законодательные акты в области защиты информации
Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию
В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.
Ключевые моменты закона об информационной безопасности:
152-ФЗ «О персональных данных»
Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»
Ключевые моменты закона:
При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
98-ФЗ «О коммерческой тайне»
Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.
Ключевые моменты закона о защите информации компании:
63-ФЗ «Об электронной подписи»
Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона:
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Ключевые моменты закона об информационной безопасности критически важных структур:
Законодательные акты в области защиты информации
ЗАКОНОДАТЕЛЬНЫХ И ИНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ
РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И ЗАЩИТЫ ИНФОРМАЦИИ
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 9 февраля 2009 г. N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»;
Федеральный закон от 5 апреля 2013 г. N 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
Указ Президента Российской Федерации от 7 мая 2018 г. N 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года»;
постановление Правительства Российской Федерации от 24 мая 2010 г. N 365 «О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов»;
постановление Правительства Российской Федерации от 25 апреля 2012 г. N 394 «О мерах по совершенствованию использования информационно-коммуникационных технологий в деятельности государственных органов»;
постановление Правительства Российской Федерации от 26 июня 2012 г. N 644 «О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов»;
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
постановление Правительства Российской Федерации от 30 января 2013 г. N 62 «О национальном фонде алгоритмов и программ для электронных вычислительных машин»;
постановление Правительства Российской Федерации от 10 июля 2013 г. N 583 «Об обеспечении доступа к общедоступной информации о деятельности государственных органов и органов местного самоуправления в информационно-телекоммуникационной сети «Интернет» в форме открытых данных»;
постановление Правительства Российской Федерации от 24 ноября 2014 г. N 1240 «О некоторых вопросах по обеспечению использования сети передачи данных органов власти»;
постановление Правительства Российской Федерации от 5 июня 2015 г. N 553 «Об утверждении Правил формирования, утверждения и ведения плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд, а также требований к форме плана-графика закупок товаров, работ, услуг для обеспечения федеральных нужд»;
постановление Правительства Российской Федерации от 5 июня 2015 г. N 554 «О требованиях к формированию, утверждению и ведению плана-графика закупок товаров, работ, услуг для обеспечения нужд субъекта Российской Федерации и муниципальных нужд, а также о требованиях к форме плана-графика закупок товаров, работ, услуг»;
постановление Правительства Российской Федерации от 6 июля 2015 г. N 675 «О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации»;
постановление Правительства Российской Федерации от 6 июля 2015 г. N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»;
постановление Правительства Российской Федерации от 14 ноября 2015 г. N 1235 «О федеральной государственной информационной системе координации информатизации»;
постановление Правительства Российской Федерации от 16 ноября 2015 г. N 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;
постановление Правительства Российской Федерации от 5 мая 2016 г. N 392 «О приоритетных направлениях использования и развития информационно-коммуникационных технологий в федеральных органах исполнительной власти и органах управления государственными внебюджетными фондами и о внесении изменений в некоторые акты Правительства Российской Федерации»;
постановление Правительства Российской Федерации от 8 июня 2018 г. N 658 «О централизованных закупках офисного программного обеспечения, программного обеспечения для ведения бюджетного учета, а также программного обеспечения в сфере информационной безопасности»;
распоряжение Правительства Российской Федерации от 10 июля 2013 г. N 1187-р «О перечнях информации о деятельности государственных органов, органов местного самоуправления, размещаемой в сети «Интернет» в форме открытых данных»;
распоряжение Правительства Российской Федерации от 30 января 2014 г. N 93-р «Концепция открытости федеральных органов исполнительной власти»;
иные национальные стандарты Российской Федерации в сфере информационных систем и проектов;
иные нормативные правовые акты, принятые в целях создания и развития информационного общества в Российской Федерации, информатизации процессов управления в государственных органах, роста предоставляемой государственными органами информационной сферы услуг, а также в целях координации мероприятий по информатизации.
Законодательные акты в области защиты информации
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция)
27 июля 2006 года N 149-ФЗ
ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
И О ЗАЩИТЕ ИНФОРМАЦИИ
Список изменяющих документов
(в ред. Федеральных законов от 27.07.2010 N 227-ФЗ,
от 06.04.2011 N 65-ФЗ, от 21.07.2011 N 252-ФЗ, от 28.07.2012 N 139-ФЗ,
от 05.04.2013 N 50-ФЗ, от 07.06.2013 N 112-ФЗ, от 02.07.2013 N 187-ФЗ,
от 28.12.2013 N 396-ФЗ, от 28.12.2013 N 398-ФЗ, от 05.05.2014 N 97-ФЗ,
от 21.07.2014 N 222-ФЗ, от 21.07.2014 N 242-ФЗ, от 24.11.2014 N 364-ФЗ,
от 31.12.2014 N 531-ФЗ, от 29.06.2015 N 188-ФЗ, от 13.07.2015 N 263-ФЗ,
от 13.07.2015 N 264-ФЗ, от 23.06.2016 N 208-ФЗ, от 06.07.2016 N 374-ФЗ,
от 19.12.2016 N 442-ФЗ, от 01.05.2017 N 87-ФЗ, от 07.06.2017 N 109-ФЗ,
от 18.06.2017 N 127-ФЗ, от 01.07.2017 N 156-ФЗ, от 29.07.2017 N 241-ФЗ,
от 29.07.2017 N 276-ФЗ, от 29.07.2017 N 278-ФЗ, от 25.11.2017 N 327-ФЗ,
от 31.12.2017 N 482-ФЗ, от 23.04.2018 N 102-ФЗ, от 29.06.2018 N 173-ФЗ,
от 19.07.2018 N 211-ФЗ, от 28.11.2018 N 451-ФЗ, от 18.12.2018 N 472-ФЗ,
от 18.03.2019 N 30-ФЗ, от 18.03.2019 N 31-ФЗ, от 01.05.2019 N 90-ФЗ,
от 02.12.2019 N 426-ФЗ, от 02.12.2019 N 427-ФЗ, от 27.12.2019 N 480-ФЗ,
от 03.04.2020 N 105-ФЗ, от 08.06.2020 N 177-ФЗ, от 29.12.2020 N 479-ФЗ,
от 30.12.2020 N 530-ФЗ, от 09.03.2021 N 39-ФЗ, от 09.03.2021 N 43-ФЗ,
от 11.06.2021 N 170-ФЗ, от 01.07.2021 N 260-ФЗ, от 01.07.2021 N 261-ФЗ,
от 01.07.2021 N 266-ФЗ, от 01.07.2021 N 288-ФЗ, от 02.07.2021 N 355-ФЗ)
Нормативно-правовые акты информационной безопасности
Защита данных
на базе системы
Б езопасность отдельных граждан, различных организаций и всего государства во многом зависит от уровня информационной защищенности. Развитие компьютерных технологий требует повышенного внимания к обеспечению безопасного хранения и передачи информации, разглашение которой недопустимо. Службы, отвечающие за организацию информационной безопасности, в своей деятельности опираются на законодательные нормы и правила, а также статьи Уголовного кодекса, касающиеся области защиты информации.
В нормативно-правовых документах предусмотрены меры «ограничительной» и «созидательной» направленности. «Ограничительные» меры касаются ответственности и наказания за нарушение правил и норм безопасности. «Созидательные» связаны с повышением осведомленности граждан в данной сфере, а также разработкой и распространением различных защитных технологий и средств.
Виды юридических документов, посвященных защите информации
Юридическую документацию, касающуюся защиты секретных сведений, подразделяют на следующие виды:
Содержание законов, касающихся охраны секретных материалов
Здесь оговорена структура и направление деятельности информационных служб, определены права и обязанности граждан, организаций и государственных органов, владеющих коммерческими или государственными тайнами.
Нормативно-правовая документация устанавливает порядок хранения данных на бумажных и электронных носителях, подтверждает право собственности физических и юридических лиц на отдельные виды конфиденциальной информации.
В нормативных актах оговаривается степень секретности различных видов информации по уровню ее доступности, а также определяются особенности правовой защиты.
В юридических постановлениях говорится о том, что компания-владелец секретных сведений обладает следующими правами:
Если материалы, которыми по роду своей деятельности владеют физические или юридические лица, имеют отношение к безопасности государства, то владелец может распоряжаться ими только с разрешения государственных органов безопасности.
Документация государственной важности содержит сведения ограниченного доступа. Они хранятся в специальных фондах, секретных архивах или информационных системах органов власти. Здесь находятся сведения о чрезвычайных происшествиях, экологической или демографической ситуации в стране.
В соответствии с законом РФ «О государственной тайне» к особо охраняемым материалам относятся сведения из области военной, разведывательной и оперативно-розыскной деятельности.
В законах оговариваются меры, обеспечивающие защиту сведений, касающихся государственной внешней политики, а также экономики, науки и техники.
В Указе № 188 Президента РФ от 6 марта 1997 года говорится об охране конфиденциальной информации, к которой относятся:
В законодательных актах говорится о требованиях к защите документов, носителей и реквизитов (паролей, ключей), позволяющих проникнуть в информационную систему.
В нормативах, посвященных мерам обеспечения безопасности информации, говорится о порядке использования программно-технических, криптографических, организационных и других средств.
Нормативно-правовая документация и законы, связанные с защитой информации, являются основой для разработки методов обеспечения ее конфиденциальности. В защите от посягательства злоумышленников нуждаются данные частного характера, служебные и коммерческие секреты, а также государственные тайны.
Законодательством предусмотрены нормы и требования к обеспечению информационной защиты, а также меры наказания за их несоблюдение.