Правовые методы обеспечения информационной безопасности

Главная — Информационная безопасность — Основы ИБ — Основные аспекты информационной безопасности — Основные принципы обеспечения информационной безопасности — Правовые методы обеспечения информационной безопасности

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Расширение сферы применения технологий порождает информационные угрозы. Достижение конфиденциальности, целостности, достоверности данных – стратегическая цель обеспечения информационной безопасности.

Комплексная система существующих методов, призванных не допустить утечку сведений по техническим каналам, а также воспрепятствовать несанкционированному доступу к носителям информации, гарантирует целостность данных.

Остановимся подробнее на правовом факторе безопасности.

Понятие безопасности в отношении информации

Часто под организацией информационной безопасности понимают принятие мер, не позволяющих допустить хищение секретных сведений. Однако такое понимание основных целей защиты конфиденциальности данных слишком узкое. На самом деле обеспечение информационной безопасности – это комплекс мероприятий, способствующих защите прав субъектов информационной деятельности.

Степень защищенности секретных документов или сведений от случайных или преднамеренных воздействий, в результате чего может быть нанесен ущерб владельцам или пользователям, зависит от применяемых технологий.

Информацию делят на несколько видов:

для ограниченного числа пользователей, с которыми в организациях заключают соответствующие договора о нераспространении сведений, ставших известными в ходе выполнения трудовых или служебных обязанностей;
общедоступная (ее можно найти в средствах печати и других открытых источниках);
запрещенная к распространению (к примеру, пропагандирующую насилие).

Данные, к которым имеет доступ ограниченное число должностных лиц или служащих, относят к государственной, коммерческой банковской тайне.

Основная задача специалистов по информационной безопасности – предотвратить утечку этих сведений из-за несанкционированного, запланированного или непреднамеренного воздействия.

Принимаемые меры защиты в информационной безопасности

Выделяют несколько методов обеспечения информационной безопасности:

правовые – разработка нормативно-правовой базы, регламентирующей отношения, связанные с созданием, хранением, обменом и доступностью информации, создание методических рекомендаций, соблюдение которых обеспечит сохранность секретных данных;
организационные – меры, предупреждающие правонарушения информационного характера, привлекающие к ответственности виновных за преступления;
технические – использование инструментов, позволяющих своевременно выявлять устройства и программы для перехвата секретных материалов, данных, не предназначенных для общего обозрения при хранении, во время обработки или передачи по каналам связи;
экономические – финансирование разработок программ, позволяющих обеспечить сохранность секретных документов, создание системы страхования для физических и юридических лиц от рисков воздействия на информационные источники, хищения, причинения вреда из-за нарушения целостности.

Анализируя основные угрозы хищения, сохранности ценных информационных сведений, выбирают методы, благодаря которым можно избежать или снизить риски информационной безопасности.

Зачем нужна правовая база в информационной безопасности

Среди сведений, подверженных угрозе похищения, уничтожения или использования в незаконных целях выделяют:

персональные данные граждан, обрабатывать и использовать которые можно только с личного согласия владельца;
документы, обеспечивать информационную безопасность которых должны собственники и руководители предприятий с помощью внутренних актов, ограничивающих доступ к этим данным;
секретная информация, представляющая государственную тайну, несанкционированный доступ к которой может нанести вред всему населению страны, внутреннему правопорядку, международным отношениям.

Государственная политика в сфере информационной безопасности направлена на:

соблюдение прав и свобод граждан на получение информации;
популяризацию технических средств отечественного производства, совершенствование информационных технологий, внедрение которых обеспечит сохранность и эффективное использование информационных ресурсов;
недопущение разглашения или утечки секретных сведений, представляющих государственную или другую тайну.

На государственном уровне вопросам защиты конфиденциальных, секретных данных от посягательств извне уделяется значительное внимание, которое выражается в совершенствовании нормативных документов.

Установленные нормы и требования законов, вносимые изменения, способствуют устранению:

противоречий норм федерального законодательства и нормативных актов, действующих в субъектах страны;
несоответствий международным нормам и подписанным соглашениям.

Так, в российском законодательстве, например:

конкретизированы меры наказания за несоблюдение требований информационной безопасности;
разграничены полномочия органов власти в сфере принимаемых мер для предотвращения или устранения нарушений безопасности, касающихся информационных отношений;
определен правовой статус организаций, владеющих информационными ресурсами;
сформированы структуры обеспечения информационной безопасности на региональном уровне.

Законы и прочие правовые акты, позволяющие обеспечить информационную безопасность

Использование информационных ресурсов практически во всех областях жизнедеятельности требует создания соответствующей законодательной базы для обеспечения их защиты.

Законы, другие нормативные акты	Регулируемые вопросы
1. Общедоступные сведения, которые находятся в открытом доступе или должны быть предоставлены по запросу заинтересованных лиц
ст. 7 Закона РФ 5485-1 «О государственной тайне» в редакции от 29.07.2018	Перечислены сведения, не подлежащие засекречиванию: объявления чрезвычайного положения; об экологической и санитарной обстановке; о льготах и компенсациях; о нарушениях закона лицами, принадлежащими к высшему эшелону власти.
ст. 10 ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в редакции от 03.04.2020	Рассматривается право предоставления и распространения сведений средствами массовой информации, почтовыми и электронными отправлениями. Оговорен запрет на распространение и пропаганду информации для разжигания ненависти, вражды.
ст. 8 ФЗ № 395-1 «О банках и банковской деятельности» с изменениями, вступившими в силу с 08.01.2020	Обязывает кредитные организации помимо отчетов о финансовой деятельности, по требованию физического или юридического лица предоставить копию лицензии на осуществление банковских операций, иные разрешения.
ст. 62 Трудового кодекса РФ в редакции от 16.12.2019	Обязывает работодателя по письменному обращению работника в трехдневный срок выдать запрашиваемые документы, связанные с его трудовой деятельностью, заверенные должным образом.
ст. 237 Уголовного кодекса РФ с изменениями, вступившими в силу с 12.04.2020	Предусмотрена уголовная ответственность за несвоевременное оповещение о событиях, создающих угрозу жизни и здоровью людей или искажение фактов. В том числе это касается вопросов опасности для окружающей среды.
2. Секретные сведения, входящие в разряд государственной тайны
Федеральный закон № 390 «О безопасности» в редакции от 06.02.2020	Определены: основные принципы безопасности: полномочия Президента, Правительства, палат Федерального Собрания, федеральных органов исполнительной власти; функции государственных органов власти субъектов страны, местного самоуправления; статус, задачи Совета Безопасности.
Закон РФ 5485-1 «О государственной тайне»	Дано определение понятию государственной тайны, процедуры получения доступа к секретным данным. Отдельно акцентировано внимание на вопросах обеспечения защиты информации, ответственности за нарушение требований.
Указ Президента РФ № 1203 от 30.11.1995 в редакции от 08.08.2019	Утвержден перечень сведений, относящихся к государственной тайне в разных областях деятельности.
Раздел X, глава 29, статьи 275, 276, 283, 284 УК РФ	Предусмотрены меры уголовного наказания за: шпионаж; государственную измену; разглашение или утрату секретной информации государственной значимости, другие преступления против страны.
3. Персональные данные
Федеральный закон № 152 «О персональных данных» в редакции от 31.12.2017	Дано определение персональным данным физического лица, принципам их обработки, принимая во внимание требования информационной безопасности.
Указ Президента РФ № 188 от 06. 03.1997. Актуальная редакция от 13.07.2015	С целью оптимизации утвержден перечень сведений, относящихся к конфиденциальным.
Правительственное Постановление № 1119 от 01.11.2012	Утверждены требования, соблюдение которых гарантирует защиту персональных данных при обработке.
Приказ Роскомнадзора № 996 от 05.09.2013	Утверждена методика по обезличиванию персональных данных.
Глава 14 ТК РФ	Для работодателей с целью обеспечения информационной защиты персональных данных подчиненных на законодательном уровне закреплены определенные требования.
Кодекс об административных правонарушениях ст. 13.14	Определены штрафы виновным за распространение информации ограниченного доступа должностным лицам и гражданам.
4. Профессиональная тайна
ст. 8 ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» редакция от 02.12.2019 ст. 16 «Основ законодательства Российской Федерации о нотариате» с дополнениями, вступившими в силу с 01.01.2020 ст. 41 Закона РФ № 2124-1 «О средствах массовой информации» в редакции от 01.03.2020	Акцентируется внимание на соблюдении правила неразглашения сведений, которые стали известны в силу специфики деятельности.
5. Коммерческая тайна
Федеральный закон № 98 «О коммерческой тайне» в редакции от 18.04.2018	Дается определение понятия коммерческой тайны. Нормируются требования порядка установления или прекращения режима секретности ценной информации. Описаны законные способы обеспечения охраны секретных сведений.
ст. 183 УК РФ	Определены штрафные санкции за хищение документов, получение другими незаконными способами секретных данных, представляющих ценность для коммерческой деятельности.
6. Служебная тайна
Правительственное Постановление № 1233 в редакции от 18.03.2016	Введен регламентированный порядок обращения со служебной информацией для различных управленческих органов власти.
ст. 1470 Гражданского кодекса РФ	Дано определение исключительного права работодателя на секреты, связанные с производством и ответственности за незаконное их распространение или передачу другим лицам.
7. Авторские права
Глава 72 Гражданского кодекса РФ	Регламентируются основные положения, связанные с: изобретениями; закреплением права авторства; обеспечением прав получением патента; проведением экспертизы; другими имущественными и неимущественными отношениями, касающимися признания авторства и защиты законных прав.
ст. 7.12 КоАП РФ ст. 147 Уголовного кодекса РФ	Предусмотрены разные меры административной или уголовной ответственности за нарушение авторских, изобретательских, патентных прав. Строгость зависит от обстоятельств, степени тяжести преступления и последствий причинения вреда.

Это неполный перечень законов, позволяющих решить проблемы защиты сведений правовыми методами обеспечения информационной безопасности. Ограничения на доступ к определенным документам вправе наложить собственник, руководствуясь законными требованиями. Например, в список данных ограниченного доступа нельзя включать учредительные документы или лицензии, подтверждающие право заниматься конкретными видами деятельности.

Однако закон позволяет защитить подобным образом:

информационные сведения о способах производства и применяемых технологиях, сырье и материалах для изготовления товаров;
конструкторскую документацию с приложенными схемами, чертежами;
финансовые данные о размере прибыли, себестоимости продукции;
механизм ценообразования;
планирование инвестиций в производство и другие данные, которые могут быть использованы конкурентами.

Необходимость защиты различного вида информации очевидна. При этом применяемые методы, политика информационной безопасности должны соответствовать интересам государства и общества.

18.05.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.