Порядок правовой защиты информации.
Этим же законом (ст.2) вводится определение "документированная информация" - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
Информация, в зависимости от категории доступа к ней, подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Информация, в зависимости от порядка ее предоставления или распространения, подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
2. Законодательное определение понятий информация и защищаемая информация. Структура информационных ресурсов по праву собственности
Базовый закон в области информатизации и ЗИ - "Об информации, информационных технологиях и о защите информации" (149-ФЗ от 27.07.2006) определяет понятие информация как сведения (сообщения, данные) независимо от формы их представления (ст.2)
Статья 16 Закона гласит: "Обладатель информации, оператор информационной системы в случаях, установленных законодательством, обязаны обеспечить: … предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
|
|
|
Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите в составе государственного имущества.
Информационные ресурсы физических и юридических лиц, созданные или приобретенные на законных основаниях за счет средств собственных бюджетов, являются их собственностью, учитываются на праве материального имущества и могут быть переданы на возмездной или безвозмездной основе другим физическим и юридическим лицам или государству на праве собственности, владения или пользования.
3. Виды нормативно-правовых актов
Иерархия нормативно-правовых актов в области ЗИ
Нормативно-правовой акт - письменный документ компетентного органа государственной власти, которым устанавливаются, изменяются или отменяются нормы права, содержащие правила общего характера. Является основным источником права.
Все нормативно-правовые акты связаны между собой, располагаются в
|
|
|
определенной системе, подчинены друг другу или соотносятся друг с другом.
Законодательные акты - нормативно-правовые акты, обладающие высшей юридической силой, принятые органом законодательной власти или референдумом в установленном Конституцией порядке. По значимости содержащихся в них норм делятся на конституционные и текущие (обыкновенные).
Особой разновидностью текущих законов являются органические (кодифицированные) законы и чрезвычайные законы.
Подзаконные нормативно-правовые акты - правовые акты, изданные в пределах компетенции исполнительным органом госвласти, имеющие более низкую юридическую силу, чем законы. К ним относятся указы Президента, постановления и распоряжения Правительства, акты министерств, госкомитетов и др. органов исполнительной власти, а также постановления палат Федерального Собрания РФ, решения судов.
Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления, тяжесть деяния, меру ответственности за его совершение.
Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующих гос. ведомств и обязательны для выполнения всеми госслужащими соответствующих структур.
|
|
|
Региональные законодательные акты регламентируют жизнедеятельность в рамках соответствующего региона, являются обязательными для гос. органов, физических и юридических лиц, действующих на соответствующей территории субъекта федерации.
Как же ориентироваться в мире законодательства в области защиты информации?
Все существующее многообразие юридических документов можно структурировать по их назначению в виде таблицы:
| Законодательные акты | ||||||
| Базовые законы в области информатизации | ||||||
| Законодательные акты о режимах отдельных видов информации | Законодательные акты об отдельных видах информационного обеспечения | Законодательные акты об информационном обмене | ||||
| Правовые акты | ||||||
| Уголовное право | Гражданское право | Административное право | Трудовое право | |||
| Подзаконные акты | ||||||
| Указы президента | Постановления правительства | Распоряжения президента, распоряжения правительства | ||||
| Государственные стандарты | ||||||
| Ведомственные нормативные акты | ||||||
| Руководящие документы | Положения | Методические документы | Перечни | Письма | Инструкции, наставления | |
| Региональные законодательные акты | ||||||
| Региональные законы | Постановления главы администрации | Распоряжения главы администрации | Руководящие документы | |||
Законодательные акты определяют понятия, структуру, порядок деятельности, требования, права и обязанности субъектов деятельности и являются обязательными для безусловного выполнения гражданами, организациями независимо от формы собственности и ведомственной подчиненности, органами государственной власти и управления на всей территории государства.
|
|
|
Базовые законы непосредственно касаются вопросов защиты информации, остальные лишь частично или косвенно касаются этих вопросов, регламентируя деятельность в связанных с ними смежных областях.
Базовыми в области защиты информации являются такие законы РФ как "О государственной тайне" и "Об информации, информатизации и защите информации".
Законодательные акты о режимах отдельных видов информации представлены более чем тридцатью законами такими как "О банках и банковской деятельности", "О федеральных органах правительственной связи", "Об оперативно-розыскной деятельности", "Об органах федеральной службы безопасности в РФ", "О геодезии и картографии" и др.
Примерами законодательных актов об отдельных видах информационного обеспечения могут служить законы "О рекламе", ""О почтовой связи", "О средствах массовой информации", "О связи" и др.
Примером законодательных актов об информационном обмене является федеральный закон "Об участии в международном информационном обмене".
Правовые акты определяют понятия и признаки нарушения закона и субъекта преступления, тяжесть деяния, меру ответственности за его совершение и являются обязательными для выполнения государственными органами охраны правопорядка и судебными органами.
Правовыми актами в области защиты информации являются Гражданский кодекс РФ ч.1, Уголовный кодекс РФ, Кодекс законов о труде РФ.
Подзаконные акты определяют понятия, структуру государственных органов, порядок и механизмы их деятельности, вводят в действия положения о них и их деятельности, регламентируют процессы организации жизнедеятельности государства и являются обязательными для безусловного выполнения всеми государственными учреждениями, а также физическими и юридическими лицами во взаимоотношениях с ними. За нарушение подзаконного акта уголовной ответственности не возникает и могут быть применены только меры административной ответственности: ограничение деятельности физического или юридического лица, штрафные санкции.
Примерами подзаконных актов являются указы президента РФ такие как "Об утверждении перечня сведений, отнесенных к государственной тайне", "О перечне сведений конфиденциального характера" или постановления правительства РФ "Об Утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности", "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" и др.
Ведомственные нормативные акты регламентируют жизнедеятельность в рамках соответствующих государственных ведомств и обязательны для выполнения всеми государственными служащими соответствующих структур. Ответственность за нарушение ведомственных актов распространяется на государственных служащих соответствующих ведомств, физических и юридических лиц, получивших право осуществления деятельности в области, подконтрольной ведомству и носит административный (прекращение деятельности, административный штраф и т.д.) и дисциплинарный характер, а в случае причинения ущерба - гражданскую ответственность в судебном порядке.
4. Базовые законодательные акты в области ИД и ЗИ. Законодательные акты об отдельных видах информации и информационного обеспечения. Подзаконные акты в области ЗИ. ГОСТы по ЗИ
Закон "Об информации, информационных технологиях и о защите информации". (27 июля 2006 г. N 149-ФЗ).
Данный закон, называемый авторами "базовым", призван был положить начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения.
В ст.1 определена сфера регулирования правоотношений. Это отношения, возникающие при:
формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
создании и использовании информационных технологий и средств их обеспечения;
защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Среди объектов регулирование центральное место занимают (ст.2):
документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин;
средства вычислительной техники и связи; словари, тезаурусы и классификаторы;
инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.
Комментарии
Комментарий к ст. N 5
Для признания электронной цифровой подписи необходимо наличие в автоматизированных информационных системах сертифицированных программно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования. В п.4 ст.5. предусмотрено обязательное лицензирование деятельности, связанной с реализацией права удостоверять идентичность электронно-цифровой подписи. Еще предстоит разработка актов, регулирующих единый порядок лицензирования и сертификации в этой области.
Комментарий к ст. N19
Закон решает вопрос повышения качества, надежности средств защиты информации от несанкционированного доступа, а также ответственности организаций, производящих такие средства, устанавливая лицензирование такой деятельности: организации, разрабатывающие и производящие такие средства, должны получить лицензию на этот вид деятельности (п.3 ст. 19).
Организации, выполняющие работы в области обработки персональных данных, также должны получать лицензию на такую деятельность. Это направлено на реализацию конституционных гарантий прав граждан на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (п.1 ст.23 Конституция РФ). Лицензирование такой деятельности дает возможность ее контроля компетентными органами и создает дополнительные условия для защиты персональных данных как информации конфиденциальной.
Создание средств защиты информации подлежит лицензированию в соответствии с Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны Ведение лицензионной деятельности в данной области поручено Федеральному агентству правительственной связи и информации при президенте РФ и государственной технической комиссии при Президенте РФ.
Комментарий к ст. N22
Согласно п.2 ст.22, владелец информации при определении уровня ее защиты обязан руководствоваться законодательством РФ. Он имеет возможность пользоваться средствами специализированных органов в области информационной безопасности: ФАПСИ, Государственной технической комиссии РФ. Вместе с тем защита документированной информации не должна наносить ущерба ее собственнику и пользователям. Таким образом, самостоятельность владельца и собственника в данном случае также находится под контролем Закона.
При обработке информации всегда существует угроза нанесения ущерба ее владельцу. Для снижения риска Закон предписывает использовать механизм сертификации информационных систем и средств защиты информации (см. ст. 19) . при этом ответственность за возникающий риск берет на себя орган сертификации. Эта ответственность может быть реализована в форме страхования или прямого возмещения понесенного ущерба. В том случае, если используются несертифицированные информационные системы или средства защиты, то риск лежит на собственнике (владельце) этих систем и средств.
Пользователь, получивший информацию из несертифицированных систем и знающий об этом, берет риск на себя. Однако владелец системы обязан предупредить пользователя об отсутствии у него сертификата.
(Комитет при президенте РФ по политике информатизации, Институт государства и права Российской академии наук, Научно-технический центр "Информсистема". Федеральный закон "Об информации, информатизации и защите информации". Комментарий. Москва 1996г)
Дата добавления: 2018-10-25; просмотров: 391; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!