Нормативно-правовые акты в области защиты информации

Базовым принципом построения системы ИБ является принцип законности. Этот принцип является конституционным, т.е. основанным на конституционных нормах. В соответствии с ним, меры по обеспечению безопасности должны разрабатываться на основе и в рамках действующих правовых актов. Локальные правовые акты не должны противоречить федеральным законам и подзаконным актам. Основой для реализации данного принципа является нормативно-правовая и нормативно-техническая база в области защиты информации.

Нормативно-правовую базу регулирующие правовые отношения в области защиты информации (ЗИ) составляют следующие документы федерального уровня:

• Федеральные законы.
• Указы президента Российской Федерации.
• Постановления правительства Российской Федерации.

Нормативно-техническую базу составляют документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты:

• Национальные стандарты Российской Федерации.
• Требования и рекомендации по защите информации.
• Нормативные и методические документы, определяющие критерии эффективности защиты информации и порядок их контроля.

Структура государственных стандартов, используемых в области защиты информации.

§ Стандарты, определяющие терминологию и общие положения по организации защиты информации. Рекомендации по стандартизации.

§ Комплекс стандартов и руководящих документов Госстандарта России на автоматизированные системы.

§ Критерии оценки безопасности информационных технологий («Общие критерии»).

§ Стандарты, определяющие общие требования по защите информации при ее обработке средствами вычислительной техники (СВТ) от утечки по каналам ПЭМИН (побочные электромагнитные излучения и наводки) и методы испытаний.

§ Стандарты по ЭМС[10], определяющие предельно допустимые уровни создаваемых техническими средствами (ТС) помех (ПЭМИН) и методы их испытаний.

§ Стандарты, определяющие методы измерения шума на рабочих местах.

§ Стандарты Единой системы конструкторской документации (ЕСКД).

§ Нормы проектирования помещений для хранения секретных документов и работы с ними (строительные нормы и правила - СНиП 2.01.50-83).

Основные положения нормативных правовых актов в области защиты информации.

§ Установление прав и обязанностей субъектов правоотношений в области информатизации и защиты информации.

§ Разделение информации в зависимости от категории доступа к ней на общедоступную и ограниченного доступа.

§ Обязательность соблюдения конфиденциальности информации ограниченного доступа.

§ Условия отнесения информации к различным видам тайн, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

§ Государственное регулирование отношений в сфере ЗИ путем установления требований к защите информации, а также ответственности за нарушения законодательства РФ об информации, информационных технологиях и защите информации.

§ Порядок организации работ по защите информации, структуру и основные функции государственной системы защиты информации от утечки по техническим каналам.

Документом, регулирующем отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, а также при применении информационных технологий и при обеспечении ЗИ является Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации».

Правовое регулированиеотношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

- обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

- формирование и защита государственных информационных ресурсов;

- создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;

- создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;

- обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

- содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития ИТ;

- поддержка проектов и программ информатизации;

- создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

- развитие законодательства в сфере информационных процессов, информатизации и ЗИ.

Ограничение доступа к информации (возможность получения информации и ее использование), устанавливается ФЗ РФ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Требования о ЗИ, содержащейся в государственных ИС, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической ЗИ, в пределах их полномочий. При создании и эксплуатации государственных ИС, используемые в целях ЗИ методы и способы ее защиты должны соответствовать указанным требованиям.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Принятие правовых, организационных и технических мер направленно: на обеспечение ЗИ от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; на соблюдение конфиденциальности информации ограниченного доступа; на реализацию права на доступ к информации.

Нарушение требований в сфере информации, информационных технологий и защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.