133. Понятие информационной безопасности (ИБ). Основные составляющие (конфиденциальность, целостность, доступность). Статистика нарушений иб


Обзор российского законодательства в области информационной безопасности



страница12/16
Дата29.11.2016
Размер0.62 Mb.
Просмотров4872
Скачиваний0
1   ...   8   9   10   11   12   13   14   15   16

Обзор российского законодательства в области информационной безопасности


Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации.

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс, Федеральные законы "О безопасности" (№ 15-ФЗ от 07.03.2005), "О Государственной тайне" (№ 122-ФЗ от 22.08.2004), "Об информации, информатизации и защите информации" (№ 149-ФЗ от 27.07.2006), "Об участии в международном информационном обмене" (№ 85-ФЗ от 04.07.1996), "О коммерческой тайне" (№98-ФЗ от 29.07.2004), "О персональных данных" (№ 152-ФЗ от 27.07.2006), "О техническом регулировании" (№ 45-ФЗ от 09.05.2005), Доктрина информационной безопасности, Указы Президента и другие нормативные правовые акты Российской Федерации.

Общие правовые основы обеспечения безопасности личности, общества и государства определены в Федеральном законе "О безопасности".Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации.В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности:



  • обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

  • укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

  • запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;

  • защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;

  • обеспечение защиты сведений, составляющих государственную тайну.

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну. Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.



Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273).

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов "О правовой охране программ для электронных вычислительных машин и баз данных" и "Об авторском праве и смежных правах".

Федеральный закон "Об участии в международном информационном обмене" также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства.

на основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом "Об информации, информатизации и защите информации".Данный закон определяет понятие конфиденциальной информации, цели и задачи по ее защите, а также права и обязанности субъектов в области защиты информации. В 2006 г. эти два закона были заменены Федеральным законом "Об информации, информационных технологиях и о защите информации",в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:


  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  • соблюдение конфиденциальности информации ограниченного доступа;

  • реализацию права на доступ к информации.

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 188 от 06.03.1997 г."Об утверждении перечня сведений конфиденциального характера".В соответствии с данным Указом к подобным сведениям отнесены:

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Более подробные сведения об информации, составляющей коммерческую тайну, изложены в Федеральном законе "О коммерческой тайне".

Вопросы защиты персональных данных подробно описаны в Федеральном законе "О персональных данных".

Вопросы отнесения информации к государственной тайне, а также порядок работы и защиты таких данных определены в Федеральном законе "О государственной тайне".

Федеральный закон № 184-ФЗ "О техническом регулировании" регулирует отношения, возникающие при разработке, принятии, применении и исполнении требований к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации продукции, в том числе средств обнаружения атак.

Нормативно-методическую базу, определяющую требования и рекомендации к программно-техническим методам защиты информации в автоматизированных системах, составляют руководящие документы Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК) и государственные стандарты. Так, например, оценка защищенности автоматизированных систем, обрабатывающих информацию ограниченного доступа, осуществляется на основании руководящего документа (РД) ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".При разработке и модернизации средств вычислительной техники необходимо принимать во внимание требования РД ФСТЭК "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" и ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".

Еще одним нормативным документом ФСТЭК, который может применяться по отношению к средствам защиты от информационных атак, является РД "Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)".

При использовании персональных и корпоративных межсетевых экранов для защиты от информационных атак необходимо учитывать требования РД ФСТЭК "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации",а также "требования ФСБ к устройствам типа межсетевые экраны".Данные нормативные документы классифицируют межсетевые экраны на пять различных классов в зависимости от категории информации, для защиты которой они предназначены. При этом каждый класс экранов характеризуется своим набором функциональных требований по защите информации.

Порядок организации работ с государственной конфиденциальной информацией определяется в нормативно-методическом документе ФСТЭК"Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)".

Обеспечение информационной безопасности при подключении к глобальным сетям общего пользования регламентируется решением ФСТЭК "О защите информации при вхождении России в международную информационную систему "Интернет"" от 21 октября 1997 г. №61 и указом Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" от 12 мая 2004 г. № 611. Согласно этим документам субъектам международного информационного обмена в Российской Федерации запрещается подключение к сети Интернет автоматизированных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается конфиденциальная информация, а также данные, содержащие сведения, составляющие государственную тайну. При этом владельцам открытых и общедоступных государственных информационных ресурсов разрешается осуществлять их включение в состав сетей связи общего пользования только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность. К таким сертифицированным средствам относятся, в том числе и системы обнаружения атак.

В России также было принято несколько государственных стандартов (ГОСТ), включающих термины и определения к ним, а также общие положения в области информационной безопасности. К таким стандартам относятся ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" и ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".





Поделитесь с Вашими друзьями:
1   ...   8   9   10   11   12   13   14   15   16


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал