Файл: Защиты информации.pdf

218
 при осуществлении права на поиск, получение, переда- чу, производство и распространение информации;
 при применении информационных технологий;
 при обеспечении защиты информации.
Положения закона не распространяются на отношения, возникающие при правовой охране результатов интеллекту- альной деятельности и приравненных к ним средств индиви- дуализации.
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными за- конами России (информация ограниченного доступа). Не мо- жет быть ограничен доступ к следующим видам информации:
 нормативным правовым актам, затрагивающим пра- ва, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и пол- номочия государственных органов, органов местного самоу- правления;
 информации о состоянии окружающей среды;
 информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляю- щих государственную или служебную тайну);
 информации, накапливаемой в открытых фондах би- блиотек, музеев и архивов, а также в государственных, му- ниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
 иной информации, недопустимость ограничения досту- па к которой установлена федеральными законами.
Обязательным является соблюдение конфиденциально- сти информации, доступ к которой ограничен федеральными законами. Защита информации представляет собой принятие правовых, организационных и технических мер, направлен- ных на выполнение следующих требований:

219
 о
беспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информа- ции.
 соблюдение конфиденциальности информации ограни- ченного доступа.
 реализация права на доступ к информации.
Государственное регулирование отношений в сфере за- щиты информации осуществляется путем установления тре- бований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об ин- формации, информационных технологиях и о защите инфор- мации.
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О
персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой феде- ральными органами государственной власти, органами госу- дарственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправ- ления, не входящими в систему органов местного самоуправ- ления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автомати- зации или без использования таких средств, если обработка персональных данных без использования таких средств.
Персональные данные — любая информация, относя- щаяся к определенному или определяемому на основании та- кой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имуще- ственное положение, образование, профессия, доходы, другая информация.
Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных дан- ных, в том числе защиты прав на неприкосновенность част- ной жизни, личную и семейную тайну.

220
Доктрина информационной безопасности Российской
Федерации, утвержденная Президентом Российской Федера- ции 5 декабря 2016 г., представляет собой совокупность офи- циальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Рос- сийской Федерации. Доктрина развивает Концепцию нацио- нальной безопасности Российской Федерации применительно к информационной сфере и служит основой для:
формирования государственной политики в области обеспечения информационной безопасности РФ;
подготовки предложений по совершенствованию пра- вового, методического, научно-технического и организацион- ного обеспечения информационной безопасности РФ;
разработки целевых программ обеспечения информа- ционной безопасности РФ.
Указ Президента Российской Федерации от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденци-
ального характера» утверждает перечень сведений, включа- ющий:
♦ сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его лич- ность (персональные данные), за исключением сведений, под- лежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
♦ сведения, составляющие тайну следствия и судопроиз- водства.
♦ служебные сведения, доступ к которым ограничен орга- нами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами
(служебная тайна).
♦ сведения, связанные с профессиональной деятельно- стью, доступ к которым ограничен в соответствии с Конститу- цией Российской Федерации и федеральными законами (вра- чебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграф- ных или иных сообщений и т. д.).

221
♦ сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами
(коммерческая тайна).
♦ сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации инфор- мации о них.
Положение о порядке обращения со служебной информа-
цией ограниченного распространения в федеральных орга-
нах исполнительной власти (Утверждено Постановлением
Правительства Российской Федерации от 3 ноября 1994 г.
№ 1233) определяет общий порядок обращения с документа- ми и другими материальными носителями информации, со- держащими служебную информацию ограниченного распро- странения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учрежде- ниях и организациях (далее — организациях). Положение не распространяется на порядок обращения с документами, со- держащими сведения, составляющие государственную тайну.
К служебной информации ограниченного распростране- ния относится несекретная информация, касающаяся дея- тельности организаций, ограничения на распространение ко- торой диктуются служебной необходимостью.
При этом, не могут быть отнесены к служебной информа- ции ограниченного распространения:
 акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
 сведения о чрезвычайных ситуациях, опасных природ- ных явлениях и процессах, экологическая, гидрометеороло- гическая, гидрогеологическая, демографическая, санитар- но-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пун- ктов, граждан и населения в целом, а также производствен- ных объектов;

222
 описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;
 порядок рассмотрения и разрешения заявлений, а так- же обращений граждан и юридических лиц;
 решения по заявлениям и обращениям граждан и юри- дических лиц, рассмотренным в установленном порядке;
сведения об исполнении бюджета и использовании дру- гих государственных ресурсов, о состоянии экономики и по- требностей населения;
 документы, накапливаемые в открытых фондах би- блиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Служебная информация ограниченного распространения без санкции соответствующего должностного лица не под- лежит разглашению (распространению). Руководитель фе- дерального органа исполнительной власти в пределах своей компетенции определяет:
• категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распро- странения;
• порядок передачи служебной информации ограниченно- го распространения другим органам и организациям;
• порядок снятия пометки «Для служебного пользования» с носителей информации ограниченного распространения;
• организацию защиты служебной информации ограни- ченного распространения.
Положение о лицензировании деятельности по техни-
ческой защите конфиденциальной информации (Утверждено
Постановлением Правительства РФ от 03.02.2012 № 79) опре- деляет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юри- дическими лицами и индивидуальными предпринимателями.
Под технической защитой конфиденциальной информа- ции понимается комплекс мероприятий и (или) услуг по ее

223
защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию с целью ее уничтожения, искажения или блокирования доступа к ней. Лицензирование деятельно- сти по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экс- портному контролю.
Помимо нормативно-правовых актов, в Российской Фе- дерации используют при обеспечении информационной без- опасности ряд руководящих и нормативно-методических до- кументов.
Положение по аттестации объектов информатизации
по требованиям безопасности информации (Утверждено председателем Государственной технической комиссии при
Президенте Российской Федерации 25 ноября 1994 г.) уста- навливает основные принципы, организационную структуру системы аттестации объектов информатизации по требовани- ям безопасности информации, порядок проведения аттеста- ции, а также контроля и надзора за аттестацией и эксплуата- цией аттестованных объектов информатизации.
Под аттестацией объектов информатизации понимает- ся комплекс организационно-технических мероприятий, в результате которых посредством специального документа
- «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных норматив- но-технических документов по безопасности информации.
Положение о сертификации средств защиты информа-
ции по требованиям безопасности информации (Утверждено приказом председателя Государственной технической комис- сии при Президенте Российской Федерации от 27 октября
1995 г. № 199) устанавливает организационную структуру системы сертификации средств защиты информации по требо- ваниям безопасности информации, функции субъектов серти- фикации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными сред-

224
ствами защиты информации, общие требования к норматив- ным и методическим документам по сертификации средств защиты информации.
Под сертификацией средств защиты информации по тре- бованиям безопасности информации понимается деятельность по подтверждению характеристик средств защиты информа- ции требованиям государственных стандартов или иных нор- мативных документов по защите информации.
В приложениях к положению приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и продление срока действия сертификата, решения по заяв- ке на проведение сертификации (продлению срока действия сертификата), сертификата и лицензии на применение знака соответствия.
Руководящий документ. Защита от несанкциониро-
ванного доступа к информации. Термины и определения.
(Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.) устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного до- ступа к информации. Установленные термины обязательны для применения во всех видах документации.
Специальные требования и рекомендации по техниче-
ской защите конфиденциальной информации. (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282) устанавливают порядок организации работ, требования и ре- комендации по обеспечению технической защиты конфиден- циальной информации на территории Российской Федерации и являются основным руководящим документом в этой обла- сти для федеральных органов государственной власти, орга- нов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учрежде- ний и организаций независимо от их организационно-право- вой формы и формы собственности, должностных лиц и граж- дан Российской Федерации, взявшим на себя обязательства

225
либо обязанным по статусу исполнять требования правовых документов Российской Федерации по защите информации.
Требования и рекомендации настоящего документа рас- пространяются на защиту:
 конфиденциальной информации — информации с огра- ниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащей- ся в государственных (муниципальных) информационных ре- сурсах, накопленной за счет государственного (муниципаль- ного) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая слу- жебную тайну и другие виды тайн в соответствии с законода- тельством Российской Федерации, а также сведения конфи- денциального характера в соответствии с «Перечнем сведений конфиденциального характера», утвержденного Указом Пре- зидента Российской Федерации от 06.03.97 № 188), защита которой осуществляется в интересах государства;
 персональных данных — информации о фактах, собы- тиях и обстоятельствах частной жизни гражданина, позволя- ющей идентифицировать его личность.
Документ определяет следующие основные вопросы защи- ты информации:
 организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
 состав и основное содержание организационно-распоря- дительной, проектной, эксплуатационной и иной документа- ции по защите информации;
 требования и рекомендации по защите речевой инфор- мации при осуществлении переговоров, в том числе с исполь- зованием технических средств;
 требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использовани- ем технических средств;
 порядок обеспечения защиты информации при эксплу- атации объектов информатизации;

226
 особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и инфор- мационные технологии;
 порядок обеспечения защиты информации при взаи- модействии абонентов с информационными сетями общего пользования.
Важное место в системе информационной безопасности занимают стандарты России, касающиеся сферы информаци- онной безопасности.
ГОСТ Р 50922–2006 «Защита информации. Основные
термины и определения» устанавливает основные термины и их определения в области защиты информации. Термины, установленные настоящим стандартом, обязательны для при- менения во всех видах документации и литературы по защи- те информации. Ниже приведены некоторые термины и их определения.
Защищаемая информация — информация, являюща- яся предметом собственности и подлежащая защите в соот- ветствии с требованиями правовых документов или требо- ваниями, устанавливаемыми собственником информации.
Собственником информации может быть государство, юриди- ческое лицо, группа физических лиц, отдельное физическое лицо.