Юридические основы информационной безопасности

Широкое распространение компьютерных систем и сетей, внедрение их в государственных учреждениях и важность задачи сохранения конфиденциальности государственной и частной информации заставили многие страны принять соответствующие законы, регламентирующие защиту компьютерных систем и сетей.

Наиболее общим законом Российской Федерации является Конституция. Главы 23, 29, 41 и 42 в той или иной мере затрагивают вопросы информационной безопасности. Статья 23 Конституции, например, гарантирует право на личную и семейную тайну, на тайну переписки, телефонных разговоров, почтовых, телеграфных и иных сообщений; статья 29 — право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Главы 41 и 42 гарантируют право на знание фактов и обстоятельств, создающих угрозу жизни и здоровью людей, право на знание достоверной информации о состоянии окружающей среды.

Действующий Уголовный кодекс Российской Федерации предусматривает наказания за преступления, связанные с нарушением конфиденциальности информации. Глава 28 «Преступления в сфере компьютерной информации» содержит статьи 272−274, посвященные преступлениям, связанным, соответственно, с неправомерным доступом к компьютерной информации, созданием, использованием и распространением вредоносных программ, нарушением правил эксплуатации ЭВМ, систем и сетей на их основе. 4].

8 июля 2006 года государственной Думой Российской Федерации принят Федеральный Закон № 152-ФЗ О персональных данных. Данным законом регулируются отношения, которые связанны с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В Законе в статьях 5 и 6 прописаны принципы и условия обработки персональных данных. Данным законом и другими законами предусмотрены случаи обязательного предоставления субъектом своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В Главе 3 данного Закона представлены Права субъекта персональных данных.

Интересы государства в плане обеспечения конфиденциальности информации наиболее полно представлены в Законе «О государственной тайне». В нем государственная тайна определена как защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Здесь же дается описание средств защиты информации, к которым, согласно данному Закону, относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну. 5].

За последние годы, прошедшие с момента принятия Федерального закона № 152 «О персональных данных», было выпущено и опубликовано множество подзаконных актов — Постановлений Правительства РФ, приказов государственных регуляторов, нормативно-методических документов ФСТЭК, ФСБ и Россвязькомнадзора. Уточнялись требования, функции и наименования регулирующих и контролирующих органов, образцы документов. Изменения и дополнения продолжаются и до сих пор. Автором представлены практически все документы, которые, по его мнению, в той или иной степени касаются обработки персональных данных и обеспечения их безопасности.

• — Российское Законодательство по защите персональных данных представлено огромным количеством Законов и Постановлений. Например:
• — Федеральный закон Российской Федерации 30 декабря 2001 г. № 197-ФЗ;
• — Федеральный закон от 19 декабря 2005 г. N 160-ФЗ;
• — Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ — О персональных данных;
• — Федеральный закон Российской Федерации от 3 декабря 2008 г. N 242-ФЗ — О государственной геномной регистрации в Российской Федерации;
• — Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 — Положение об обеспечении безопасности персональных данных при их обработке в информационных системах.
• — Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 — Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
• — Постановление от 6 июля 2008 г. № 512 — Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
• — Постановление Правительства Российской Федерации 2 июня 2008 г. № 419 — О Федеральной службе по надзору в сфере связи и массовых коммуникаций;
• — Указ Президента Российской Федерации от 30 мая 2005 г. N 609 — Об утверждении Положения о персональных данных государственного служащего Российской Федерации и ведении его личного дела;
• — Приказ от 13 февраля 2008 года N 55/86/20 — Об утверждении порядка проведения классификации информационных систем персональных данных;
• — Приказ Россвязькомнадзора № 08 от 17.07.2008 — Об утверждении образца формы уведомления об обработке персональных данных;
• — Методические материалы ФСТЭК — Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• — Методические материалы ФСТЭК — Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• — Методические материалы ФСТЭК — Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• — Методические материалы ФСТЭК — Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (документ ДСП);
• — Методические материалы ФСБ — Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. От 21 февраля 2008 года;
• — Методические материалы ФСБ — Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. От 21 февраля 2008 года. 6]

Основой этих всех документов является концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации и основные принципы защиты компьютерных систем.