 |
Важнейшие законодательные акты в области защиты информации
|
|
|
|
3.2.1. Закон РФ «О государственной тайне»”
Закон Российской Федерации от 21 июля 1993 года № 5485-1 «О государственной тайне» с изменениями и дополнениями, внесенными Федеральным законом от 6 октября 1997 года № 131-ФЗ «О внесении изменений и дополнений в Закон Российской Федерации «О государственной тайне», регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
Положения Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами представительной, исполнительной и судебной властей (далее — органы государственной власти), местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне (статья 1).
В Законе используются следующие основные понятия:
· государственная тайна —защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно—розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
· носители сведений, составляющих государственную тайну, — материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
|
|
|
· система защиты государственной тайны — совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
· допуск к государственной тайне — процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений;
· доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;
· гриф секретности — реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;
· средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации «О безопасности» и включает настоящий Закон, а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны (статья 3).
В Законе определяются и законодательно закрепляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты (статья 4), а также определяется в общем виде перечень сведений, которые могут быть отнесены к государственной тайне (раздел 2 Закона № 5485-1 с изменениями, внесенными статьей 6 Закона № 131-ФЗ).
Засекречивание сведений и их носителей — введение в предусмотренном Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Засекречивание сведений осуществляется в соответствии с принципами законности, обоснованности и своевременности.
|
|
|
Законность засекречивания сведений заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 Закона и законодательству Российской Федерации о государственной тайне.
Обоснованность засекречивания сведений заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан.
Своевременность засекречивания сведений заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью.
Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).
Отнесение сведений к государственной тайне осуществляется руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Распоряжением Президента РФ от 30 мая 1997 года № 226-рп. Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.
Закон четко определяет сведения, не подлежащие засекречиванию (статья 7):
· о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
· о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
|
|
|
· о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
· о фактах нарушения прав и свобод человека и гражданина;
· о размерах золотого запаса и государственных валютных резервах Российской Федерации;
· о состоянии здоровья высших должностных лиц Российской Федерации;
· о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суде.
В Законе устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».
Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
Статья 12 Закона определяет реквизиты носителей сведений, составляющих государственную тайну. На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
· о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;
· об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;
· о регистрационном номере;
· о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.
|
|
|
Раздел VI, статья 20 Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации, следующие организации:
· межведомственную комиссию по защите государственной тайны;
· органы федеральной исполнительной власти (Министерство безопасности Российской Федерации, правопреемником которого является Федеральная служба безопасности России, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах);
· органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке. Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством Российской Федерации.
Допуск должностных лиц и граждан к государственной тайне предусматривает:
· принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;
· согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона;
· письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;
· определение видов, размеров и порядка предоставления льгот, предусмотренных настоящим Законом;
· ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение;
· принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.
Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо.
Закон (статья 27) определяет порядок допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну и порядок сертификации средств защиты информации (статья 28).
Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.
|
|
|
Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию.
Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий:
· выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
· наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
· наличие у них сертифицированных средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Федеральную службу безопасности Российской Федерации, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации.
Координация работ по организации сертификации средств защиты информации возлагается на Межведомственную комиссию по защите государственной тайны.
Закон РФ “Об информации, информатизации и защите информации”
Федеральный закон от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации» (далее для краткости — «Закон об информации») является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
В соответствие с этим Законом должны быть приведены ранее изданные Президентом Российской Федерации и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).
Закон гласит:
· информационные ресурсы делятся на государственные и негосударственные (статья 6, часть 1);
· государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации (статья 7, часть 1);
· государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (статья 10, часть 1);
· документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (статья 10, часть 2);
· конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);
· персональные данные о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).
Из содержания Закона следует:
· информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;
· категория «конфиденциальная информация», в соответствии с понятием, приведенным выше из статьи 2 «Закона об информации», объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание - статья 10, часть 2 указанного Закона). Этому положению «Закона об информации» не соответствует статья 8 Федерального закона «Об участии в международном информационном обмене» (1996 год), в которой делается ссылка на государственную тайну «или иную конфиденциальную информацию» (то есть информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации).
Все категории государственных информационных ресурсов можно представить следующим образом:
· открытая общедоступная информация во всех областях знаний и деятельности;
· информация с ограниченным доступом:
· информация, отнесенная к государственной тайне;
· конфиденциальная информация;
· персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом)
В соответствии с «Законом об информации» режим защиты информации устанавливается (статья 21):
· в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
· в отношении конфиденциальной информации - собственником информационных ресурсов или уполномоченным лицом на основании «Закона об информации»;
· в отношении персональных данных - отдельным федеральным законом.
Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие.
Категория «служебная тайна» ранее применялась для обозначения сведений ведомственного характера с грифом «секретно», и за ее разглашение предусматривалась уголовная ответственность. В настоящее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с принятием в июле 1993 года Закона «О государственной тайне» по двум причинам:
· во-первых, информация с грифом «секретно» теперь составляет государственную тайну;
· во-вторых, применение грифов секретности для других категорий информации не допускается в соответствии со статьей 8 Закона «О государственной тайне».
Вместе с тем Гражданским кодексом Российской Федерации, введенным в действие с 1995 г., предусмотрена категория «служебная тайна» в сочетании с категорией «коммерческая тайна». Статья 139 Кодекса гласит:
1. Информация составляет служебную или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Из этого следует, что произошло изменение содержания категории «служебная тайна»: с января 1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) следует понимать служебную информацию в государственных структурах, имеющую коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф «конфиденциально» или иной гриф (к примеру, «для служебного пользования», применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233).
Такая трактовка категории «служебная тайна» соответствует проекту Федерального закона «О коммерческой тайне», где предусмотрено при передаче информации с грифом “коммерческая тайна” в государственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона).
За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом Российской Федерации не предусмотрена, в отличие от коммерческой тайны (статья 183).
Кроме того, Федеральный закон от 6 мая 1998 года № 69-ФЗ «О внесении изменений и дополнений в статью 15 Кодекса законов о труде Российской Федерации» (СЗ РФ № 19-98, ст. 2065) дополнил статью 15 Кодекса частью второй следующего содержания: «В случаях, предусмотренных федеральными законами и иными нормативными правовыми актами Российской Федерации, в трудовом договоре могут содержаться условия неразглашения работником сведений, составляющих служебную или коммерческую тайну, ставших известными работнику в связи с исполнением им своих должностных обязанностей».
Следует подчеркнуть, что в одном и том же органе государственной власти (управления), в государственной или коммерческой организации могут циркулировать несколько видов информации, как своей, так и «чужой», то есть других собственников информации, которые передали ее им в установленном порядке. К примеру, в Центральном банке России — это государственная тайна, конфиденциальная информация (в том числе служебная тайна), банковская тайна, коммерческая тайна коммерческих банков. В коммерческом банке — это государственная тайна и конфиденциальная информация, переданные ему государственными органами или организациями в установленном порядке; банковская тайна, коммерческая тайна о его коммерческой деятельности. При этом следует подчеркнуть, что охрана в кредитных организациях, в Центральном банке России тайны об операциях, о счетах и вкладах клиентов и корреспондентов (банковская тайна), а также иных сведений, устанавливаемых кредитной организацией, предусмотрено статьей 26 Федерального закона «О банках и банковской деятельности». Под иными сведениями понимаются сведения о «производственной» (коммерческой) деятельности соответствующей организации, не подпадающие под понятие банковской тайны, но так же, как и она, не подлежащие по решению этой организации широкому распространению. Очевидно, что организация защиты информации в государственных и коммерческих кредитных организациях имеет свою специфику и требует единого подхода и координации со стороны Центрального банка России.
Основными задачами системы защиты информации, нашедшими отражение в Законе «Об информации, информатизации и защите информации», являются:
· предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п., вмешательства в информацию и информационные системы;
· сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;
· сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;
· обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;
· сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;
· соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.
Статья 19 Закона устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания граждан и организаций, а также обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации.
Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются:
· предотвращение утечки, хищения, утраты, искажения и подделки информации;
· предотвращение угроз безопасности личности, общества и государства;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
· защита конституционных прав на сохранение личной тайны и конфиденциальности персональных сведений;
· сохранение государственной тайны и конфиденциальности информации.
Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, на органы государственной власти. Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы:
· информацию, составляющую государственную тайну;
· конфиденциальную информацию;
· персональные данные о гражданах.
При этом контроль в равной степени должен охватывать и негосударственные структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.
Очень важна статья 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации. Пунктом 3 риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (владельца) систем и средств. Риск, связанный с использованием информации, полученной из таких систем, относится на потребителя информации. Пункт 4 устанавливает право собственника документов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
Статья 23 Закона посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.
|
|
|
