Основы информационной безопасности

Обоснованность засекречивания сведений заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта, исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность засекречивания сведений заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью.

Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны). Отнесение сведений к государственной тайне осуществляется руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым распоряжением Президента России от 17 января 2000 г. № 6-рп. Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.

Закон определяет сведения, не подлежащие засекречиванию (статья 7):

- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

- о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

- о фактах нарушения прав и свобод человека и гражданина;

- о размерах золотого запаса и государственных валютных резервах Российской Федерации;

- о состоянии здоровья высших должностных лиц Российской Федерации;

- о фактах нарушения законности органами государственной власти и их должностными лицами.

Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд. Должностные лица, наделенные полномочиями по отнесению сведений к государственной тайне, вправе принимать решения о засекречивании информации, находящейся в собственности предприятий, учреждений, организаций и граждан, если эта информация включает сведения, перечисленные в Перечне сведений, отнесенных к государственной тайне.

Засекречивание указанной информации осуществляется по представлению собственников информации или соответствующих органов государственной власти. Материальный ущерб, наносимый собственнику информации в связи с ее засекречиванием, возмещается государством в размерах, определяемых в договоре между органом государственной власти, в распоряжение которого переходит эта информация, и ее собственником.

Передача сведений, составляющих государственную тайну, предприятиям, учреждениям, организациям или гражданам в связи с выполнением совместных и других работ осуществляется заказчиком этих работ с разрешения органа государственной власти, в распоряжении которого находятся соответствующие сведения, и только в объеме, необходимом для выполнения этих работ. При этом до передачи сведений,

составляющих государственную тайну, заказчик обязан убедиться в наличии у предприятия, учреждения или организации лицензии на проведение работ с использованием сведений соответствующей степени секретности, а у граждан - соответствующего допуска.

Предприятия, учреждения или организации, в том числе и негосударственных форм собственности, при проведении совместных и других работ (получении государственных заказов) и возникновении в связи с этим необходимости в использовании сведений, составляющих государственную тайну, могут заключать с государственными предприятиями, учреждениями или организациями договоры об использовании услуг их структурных подразделений по защите государственной тайны, о чем делается соответствующая отметка в лицензиях на проведение работ с использованием сведений, составляющих государственную тайну, обеих договаривающихся сторон.

В Законе устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно». Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Статья 12 Закона определяет реквизиты носителей сведений, составляющих государственную тайну. На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:

- о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;

- об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;

- о регистрационном номере;

- о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.

При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, они указываются в сопроводительной документации на этот носитель.

Статья 20 раздела VI Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации, следующие органы:

- межведомственную комиссию по защите государственной тайны;

- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;

- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.

Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством РФ.

Допуск должностных лиц и граждан к государственной тайне предусматривает:

- принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;

- согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона (право выезда за рубеж, право неприкосновенности частной жизни, право на распространение сведений об открытиях и изобретениях);

- письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;

- определение видов, размеров и порядка предоставления льгот, предусмотренных настоящим Законом;

- ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за его нарушение;

- принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.

Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо.

Члены Совета Федерации, депутаты Государственной Думы, судьи на период исполнения ими своих полномочий, а также адвокаты, участвующие в качестве защитников в уголовном судопроизводстве по делам, связанным со сведениями, составляющими государственную тайну, допускаются к сведениям, составляющим государственную тайну, без проведения проверочных мероприятий.

Закон (ст. 27) определяет порядок допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, и порядок сертификации средств защиты информации (ст. 28).

Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.

Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию. Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий:

- выполнение требований нормативных документов, утверждаемых Правительством РФ, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;

- наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;

- наличие у них сертифицированных средств защиты информации.

Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством РФ.

Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Координация работ по организации сертификации средств защиты информации возлагается на Межведомственную комиссию по защите государственной тайны. Положение об этой комиссии и ее состав утверждены Указом Президента Российской Федерации от 6.10.2004 г. № 1286.

Контроль за обеспечением защиты государственной тайны осуществляют Президент РФ, Правительство РФ в пределах полномочий, определяемых Конституцией РФ, федеральными конституционными законами и федеральными законами.

Межведомственный контроль за обеспечением защиты государственной тайны в органах государственной власти, на предприятиях, в учреждениях и организациях осуществляют федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (Федеральная служба безопасности Российской Федерации), федеральный орган исполнительной власти, уполномоченный в области обороны (Министерство обороны Российской Федерации), федеральный орган исполнительной власти, уполномоченный в области внешней разведки (Служба внешней разведки Российской Федерации), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), и их территориальные органы, на которые эта функция возложена законодательством РФ.

Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи» (с изм. и доп.) устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи. Статья 63 Закона устанавливает понятие тайны связи. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.

Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. Операторы связи обязаны обеспечить соблюдение тайны связи.

В соответствии с федеральным законом от 31 мая 2002 г. N 63-Ф3 «Об адвокатской деятельности и адвокатуре в Российской Федерации» (с изм. и доп.) адвокатской деятельностью является квалифицированная юридическая помощь, оказываемая на профессиональной основе лицами, получившими статус адвоката в порядке, установленном настоящим Федеральным законом, физическим и юридическим лицам в целях защиты их прав, свобод и интересов, а также обеспечения доступа к правосудию. Статья 8 Закона определяет понятие адвокатской тайны. Адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю.

Закон Российской Федерации от 27 ноября 1992 г. № 4015-1 «Об организации страхового дела в Российской Федерации» (с изм. и доп.) регулирует отношения между лицами, осуществляющими виды деятельности в сфере страхового дела, или с их участием, отношения по осуществлению государственного надзора за деятельностью субъектов страхового дела, а также иные отношения, связанные с организацией страхового дела. Статья 33 Закона предписывает соблюдение коммерческой и иной охраняемой законом тайны субъекта страхового дела должностными лицами органа страхового надзора, за исключением случаев, предусмотренных законодательством РФ.

Федеральный закон от 3 февраля 1996 г. № 17-ФЗ «О внесении изменений и дополнений в Закон РСФСР от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности в РСФСР» (с изм. и доп.) регулирует деятельность банковской системы РФ, которая включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков. Статья 26 Закона определяет понятие банковской тайны: кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. Справки по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, выдаются кредитной организацией им самим, судам и арбитражным судам (судьям), Счетной палате Российской Федерации, налоговым органам, таможенным органам Российской Федерации в случаях, предусмотренных законодательными актами об их деятельности, а при наличии согласия прокурора - органам предварительного следствия по делам, находящимся в их производстве.

Федеральный закон от 7 августа 2001 г. № 119-ФЗ «Об аудиторской деятельности» (с изм. и доп.) определяет правовые основы регулирования аудиторской деятельности в Российской Федерации. Статья 8 Закона определяет понятие аудиторской тайны. Аудиторские организации и индивидуальные аудиторы обязаны хранить тайну об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги. Аудиторские организации и индивидуальные аудиторы обязаны обеспечивать сохранность сведений и документов, получаемых и (или) составляемых ими при осуществлении аудиторской деятельности, и не вправе передавать указанные сведения и документы или их копии третьим лицам либо разглашать их без письменного согласия организаций и (или) индивидуальных предпринимателей, в отношении которых осуществлялся аудит и оказывались сопутствующие аудиту услуги, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Федеральный орган исполнительной власти, осуществляющий государственное регулирование аудиторской деятельности, и иные лица, получившие доступ к сведениям, составляющим аудиторскую тайну в соответствии с настоящим Федеральным законом и другими федеральными законами, обязаны сохранять конфиденциальность в отношении таких сведений.

Закон Российской Федерации от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации» (с изм. и доп.) устанавливает правовую основу деятельности в области массовой информации, включая термины и определения, принципы, организационные основы и ограничения в распространении информации.

Федеральный закон от 18 июля 1995 г. № 108-ФЗ «О рекламе» (с изм. и доп.) регулирует отношения, возникающие в процессе производства, размещения и распространения рекламы на рынках товаров, работ, услуг Российской Федерации, включая рынки банковских, страховых и иных услуг, связанных с пользованием денежными средствами граждан (физических лиц) и юридических лиц, а также рынки ценных бумаг. Статья 27 Закона определяет право доступа к любой информации сотрудников антимонопольных органов и обязует их хранить коммерческую тайну, а также иметь при необходимости допуск к государственной тайне.

Закон РФ от 5 марта 1992 г. № 2446-1 «О безопасности» (с изм. и доп.) закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Федеральный закон от 3 апреля 1995 г. № 40-ФЗ «Об органах федеральной службы безопасности в Российской Федерации» (с изм. и доп.) определяет назначение, правовые основы, принципы, направления деятельности, полномочия, силы и средства органов федеральной службы безопасности, а также порядок контроля и надзора за их деятельностью. Статья 7 Закона определяет защиту сведений о федеральной службе безопасности:

1. Граждане РФ, принимаемые на военную службу (работу) в органы федеральной службы безопасности, а также допускаемые к сведениям об органах федеральной службы безопасности, проходят процедуру оформления допуска к сведениям, составляющим государственную тайну, если иной порядок не предусмотрен законодательством Российской Федерации. Такая процедура включает в себя принятие обязательства о неразглашении указанных сведений.

2. В случаях, предусмотренных федеральными законами и иными нормативными правовыми актами РФ, указанный порядок распространяется на граждан РФ, принимаемых на военную службу (работу) в пограничные войска, а также допускаемых к сведениям о пограничных войсках.

Кроме того, статьи 17 и 19 Закона определяют:

1. Сведения о сотрудниках органов федеральной службы безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну и могут быть преданы гласности только с письменного согласия указанных сотрудников и в случаях, предусмотренных федеральными законами.

2. Сведения о лицах, оказывающих или оказывавших органам федеральной службы безопасности содействие на конфиденциальной основе, составляют государственную тайну и могут быть преданы гласности только с письменного согласия этих лиц и в случаях, предусмотренных федеральными законами.

Федеральный закон от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (с изм. и доп.) определяет содержание оперативно-розыскной деятельности, осуществляемой на территории Российской Федерации, и закрепляет систему гарантий законности при проведении оперативно-розыскных мероприятий. Статья 12 Закона определяет защиту сведений об органах, осуществляющих оперативно-розыскную деятельность. Сведения об используемых или использованных при проведении негласных оперативно-розыскных мероприятий силах, средствах, источниках, методах, планах и результатах оперативно-розыскной деятельности, о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, и о лицах, оказывающих им содействие на конфиденциальной основе, а также об организации и о тактике проведения оперативно-розыскных мероприятий составляют государственную тайну и подлежат рассекречиванию только на основании постановления руководителя органа, осуществляющего оперативно-розыскную деятельность.

Федеральный закон от 25 июля 1998 г. № 130-ФЗ «О борьбе с терроризмом» (с изм. и доп.) определяет правовые и организационные основы борьбы с терроризмом в Российской Федерации, порядок координации деятельности осуществляющих борьбу с терроризмом федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, общественных объединений и организаций независимо от форм собственности, должностных лиц и отдельных граждан, а также права, обязанности и гарантии граждан в связи с осуществлением борьбы с терроризмом. Статья 15 Закона определяет порядок информирования общественности о ходе контртеррористической операции.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации (с изм. и доп.) регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации, определяет условия для эффективного участия России в

международном информационном обмене в рамках единого мирового информационного пространства, защиту интересов России, ее субъектов и муниципальных объединений, а также физических и юридических лиц при международном информационном обмене.

Некоторые понятия и положения закона (не рассмотренные ранее):

- предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

- распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

- оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Статья 5, п. 2, отмечает, что информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Далее понятие общедоступной информации раскрывается в статье 7: к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Важно, что согласно п. 4 статьи 8 не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

В статье 9 излагаются ограничения доступа к информации. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну (№ 98-ФЗ от 29 июля 2004 г. «О коммерческой тайне»), служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом «О персональных данных» (№ 152-ФЗ от 27 июля 2006 г.).

Статья 6 посвящена обладателю информации. Им может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. Обладатель информации вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

Далее в статье 13, п. 3 об информационных системах говорится, что «права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных».

Важны и обязанности обладателя информации:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Статья 11 касается документированной информации. Важно отметить, что электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

Статья 12 о государственном регулировании в сфере применения ИТ гласит в частности, что оно (регулирование) предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации);

2) развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в РФ информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей.

Статья 13 об информационных системах отмечает, что оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы. Особенности эксплуатации государственных информационных систем и муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем. Порядок создания и эксплуатации информационных систем, не являющихся

государственными или муниципальными, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Непосредственно государственных ИС касается статья 14. Здесь важно отметить, что технические средства, предназначенные для обработки информации, содержащейся в государственных ИС, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании. Наконец, статья 16 дает определение и посвящена защите информации. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации.

Важно, что обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Обращает на себя внимание п. 6 статьи 16, согласно которому федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В статье 17 устанавливается ответственность (дисциплинарная, гражданско-правовая, административная или уголовная ответственность в соответствии с законодательством Российской Федерации) за правонарушения в сфере ИТ и защиты информации. Так, лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. При этом требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

В случае если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» обеспечивает правовые условия использования электронной цифровой подписи (ЭЦП) в электронных документах. Там же приведены основные понятия, используемые в электронных документах, и условия использования ЭЦП.

Закон Российской Федерации от 23 сентября 1992 г. № 3526-1 «О правовой охране топологий интегральных микросхем» (с изм.и доп.) регулирует отношения, связанные с созданием, правовой охраной и использованием топологий.

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (с изм. и доп.) регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Важно, что он не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

В Законе используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Здесь обращает на себя внимание в приводимом списке «другая информация». Интересно сравнить это определение с определением из ФЗ от 19.12.2005 № 160 «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», где «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом (это несколько отличается от понятий «предоставления информации» и «распространения информации» из Закона № 149-ФЗ от 27.07.2006, которые отличаются в основном кругом лиц, определенным или неопределенным);

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

К закону было подготовлено Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», иные нормативные акты ФСБ и ФСТЭК.

Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах (ИС) персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) Российской Федерации в пределах их полномочий (подготовлены в марте 2008 г.).

Безопасность персональных данных при их обработке в ИС обеспечивает оператор или уполномоченное лицо, которому на основании договора оператор поручает обработку персональных данных. Эти лица при обработке персональных данных в ИС должны обеспечить:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

Вопросы обеспечения безопасности персональных данных были уточнены в Приказе ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», а также в документах ФСТЭК России ограниченного распространения:

1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» от 14 февраля 2008 года.

2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» от 15 февраля 2008 года.

3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года.

4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» от 15 февраля 2008 года.

Эти документы должны быть опубликованы, иначе по ст. 15 Конституции РФ их выполнение необязательно.

В соответствии с Приказом № 55/86/20 информационные системы (ИС) персональных данных подразделяются на типовые и специальные.

Типовые ИС - «информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных». Специальные ИС - «информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)».

Подчеркнуто, что к специальным ИС должны быть отнесены те:

- в которых обрабатываются ПД, касающиеся состояния здоровья субъектов персональных данных;

- в которых предусмотрено принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Типовой ИС присваивается один из следующих классов: класс 1 (К1) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Кроме того, ИС присваиваются и соответствующие категории: категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - ПД, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - ПД, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.

Процедура классификации типовых ИС прописана в Приказе достаточно подробно, но большинство ИС относятся к специальным ИС. Для таких ИС класс определяется по результатам анализа исходных данных на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.

В общем случае при классификации ИС, помимо приведенных двух параметров, учитываются следующие данные:

- характеристики безопасности (конфиденциальность, целостность, доступность);

- структура ИС (автономные АРМ, локальные ИС, распределенные ИС);

- наличие подключений к Интернет и сетям общего пользования;

- режим обработки персональных данных (однопользовательские и многопользовательские);

- режим разграничения прав доступа (ИС с разграничением прав доступа и без);

- местонахождение технических средств (все в пределах РФ, частично или целиком за пределами РФ).

Классификация специальных ИС прописана в 4х приведенных выше документах ФСТЭК, которые необходимо каждой заинтересованной организации или оператору ПД получить индивидуально в этой организации.

Следует иметь ввиду и следующие акты:

- № 153-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о предупреждении терроризма» и ФЗ «О противодействии терроризму»;

- № 218-ФЗ от 30.12.2004 «О кредитных историях»;

- № 35-ФЗ от 6.03.2006 «О противодействии терроризму»;

- № 16-ФЗ от 09.02.2007 «О транспортной безопасности».

Основные подзаконные акты в области защиты информации

Указы Президента Российской Федерации

1. Указ Президента Российской Федерации от 31 декабря 1993 г. № 2334 «О дополнительных гарантиях прав граждан на информацию» (с изменениями от 17 января 1997 г., 1 сентября 2000 г.). Определяет, что деятельность государственных органов, организаций и предприятий, общественных объединений, должностных лиц должна осуществляться на следующих принципах информационной открытости:

- доступность для граждан информации, представляющей общественный интерес или затрагивающей личные интересы граждан;

- систематическое информирование граждан о предполагаемых или принятых решениях;

- осуществление гражданами контроля за деятельностью государственных органов, организаций и предприятий, общественных объединений, должностных лиц и принимаемыми ими решениями, связанными с соблюдением, охраной и защитой прав и законных интересов граждан;

- создание условий для обеспечения граждан Российской Федерации зарубежными информационными продуктами и оказание им информационных услуг, имеющих зарубежное происхождение.

Также устанавливается, что в информационных программах государственных телерадиовещательных компаний до сведения граждан в обязательном порядке должны доводиться основные положения правовых актов и решений государственных органов по основными вопросам внутренней и внешней политики в день их выпуска. Государственные телерадиовещательные компании должны создать циклы передач (программы), разъясняющие деятельность федеральных органов законодательной, исполнительной и судебной власти, существо принимаемых решений с привлечением к работе над этими программами ведущих специалистов, экспертов, разработчиков соответствующих документов.

2. Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.).