Конституции принимаются аналогично федеральным конституционным законам, но кроме одобрения 3/4 голосов от общего числа членов Совета Федерации и не менее 2/3 голосов от общего числа депутатов Государственной Думы требуется одобрение ещё и законодательных органов 2/3 субъектов РФ. Закон должен быть подписан Президентом РФ в течение 14 дней и обнародован, после чего им в течение 1 месяца должны быть внесены изменения в текст Конституции.

    Федеральные конституционные законы принимаются по вопросам, прямо обозначенным в Конституции РФ, и обладают большей юридической силой, чем федеральные законы.

Российская Федерация является активным участником международного обеспечения информационной безопасности. В частности, РФ присоединилась к таким документам как:

  • Всеобщая декларация прав человека, утвержденная и провозглашенная Генеральной Ассамблеей ООН (1948 г.);

  • Европейская конвенция о защите прав человека и основных свобод (1950 г.); Международный пакт о гражданских и политических правах (1976 г.);

  • Европейская конвенция от 28 января 1981 г. об охране личности в отношении автоматизированной обработки персональных данных;

  • директивы Европейского парламента и Совета Европейского союза 95.46.ЕС и 97.66.ЕС, касающиеся обработки персональных данных, другие международные договоры, заключенные Российской Федерацией.

  • Концепция сотрудничества государств - участников Содружества Независимых Государств в сфере обеспечения информационной безопасности (2008 г.).

     Также подписывается ряд соглашений о сотрудничестве в области обеспечения международной информационной безопасности с разными странами (Куба, Беларусь, Бразилия и пр). В соответствии с п.4 статьи 15 Конституции РФ:

Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.

При этом следует отметить, что международный договор считается вступившим в силу, если прошёл все необходимые стадии согласования и подписания, а также, при необходимости, ратификацию. Ратификация международных договоров осуществляется в форме федерального закона в соответствии со статьей 14 ФЗ от 15.07.1995 N 101-ФЗ "О международных договорах Российской Федерации". В статье 15 закона закреплено то, какие именно договора подлежат ратификации, в том числе:

"а) исполнение которых требует изменения действующих или принятия новых федеральных законов, а также устанавливающие иные правила, чем предусмотренные законом;

б) предметом которых являются основные права и свободы человека и гражданина".

По этим причинам международные договоры на рис. 9.1 расположены под Конституцией и законов, ее изменяющих. Следует отметить, что существует другое мнение, которое опирается только на п.4 статьи 15 Конституции РФ и ставит Международные договоры и соглашения РФ выше Конституции РФ.

Федеральные законы - ключевой элемент законодательного регулирования в России и могут затрагивать любые вопросы, отнесённые Конституцией РФ к предметам ведения федерации либо совместного ведения федерации и субъектов РФ, и требующие государственного регулирования. Нормы федеральных законов являются обязательными для исполнения на всей территории страны, а все акты меньшей юридической силы не должны им противоречить.

Указы и распоряжения Президента РФ принимаются по вопросам предметов ведения федерации и не могут противоречить Конституции и федеральным законам (ст. 90 Конституции РФ).

К актам Правительства РФ относятся постановления и распоряжения.

  • постановления - акты, имеющие нормативный характер (то есть адресованные неограниченному кругу лиц и предполагающие постоянное или многократное действие);

  • распоряжения - акты, не имеющие нормативного характера.

Ведомственные нормативные акты - принимаются федеральными органами исполнительной власти для реализации требований федеральных законов и постановлений Президента РФ. К ним относятся постановления, приказы, распоряжения, правила, инструкции и положения.

К федеральным законам в области технической защиты информации относятся:

  • Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

  • Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

  • Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне"

Указы и распоряжения Президента РФ в области технической защиты информации:

  • Указ Президента Российской Федерации от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"

  • Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"

  • Указ Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера"

  • Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне"

Специальные нормативные документы:

  • Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах"

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год

  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год

  • Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий"

  • Руководящий документ. Приказ председателя Гостехкомиссии России от 4 июня 1999 г. N 114 "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"

  • Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г. "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации"

  • Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"

  • Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Защита от несанкционированного доступа к информации. Термины и определения"

  • Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации".

   Основным документом, содержащим термины в области защиты информации, является нормативный документ ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. Приказом Ростехрегулирования от 27.12.2006 N 373-ст).

    Согласно этому документу:

  • Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированныхи непреднамеренных воздействий на защищаемую информацию.

    К видам защиты информации относятся:

  • Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

  • Техническая защита информации; ТЗИ - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

  • Криптографическая защита информации - защита информации с помощьюее криптографического преобразования.

  • Физическая защита информации: - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

  • Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

 

   Организационные мероприятия по обеспечению физической зашиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

    К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

  • Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.

К способам защиты информации относится:

  • защита информации от несанкционированного воздействия; ЗИ от НСВ - защита информации. направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информациюснарушениемустановленныхправи(или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

  • защита информации от непреднамеренного воздействия - защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленапрааленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

  •  защита информации от разглашения - защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей). не имеющих права доступа к этой информации.

  • защита информации от несанкционированного доступа; ЗИ от НСД - защита информации, направленная на предотвращение получения защищаемой информации заинтересовакными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

   Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц. е том числе общественная организация, отдельное физическое лицо.

  • защита информации от преднамеренного воздействия; ЗИ от ПДВ - защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

  • защита информации от [иностранной] разведки - защита информации, направленная на предотвращение получения защищаемой информации [иностранной) разведкой.

Термины, относящиеся к замыслу защиты информации

  • замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

  • цель защиты информации: Заранее намеченный результат защиты информации.

   Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия ив информацию.

  • система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

  • политика безопасности (информации а организации): Совокупность документированных правил. процедур, практических приемов или руководящих принципов в области безопасности информации. которыми руководствуется организация в своей деятельности.

  • безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

Термины, относящиеся к объекту защиты информации

  • объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

  • защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Собственниками информации могут быть, государство, юридическое лицо, группа физических лиц. отдельное физическое лицо.

  • носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

  • защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

  • защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

 Термины, относящиеся к угрозам безопасности информации

  • угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

  • фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

  • источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

  • уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации

Список источников:

  1. Правовые основы защиты информации [Электронный ресурс].  - Режим доступа : https://www.intuit.ru/studies/courses/3649/891/lecture/32336?page=1 (12.01.2019)

  2. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.

НАПИШИТЕ МНЕ

© 2016 Панфилова Т.Б.