Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Кузбасский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции.docx
Скачиваний:
797
Добавлен:
10.05.2015
Размер:
378.13 Кб
Скачать
►Содержание►

Защищаемая информация

Согласно Доктрины информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 09.09.2000 № Пр-1895) под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. 

В Конституции Российской Федерации, а также Декларации прав и свобод человека и гражданина Российской Федерации определено, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»предусматривает разделение информации на категории свободного и ограниченного доступа (право на тайну). В свою очередь информация ограниченного доступа подразделяется на информацию, отнесённую к государственной тайне и конфиденциальную на рисунке. 

рисунок - Классификация информации

Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне».Условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за её разглашение устанавливаются федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных. В Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»даны следующие определения:

  1. информация — сведения (сообщения, данные) независимо от формы их представления;

  2. информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

  3. информационная система - совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств;

  4. информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

  5. обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

  6. доступ к информации - возможность получения информации и её использования;

  7. конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;

  8. предоставление информации - действия, направленные на получение информации определённым кругом лиц или передачу информации определённому кругу лиц;

  9. распространение информации - действия, направленные на получение информации неопределённым кругом лиц или передачу информации неопределённому кругу лиц;

  10. электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

  11. документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях её материальный носитель;

  12. оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в её базах данных.

Согласно ст. 6 данного Федерального закона обладатель информации имеет право:

  • разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

  • использовать информацию, в том числе распространять ее, по своему усмотрению;

  • передавать информацию другим лицам по договору или на ином установленном законом основании;

  • защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

  • осуществлять иные действия с информацией или разрешать осуществление таких действий.

При этом обладатель информации обязан:

  • соблюдать права и законные интересы иных лиц;

  • принимать меры по защите информации;

  • ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Кроме того, обладатель информации, оператор информационной системы, в случаях, установленных законодательством Российской Федерации, обязаны обеспечить.

  • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

  • своевременное обнаружение фактов несанкционированного доступа к информации;

  • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

  • постоянный контроль за обеспечением уровня защищенности информации.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  • соблюдение конфиденциальности информации ограниченного доступа;

  • реализацию права на доступ к информации.

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы её защиты должны соответствовать указанным требованиям. 

Следует также отметить, что согласно ст. 8 не может быть ограничен доступ к:

  •  нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

  •  информации о состоянии окружающей среды;

  •  информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

  •  информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

  •  иной информации, недопустимость ограничения доступа к которой установлена федеральными законами. 

Например, ст. 5 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» гласит, что «режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих  сведений:

  •  содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

  •  содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

  •  о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

  •  о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

  • о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

  • о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

  • о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

  • об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

  • о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

  • о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

  • обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Кроме того, постановлением Правительства РСФСР от 05.12.1991 № 35 установлено, что коммерческую тайну предприятия и предпринимателя не могут составлять:

  • учредительные документы и Устав;

  • регистрационные удостоверения, лицензии, патенты;

  • сведения по установленным формам отчетности о финансово-хозяйственной деятельности ...;

  • документы о платежеспособности;

  • сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест; 

  • документы об уплате налогов и обязательных платежах;

  • сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда ...;

  • сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью...

Также, постановлением Правительства Российской Федерации от 03.11.1994 № 1233 установлено, что не могут быть отнесены к служебной информации ограниченного распространения:

  • акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

  • сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

  • описание структуры органа исполнительной власти, его функций, направлений и форм деятельности, а также его адрес;

  • порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

  • решение по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

  • сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;

  • документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.

Перечень сведений конфиденциального характера определён в Указе Президента Российской Федерации от 06.03.1997 № 188 с изменениями от 23.09.2005 № 1111:

  • сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

  • сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации;

  • служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна),

  • сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

  • сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

  • сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Персональные данные

В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» даны следующие определения:

  1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

  2. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

  3. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

  4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

  5. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

  6. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

  7. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

  8. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

  9. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

  10. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

  11. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Меры по обеспечению безопасности персональных данных при их обработке:

  1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

  2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

  3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 

  4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии её хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Кроме всего прочего оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

  1. обрабатываемых в соответствии с трудовым законодательством;

  2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  4. сделанных субъектом персональных данных общедоступными;

  5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных цепях;

  7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных:

  1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки;

  2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

  3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трёх рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

  4. В случае достижения цепи обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трёх рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

  5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трёх рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожен™ персональных данных оператор обязан уведомить субъекта персональных данных.

Следует также отметить, что Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных Федеральным законом от 19.12.2005 № 160 ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», в котором установлено следующее:

  1. Российская Федерация заявляет, что ... не будет применять Конвенцию к персональным данным:

  • обрабатываемым физическими лицами исключительно для личных и семейных нужд;

  • отнесённым к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

  • Российская Федерация заявляет, что ... будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

  • Российская Федерация заявляет, что ... оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в цепях защиты безопасности государства и общественного порядка.

    Согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утверждено постановлением Правительства Российской Федерации от 15.09.2008 № 687) обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы (далее - персональные данные), считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из неё.

    Также следует отметить, что согласно Указу Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» руководителям государственных органов предписано:

    • обеспечить защиту персональных данных государственных гражданских служащих Российской Федерации, содержащихся в их личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами;

    • определить лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

    Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы) установлены «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённым постановлением Правительства Российской Федерации от 17.11.2007 № 781.

    Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

    Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

    Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

    Средства зашиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

    Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и (или) путём применения технических средств.

    Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведётся работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

    Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

    Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

    1.  определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

    2.  разработку на основе модели угроз системы зашиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

    3.  проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

    4.  установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

    5.  обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

    6.  учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

    7.  учёт лиц, допущенных к работе с персональными данными в информационной системе;

    8.  контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

    9.  разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищённости персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

    10.  описание системы защиты персональных данных.

     Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

    При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

    Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных установлены постановлением Правительства Российской Федерации от 06.07.2008 № 512.

    Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.

    Настоящие требования не распространяются на отношения, возникающие при использовании:

    •  оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

    •  бумажных носителей для записи и хранения биометрических персональных данных.

    Оператор утверждает порядок передачи материальных носителей уполномоченным лицам, а также обязан:

    • осуществлять учёт количества экземпляров материальных носителей;

    • осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

    Федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, согласно постановлению Правительства Российской от 16.03.2009 № 228, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

    Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены постановлением Правительства Российской Федерации от 06.06.2008 № 512.Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

    Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).

    Настоящие требования не распространяются на отношения, возникающие при использовании:

    •  оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

    •  бумажных носителей для записи и хранения биометрических персональных данных.

    Порядок передачи материальных носителей уполномоченным лицам утверждает оператор. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.

    Оператор обязан:

    •  осуществлять учёт количества экземпляров материальных носителей;

    •  осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

    Во исполнение Федерального Закона «О персональных данных» Правительство Российской Федерации 21 марта 2012г. Приняло Постановление №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

    Указанное постановление определяет перечень мер, предусмотренный ст. 18.1 ФЗ-152, но только для государственных и муниципальных органов. Наиболее важными моментами являются:

    •  Определена необходимость назначения главного за обработку ПДн.

    •  Определен перечень документов, который должен быть разработан госорганом или муниципальным органом, среди них есть требование наличия документа, описывающего правила работы с обезличенными данными.

    •  Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП- 687.

    •  Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Пока этих требований и методов нет.

    Порядок проведения классификации информационных систем персональных данных утверждён совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20. Также следует отметить методические документы ФСТЭК России и ФСБ России:

    •  Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 14.02.2008);

    •  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 15.02.2008);

    •  Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено Приказом ФСТЭК России от 05.02.2010 № 58, зарегистрировано в Минюсте России 19.02.2010№ 16456);

    •  Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144);

    •  Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622).

    Коммерческая тайна

    В Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» даны следующие определения:

    1) коммерческая тайна - режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

    2) информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления  профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введён режим коммерческой тайны;

    4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении её режим коммерческой тайны;

    9) разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

    Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, включающих в себя:

    • определение перечня информации, составляющей коммерческую тайну;

    •  ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

    •  учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и/или лиц, которым такая информация была предоставлена или передана;

    •  регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

    •  нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

    Меры по охране конфиденциальности информации признаются разумно достаточными, если:

    •  исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

    •  обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

    Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. К сожалению, вступивший в действие Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» не в полной мере обеспечивает неприкосновенность соответствующей информации. В соответствии со статьёй 6 этого Закона, «Обладатель информации, составляющей коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления предоставляет им на безвозмездной основе информацию, составляющую коммерческую тайну» При отказе собственника информационных ресурсов добровольно вьщать информацию, составляющую коммерческую тайну, она может быть получена в судебном порядке. При этом какого-либо возмещения издержек собственника на предоставление информации не предусматривается. Кроме того, данный Закон не предусматривает отмены ранее принятых нормативных документов по вопросам защиты коммерческой тайны, в том числе и в части, противоречащей Закону. Данное обстоятельство, к сожалению, не способствует устранению существовавших до принятия Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» правовых коллизий.

    Также, следует отметить наличие методических документов по технической защиты информации, составляющей коммерческую тайну, выпущенных ФСТЭК России:

    •  Методические рекомендации по технической защите информации, составляющей коммерческую тайну (утверждены Заместителем директора ФСТЭК России 25.12.2006);

    •  Пособие по организации технической защиты информации, составляющей коммерческую тайну (утверждено Заместителем директора ФСТЭК России25.12.2006);

    Служебная тайна

    Общий порядок обращения с документами и другими материальными носителями информации (фото-, кино-, видео-, и аудиопленки, машинные носители информации и др.), содержащими служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях определён в «Положении о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утверждённом постановлением Правительства Российской Федерации от 03.11.1994 № 1233.

    К служебной информации отграниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуется служебной необходимостью.

    На документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».

    Только лишь руководителям федерального органа исполнительной власти разрешено определять в пределах своей компетенции:

    •  категории должностных лиц, уполномоченных относить служебную информацию к разряду ограниченного распространения;

    •  порядок передачи служебной информации ограниченного распространения другим органам и организациям;

    •  порядок снятия пометки «Для служебного пользования» с носителей информации ограниченного распространения;

    •  организацию защиты служебной информации ограниченного распространения.

    Должностные лица, принявшие решение об отнесении служебной информации к разряду ограниченного распространения, несут персональную ответственность за обоснованность принятого решения и за соблюдение ограничений, предусмотренных настоящим Положением.

    Служебная информация ограниченного распространения без санкции соответствующего должностного лица не подлежащих разглашению (распространению).

    За разглашение служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, государственный служащий (работник организации) может быть привлечён к дисциплинарной или иной предусмотренной законодательством ответственности.

    Следует также отметить, что согласно п. 1 Указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно­ телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети «Интернет», не допускается.

    При необходимости подключения информационных систем, информационно­ телекоммуникационных сетей и средств вычислительной техники, указанных выше, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники.

    Государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

    Размещение технических средств, подключаемых к информационно ­телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется  только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях. Финансирование расходов, связанных с размещением технических средств в указанных помещениях федеральных органов государственной власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в федеральном бюджете на содержание этих органов.

    Банковская тайна

    В ст.26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» сказано, что «Кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах её клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону».

    Кроме всего прочего, согласно ст.857 части второй Гражданского кодекса Российской Федерации (Федеральный закон от 25.01.1996 № 14-ФЗ) «Банк гарантирует тайну счёта и банковского вклада, операций по счёту и сведений о клиенте».

    Следовательно к основным объектам банковской тайны, согласно действующему законодательству, относятся:

    •  Тайна банковского счета - сведения о счетах клиентов и корреспондентов и действиях с ними в кредитной организации (о расчетном, текущем, бюджетном, депозитном, валютном, корреспондентском и т.п. счете, об открытии, закрытии, переводе, переоформлении счета и т.п.);

    •  Тайна операций по банковскому счету — сведения о принятии и зачислении поступающих на счет клиента денежных средств, о выполнении его распоряжений по перечислению и выдаче соответствующих сумм со счета, а также проведении других операций и сделок по банковскому счету, предусмотренных договором банковского счета или законом, установленными в соответствии с ним банковскими правилами, обычаями делового оборота;

    •  Тайна банковского вклада - сведения о всех видах вкладов клиента в кредитной организации (срочные, до востребования, в пользу третьих лиц, либо на иных условиях, предусмотренных публичным договором банковского вклада).

    •  Тайна частной жизни клиента или корреспондента - сведения о клиенте или корреспонденте, составляющие его личную, семейную тайну и сохраняемые законом как персональные данные этого клиента или корреспондента.

    Информация в ключевых системах информационной инфраструктуры 

    Надёжное обеспечение информационной безопасности критически важных объектов является одним из важнейших условий для успешного экономического и социально­ политического развития российского общества, укрепления обороноспособности страны и безопасности государства. Решение этой проблемы во многом определяется защищённостью информационных ресурсов, телекоммуникационных систем и сетей критически важных объектов, создаваемых и используемых как государственными, так и негосударственными организациями, от угроз преступного или террористического характера в сфере компьютерной информации, деструктивного информационного воздействия со стороны других государств.

    В настоящее время федеральными органами исполнительной власти, наделёнными полномочиями нормативно-правового регулирования вопросов обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации являются ФСТЭК России и ФСБ России. 22 сентября 2006 г. в Государственную Думу был внесён Законопроект (№ п/п: 1 Код: 340741-4) «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры», который был снят с рассмотрения 11.03.2008 в связи с отзывом субъектом права законодательной инициативы.

    Тем не менее, ФСТЭК России были разработаны следующие нормативно-методические документы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры:

    •  Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);

    •  Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);

    •  Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);

    •  Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 19.11.2007). 

    Исходя из вышеизложенного, можно ввести простую и понятную классификацию тайн:

    •  по собственнику (государственная, негосударственная и т.п.);

    •  по владельцу (в своих или чужих руках - государственная, коммерческая, банковская, профессиональная, служебная, персональные данные как особый институт охраны неприкосновенности частного лица и т.п.);

    •  по области применения, в которой извлекается выгода от монопольного владения (экономическая — коммерческая, политическая, военная и т.п.);

    •  по степени важности (гриф).

    Другие Федеральные законы и нормативные правовые акты Российской Федерации предусматривают:

    •  лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;

    •  сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;

    •  аттестацию (аттестование) автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям по безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);

    •  возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;

    •  создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;

    •  определение прав и обязанностей субъектов в области защиты информации.

    • Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
    Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности