Справочно-информационная система по защите персональных данных

Правовые основы обеспечения безопасности информационных технологий

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объёма сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

  • Конституционные права и свободы граждан, предприятий и организаций в сфере информатизации
  • Необходимый уровень безопасности информации, подлежащей защите
  • Защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи данных).

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их обладателю или иному лицу.

В Стратегии развития информационного общества в РФ одной из ключевых задач, требующих решения для достижения целей формирования и развития информационного общества в России значится противодействие  использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России:

  • Обеспечение безопасности функционирования информационно-телекоммуникационной инфраструктуры
  • Обеспечение безопасности функционирования информационных и телекоммуникационных систем ключевых объектов инфраструктуры РФ, в том числе критических объектов и объектов повышенной опасности
  • Повышения уровня защищенности корпоративных и индивидуальных информационных систем
  • Создание единой системы информационно-телекоммуникационного обеспечения нужд государственного управления, обороны страны, национальной безопасности и правопорядка
  • Совершенствование правоприменительной практики в области противодействия угрозам использования информационных и телекоммуникационных технологий во враждебных целях
  • Обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований по обеспечению безопасности информации ограниченного доступа
  • Противодействие распространению идеологии терроризма и экстремизма, пропаганде насилия

Развитие информационного общества в РФ базируется на принципах минимизации рисков и угроз национальной безопасности России, связанных с враждебным и преступным использованием возможностей информационно-коммуникационных технологий, укрепление доверия и безопасности при их использовании.

 

В  Стратегии национальной безопасности РФ до 2020 года сказано, что государственная политика РФ в области национальной безопасности обеспечивается согласованными действия всех элементов системы обеспечения национальной безопасности при координирующей роли Совета Безопасности РФ за счет реализации комплекса мер организационного, нормативно-правового и информационного характера.

Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в РФ, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

Меры нормативной правовой поддержки регулирования вопросов информатизации и защиты информации в РФ определяются на основании:

  • Конституции Российской Федерации и федеральных конституционных законов
  • Международных договоров и соглашений
  • Законов Российской Федерации
  • Указов и распоряжений Президента РФ
  • Постановлений и распоряжений Правительства РФ
  • Технических регламентов
  • Национальных стандартов и стандартов организаций
  • Нормативных правовых актов (положения, порядки, руководства, концепции и др.) уполномоченных федеральных органов исполнительной власти.

 

Защищаемая информация

Согласно Доктрине ИБ РФ под информационной безопасностью РФ понимается состояние защищенности ее национальных интересовв информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В Конституции РФ, а также Декларации прав и свобод человека и гражданина РФ определено, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности.

ФЗ 149 «Об информации, информационных технологиях и о защите информации»

предусматривает разделение информации на категории свободного и ограниченного доступа (право на тайну). В свою очередь, информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную.

 

Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

 

Отнесение информации к государственной тайне осуществляется в соответствии с Законом РФ от 21.07.1993 № 5485-1 «О государственной тайне». Условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральным законами.

 

Закон регулирует отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

  • информация - сведения (сообщения, данные) независимо от формы их представления;
  • информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
  • информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
  • обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
  • оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
  • конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .
  • информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
  • доступ к информации – возможность получения информации и ее использования.
  • электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети
  • документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях её материальный носитель.

В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

  1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
  2. установление ограничений доступа к информации только федеральными законами;
  3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
  4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
  5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
  6. достоверность информации и своевременность ее предоставления;
  7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
  8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

  1. информацию, свободно распространяемую;
  2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Согласно ст.6 ФЗ-149 обладатель информации имеет право:

  • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа
  • использовать информацию, в том числе распространять ее, по своему усмотрению
  • передавать информацию другим лицам по договору или на ином установленном законном основании
  • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами
  • осуществлять иные действия с информацией или разрешать осуществление таких действий

При этом обладатель информации обязан:

  • соблюдать права и законные интересы иных лиц
  • принимать меры по защите информации
  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  2. своевременное обнаружение фактов несанкционированного доступа к информации;
  3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  6. постоянный контроль за обеспечением уровня защищенности информации.

Согласно ст. 8  не может быть ограничен доступ к:

  • нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления
  • информации о состоянии окружающей среды
  • информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений составляющих государственную или служебную тайну)
  • информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией
  • иной информацией, недопустимость ограничения доступа к которой установлена федеральными законами

Перечень сведений конфиденциального характера определён в Указе Президента РФ от 06.03.1997 № 188 с изменениями от 23. 09.2005 № 1111:

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в сми в установленных законом случаях
  • свдения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лица и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20.08. 2004г. №119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и др.
  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна)
  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)
  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна)
  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

 

Коммерческая тайна

Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»

  • коммерческая тайна – режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить  доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду
  • информация, составляющая коммерческую тайну (секрет производства) – сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введён режим коммерческой тайны
  • обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении её режим коммерческой тайны
  • разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору

Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, включающей в себя:

  • определение перечня информации, составляющей коммерческую тайну
  • ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка
  • учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и/или лиц, которым такая информация была предоставлена или передана
  • регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров
  • нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полой наименование и место нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

  • исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя
  • обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентами без нарушения режима коммерческой тайны

Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности.

К сожалению, вступивший в действие Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» не в полной мере обеспечивает неприкосновенность соответствующей информации. В соответствии со ст. 6 этого Закона, «Обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну». При отказе собственника информационных ресурсов добровольно выдать информацию составляющую коммерческую тайну, она может быть получена в судебном порядке. При этом какого-либо возмещения издержек собственника на предоставление информации не предусматривается. Кроме того, данный Закон не предусматривает отмены ранее принятых нормативных документов по вопросам защиты коммерческой тайны, в том числе и в части, противоречащей Закону. Данное обстоятельство, к сожалению, не способствует устранению существовавших до принятия 98-ФЗ «О коммерческой тайне» правовых коллизий.

Методические документы по технической защите информации, составляющей коммерческую тайну, выпущенные ФСТЭК России:

  • Методические рекомендации по технической защите информации, составляющей коммерческую тайну (утверждены Заместителем директора ФСТЭК России 25.12.2006)
  • Пособие по организации технической защиты информации, составляющей коммерческую тайну (утверждено Заместителем директора ФСТЭК России 25.12.2006).

Служебная тайна

Общий порядок обращения с документами и другими материальными носителями информации (фото-, кино-, видео_, и аудиопленки, машинные носители информации и др.), содержащими служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях определен в «Положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденном постановлением Правительства Российской Федерации от 03.11.1994 № 1233.

К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуется служебной необходимостью.

На документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».

Только лишь руководителям федерального органа исполнительной власти разрешено определять в пределах своей компетенции:

  • Категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения
  • Порядок передачи служебной информации ограниченного распространения другим органам и организациям
  • Порядок снятия пометки «Для служебного пользования» с носителей информации ограниченного распространения
  • Организацию защиты служебной информации ограниченного распространения

Должностные лица, принявшие решение об отнесении служебной информации к разряду ограниченного распространения, несут персональную ответственность за обоснованность приятного решения и за соблюдение ограничений, предусмотренных настоящим Положением.

Служебная информация ограниченного распространения без санкции соответствующего должностного лица не подлежит разглашению (распространению).

За разглашение служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, государственный служащий (работник организации) может быть привлечён к дисциплинарной или иной предусмотренной законодательством ответственности.

Следует также отметить, что согласно п. 1 Указа Президента РФ от 17 марта 2008г. № 351 «О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена» подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно- телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к компьютерной сети «Интернет», не допускается.

При необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных выше, к сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в ФСБ РФ и (или) получивших подтверждение соответствия в ФСТЭК. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники.

Государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством РФ порядке сертификацию в ФСБ РФ и (или) получившие подтверждение соответствия в ФСТЭК.

Размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях. Финансирование расходов, связанных с размещением технических средств в указанных помещениях федеральных органов государственной власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в федеральном бюджете на содержание этих органов.

Банковская тайна

В ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» сказано, что «Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах её клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону».

Также, согласно ст. 857 части второй ГК РФ «Банк гарантирует тайну счёта и банковского вклада, операций по счёту и сведений о клиенте».

Следовательно, к основным объектам банковской тайны, согласно действующему законодательству, относятся:

  • Тайна банковского счета – сведения о счетах клиентов и корреспондентов и действия с ними в кредитной организации (о расчетном, текущем, бюджетном, депозитном, валютном, корреспондентском и т.п. счете, об открытии, закрытии, переводе, переоформлении счета и т.п.)
  • Тайна операций по банковскому счету – сведения о принятии и зачислении поступающих на счет клиента денежных средств, о выполнении его распоряжений по перечислению и выдаче соответствующих сумму со счета, а также проведении других операций и сделок по банковскому счету, предусмотренных договором банковского счета или законом, установленными в соответствии с ним банковскими правилами, обычаями делового оборота
  • Тайна банковского вклада – сведения о всех видах вкладов клиента в кредитной организации (срочные, до востребования, в пользу третьих лиц, либо на иных условиях, предусмотренных публичным договором банковского вклада).
  • Тайна частной жизни клиента или корреспондента – сведения о клиенте или корреспонденте, составляющие его личную, семейную тайну и сохраняемые законом как персональные данные этого клиента или корреспондента.

ВВЕРХ