Российское законодательство по информационной безопасности и безопасности сетей (Российское законодательство в области информационной безопасности)

Содержание:

ВВЕДЕНИЕ

В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики. Специалисты осознают и отдают себе отчет в сложности проблемы защиты информации.

Российское законодательство в области информационной безопасности

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обяза­ны обеспечить каждому возможность ознакомления с документами и ма­териалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, со­здающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средст­вами бумажных технологий, но в современных условиях наиболее прак­тичным и удобным для граждан является создание соответствующими за­конодательными, исполнительными и судебными органами информаци­онных серверов и поддержание доступности и целостности представлен­ных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тай­ну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, переда­вать, производить и распространять информацию любым законным спосо­бом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по ком­пьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие поня­тия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в слу­чае, когда информация имеет действительную или потенциальную ком­мерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и за­конных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности явля­ется Уголовный кодекс Российской Федерации.

Глава 28 — «Преступления в сфере компьютерной информа­ции» — содержит три статьи:

• статья 272. Неправомерный доступ к компьютерной информа­ции;

• статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ;

• статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вто­рая - с вредоносным ПО, третья - с нарушениями доступности и целост­ности, повлекшими за собой уничтожение, блокирование или модифика­цию охраняемой законом информации ЭВМ. Включение в сферу дейст­вия УК РФ вопросов доступности информационных сервисов представ­ляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, те­лефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государст­венной тайне. В нем гостайна определена как защищаемые государством сведения в об­ласти его военной, внешнеполитической, экономической, разведыва­тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Россий­ской Федерации. Там же дается определение средств зашиты информа­ции. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализо­ваны, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон «Об информации, информатизации и защите информации»

Основополагающим среди российских законов, посвященных во­просам информационной безопасности, следует считать закон «Об ин­формации, информатизации и защите информации» от 27 июля 2006 года номер 149-ФЗ. В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

• информация - сведения (сообщения, данные) независимо от формы их представления;
• информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
• информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
• доступ к информации - возможность получения информации и ее использования;
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
• информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

• свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
• установление ограничений доступа к информации только федеральными законами;
• открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
• равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
• обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
• достоверность информации и своевременность ее предоставления;
• неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
• недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Защите подлежит любая документированная информация, непра­вомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных от­ношений.

Защиту государственной тайны и персональ­ных данных берет на себя государство; за другую конфиденциальную ин­формацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предла­гает для этой цели принятие правовых, организационных и технических мер. Процитируем статью 16.

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации;

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. [2]

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблем.

Таковы важнейшие положения Закона «Об информа­ции, информатизации и защите информации.

Другие законы и нормативные акты

Следуя логике Закона «Об информации, информатизации и защите информации», мы продолжим наш обзор Законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.

Лицензия — специальное разрешение на осуществление конкретно­го вида деятельности при обязательном соблюдении лицензионных тре­бований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности — вид деятельности, на осуществле­ние которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование — мероприятия, связанные с предоставлением ли­цензий, переоформлением документов, подтверждающих наличие ли­цензий, приостановлением и возобновлением действия лицензий, анну­лированием лицензий и контролем лицензирующих органов за соблюде­нием лицензиатами при осуществлении лицензируемых видов деятельно­сти соответствующих лицензионных требований и условий.

Лицензирующие органы — федеральные органы исполнительной вла­сти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Феде­ральным законом.

Лицензиат — юридическое лицо или индивидуальный предприни­матель, имеющие лицензию на осуществление конкретного вида дея­тельности».

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:

• распространение шифровальных (криптографических) средств;

• техническое обслуживание шифровальных (криптографичес­ких) средств;

• предоставление услуг в области шифрования информации;

• разработка и производство шифровальных (криптографичес­ких) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, теле­коммуникационных систем;

• выдача сертификатов ключей электронных цифровых подпи­сей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных циф­ровых подписей и подтверждением подлинности электронных цифровых подписей;

• выявление электронных устройств, предназначенных для не­гласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятель­ность осуществляется для обеспечения собственных нужд юри­дического лица или индивидуального предпринимателя);

• разработка и (или) производство средств защиты конфиденци­альной информации;

• техническая защита конфиденциальной информации;

• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляю­щими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного За­кона не распространяется на следующие виды деятельности:

• деятельность, связанная с защитой государственной тайны;

• деятельность в области связи;

• образовательная деятельность. [3]

Данный Закон не препятствует органи­зации учебных курсов по информационной бе­зопасности. В свою очередь. Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, ка­сающихся образовательной деятельности в области И Б.

Основными лицензирующими органами в области защиты инфор­мации являются Федеральное агентство правительственной связи и ин­формации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавля­ют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информа­ции (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Ми­нистерства внешних экономических связей Российской Федерации, вы­даваемой на основании решения ФАПСИ. Все эти вопросы регламенти­рованы соответствующими указами Президента и постановлениями Пра­вительства РФ.

В эпоху глобальных коммуникаций важную роль играет Закон «Об участии в международном информационном обмене» от 4 июля 1996 го­да номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем основным защитным средст­вом являются лицензии и сертификаты. Процитируем несколько пунк­тов из статьи 9.

2. Защита конфиденциальной информации государством распростра­няется только на ту деятельность по международному информаци­онному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной ин­формацией и использующие сертифицированные средства между­народного информационного обмена.

Выдача сертификатов и лицензий возлагается на Комитет при Пре­зиденте Российской Федерации по политике информатизации, Го­сударственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и ин­формации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Россий­ской Федерации.

3. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционирован­ными действиями обслуживающего персонала или иных лиц, либо ложной информацией собственник или владелец этих средств дол­жен своевременно сообщить об этом в органы контроля за осуществ­лением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного инфор­мационного обмена, в противном случае он несет ответственность за причиненный ущерб. [4]

При желании здесь можно усмотреть обязательность выявления на­рушителя информационной безопасности - положение, вне всяких со­мнений, очень важное и прогрессивное.

Еще одна цитата — теперь из статьи 17 того же Закона. Статья 17: «Сертификация информационных продуктов, информа­ционных услуг, средств международного информационного обмена. 1. При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гаран­тирующий соответствие данных продуктов и услуг требованиям до­говора. В случае невозможности сертификации ввозимых на терри­торию Российской Федерации информационных продуктов, инфор­мационных услуг ответственность за использование данных продук­тов и услуг лежит на импортере.

2. Средства международного информационного обмена, которые обра­батывают документированную информацию с ограниченным досту­пом, а также средства защиты этих средств подлежат обязательной сертификации.

3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом «О связи»». [4]

10 января 2002 года Президентом был подписан очень важный закон «Об электронной цифровой подписи» номер 1-ФЗ(принят Государствен­ной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации...».

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подпи­си в электронных документах, при соблюдении которых элек­тронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумаж­ном носителе.

2. Действие настоящего Федерального закона распространяется на от­ношения, возникающие при совершении гражданско-правовых сде­лок и в других предусмотренных законодательством Российской Фе­дерации случаях. Действие настоящего Федерального закона не рас­пространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

Электронный документ — документ, в котором информация представ­лена в электронно-цифровой форме.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от под­делки, полученный в результате криптографического преобразования ин­формации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата клю­ча подписи, а также установить отсутствие искажения информации в эле­ктронном документе.

Владелец сертификата ключа подписи — физическое лицо, на имя ко­торого удостоверяющим центром выдан сертификат ключа подписи и ко­торое владеет соответствующим закрытым ключом электронной цифро­вой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи — аппаратные и (или) про­граммные средства, обеспечивающие реализацию хотя бы одной из сле­дующих функций: создание электронной цифровой подписи в электрон­ном документе с использованием закрытого ключа электронной цифро­вой подписи, подтверждение с использованием открытого ключа элек­тронной цифровой подписи подлинности электронной цифровой подпи­си в электронном документе, создание закрытых и открытых ключей эле­ктронных цифровых подписей.

Сертификат средств электронной цифровой подписи — документ на бу­мажном носителе, выданный в соответствии с правилами системы серти­фикации для подтверждения соответствия средств электронной цифро­вой подписи установленным требованиям.

Закрытый ключ электронной цифровой подписи — уникальная после­довательность символов, известная владельцу сертификата ключа подпи­си и предназначенная для создания в электронных документах электрон­ной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи — уникальная после­довательность символов, соответствующая закрытому ключу электрон­ной цифровой подписи, доступная любому пользователю информацион­ной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной циф­ровой подписи в электронном документе.

Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномо­ченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения под­линности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Подтверждение подлинности электронной цифровой подписи в элект­ронном документе — положительный результат проверки соответствую­щим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электрон­ной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электрон­ной цифровой подписью электронном документе.

Пользователь сертификата ключа подписи — физическое лицо, ис­пользующее полученные в удостоверяющем центре сведения о сертифи­кате ключа подписи для проверки принадлежности электронной цифро­вой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юри­дическими лицами и в услугах которой этим лицам не может быть отказа­но.

Корпоративная информационная система — информационная систе­ма, участниками которой может быть ограниченный круг лиц, определен­ный ее владельцем или соглашением участников этой информационной системы. [5]

Пересказать такие определения своими словами невозможно... Стоит обратить внимание на неоднозначное использование термина «сертифи­кат», которое, впрочем, не должно привести к путанице. Кроме того, дан­ное здесь определение электронного документа слабее, чем в Законе «Об информации...», поскольку нет упоминания реквизитов.

Согласно Закону, электронная цифровая подпись в электронном до­кументе равнозначна собственноручной подписи в документе на бумаж­ном носителе при одновременном соблюдении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент про­верки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

• подтверждена подлинность электронной цифровой подписи в электронном документе;

• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Закон определяет сведения, которые должен содержать сертификат ключа подписи:

• уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

• фамилия, имя и отчество владельца сертификата ключа подпи­си или псевдоним владельца. В случае использования псевдо­нима запись об этом вносится удостоверяющим центром в сер­тификат ключа подписи;

• открытый ключ электронной цифровой подписи;

• наименование средств электронной цифровой подписи, с кото­рыми используется данный открытый ключ электронной циф­ровой подписи;

• наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;

• сведения об отношениях, при осуществлении которых элек­тронный документ с электронной цифровой подписью будет иметь юридическое значение. [5]

ЗАКЛЮЧНИЕ

Информационная безопасность определяется способностью нейтрализовать воздействие по отношению к опасным, дестабилизирующим, деструктивным, ущемляющим интересы страны информационным воздействиям на уровне, как внедрения, так и извлечения информации.

В заключении необходимо сказать, что информационная безопасность России является базовой составляющей национальной безопасности России. Она напрямую влияет на эффективную работу органов государственной власти, является неотъемлемым фактором в борьбе с организованной преступностью и мировым терроризмом.

СПИСОК ЛИТЕРАТУРЫ

1. Конституция Российской Федерации - http://constitution.kremlin.ru/
2. Федеральный закон от 27 июля 2006 года номер 149-ФЗ «Об информации, информатизации и защите информации» - http://legalacts.ru/doc/FZ-ob-informacii-informacionnyh-tehnologijah-i-o-zawite-informacii/
3. Закон «О лицензировании отдельных видов деятельности» - http://legalacts.ru/doc/99_FZ-o-licenzirovanii-otdelnyh-vidov-dejatelnosti/
4. Закон «Об участии в международном информационном обмене» - http://legalacts.ru/doc/federalnyi-zakon-ot-04071996-n-85-fz-ob/
5. Закон «Об электронной цифровой подписи» - http://legalacts.ru/doc/federalnyi-zakon-ot-10012002-n-1-fz-ob/
6. Обзор законодательства Российской Федерации в сфере информационной безопасности - https://digital.report/zakonodatelstvo-rossii-informatsionnaya-bezopasnost/
7. Анализ состояния информационной безопасности в современной России - http://ekonomika.snauka.ru/2016/12/13291