Правовые способы защиты информации в Росии

 

Задача 1                       Правовые способы защиты информации в России

 

С течением времени у человечества появляется все больше новых объектов, нуждающихся в защите путем закрепления  соответствующих норм в законе. Основной объект на сегодняшний день – это  информация. В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине  данные сами по себе приобретают высокую  ценность. И тем больше цена полезной информации, чем выше ее сохранность.

Законодательными  актами, как в России, так и  зарубежных стран предусматривают  немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

Отличительной особенностью современности является переход от индустриального общества к информационному, в котором главным ресурсом становится информация. В этой связи информационная сфера, представляющая собой специфическую сферу деятельности субъектов общественной жизни, связанную с созданием, хранением, распространением, передачей, обработкой и использованием информации, является одной из важнейших составляющих не только России, но и современного общества любого развивающегося государства.

Проникая  во все сферы деятельности общества и государства, информация приобретает  конкретные политические, материальные и стоимостные выражения. С учетом усиления роли информации на современном  этапе, правовое регулирование общественных отношений, возникающих в информационной сфере, является приоритетным направлением процесса нормотворчества в Российской Федерации (РФ), целью которого является обеспечение информационной безопасности государства.

Конституция РФ является основным источником права  в области обеспечения информационной безопасности в России.

Согласно  Конституции РФ:

каждый имеет  право на неприкосновенность частной  жизни, личную и семейную тайну, на тайну  переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23);

сбор, хранение, использование и распространение  информации о частной жизни лица без его согласия не допускаются (статья 24);

каждый имеет  право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, перечень сведений, составляющих государственную  тайну, определяется федеральным законом (статья 29);

каждый имеет  право на достоверную информацию о состоянии окружающей среды (статья 42).

Основоположным  законодательным актом в России, регулирующим отношения в информационной сфере (в том числе связанные  с защитой информации), является Федеральный закон «Об информации, информатизации и защите информации», принятый в 1995 году.

Предметом регулирования  данного Закона являются общественные отношения, возникающие в трех взаимосвязанных  направлениях:

формирование  и использование информационных ресурсов;

создание  и использование информационных технологий и средств их обеспечения;

защита информации, прав субъектов, участвующих в информационных процессах и информатизации.

 Согласно  статье 2 Закона «Об информации, информатизации  и защите информации» , информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Глава 5 Закона «Защита информации и прав субъектов  в области информационных процессов  и информатизации» является «базовой»  для российского законодательства в области защиты информации.

Основными целями защиты информации являются:

предотвращение  утечки, хищения, утраты, искажения  и подделки информации (защите подлежит любая информация, в том числе  и открытая);

предотвращение  угроз безопасности личности, общества и государства (то есть защита информации является одним из способов обеспечения  информационной безопасности РФ);

защита конституционных  прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение  государственной тайны, конфиденциальности документированной информации в  соответствии с законодательством.

Одним из наиболее важных пунктов является законная обоснованность существования, пользования и свободного и беспрепятственного распространения  информации по территории России в  основном при помощи СМИ (или информатизации), являющихся ведущим каналом реализации конституционного права на информацию.

Право граждан  на информацию является одним из важнейших  политических и личных прав и возможностей человека и гражданина. Конституция  Российской Федерации в ст.29 п.4 устанавливает, что каждый имеет право свободно искать, получать, передавать, производить  и распространять информацию любым  законным способом. Однако особо оговаривается, что перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Согласно  ФЗ "О средствах массовой информации", «в Российской Федерации поиск, получение, производство и распространение массовой информации, учреждение средств массовой информации, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции СМИ, не подлежат ограничениям, за исключением предусмотренных законодательством Российской Федерации о средствах массовой информации».

Такое правовое положение подтверждено и Конституцией РФ, в которой Глава 2 "Права  и свободы человека и гражданина" статья 23.2 (Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений…). А статьи 29.1 и 29.5 прокламируют гарантию свободы человека и гражданина на массовую и личную информацию и запрет цензуры. В нашем государстве  иначе быть не может, так как оно  демократическое и светское.

 Право человека и гражданина на информацию закреплено не только Конституцией России, но и Нормативно - правовыми актами, как то: Федеральный закон "Об информации, информационных технологиях и защите информации", закон "О СМИ", "Об обеспечении доступа к информации о деятельности органов государственной власти" и другие НПА президента РФ, субъектов РФ.

В соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001:

 Положение разработано в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), и устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

1.2. К методам  и способам защиты информации  в информационных системах относятся:

методы и  способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в  том числе случайного, доступа  к персональным данным, результатом  которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных  действий (далее - методы и способы  защиты информации от несанкционированного доступа);

методы и  способы защиты речевой информации, а также информации, представленной в виде информативных электрических  сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом  которого может стать копирование, распространение персональных данных, а также иных несанкционированных  действий (далее - методы и способы  защиты информации от утечки по техническим  каналам).

1.3. Для выбора  и реализации методов и способов  защиты информации в информационной  системе оператором или уполномоченным  лицом может назначаться структурное  подразделение или должностное  лицо (работник), ответственные за  обеспечение безопасности персональных  данных.

Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном  порядке лицензию на осуществление  деятельности по технической защите конфиденциальной информации.

1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный N 11462).

Модель угроз  разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства  Российской Федерации от 17 ноября 2007 г. N 781.

1.5. Выбранные  и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

 Методы и способы защиты информации от несанкционированного доступа

2.1. Методами  и способами защиты информации  от несанкционированного доступа  являются:

реализация  разрешительной системы допуска  пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку  персональных данных, а также хранятся носители информации;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних  лиц;

учет и  хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

резервирование  технических средств, дублирование массивов и носителей информации;

использование средств защиты информации, прошедших  в установленном порядке процедуру  оценки соответствия;

использование защищенных каналов связи;

размещение  технических средств, позволяющих  осуществлять обработку персональных данных, в пределах охраняемой территории;

организация физической защиты помещений и собственно технических средств, позволяющих  осуществлять обработку персональных данных;

предотвращение  внедрения в информационные системы  вредоносных программ (программ-вирусов) и программных закладок.

2.2. В системе  защиты персональных данных информационной  системы в зависимости от класса  информационной системы и исходя  из угроз безопасности персональных  данных, структуры информационной  системы, наличия межсетевого  взаимодействия и режимов обработки  персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Методы и  способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения  целостности, анализа защищенности, обеспечения безопасного межсетевого  взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в  соответствии с приложением к  настоящему Положению.

2.3. В информационных  системах, имеющих подключение к  информационно-телекоммуникационным  сетям международного информационного  обмена (сетям связи общего пользования), или при функционировании которых  предусмотрено использование съемных  носителей информации, используются средства антивирусной защиты.

 

2.4. При взаимодействии  информационных систем с информационно-телекоммуникационными  сетями международного информационного  обмена (сетями связи общего пользования)  наряду с методами и способами,  указанными в пункте 2.1  Положения,  основными методами и способами  защиты информации от несанкционированного  доступа являются: