Законодательство в области информационной безопасности

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1) Акты федерального законодательства:

· Конституция РФ;

· Международные договоры РФ;

· Законы федерального уровня (включая федеральные конституционные законы, кодексы);

· Указы Президента РФ;

· Постановления правительства РФ;

· Нормативные правовые акты федеральных министерств и ведомств;

· Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

2) Нормативно-методические документы:

· Доктрина информационной безопасности РФ;

· Руководящие документы ФСТЭК;

· Приказы ФСБ;

· Стандарты информационной безопасности, из которых выделяют:

a) Международные стандарты;

b) Государственные (национальные) стандарты РФ;

c) Рекомендации по стандартизации;

d) Методические указания.

         Ниже приведены наиболее значимые в области информационной безопасности нормативно-правовые акты с небольшими комментариями. Данный перечень является неполным, всего в Российской Федерации с 1992г. было принято около 62 различных документов в данной сфере (материал подготовлен на основе информации открытых источников).

• Конституция Российской Федерации утверждена 12 декабря 1993г.

В Российской Федерации впервые документально закреплены права человека в области персональных данных.

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личной и семейной тайны, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24

1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

• Закон Российской Федерации №5485-1 "О государственной тайне" утвержден Президентом Российской Федерации 21 июля 1993г. (в ред. Федеральных законов от 06.10.1997 N131-ФЗ, от 30.06.2003 N86-ФЗ, от 11.11.2003 N153-ФЗ, от 29.06.2004 N58-ФЗ, от 22.08.2004 N122-ФЗ, от 01.12.2007 N294-ФЗ, от 01.12.2007 N318-ФЗ, с изм., внесенными Постановлением Конституционного Суда РФ от 27.03.1996 N8-П, определениями Конституционного Суда РФ от 10.11.2002 N293-О, от 10.11.2002 N314-О).

Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации "О безопасности" и включает настоящий Закон, а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны.

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Контроль за обеспечением защиты государственной тайны осуществляют Президент Российской Федерации, Правительство Российской Федерации в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами.

• Указ Президента Российской Федерации №1203 " Об утверждении перечня сведений, отнесенных к государственной тайне"  от 30 ноября 1995г.
• Постановление Правительства Российской Федерации №608 "О сертификации средств защиты информации" от 26 июня 1995г.

Настоящее Постановление устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.

Функции органов по сертификации средств защиты информации:

-сертификация средства защиты информации, выдача сертификатов и лицензий на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведение их учета;

-приостановление либо отмена действия выданных ими сертификатов и лицензий на применение знака соответствия;

-принятие решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

-формирование фонда нормативных документов, необходимых для сертификации.

Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.

• Указ Президента Российской Федерации №188 "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997г.
• Доктрина информационной безопасности Российской Федерации утверждена Президентом Российской Федерации 9 сентября 2000г. №Пр-1895

9 сентября 2000 года президент РФ Владимир Путин утвердил Доктрину информационной безопасности РФ. Проект Доктрины был обсужден и в целом одобрен на заседании Совета Безопасности РФ 23 июня 2000 года. Концептуальный документ такого рода в российской истории появился впервые.

Разработка доктрины шла на протяжении нескольких лет. Первые ее наработки появились в 1994 году. По оценкам специалистов, документ как составная часть Концепции национальной безопасности страны является базовым в первую очередь для федеральных органов исполнительной власти, реализующих свои полномочия в информационной сфере.

Доктрина информационной безопасности РФ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

Доктрина служит основой для: формирования государственной политики в области обеспечения информационной безопасности; подготовки предложений по совершенствованию правового, методического, научно‑технического и организационного обеспечения информационной безопасности; разработки целевых программ обеспечения информационной безопасности.

В Приложении 1 приведены выдержки из Доктрины информационной безопасности Российской Федерации.

• Федеральный закон Российской Федерации №1-ФЗ "Об электронной цифровой подписи" утвержден Президентом Российской Федерации 10 января 2002г. – утратил силу с 1 июля 2012г. (Действующий Федеральный закон от 6 апреля 2011г. №63-ФЗ "Об электронной подписи")
• Федеральный закон Российской Федерации №98-ФЗ "О коммерческой тайне" утвержден Президентом Российской Федерации 29 июля 2004г.

В соответствии со ст. 3 Федерального закона от 29 июля 2004г. №98-ФЗ "О коммерческой тайне" под коммерческой тайной понимается режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Под информацией, составляющей коммерческую тайну (секрет производства) понимают сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Для определения сведений, относимых к коммерческой тайне, руководителю организации вначале необходимо создать группу экспертов, которые должны изучить законодательство Российской Федерации о коммерческой тайне.

Такими нормативными документами могут быть:

¾ Федеральный закон от 29.07.2004г. №98-ФЗ "О коммерческой тайне";

¾ Гражданский кодекс РФ (ст. 1465);

¾ Конституция РФ 1993г. (ст. 34);

¾ Указ Президента РФ от 06.03.1997г. №188 "Об утверждении Перечня сведений конфиденциального характера";

¾ Федеральный закон от 12.01.1996г. №7-ФЗ "О некоммерческих организациях" (ст. 32).

Следующий шаг - группа экспертов должна выделить из массива информации те сведения, которые следует отнести к коммерческой тайне. Эксперты должны руководствоваться в выборе информации следующим:

· информация должна быть коммерчески выгодной для организации или выгодной для конкурента;

· информация не должна быть общеизвестной или общедоступной на законных основаниях;

· сведения не должны являться государственными секретами;

· информация должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении организации;

· сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей (нарушение законов, загрязнение окружающей среды и т.д.), а также использоваться в целях недобросовестной конкуренции, уклонения от налогообложения, осуществления запрещенной или не закрепленной в уставе организации деятельности.

• Федеральный закон Российской Федерации №149-ФЗ "Об информации, информационных технологиях и о защите информации" утвержден Президентом Российской Федерации 27 июля 2006г.

Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

• Федеральный закон Российской Федерации №152-ФЗ "О персональных данных" утвержден Президентом Российской Федерации 27 июля 2006г.

Основной документ в области персональных данных (далее ПДн). Вводит основные термины, определяет права и обязанности субъектов ПДн и операторов, принципы и условия обработки ПДн, меры по обеспечению безопасности ПДн при их обработке.

• Постановление Правительства Российской Федерации №504 "О лицензировании деятельности по технической защите конфиденциальной информации" от 15 августа 2006г.

Определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.

• Постановление Правительства Российской Федерации №781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" от 17 ноября 2007г.

Возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПДн в информационных системах, возлагает на оператора ПДн задачу обеспечения безопасности ПДн и обязанность классификации информационных систем персональных данных (далее ИСПДн), устанавливает, что работы по обеспечению безопасности ПДн являются неотъемлемой частью работ по созданию ИСПДн и средства защиты ПДн должны пройти оценку соответствия (в ФСТЭК России и ФСБРоссии), определяет, что достаточность принятых мер по обеспечению безопасности ПДн оценивается при проведении государственного контроля и надзора.

• Постановление Правительства Российской Федерации №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" от 6 июля 2008г.

Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне ИСПДн.

• Постановление Правительства Российской Федерации №687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от 15 сентября 2008г.

Вводит понятие обработки неавтоматизированной обработки ПДн, определяет особенности, правила неавтоматизированной обработки ПДн и меры по обеспечению безопасности ПДн.

• Стратегия Национальной безопасности Российской Федерациидо 2020 года утверждена Указом Президента Российской Федерации №537 12 мая 2009г.

Стратегия национальной безопасности Российской Федерации до 2020 года является основным инструментом системы обеспечения национальной безопасности. Она сохраняет преемственность принятых политических установок в области национальной безопасности, в первую очередь Концепции национальной безопасности Российской Федерации, и уточняет государственную политику в области обеспечения национальной безопасности на долгосрочную перспективу, увязанную по целям и задачам с социально-экономическим развитием Российской Федерации.

Как важнейший документ в системе стратегического планирования, неразрывно связанный с Концепцией долгосрочного социально-экономического развития Российской Федерации на период до 2020 года, Стратегия исходит из фундаментального положения о взаимосвязи и взаимозависимости устойчивого развития государства и обеспечения национальной безопасности.

Стратегия нацелена на повышение качества государственного управления и призвана скоординировать деятельность органов государственной власти, государственных, корпоративных и общественных организаций по защите национальных интересов России и обеспечению безопасности личности, общества и государства. В ней сформулированы главные направления и задачи развития системы обеспечения национальной безопасности России, а также стратегические национальные приоритеты и меры в области внутренней и внешней политики.

• Федеральный закон №390-ФЗ "О безопасности" утвержден Президентом Российской Федерации 28 декабря 2010г.

За годы действия Закона Российской Федерации от 5 марта 1992 года №2446-1 «О безопасности» существенно изменился характер реальных внешних и внутренних опасностей и угроз, участились природные и техногенные катастрофы, возникли принципиально новые проблемы в области взаимоотношений с иностранными государствами и альянсами. Серьёзные изменения претерпела стратегия международного сотрудничества в области обеспечения безопасности.

Новые угрозы и вызовы изменили содержание и направленность деятельности Российского государства по обеспечению безопасности. Соответственно потребовались корректировка действующего Закона «О безопасности», расширение и уточнение целей и задач, стоящих перед Россией в этой области, а также полномочий органов государственной власти по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством Российской Федерации.

В Федеральном законе определяются основные принципы обеспечения безопасности и устанавливаются полномочия Президента Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, федеральных органов исполнительной власти, функции органов государственной власти субъектов Российской Федерации и органов местного самоуправления в области безопасности.

• Федеральный закон №63-ФЗ "Об электронной подписи" утвержден Президентом Российской Федерации 6 апреля 2011г.

Отношения в области использования электронных подписей регулируются настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между участниками электронного взаимодействия. Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней.

Виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации.

Вывод:

Данный раздел кратко представляет наиболее значимые документы в области информационной безопасности, начиная с 1992г. Таким образом, можно сказать, что за прошедшие годы в России сделано достаточно много, но по-прежнему наблюдается отставание от европейских стран в отдельных сферах, например, в сфере персональных данных.