Правовые основы информационной безопасности

Базовым документом, определяющим критерии оценки безопасности информационных технологий, является международный стандарт 1БО/ ЕЭС 15 408 «Общие критерии оценки безопасности информационных технологий». В январе 2004 г. начал применяться один из базисных стандартов в сфере информационной безопасности России ИСО 15 408—2002 (общие критерии).

К законам и правовым актам, обеспечивающим информационную безопасность в России, относятся:

• • ст. 23 Конституции РФ, обеспечивающая право граждан на тайну переписки, телефонных, телеграфных и иных сообщений;
• • ст. 139 ГК РФ, устанавливающая право на возмещение убытков от утечки информации, относящейся к служебной и коммерческой тайне;
• • ст. 272 УК РФ, устанавливающая ответственность за неправомерный доступ к компьютерной информации;
• • ст. 273 УК РФ, устанавливающая ответственность за использование и распространение вредоносных программ для ЭВМ;
• • ст. 274 УК РФ, устанавливающая ответственность за нарушение правил эксплуатации ЭВМ, систем и сетей;
• • Федеральный закон «Об информации, информатизации и о защите информации». Статья 10 закона регламентирует категории информации (открытая информация, государственная тайна, конфиденциальная информация), а ст. 21 определяет порядок защиты информации;
• • Федеральный закон «О персональных данных» ;
• • ГОСТ Р ИСО/МЭК 9594−8—98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации» ;
• • Международные конвенции об охране информационной собственности, промышленной собственности, авторском праве защиты информации в Интернете.

Защита персональных данных

Основными участниками ЭК являются продавцы и покупатели (субъекты сделок), К неосновным участникам относятся операторы (провайдеры) связи, операторы платежных систем, организаторы электронных торгов, конкурсов и аукционов, информационные, рекламные, транспортные и иные посредники. При совершении сделки в электронном виде они:

• • вправе требовать от потребителей только те персональные данные, без которых они не смогут исполнить свои обязательства по электронной сделке;
• • не вправе запрашивать персональные данные, не соответствующие цели заключения электронных сделок;
• • обязаны обеспечить охрану и защиту персональных данных субъектов сделки, которые стали известными в ходе совершения электронной сделки. Эти данные могут быть получены из электронных документов или сообщений. Должна быть обеспечена и защита документов, содержащих персональные данные;
• • не должны использовать персональные данные субъектов электронной сделки в каких-либо целях, выходящих за рамки их обязательств по сделкам;
• • обязаны уничтожить электронные документы (сообщения) по совершенным электронным сделкам, содержащие персональные данные, после истечения сроков хранения. Сроки устанавливаются действующим законодательством РФ для определенных видов документов и срока исковой давности для всех оставшихся документов по сделке;
• • несут гражданскую, административную и уголовную ответственность за несанкционированное использование и (или) распространение персональных данных в соответствии с законодательством РФ.

Доступ к электронным документам (сообщениям), содержащим персональные данные субъектов сделки, передача их третьим лицам допускается только с согласия субъектов сделки либо по требованию уполномоченных лиц, имеющих право на получение такой информации в соответствии с действующим законодательством РФ. Участникам электронных сделок запрещается незаконный сбор, обработка, накопление, хранение персональных данных и их использование, если они не связаны с исполнением служебных обязательств. Это влечет ответственность, установленную гражданским, административным и уголовным законодательством РФ. Согласно ст. 9 Федерального закона «О персональных данных», согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

• 1) ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• 2) ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• 3) наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных;
• 4) цель обработки персональных данных;
• 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• 6) наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• 9) подпись субъекта персональных данных.

Согласно Закону «О персональных данных» информация о персональных данных потребителя в электронной торговле может содержать следующие данные:

• • ФИО;
• • контактный телефон;
• • электронный адрес (e-mail);
• • адрес (доставки, проживания);
• • реквизиты лицевого банковского счета, кредитной карты или иных средств платежа;
• • идентификационный номер налогоплательщика;
• • другие сведения, необходимые для исполнения обязательств по сделке.

Информация об операторе платежной системы дополнительно должна содержать:

• • лицензионные сведения или ее репродуцированную электронную копию (номер лицензии, срок ее действия, наименование выдавшего ее лицензирующего органа и иные сведения) на право осуществлять банковские операции;
• • перечень оказываемых финансовых услуг, условия их предоставления;
• • порядок регистрации пользователей;
• • правила проведения финансовых расчетов.

Информация об организаторе электронных торгов, конкурсов или аукционов дополнительно должна содержать:

• • правила проведения конкурсов, торгов и аукционов;
• • порядок регистрации участников.

Информация о государственных и иных не государственных учреждениях, и организациях, оказывающих услуги сторонам сделок по обеспечению электронных процедур, дополнительно должна содержать порядок и правила пользования услугами.

С 1 сентября 2015 г. компании обязаны хранить персональные данные о своих сотрудниках в базах данных, расположенных только на территории РФ. О месте хранения таких баз данных нужно уведомлять Роскомнадзор.

Примечание. С 1 сентября 2013 г. вступил в силу Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации». В соответствии со ст. 29 этого закона, образовательные организации формируют открытые и общедоступные информационные ресурсы. Доступ к ним обеспечивается посредством информационно-телекоммуникационных сетей, в том числе с помощью сайта в сети Интернет. На сайте, в том числе, помещается информация о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.