Видеонаблюдение
Домофоны
Системы контроля доступа
Сигнализации
Главная » Блог » Организационно правовое обеспечение информационной безопасности

Организационно правовое обеспечение информационной безопасности


Организационное и правовое обеспечение информационной безопасности

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 05.04.2013) О персональных данных

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных (согласно закону О персональных данных) государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Оператор при обработке персональных данных обязан принимать необходимые правовые , организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Для целей настоящей статьи

под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Пакет документов по защите персональных данных

Положение о защите персональных данных;

Положение о подразделении по защите информации;

Приказ о назначении лиц, ответственных за обработку ПДн;

Концепция информационной безопасности;

Политика информационной безопасности;

Перечень персональных данных, подлежащих защите;

Приказ о проведении внутренней проверки;

Отчет о результатах проведения внутренней проверки;

Акт классификации информационной системы персональных данных;

Положение о разграничении прав доступа к обрабатываемым персональным данным;

Модель угроз безопасности персональных данных;

План мероприятий по защите ПДн;

Порядок резервирования технических средств и программного обеспечения, баз данных и средств защиты информации;

План внутренних проверок;

Журнал учета мероприятий по контролю безопасности ПДн;

Журнал учета обращений субъектов ПДн о выполнении их законных прав;

Инструкция администратора информационной системы персональных данных;

Инструкция пользователя информационной системы персональных данных;

Инструкция администратора безопасности информационной системы персональных данных;

Инструкция пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций;

Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;

Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;

Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники;

Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа);

Методические рекомендации для организации защиты информации при обработке персональных данных.

Этапы работ . Таким образом, организация защиты персональных данных должна производиться в несколько этапов:

Инвентаризация информационных ресурсов.

Ограничение доступа работников к персональным данным.

Документальное регламентирование работы с персональными данными .

Формирование модели угроз безопасности персональных данных.

Классификация информационных систем персональных данных (ИСПДн) образовательных учреждений.

Составление и отправка в уполномоченный орган уведомления об обработке персональных данных.

Приведение системы защиты персональных данных в соответствие с требованиями регуляторов.

Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) для ИСПДн классов К1, К2.

Организация эксплуатации и контроля безопасности ИСПДн.

1. Инвентаризация информационных ресурсов

Инвентаризация информационных ресурсов - это выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных.

На данном этапе следует: утвердить положение о защите персональных данных,сформировать концепцию и определить политику информационной безопасности и составить перечень персональных данных, подлежащих защите.

2. Ограничение доступа работников к персональным данным

Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей.

На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным

3. Документальное регламентирование работы с персональными данными

Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.

Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.

На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.

4. Формирование модели угроз безопасности персональных данных

Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):

Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн;

Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн;

На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательном учреждении.

5. Классификация ИСПДн см. вопрос № 18

6. С оставление и отправка в уполномоченный орган уведомления

Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.

7. Приведение системы в соответствие с требованиями регуляторов

На данном этапе следует: создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.

8 . Аттестация (сертификация) ИСПДн

Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).

Обязательной аттестации подлежат следующие объекты информатизации:

Автоматизированные системы различного уровня и назначения.

Системы связи, приема, обработки и передачи данных.

Системы отображения и размножения.

Помещения, предназначенные для ведения конфиденциальных переговоров.

9. Организация эксплуатации ИСПДн и контроля за безопасностью

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

Ответственность за нарушение ФЗ №152 О персональных данных

Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14

Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90

Уголовная ответственность: от исправительных работ и лишения права тзанимать определенные должности до ареста. Уголовныйкодекс, ст. 137, 140, 272

Правовое обеспечение информационной безопасности»

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства, состав:

I. Информационная безопасность Российской Федерации

  1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение.

  2. Виды угроз информационной безопасности Российской Федерации.

  • Угрозы конституционным правам и свободам человека.

  • Угрозы информационному обеспечению.

  • Угрозы развитию отечественной индустрии информации.

  • Угрозы безопасности информационных и телекоммуникационных средств.

  1. Источники угроз информационной безопасности Российской Федерации внешние и внутренние.

  2. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению Начато формирование базы правового обеспечения информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти

II. Методы обеспечения информационной безопасности Российской Федерации

  1. Общие методы обеспечения информационной безопасности Российской Федерации.

  • Правовые (создание нормативно-правовых актов).

  • Организационно-технические (сертификация, контроль, совершенствование).

  • Экономические(финансирование).

  • Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество.

    III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по её реализации

    1. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации.

    • Соблюдение Конституции Российской Федерации.

    • Соблюдение законодательства Российской Федерации.

    • Соблюдение общепризнанных принципов и норм международного права.

    • Правовое равенство всех участников процесса информационного взаимодействия.

    • Развитие отечественных современных информационных технологий.

  • Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации.

    • Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере.

    • Разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики.

    • Развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.

    IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации

    1. Основные функции системы обеспечения информационной безопасности Российской Федерации.

    • Разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации.

    • Создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере.

    • Оценка состояния информационной безопасности Российской Федерации.

    • Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

    Презентация на тему: Организационное и правовое обеспечение информационной безопасности

    Лекция 1 (Правовое обеспечение ИБ):

    «Введение в дисциплину.

    Информационные отношения

    как объект правового

    регулирования»

    1.Структура и задачи дисциплины.

    2.Структура информационной сферы, характеристика ее элементов.

    3.Информация как объект правоотношений, категории информации.

    4.Система правовой защиты информации.

    5.Понятие и виды защищаемой информации.

    Защита информации представляет собой принятиеправовых,организационных и

    технических мер, направленных на:

    1)обеспечение защиты информации от

    неправомерного доступа, уничтожения,

    модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

    2)соблюдение конфиденциальности

    информации ограниченного доступа;

    3)реализацию права на доступ к информации.

    Структура дисциплины

    Организационное и правовое обеспечение информационной безопасности

    ПРАВОВОЕ ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ОБЕСПЕЧЕНИЕ

    ИНФОРМАЦИОННОЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БЕЗОПАСНОСТИ

    Цель дисциплины - освоение дисциплинарных компетенций по применению комплекса мероприятий в системе защиты информации на основе реализации требований по правовой защите информации и организационному обеспечению информационной безопасности.

    изучение международных правовых документов и законодательства РФ в области обеспечения информационной безопасности;

    изучение правовых основ организации защиты ГТ и КИ, задач органов защиты ГТ и служб защиты информации на предприятиях;

    изучение организации работы и нормативных правовых актов и стандартов по лицензированию деятельности в области обеспечения защиты ГТ, ТЗКИ, по аттестации объектов информатизации и сертификации средств ЗИ;

    приобретение умений в разработке проектов нормативных и организационно-распорядительныхдокументов в области обеспечения информационной безопасности и их применении;

    приобретение навыков работы в организации и обеспечении режима секретности, физической защиты объектов, методах организации работы с персоналом и управлению деятельностью служб ЗИ на предприятии.

    знать:

    основы российской правовой системы и законодательства, правового статуса личности, организации деятельности ОГВ РФ по ЗИ;

    характеристику основных отраслей российского права, правовые основы обеспечения НБ РФ;

    основы организационного и правового обеспечения ИБ, основные нормативные правовые акты в области обеспечения ИБ и нормативные методические документы ФСБ России и ФСТЭК России в области ЗИ;

    правовые основы организации защиты ГТ и КИ, задачи органов защиты ГТ и служб защиты информации на предприятиях;

    порядок работы с персоналом по обеспечения ЗИ ограниченного доступа, проведения мероприятий по физической и технической защите КИ, организации службы безопасности предприятия;

    уметь:

    разрабатывать проекты нормативных и организационнораспорядительных документов, регламентирующих работу по ЗИ;

    анализировать правовые акты и осуществлять правовую оценку информации;

    применять нормативные правовые акты и нормативные методические документы в области обеспечения ИБ;

    предпринимать необходимые меры по восстановлению нарушенных прав;

    определять информационную инфраструктуру и информационные ресурсы организации, подлежащие защите;

    организовывать работы по проверке кандидатов на должность, текущую работу с персоналом по обеспечению информационной безопасности;

    владеть:

    навыками поиска нормативной правовой информации, необходимой для профессиональной деятельности и работы

    с нормативными правовыми актами;

    навыками организации охраны объектов информатизации и обеспечения режима секретности, организации и управления деятельностью службы защиты информации на предприятии;

    навыками работы с персоналом по обеспечению информационной безопасности.

    Литература основная:

    Герасименко В А.. и др. Основы защиты информации М. : Изд-воМИФИ, 1997 .— 537 с.

    Казанцев С.Я. Правовое обеспечение информационной безопасности М. : Академия, 2005 .— 239 с.

    Белов В.В. Интеллектуальная собственность. Законодательство и практика применения М. : Юристъ, 2006 .— 351 с.

    Расторгуев С.П. Информационная война М. : Радио и связь, 1999 .— 415 с.

    Дополнительная литература:

    Бачило И.Л. Информационное право СПб: Изд-воР. Асланова, 2005 — 723 с.

    Тедеев А.А. Информационное право (право Интернета) М. : Эксмо, 2005 — 302 с.

    Данилов А.Н., Шабуров А.С. Правовое обеспечение информационной безопасности ГОУ ВПО «Пермский государственный технический университет», 2007. – 270 с.

    правовое обеспечение иб

    ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

    Информационные ресурсы и процесс информатизации

    Государственная политика в сфере формирования информационных ресурсов и информатизации должна быть направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития страны, в частности:

    • обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;

    • формирование и защита государственных информационных ресурсов;

    • создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве;

    • создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти, организаций и общественных объединений на основе государственных информационных ресурсов;

    • обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;

    • содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

    • формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;

    • поддержка проектов и программ информатизации;

    • создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;

    • развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

    Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование осуществляется в порядке, устанавливаемом органами государственной власти, ответственными за организацию делопроизводства, стандартизацию документов и их массивов.

    Документ, полученный из информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законом. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

    Юридическая сила электронной цифровой подписи признается при наличии в информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии.

    Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений. Отношения по поводу права собственности на информационные ресурсы регулируются соответствующим гражданским законодательством.

    Информационные ресурсы - отдельные Документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

    Информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

    Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

    Физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы на их средства, приобретены ими на законных основаниях, получены в порядке дарения или наследования.

    Государство имеет право выкупа документированной информации у физических и юридических лиц в случае отнесения этой информации к государственной тайне.

    Собственник информационных ресурсов, содержащих сведения, отнесенные к государственной тайне вправе распоряжаться этой собственностью только с разрешения соответствующих органов государственной власти. Субъекты, представляющие в обязательном порядке документированную информацию в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащейся в них. Документированная информация, представляемая в обязательном порядке органы государственной власти и организации юридическими лицами независимо от их организационно правовой формы и форм собственности, а также гражданами на основании закона, формирует информационные ресурсы, находящиеся в совместном владении государства и субъектов, представляющих эту информацию.

    Информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных соответствующим законодательством. Право собственности на средства обработки информации не создает права собственности на информационные ресурсы, принадлежащие другим собственникам. Документы, обрабатываемые в порядке предоставления услужили при совместном использовании этих средств обработки, принадлежат их владельцу. Принадлежность и режим производной продукции, создаваемой в этом случае, ре1улируются договором.

    Государственные информационные ресурсы формируются гражданами, органами государственной власти, органами местного самоуправления, организациями и общественными объединениям.

    Документы, принадлежащие физическим и юридическим лицам, могут быть включены по желанию собственника в состав государственных информационных ресурсов по правилам, установленным для включения документов в соответствующие информационные системы.

    Государственные информационные ресурсы - открыты и общедоступны. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа.

    Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

    Персональные данные относятся к категории конфиденциальной информации. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную или семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

    Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод. Ограничение прав граждан на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

    Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

    Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;

    Информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

    Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность, согласно законодательству, за нарушение режима защиты, обработки и порядка использования этой информации.

    При решении правовых вопросов в процессе внедрения современных информационных технологий, нельзя забывать о возможных нарушениях законных прав и интересов граждан в силу недобросовестного поведения пользователей таких систем, скажем, при несанкционированном использовании информации (неправомочным должностным лицом или посторонним) или ее умышленном искажении.

    Процесс совершенствования демократии предполагает дальнейшее развитие системы гарантий прав личности от возможных злоупотреблений со стороны должностных лиц. Тем более, что в области охраны информации о личности еще имеется ряд пробелов.

    Разумеется, тенденция к расширению числа видов информации о личности, накапливаемых банками данных, носит объективный характер, обусловлена возрастанием роли информации в решении масштабных производственных и социально-культурных задач. Однако представляется очевидным, что собираемые данные должны быть ограничены, во-первых, лишь наиболее необходимыми сведениями, во-вторых, реальной возможностью нанесения вреда законным интересам граждан, о которых информация собирается, должно исключать сбор такой информации.

    Появление крупных электронных информационных систем, накапливающих огромные массивы сведений такого рода, позволяет достаточно конкретно создавать образ человека и разрабатывать соответствующую систему контроля за ним. И не только за отдельным человеком, но и за группой людей.

    В результате ставится под сомнение общепринятый принцип «презумпции невиновности», так как человек, за которым ведется наблюдение незаконно, без его ведома, попадает в положение подозреваемого или даже обвиняемого.

    В плане взаимосвязи обеспечения и законности реализации прав и свобод граждан, а также использования возможностей ЭВТ, следует обратить внимание на опыт развитых стран в этой сфере отношений. Так конгрессом США были приняты соответствующие законы, позволяющие гражданам, средствам массово информации и частным организациям знакомиться с информацией федеральных правительственных учреждений.

    Право граждан затребовать информацию касается документации федеральных органов исполнительно власти: министерств, административных и военных ведомств, правительственных корпораций и иных учреждений. Под действие этих законов не подпадает документация таких выборных должностей, как президент, вице-президент, сенаторы и члены палаты представителей конгресса.

    Кроме того, закон о свободе информации установил ряд ограничений на общие правила, оговорив конкретные категории информации, не выдаваемой гражданам по их запросам. Это:

    • засекреченные документы;

    • внутриведомственные служебные правила, инструкции, предписания;

    • информация, не подлежащая разглашению в соответствии с другими законодательными актами;

    • конфиденциальная деловая информация (коммерческая и финансовая информация о предпринимательской деятельности частных лиц и корпораций);

    • внутриведомственная служебная корреспонденция;

    • информация, затрагивающая частную жизнь человека;

    • информация об оперативной и следственной работе правоохранительных органов;

    • информация финансовых учреждений.

    В тех случаях, когда использование информации может повлечь лишение гражданина прав, льгот или привилегий, гарантируемых федеральными программами социальной помощи, учреждение должно получать информацию по возможности непосредственно от гражданина.

    Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

    Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных Законом;

    Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

    Регламентация доступа к информационным ресурсам

    Пользователи - граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения - обладают равными правами на доступ к государственным информационным ресурсам и не обязаны обосновывать перед владельцем этих ресурсов необходимость получения запрашиваемой ими информации. Исключение составляет информация с ограниченным доступом.

    Доступ физических и юридических лиц к государственным информационным ресурсам является основой осуществления общественного контроля за деятельностью органов государственной власти, органов местного самоуправления, общественных, политических и иных организаций, а также за состоянием экономики, экологии и других сфер общественной жизни.

    Информация, полученная на законных основаниях из государственных информационных ресурсов гражданами и организациями, может быть использована ими для создания производной информации в целях ее коммерческого распространения с обязательной ссылкой на источник информации. Источником прибыли в этом случае является результат труда и вложенных средств при создании производной информации, но не исходная информация.

    Порядок накопления и обработки документированной информации с ограниченным доступом, правила ее защиты и порядок доступа к ней определяются органами государственной власти, ответственными за определенные массивы и вид информации, в соответствии с их компетенцией, либо непосредственно ее собственником, в соответствии с законодательством.

    Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных законами.

    Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных соответствующим законодательством иди собственником этих информационных ресурсов, в соответствии с законодательством. Владелец информационных ресурсов несет юридическую ответственность за нарушение правил работы с информацией в порядке, предусмотренном соответствующим законодательством.

    Информационные системы как объект защиты информации

    Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.

    Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.

    Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства. Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом.

    Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков. Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.

    Средства обеспечения информационных систем и их технологии - программные! технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;

    Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;

    Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам. Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством

    Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в установленном порядке.

    Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется соответствующим законодательством.

    Предназначение вычислительной системы для широкого круга пользователей, создает определенный риск в плане безопасности, поскольку не все клиенты будут выполнять требования по ее обеспечению.

    Порядок хранения носителей информации должен быть четко определен в соответствующем правовом акте и предусматривать полную сохранность носителей информации, удобство отыскания необходимых носителей контроль за работой с информацией, ответственность за несанкционированный доступ к носителям информации с целью снятия с них копий, изменения или разрушения и т.д.

    Можно скрыто получить доступ к информационным архивам, которые концентрируются в одно месте в больших объемах. Кроме того, появилась возможность дистанционного получения информации через терминалы, расположенные в удалении от мест хранения данных. Поэтому для защиты информации требуются принципиально новые методы и средства, разработанные с учетом ценности информации, условий работы, технических и программных возможностей ЭВМ и других средств сбора, передачи и обработки данных. Особые мероприятия защиты необходимы, когда ресурсы ЭВМ используются несколькими абонентами через терминалы в многопрограммном режиме и в режиме разделения времени.

    В этой главе возникает ряд правовых проблем, связанных с массивами информации, сконцентрированных в банках данных, и знаний, представляющих собой общественную и национальную ценность, а их содержание - национальный секрет. Использование такой информации не по назначению наносит значительный ущерб как обществу в целом, так и отдельной личности.

    Уместно обратить внимание на правовые аспекты защиты информации, которые могут возникнуть при недостаточно продуманном или злонамеренном использовании электронно-вычислительной техники. К ним относятся:

    1. Правовые вопросы защиты массивов информации от искажений и установления юридической ответственности по обеспечению сохранности информации. 2. Юридические и технические вопросы зашиты хранящейся информации от несанкционированного доступа к ней, исключающие возможность неправомерного использования ее.

    3. Установление юридически закрепленных норм и методов защиты авторских прав и приоритетов разработчиков программного продукта.

    4. Разработка мероприятий по приданию юридической силы документам, выдаваемым машинами, и формирование юридических норм, определяющих лиц, ответственных за доброкачественность других документов.

    5. Правовая защита интересов экспертов, передающих свои знания в фонды банков данных.

    6. Установление правовых норм и юридической ответственности за использование электронно-вычислительных средств в личных интересах, противоречащих интересам других личностей и общества и могущих нанести им вред.

    Отсутствие надлежащей регистрации и контроля работ, низкая трудовая и производственная дисциплина персонала, доступ посторонних лиц к вычислительным ресурсам создает условия для злоупотреблений и вызывает трудности их обнаружения.

    В каждом вычислительном центре принято устанавливать и строго соблюдать регламент доступа в различные служебные помещения для разных категорий сотрудников.

    Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:

    • доступа к аппаратуре обработки информации;

    • бесконтрольного выноса персоналом различных носителей информации;

    • несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;

    • незаконного пользования системами обработки информации и полученными данными;

    • доступа в системы обработки информации посредством самодельных устройств;

    • неправомочной передачи данных по каналам связи из информационно-вычислительного центра;

    • бесконтрольный ввод данных в систему;

    • обработка данных по заказу без соответствующего требования заказчика;

    • неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

    Целью защиты информации является:

    • предотвращение утечки, хищения, утраты, искажения, подделки информации;

    • предотвращение угроз безопасности личности, общества, государства;

    • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

    • предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

    • обеспечение правового режима документированной информации как объекта собственности;

    • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

    • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

    • гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

    Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

    Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

    Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

    Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

    Собственник документа, массива документов, информационных систем или уполномоченные им лица в соответствии с законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

    Владелец документа, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством.

    Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.

    Защита прав субъектов в сфере формирования информационных ресурсов, пользования ими, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

    Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и на граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров.

    Отказ в доступе к открытой информации или предоставление пользователям заведомо недостоверной информации могут быть обжалованы в судебном порядке.

    Руководители и другие служащие органов государственной власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

    Однако ряд нормативных положений по защите информации в автоматизированных системах, разработанных ранее, не соответствует современным требованиям и современным информационным технологиям. Работы в этом направлении заметно отстают от потребностей и носят однобокий характер (в основном сведены к защите информации от утечки по техническим каналам перехвата).

    Пока еще отсутствует нормативно-правовая и методическая база для построения автоматизированных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.

    При разработке средств защиты возникает ряд проблем правового характера:

    1. Лицензирование деятельности по разработке программно-аппаратных средств цифровой подписи. Система лицензирования направлена на создание условий, при которых право заниматься защитой информации предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

    Смотрите также