 |
Законодательный уровень информационной безопасности.
|
|
|
|
Большинство людей не совершают противоправных действий не потому что это технически невозможно, а потому что и наказывается и осуждается обществом, потому что так поступать не принято. На законодательном уровне нужно выделить сознательное соблюдения норм и правил.
На законодательном уровне важно и трудно создать механизм, позволяющий согласовать процесс разработки законов с развитием и прогрессом информационных технологий. Закон технологии опережать не может, но важно чтобы отставание не было очень большим.
Обзор Российского законодательства в области информационной безопасности.
Законодательный уровень определяется прежде всего государством, его нормативно-правовыми документами. В России методологической основой разработки комплекса нормативно-правовых и организационных мероприятий по созданию информационной безопасности является концепция информационной безопасности РФ. Она представляет собой официально принятую систему взглядов на проблему информационной безопасности, методов и средств защиты в информационной сфере.
Правовые акты общего назначения.
Конституция РФ.
1) Статья 24. Органы гос. Власти, местного самоуправления и должностные лица должны обеспечить каждому возможность ознакомления каждому с документами и материалами непосредственно затрагивающими его права и свободы, если они не предусмотрены законом.
2) Статья 41. Гарантирует право на знание фактов создающих угрозу для жизни и здоровья людей.
3) Статья 42. Права на знания достоверной информации о состоянии окружающей среды.
4) Статья 23 гарантирует право на личную семейную тайну, переписки, телефонные переговоры, почтовых, телеграфных и иных сообщений.
|
|
|
5) Статья 29. Право свободно искать, распространять, получать, производить информацию любым законным способом.
Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе при передаче по компьютерным сетям, а так же доступ к средствам защиты информации.
В гражданском кодексе РФ фигурирую такие понятия как банковская, коммерческая и служебная тайна.
Согласно статье 139 информация составляет коммерческую или служебную тайну в случае когда информация несет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К ней нет свободного доступа на законном основании и обладатель информации предпримет меры к сохранности ее конфиденциальности.
Уголовный кодекс РФ. Основная глава этого кодекса – глава 28. Преступление в сфере компьютерной информации. Содержит 3 статьи:
272 – неправомерный доступ к компьютерной информации. Имеет дело с посягательствами на конфиденциальность.
273 – создание, использование и распространение вредоносных программ для ЭВМ. Имеет дело с вредоносным ПО
274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ. Имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации.
Статья 138 защищает конфиденциальность персональных данных и предусматривает наказание за нарушение тайной переписки, телефонных разговоров, почтовых сообщений.
Статья 183 играет аналогичную роль за нарушение коммерческой или банковской тайны.
Закон о государственной тайне.
Интересы государства в плане обеспечений конфиденциальности информации нашли свое отражение в законе о государственной тайне. В этом законе тайна определена как защищаемое государством сведение в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности РФ. Тут же дается определение средств защиты информации.
|
|
|
Закон о “информации, информационных технологиях, защите информации”
Его можно считать основополагающим среди законов посвященным вопросам информационной безопасности.
Закон от 27 июля 2007 года. Номер 149-ФЗ. В нем даются основные определения, намечаются направления, в котором должны развиваться законодательства в этой области. Закон регулирует отношения, возникающие при
1) Осуществлении права на поиск, передачу, производство и распространение информации.
2) Применение информационных технологий.
3) Обеспечение защиты информации.
В статье 2 закона даются основные определения:
1) Информация – сведения, сообщения, данные, не зависимо от формы их представления.
2) Информационные технологии – процессы, методы поиска сбора, хранения, обработки, предоставления, распространения информации и способа осуществления таких процессов и методов.
3) Обладатель информации – лицо, самостоятельно создавшее информацию, либо получившее на основании закона или договора право разрешать и ограничивать доступ к информации, определяемый каким либо признаком.
4) Доступ к информации – возможность получения информации и ее использования.
5) Конфиденциальность информации – обязательное для выполнения лицом, получившем доступ к определенной информации требования не передавать такую информацию третьим лицам без согласия ее обладателя.
6) Предоставление информации – действие, направленное на получение информации определенным кругом лиц или передачу инфы определенному кругу лиц.
7) Распространение инфы – действие, направленное на получение информации неопределенным кругом лиц, или передача неопределенному кругу лиц.
8) Электронное сообщение – информация, переданная или полученная пользователем информационной телекоммуникационной сети.
В статье 3 сформулированы принципы, которые определяют закон:
1) Свобода поиска, передачи, распространения информации любым законным способом.
2) Постановление ограничения доступа к информации только федеральными законами.
|
|
|
3) Открытость информации о деятельности государственных органов, кроме случаев установленных ФЗ.
4) Равноправие языков народов РФ при создании информационных систем и их эксплуатации.
5) Обеспечение безопасности РФ при создании информационных систем, их эксплуатации и защиты содержащейся в них информации.
6) Достоверность информации, своевременность ее предоставления.
7) Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения частной информации.
8) Недопустимость установления нормативно-правовыми актами каких либо преимуществ применения одних информационных технологий перед другими.
В статье 9 закона содержатся следующие положения:
1) Ограничение доступа к информации устанавливается ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны.
2) Обязательным является соблюдение конфиденциальной безопасности, доступ к которой ограничен ФЗ.
3) Защита информации, составляющей государственную тайну, осуществляется в соответствии законам о государственной тайне.
4) ФЗ устанавливаются условия отнесения информации к сведениям, относящимся к коммерческим тайнам, служебным и т.д.
В статье 11, “документирование информации”. В связи с принятием законом о электронной подписи внесены изменения в 4 статью. Часть 4 11 статьи:
В целях заключения гражданско-правовых договоров или оформления иных отношений, в которых участвуют люди, обмен электронными отношениями, каждое которое подписано электронной подписью или иным аналогом собственноручной подписи в порядке установленном ФЗ, иными нормативно-правовыми актами или с соглашением сторон рассматривается как обмен документами.
Статья 16 целиком посвящена вопросам защиты информации.
Закон о “лицензировании отдельных видов деятельности”. В законе дается понятие таких понятий как лицензия, лицензирование, лицензируемый вид деятельности, лицензиат. В статье 17 закона устанавливается перечень видов деятельности на осуществление которых нужна лицензия.
|
|
|
1) Распространение шифровальных (криптографических средств)
2) Техническое обслуживание шифровальных средств.
3) Предоставление услуг в области шифрования информации.
4) Разработка и производство шифровальных средств.
5) Защищенность с помощью шифровальных средств и информационных систем.
6) Выявление электронных устройств, предназначенных для негласного прослушивания информации в помещениях и технических средствах.
7) Разработка и производство средств защиты конфиденциальной информации.
8) Техническая защита конфиденциальной информации.
9) Разработка, производство, реализация и приобретение в целях продажи технических средств, предназначенных для негласного получения информации.
Действие данного закона не распространяется на следующие виды деятельности: деятельность, связанная с защитой гос. Тайны, деятельность в области связи, образовательная деятельность.
Закон о участии в международном информационном обмене от 4 юля 1996 года.
Закон о электронной подписи от 6 апреля 2011 года. Существенным образом изменяет правовое регулирование отношений, связанных с электронном подписанием документов. Закон о ЭЦП не позволял использовать другие подтверждения подлинности текста, кроме как установленные в законе. Таким образом, технологии не основанные на ассиметричном шифровании для создания ЭЦП никак не регулировались.
Закон регулирует отношения в области электронных подписей в следующих случаях:
1) При совершении гражданско-правовых сделок
2) При оказании гос. И муниципальных услуг
3) При исполнении выше указанных функций
4) При иных действиях
В законе используются следующие основные понятия:
1) Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой) или иным образом связанной с такой информацией и которая используется для определения лица, подписывающего информацию.`
2) Сертификат ключа проверки электронной подписи – электронный документ, или документ на бумаге, выданный удостоверяющим центром или доверенным лицом центра и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа ЭП.
3) Владелец сертификата ключа проверки ЭП – лицо, которому в установленном законом порядке выдан сертификат ключа проверки электронной подписи.
4) Ключ электронной подписи – уникальная последовательность символов, предназначенная для создания электронной подписи.
5) Ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.
|
|
|
6) Удостоверяющий центр – юридическое лицо, или ИП, осуществляющий функции по созданию и выдачи сертификатов ключей проверки ЭП, а так же иные функции, предусмотренные законом.
Принципы использования ЭП:
1) Право участника электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению.
2) Возможность использования участниками электронного взаимодействия любой информационной технологии и технических средств.
3) Недопустимость признания ЭП и подписанного ей документа, не имеющего юридической силы.
Виды электронной подписи:
· Простая ЭП
· Усиленная ЭП
Усиленная подразделяется на квалифицированную и не квалифицированную.
Условия признания электронных документов, подписанных электронной подписью равнозначными документами на бумажном носителе, подписаны собственноручной подписью. Условия признания даются в законе.
Средства электронной подписи:
Для создания и проверки электронной подписи, создания ключа и ключа проверки электронной подписи, должны использоваться средства ЭП которые позволяют:
1) Установить факт изменения подписанного электронного документа после его подписания.
2) Обеспечивают практическую невозможность вычисления ключа ЭП из ключа ее проверки.
При создании ЭП средства должны:
1) Показывать лицу, пописывающему электронный документ показывать содержание информации, которую он подписывает.
2) Создать ЭП только после подтверждения лицом подписывающем документ.
3) Однозначно показать, что ЭП создана.
При проверке ЭП средства ЭП должны показывать содержание документа, информацию об изменениях, указывать на лицо с использованием ключа ЭП которого был подписан документ.
Удостоверяющий центр создает сертификат ключей проверки ЭП и выдает эти сертификаты, устанавливает сроки действия, аннулирует сроки действия. Кроме того, по обращению заявителя выдает средства ЭП, содержащие ключ ЭП и ключ проверки ЭП. Так же удостоверяющий центр должен ввести реестр выданных и аннулированных ключей проверки. Сертификат ключа проверки ЭП должен содержать:
1) Дата начала и окончания срока действия.
2) ФИО для физических лиц, наименование и адрес юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата.
3) Ключ проверки ЭП.
4) Наименование средств ЭП или стандарта, требованиям которого соответствует ключ ЭП и ключ проверки ЭП.
5) Наименование удостоверяющего центра, выдавшего сертификат и иную информацию.
ФЗ о персональных данных от 27 июля 2006 года.
В статье 2 сформулирована цель ФЗ – обеспечение защиты прав и свобод гражданина при обработке персональных данных. В том числе защита прав на прикосновенность частной жизни, личную и семейную тайну.
В 1 статье определяется сфера действия закона. Закон регулирует отношения, связанные с обработкой персональных данных. Во второй части рассматриваются отношения, действия на которые не распространяется.
В статье 3 сформулированы основные определения и понятия, используемые законом.
Статья 14, часть 3 – право субъекта персональных данных на доступ к своим персональным данным.
В статье 17 сформулировано право на обжалование субъекта на действие или бездействие оператора.
Статья 19 регламентирует меры по обеспечению безопасности персональных данных при их обработке. “Оператор при обработке персональных действий принимать действия для защиты персональных данных.”
Статья 21 регламентирует обязанности оператора по устранению нарушений законодательства а так же уничтожению, блокированию персональных данных.
|
|
|
