Категории информации

Правовая база защиты информации в РФ

1.Закон РФ "О Государственной тайне" (в ред. - Федерального закона от 06.10.97 N 131-ФЗ)

2. Закон РФ "О коммерческой тайне" (от 29 июля 2004г.)

3.Закон РФ "О техническом регулировании" (от 27 декабря 2002 г. N 184-ФЗ)

4.Закон РФ "Об информации, информационных технологиях и защите информации" (ФЗ РФ №24-ФЗ от 2006г.

5.Закон РФ "Об электронной цифровой подписи" (ФЗ РФ №1-ФЗ от 10.01.02. Принят Гос. Думой 13.12.01)

6..Закон РФ "О правовой охране программ для электронных вычислительных машин и баз данных" (Закон РФ N 3523-1. Дата введения 23.09.92)

7..Закон РФ "Об участии в международном информационном обмене" (Федеральный Закон РФ N 85-ФЗ. Принят Гос. Думой 04.07.96)

8..Закон РФ "О сертификации продукции и услуг" (Закон РФ N 5151-1. Дата введения 10.06.93. В ред. Федерального Закона N 211-ФЗ от 27.12.95)

9..Закон РФ "О банках и банковской деятельности" (Закон РФ N 395-1. Дата введения 02.12.90.В ред.Федерального закона от 03.02.96 № 17-ФЗ

10. .Закон РФ «О персональных данных» 2006 г.

 

Ответственность за компьютерные преступления предусматривает уголовный кодекс.

Статья 272: неправомерный доступ к компьютерной информации.

Статья 273: создание, использование и распространение вредоносных программ для ЭВМ.

Статья 274: нарушение правил эксплуатации ЭВМ, средств связи ЭВМ или их сети.

 

1.Информация с ограниченным доступом.

2.Информация без права ограничения: доступ не может быть ограничен (законы, положения, конституция).

3.Иная общедоступная информация.

4.Вредная информация, то есть не подлежащая распространению как ложная.

 

Информацию с ограниченным доступом можно разделить на два вида

1.Государственная, военная, экономическая, разведывательная тайны. Их распространение наносит ущерб безопасности страны.

2.Конфиденциальная информация.

Правовое регулирование института тайн в РФ.

 

В перечне сведений конфиденциального характера, утвержденного президентом РФ 6 марта 1996 №188, приведены следующие виды конфиденциальной информации:

· Служебная тайна

· Персональные данные

· Тайна следствия

· Коммерческая тайна

· Тайна сущности изобретения до момента опубликования

· Профессиональная тайна.

· Банковская тайна .

 

Декларировано в других законах 30 видов тайн, а с учетом подзаконных актов – 40.

 

Вид тайны Краткое содержание Ссылка на правовой документ
Персональные данные О фактах, событиях жизни гражданина, позволяющая идентифицировать личность Ст 2 Закона об информатизации
Служебная тайна Если информация имеет действительную или коммерческую потенциальную ценность Ст.139 Гражданского кодекса
Тайна усыновления   Ст.139 Семейного кодекса
Геологическая информация о недрах   Ст.27 Закона о недрах
Налоговая Любые полученные налоговые сведения о налогоплательщике за исключением сведений, указ в ст 102 налогового кодекса  
Служебная информация о рынке ценных бумаг Любая не являющ общедоступной информация об эмитентах выпущенных ценных бумаг. Ст.31 Закона о рынке ценных бумаг
Врачебная Диагноз, состояние здоровья при обследовании Ст 62 Основ зак-ва РФ «Об охране здоровья граждан»
Связи Тайна переписки, телефонных разговоров по сетям электрической и почтовой связи Ст.32 О связи , Конституция РФ
Нотариальная Сведения в результате осуществления деятельности нотариусом Ст16 О нотариате
Адвокатская Сведения, полученные адвокатом Ст15,16 Положения об адвокатуре
Журналистская Сведения, предоставленные журналистам на условии тайны источниками информации Ст 41, Закон «О СМИ»
Коммерческая Если информация имеет действительную или потенциальную ценность в коммерческой сфере. Ст 139 ГКРФ
Банковская Банк гарантирует тайну счета, вклада, операции, сведений.      
Тайна страхования Сведения о страховании и имущественном положении.      

 

Приведенный перечень тайн может потребоваться для того, чтобы поставить перед администрацией предприятия вопрос об обеспечении соответствующей защиты информации.

Конфиденциальной считается такая коммерческая информация, разглашение которой может нанести ущерб интересам фирмы. Делится на два подвида:

1.Информация с ограниченным доступом: сведения, разглашения которых причиняет ущерб тактическим интересам, таким как срыв конкретного контакта, снижение % прибыли от сделки.

2. Секретная информация: ее разглашение наносит серьезный ущерб стратегическим интересам фирмы и может поставить под угрозу ее существование. Ее составляют сведения, ознакомление с которыми позволяет конкурентам, неразборчивым в средствах, подорвать репутацию фирмы в глазах партнеров, причинить ей значительный финансовый ущерб, привести к конфликту с государственными органами, поставить в зависимость от криминальных структур.

Определение степени конфиденциальности служебной и коммерческой информации осуществляется руководством фирмы, как правило. Однако в любом случае к такой относится:

· уставные документы фирмы;

· сводные отчеты о финансовой деятельности;

· кредитные договора с банками

· договоры купли-продажи, начиная с определенной суммы;

· сведения о перспективных рынках сбыта, источниках сырья, о выгодных партнерах;

· любая информация, предоставляемая партнерами, если за ее разглашение предусмотрены штрафные санкции.

 

Нормативно техническая база защиты информации в России.

В состав документов, определяющих нормативно-техническую базу ЗИ в России входят стандарты, отраслевые материалы, в частности материалы Гостехкомиссия России:

Документы Государственной технической комиссии (Гостехкомиссия) при президенте РФ

  • Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 1992.
  • Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. 1992
  • Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности. 1992
  • рабочий документ “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.

 

Порядок сертификации средств защиты определяется документом «Система сертификации средств защиты информации по требованиям безопасности информации» РОСС RU.0001.01БИ00.

Перечень нормативных документов постоянно расширяется с учетом новых требований к информационной безопасности и тенденций изменения информационных технологий.

Федеральная служба по техническому и экспортному контролю разработала порядок

проведения классификации информационных систем персональных данных

Для установления единых требований по обеспечению ИБ организаций БС РФ и повышения эффективности мероприятий по поддержанию ИБ организаций банковской системы РФ был разработан и введен в действие Распоряжением Банка России от 18 ноября 2004 года № Р-609 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Данный стандарт получил учетный номер СТО БР ИБ БС-1.0-2004 и опубликован в журнале «Вестник Банка России» № 68.

В настоящее время готовятся к изданию новые руководящие документы, регламентирующие требования по безопасности информации для VPN и VLAN (глобальные и локальные сети) решений. Ведутся работы по адаптации отечественной нормативной базы в области информационной безопасности к требованиям международного стандарта.

 

Ключевым аспектом решения проблемы безопасности информационных технологий (ИТ) является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ. Необходимо было разработать эту систему в виде международного стандарта.

История создания данного стандарта.
В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC).
В Европе в 1991г. были разработаны "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, совместно Францией, Германией, Нидерландами и Великобританией.
В Канаде в начале 1993 г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0.
В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки.
В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1.0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2.0 ОК появилась в октябре 1997 г.

В результате этих работ появился Международный стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии".

В России аналогичный стандарт подготовлен в 2001 г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий».

Данный стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ.

ОК применимы к мерам безопасности ИТ, реализуемым аппаратными, программно-аппаратными и программными средствами. Критерии для оценки специфических качеств криптографических алгоритмов не входят в ОК

ОК безопасности продуктов и систем ИТ предназначены в основном для потребителей, разработчиков и оценщиков.

ОК предоставляют потребителям, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки.

Кроме указанного выше используется также ГОСТ Р50922-96 «Защита информации. Основные термины и определения».

В настоящее время разработан и действует еще один международный стандарт ISO/IEC 17799 "Безопасность информационных систем".

Гармонизация российских стандартов с международными стандартами:

ГОСТ Р ИСО/МЭК 15408 – «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ».

Состоит из 3 частей:

1) сокращения, определения и т.п.;

2) 11 групп базовых задач обеспечения безопасности»

3) цели, методы, уровни обеспечения, гарантии качества