- •Законодательная и нормативно-правовая база в области защиты информации
- •1.1. Основные документы
- •1.2. Классификация информации
- •1.3. Структура защищаемых документопотоков
- •1.4. Состав технологических этапов и операций по работе с конфиденциальными документами
- •1.5. Подготовка и издание конфиденциальных исходящих документов
- •1.6. Классификации информации по уровням требований к ее защищенности
- •Уровень ущерба по свойствам информации
- •Контрольные вопросы
Законодательная и нормативно-правовая база в области защиты информации
1.1. Основные документы
1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г., № 149-ФЗ.
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Постановление Правительства РФ от 17 ноября 2007 г., № 781.
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г., № 188.
4. Федеральный закон «О персональных данных» от 27 июля 2006 г., № 152-ФЗ.
ФЗ «Об информации, информационных технологиях и о защите информации» Регулирует отношения, возникающие:
при осуществлении права на поиск, получение, передачу, производство и распространение информации;
применении информационных технологий;
обеспечении защиты информации.
Информация является весьма специфическим продуктом. Установление и реализация общих норм, регулирующих отношения по реализации права на информацию разных субъектов и государства, порядок защиты информации как объекта отношений невозможно без четких границ, определяющих сферу информации как объекта права.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Обладателем информации является лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации – это возможность получения информации и её использование.
Информация может являться объектом публичных, гражданских и иных правовых отношений.
Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
В Гражданском кодексе РФ (I часть) [2] законодательно определяется информация как объект права (ст. 128):
«К объектам гражданского права относятся вещи, включая деньги и ценные бумаги; иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе исключительные права на них, нематериальные блага». Само понятие «информация» при этом не раскрывается.
Поэтому, прежде всего, необходимо определиться с понятием «информация». В Законе РФ «Об информации, информатизации и защите информации» [4] указано, что «информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Более точным представляется определение, присутствующее (но не принятое) в одном из проектов изменений этого Закона: «информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, выраженные в какой-либо объективной форме, обеспечивающей возможность их хранения и распространения». Такое определение подчеркивает объективную сущность информации. В зависимости от важности сведений необходимо обеспечивать защиту информации.
Наиболее важными являются сведения, относящиеся к государственной тайне. В Законе «О государственной тайне» [3] дано следующее определение: «государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации».
В соответствии с [3] сведения относятся к гостайне на основании Перечня сведений, составляющих гостайну, приведенного в статье 5 Закона, а также ведомственных Перечней.
В законодательстве предусматривается наличие различного рода сведений, не содержащих гостайну, которые также охраняются законом. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации «О праве граждан на информацию», соответствующие международным нормам в этой области [1].
Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна (ст. 23). Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 24).
Важность защиты конфиденциальной информации неоднократно подчеркивается в Доктрине информационной безопасности РФ [11]:
– задача «создания условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации» относится к национальным интересам;
– получение криминальными структурами доступа к конфиденциальной информации относится к источникам угроз информационной безопасности РФ;
– декларируется необходимость разработки нормативно-правовых актов, устанавливающих ответственность за «противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну»;
– указано, что «основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию»;
– указано, что «основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются: обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности...;
– говорится о необходимости «укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации».
В Законе «Об информации...» [4] впервые вводится понятие конфиденциальной информации. В ст.10 говорится, что «Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную». Кроме того, в законе определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как всякое материальное имущество собственника (ст. 4.1, ст. 6.1). При этом собственнику предоставляется право самостоятельно, в пределах своей компетенции, устанавливать режим защиты информационных ресурсов и доступа к ним (ст. 6.7). Закон устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации» (ст. 2).
В новой редакции проекта Закона [4], представленного на рассмотрение в Госдуму, приведено уточненное, более удачное определение конфиденциальной информации, из которого удалено слово «документированная» и добавлены слова «не содержащая гостайну». Такое же определение приведено и в недавнем Постановлении правительства [36].
Согласно Закону «Об информации...» [4] основными целями защиты информации является:
предотвращение утечки, хищения, искажения, подделки;
предотвращение безопасности личности, государства;
предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;
защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
сохранение государственной тайны,
конфиденциальности документированной информации.
Таким образом, конфиденциальными следует считать такие сведения (информацию), не содержащие гостайну, доступ к которым ограничен в силу закона или которые имеют признаки, определенные законом.