«Информационная безопасность в законе». Порядок хранения и защиты информации

БЕЗОПАСНОСТЬ

Информационную безопасность считают сферой деятельности, где изучают, составляют, оформляют и осуществляют различные мероприятия по защите конфиденциальной информации. Сотрудники федеральных органов РФ ликвидируют утечки засекреченных сведений и предотвращают киберпреступления.

Что сказано в главном законе 149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ от 27 июля 2006 года об информационных разнообразных технологиях и о защите конфиденциальной информации — определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности. 149-ФЗ закон состоит из следующих 18 статей:

  1. про сферу регулирования законом. ФЗ регулирует защиту информационных различных технологий и гарантирует безопасность цифровой информации;
  2. основные понятия и терминология;
  3. приведен список конкретных законных принципов;
  4. основные нормативные документы и акты;
  5. об информации как отдельном объекте права;
  6. об обладателе различных данных;
  7. про общедоступную информацию;
  8. о праве на доступ к конкретным сведениям;
  9. про ограничение свободного доступа к данным;
  10. о предоставлении необходимых сведений;
  11. о проведении документирования;
  12. про методы государственного контроля;
  13. что собой представляет информационная система РФ;
  14. про информационные системы РФ;
  15. про применение телекоммуникационных сетей;
  16. о защите конфиденциальных сведений;
  17. ответственность, основные виды наказания за правонарушения в интернете;
  18. перечень положений, которые утратили юридическую силу.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Об информации, информационных технологиях и о защите информации

Ключевые моменты главного закона об информационной безопасности (149-ФЗ) :

  • Нельзя собирать и распространять информацию о жизни человека без его согласия.
  • Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  • Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  • Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  • Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  • У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  • Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

Не только физлица, но и юрлица обладают различными обязанностями и правами в интернете. Об информационных конкретных технологиях и о защите конфиденциальной информации говорится в нормативных различных актах и в законе № 149 -ФЗ от 27 июля 2006 г.

Что определяет 98-ФЗ «О коммерческой тайне»

Закон «О коммерческой тайне» определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. Коммерческая тайна — это информациякоторая имеет коммерческую ценность именно потому, что неизвестна никому другому. В 98-ФЗ сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Информационная безопасность в законе

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

Что регулирует 152-ФЗ «О персональных данных»

152-ФЗ «О персональных данных» – это закон, который регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников.

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

На какие сведения и какую информацию распространяются требования закона о персональных данных

  • общие — к ним относится основная информация о человеке: фамилия, имя, отчество, год рождения, ИНН, сведения о работе и т.д.;
  • биометрические — группа крови, отпечатки пальцев, рисунок радужной оболочки глаза и иная информация, содержимое которой индивидуально. Сюда же можно отнести фото и видеозаписи, на которых запечатлен гражданин;
  • специальные — к такого рода данным относятся философские или религиозные взгляды человека, наличие судимостей и т.д.;
  • обезличенные — к такой категории можно отнести любую информацию, если по ней нельзя идентифицировать конкретного гражданина. Например, сам по себе номер телефона или адрес электронной почты не относятся к персональным данным, но если они сопряжены с фамилией человека, его можно идентифицировать.

63-ФЗ «Об электронной подписи»

Закон 63-ФЗ «Об электронной подписи» касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона об электронной подписи :

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

Подробнее об электронных подписях и как защитить электронную подпись от мошенников мы писали ранее.

Что регламентирует 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Кто определяет значимости объектов КИИ РФ

Значимость объектов определяет постановление Правительства РФ. «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования». Документ содержит требования, которые позволят организациям провести инвентаризацию и категорирование систем объекта.

При этом искусственно занизить присвоенную объекту категорию значимости не получится, так как итоговый акт категорирования направляется на проверку в федеральный орган исполнительной власти, уполномоченный для обеспечения безопасности критической информационной инфраструктуры.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.
Оцените статью