Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

book_OI

.pdf
Скачиваний:
95
Добавлен:
10.05.2015
Размер:
837.48 Кб
Скачать

Глава 1

Правовое и нормативное обеспечение технической защиты информации в Российской

Федерации

дерации.

В соответствии с Указом Президента РФ «О Концепции национальной безопасности Российской Федерации» (№ 24 от 10.01.2000) информационная безопасность является составной частью нацио& нальной безопасности Российской Федерации.

Среди угроз государству в информационной сфере, наиболее критичных по своим последствиям, следует выделить угрозы нарушения таких свойств информации, как целостность, конфиденциаль& ность и доступность вследствие утечки информации по техническим каналам, несанкционированно& го доступа к информации, а также специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.

Среди методов обеспечения безопасности информации, отмеченных в Доктрине информацион& ной безопасности Российской Федерации (Указ Президента РФ № Пр&1895 от 9.09.2000), одно из важных мест занимают сертификация средств защиты информации по требованиям безопасности ин& формации и лицензирование деятельности в области защиты информации.

Лицензирование в области защиты информации

Полный перечень видов деятельности в области защиты информации, подлежащих обязательно& му государственному лицензированию, определен в Законе Российской Федерации «О государствен& ной тайне» (№ 5485&1 от 21.07.93) и Федеральном законе «О лицензировании отдельных видов дея& тельности» (№ 128 от 8.08.01).

Взаконе «О государственной тайне» определены лицензируемые виды деятельности в области за& щиты информации, содержащей сведения, отнесенные к государственной тайне, а в Законе «О лицен& зировании отдельных видов деятельности» — в области защиты конфиденциальной информации.

Вст. 27 Закона «О государственной тайне» указано, что допуск предприятий, учреждений и орга& низаций к проведению работ, связанных с использованием сведений, составляющих государствен& ную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий

впорядке, устанавливаемом Правительством РФ. Во исполнение данной статьи закона Правительст& вом РФ было принято Постановление «О лицензировании деятельности предприятий, учреждений

иорганизаций по проведению работ, связанных с использованием сведений, составляющих государ& ственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий

и(или) оказанием услуг по защите государственной тайны» (№ 333 от 15.04.95), которым было ут& верждено одноименное Положение.

Согласно этому Положению, лицензии выдаются на основании результатов специальных экс& пертиз организаций&заявителей, располагающих производственно — испытательной базой, нор& мативно&методической документацией, научным и инженерно&техническим персоналом. В соответ& ствии с п. 2 Положения Гостехкомиссия России в пределах своей компетенции осуществляет ли& цензирование деятельности предприятий, учреждений и организаций, связанной с созданием средств защиты информации и осуществлением мероприятий и (или) оказанием услуг в области защиты информации.

Полномочия Гостехкомиссии России определены в Положении о Государственной технической комиссии при Президенте Российской Федерации (Указ Президента РФ № 212 от 19.02.99) и ограни& чиваются межотраслевой координацией и регулированием деятельности по обеспечению защиты ин& формации (не криптографическими методами) от ее утечки по техническим каналам, несанкциони& рованного доступа к ней, а также от специальных воздействий на информацию в целях ее уничтоже& ния, искажения и блокирования доступа к ней.

Гостехкомиссией России за 7 лет функционирования системы лицензирования организациям раз& личной формы собственности было выдано более 2100 лицензий на различные виды деятельности в области защиты информации ограниченного доступа. По разным причинам 126 организациям бы& ло отказано в продлении или выдаче лицензий.

Объем оказанных лицензиатами услуг в области защиты информации за период 2001–2002 гг. увеличился более чем в 2 раза по сравнению с объемом за период 1995&2000 гг. Значительный объ& ем работ выполнен на предприятиях оборонного комплекса, в учреждениях кредитно&финансовой

20

оглавление

1

2

3

4

5

Глава 1

Правовое и нормативное обеспечение технической защиты информации в Российской

Федерации

системы, в органах государственной власти субъектов Российской Федерации.

Начиная с 2002 г. в соответствии с требованиями Федерального закона «О лицензировании от& дельных видов деятельности» (№ 128 от 8.08.01) осуществляется лицензирование видов деятельно& сти, относящихся к защите конфиденциальной информации, в том числе деятельности по техничес& кой защите конфиденциальной информации и по разработке и (или) производству средств защиты конфиденциальной информации. В соответствии с постановлением Правительства РФ «О лицензиро& вании отдельных видов деятельности» (№ 135 от 11.02.02) Гостехкомиссия России определена как лицензирующий орган по указанным видам деятельности.

Постановлениями Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» (№ 290 от 30.04.02) и «Об утверждении Положения о лицензиро& вании деятельности по разработке и (или) производству средств защиты конфиденциальной инфор& мации» (№ 348 от 270.05.02) утверждены соответствующие положения, где определены лицензион& ные требования и условия, перечень документов, предоставляемых соискателем лицензии, а также порядок осуществления полномочий Гостехкомиссией России в качестве лицензирующего органа.

Основные лицензионные требования и условия

В соответствии с вышеперечисленными законодательными документами основными лицензион& ными требованиями и условиями являются:

1.Соответствие производственных помещений, производственного, испытательного и контроль& но&измерительного оборудования техническим нормам и требованиям, установленным государ& ственными стандартами, руководящими и нормативно&методическими документами по защите информации.

2.Использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию.

3.Осуществление деятельности специалистами, имеющими высшее профессиональное образование по специальностям:

«Компьютерная безопасность»,

«Комплексное обеспечение информационной безопасности автоматизированных систем»,

«Информационная безопасность телекоммуникационных систем»,

либо прошедшими переподготовку по вопросам защиты информации.

4.Использование третьими лицами программ для электронно&вычислительных машин или баз дан& ных только на основании договора с их правообладателем.

Государственная система лицензирования деятельности в области защиты информации включает

всебя две составляющие:

допуск предприятий и организаций к оказанию услуг по защите информации;

контроль качества и эффективности оказываемых услуг в процессе их деятельности.

Таким образом, лицензирование деятельности в области защиты информации как государствен&

ного контроля призвано обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению указанных видов деятельности, но и, как следствие, повы& шение качества непосредственно мероприятий и услуг по технической защите информации.

Сертификация средств защиты информации

Постоянное усложнение средств и систем обработки информации, программных продуктов уве& личивает вероятность возникновения непреднамеренных дефектов, которые могут исказить инфор& мацию или повлиять на процесс ее обработки, вместе с тем нельзя исключить возможность предна& меренного воздействия на информацию, как в условиях недобросовестной конкуренции, так и ин& формационного противоборства.

Для того чтобы защита информации была максимально эффективна, средства ее обработки и за& щиты должны соответствовать определенным требованиям и подтверждаться объективной и незави& симой оценкой. Одной из форм такой оценки соответствия требованиям нормативных документов по защите информации является сертификация.

21

оглавление

1

2

3

4

5

Глава 1

Правовое и нормативное обеспечение технической защиты информации в Российской

Федерации

В Законе «О государственной тайне» установлено, что средства защиты должны иметь сертифи& кат, удостоверяющий соответствие требованиям по защите.

Федеральный закон «Об информации, информатизации и защите информации» (№ 24&ФЗ от 20.02.95) предполагает, что все информационные системы и средства защиты информации органов государственной власти Российской Федерации и ее субъектов, а также других организаций, обраба& тывающих информацию с ограниченным доступом, подлежат обязательной сертификации.

Постановлением Правительства РФ «О сертификации средств защиты информации» (№ 608 от 26.06.95) были определены федеральные органы по сертификации: Гостехкомиссия России, ФАПСИ, ФСБ России, Минобороны России, СВР. Координация деятельности систем сертификации средств за& щиты информации возложена на Межведомственную комиссию по защите государственной тайны.

Таким образом, Гостехкомиссия России (в настоящий момент ФСТЭК) является одним из элемен& тов общероссийской системы сертификации средств защиты информации и выполняет эти функции в пределах своей компетенции.

Структура системы сертификации

Обязательной сертификации подлежат защищенные технические, программно&технические, про& граммные средства, системы связи, сети и системы вычислительной техники, средства защиты и сред& ства контроля эффективности защиты, а также технические и программные средства, предназначенные для обработки информации с ограниченным доступом, в том числе и иностранного производства.

Организационную структуру системы сертификации средств защиты информации по требова& ниям безопасности информации образуют:

1.Государственный орган по сертификации продукции

2.Аккредитованные органы по сертификации продукции

3.Аккредитованные испытательные центры (лаборатории)

4.Заявители (разработчики, изготовители, поставщики, заказчики, потребители продукции). Государственный орган по сертификации продукции отвечает за организацию обязательной госу&

дарственной сертификации, создание системы сертификации и установление правил сертификации, а также организует разработку нормативно — методических документов, на соответствие которым проводится сертификация, и утверждает их.

В качестве органов по сертификации могут быть аккредитованы организации и предприятия, об& ладающие необходимой компетентностью и отвечающие установленным требованиям, в том числе го& сударственные органы, акционерные общества, общества с ограниченной ответственностью и другие организации.

Процесс аккредитации исключительно важен и является официальным признанием технической компетентности и независимости субъекта от разработчиков, изготовителей, поставщиков и потреби& телей продукции. В ходе этого процесса осуществляется передача необходимых функций по серти& фикации аккредитуемому органу.

Испытательные центры (лаборатории) проводят испытания конкретной продукции или предваритель& ную проверку производства и готовят необходимые технические заключения и протоколы испытаний.

Заявители (разработчики, изготовители, поставщики) несут ответственность за обеспечение со& ответствия продукции требованиям, по которым она была сертифицирована, и пронимают необходи& мые меры по обеспечению стабильности характеристик, определяющих безопасность информации.

Технология сертификации

При сертификации могу подтверждаться как отдельные характеристики, так и весь комплекс характе& ристик продукции, связанных с обеспечением безопасности информации. В зависимости от назначения продукция подтверждается на соответствие требованиям по защите информации от следующих угроз:

1.Несанкционированного доступа (действия), в том числе от компьютерных вирусов.

2.Утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН).

3.Утечки информации или воздействия на нее за счет специальных устройств, встроенных в техни& ческие и программные средства.

Выбор схемы сертификации зависит от технических характеристик продукции, подвергающейся

22

оглавление

1

2

3

4

5

Глава 1

Правовое и нормативное обеспечение технической защиты информации в Российской

Федерации

проверке, и условий ее производства. Основными схемами сертификации продукции на соответствие требованиям по безопасности информации являются:

1.Для единичных образцов — проведение испытания образцов продукции.

2.Для партии продукции — проведение испытаний выборки образцов продукции из партии.

3.Для серийного производства — аттестация производства, проведение типовых испытаний образ& цов продукции и последующий надзор за стабильностью характеристик сертифицированной про& дукции, обеспечивающих (определяющих) выполнение этих требований.

По согласованию с органом по сертификации могут быть использованы и другие схемы сертифи& кации, применяемые в международной практике.

Испытания проводятся в испытательных центрах (лабораториях), аккредитованных Гостехкомис& сией России. Выбор испытательного центра проводится исходя из принципа его независимости от за& явителя, обеспечивающего объективность результатов испытаний.

В отдельных случаях по согласованию с органом по сертификации допускается проведение испы& таний на испытательной базе разработчика (изготовителя) продукции. При этом орган по сертифи& кации определяет условия, необходимые для обеспечения объективности результатов испытаний.

На основе полученных в ходе испытаний протоколов орган по сертификации принимает решение о выдаче сертификата на продукцию, проводит работы по его оформлению и регистрации в государ& ственном реестре. Расходы по проведению всех видов работ по сертификации продукции по требова& ниям безопасности информации относятся на себестоимость продукции и оплачиваются заявителем.

Органы по сертификации и испытательные центры (лаборатории) несут ответственность за вы& полнение возложенных на них функций по обеспечению режима конфиденциальности и соблюде& ния, авторских прав при испытаниях продукции.

Совершенствование нормативно*методической базы

Сертификация продукции на соответствие требованиям безопасности информации базируется на основе действующей системы стандартизации и нормативно — технической документации по без& опасности информации. Однако в настоящее время в связи с принятием Федерального закона «О тех& ническом регулировании» (№ 184 от 27.12.02) и изменением принципов технического регулирова& ния, стандартизации и оценки соответствия возникла острая необходимость выработки общей поли& тики в области обеспечения безопасности информационных технологий и построения целостной си& стемы нормативно — методических документов, которые составили бы основу для деятельности раз& личных органов, действующих в сфере обеспечения безопасности информационных технологий.

Фундаментом для совершенствования нормативно&методической базы оценки безопасности ин& формационных технологий должен стать ГОСТ Р ИСО/МЭК 15408&2002, принятый решением Госстан& дарта России и вступивший в силу с 1 января 2004 г. Одновременно планируется разработка следу& ющих нормативно&методических документов, направленных на организацию сертификации средств защиты информации в соответствии с методологией этого ГОСТа:

1.Руководство по разработке профилей защиты и заданий по безопасности.

2.Руководство по регистрации профилей защиты.

3.Положение по организации разработки, испытаний, производства и эксплуатации безопасных ин& формационных технологий.

4.Методология (типовые методики) оценки.

Указанный пакет документов, наряду с собственно профилями защиты, должен составить базу для

совершенствования системы нормативно&методических документов Гостехкомиссии России по без& опасности информационных технологий.

Аттестация объектов информатизации

Прогрессивной формой оценки систем информационных технологий, или объектов информатиза& ции, является их аттестация. Под аттестацией объектов информатизации понимается комплекс орга& низационно — технических мероприятий, в результате которых посредством специального докумен& та — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно&технических документов по безопасности информации, утвержденных Гостех&

23

оглавление

1

2

3

4

5

Глава 1

Правовое и нормативное обеспечение технической защиты информации в Российской

Федерации

комиссией России.

Объекты информатизации, предназначенные для обработки информации, составляющей государ& ственную тайну, а также ведения секретных переговоров, подлежат обязательной аттестации по тре& бованиям защиты информации. К таким объектам относятся:

Средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе ин& формационно&вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изго& товления, тиражирования документов и другие технические средства обработки речевой, графичес& кой, видео&, смысловой и буквенно&цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прокладное программное обеспечение), используемые для обработки секретной информации.

Технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация.

Выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.

Аттестация объектов информатизации на соответствие требованиям безопасности информации вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте мер и средств защиты информации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестационные испытания

Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккреди& тованным Гостехкомиссией России органом по аттестации из компетентных специалистов в необхо& димых для конкретного объекта информатизации направлениях защиты информации, по согласован& ной с заявителем программе испытаний.

Органы по аттестации несут ответственность за выполнение возложенных за них функций, обес& печение сохранности государственной тайны, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

1.Экспертно&документальный метод.

2.Измерение и оценка уровней защищенности для отдельных технических средств и каналов утеч&

ки информации.

3.Проверка функций или комплекса функций защиты информации от несанкционированного до& ступа (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты ин& формации от НСД и наблюдения за их выполнением.

4.Проверка на попытку «взлома» систем защиты информации.

Программа испытаний разрабатывается на основе анализа исходных данных об объекте инфор& матизации и должна включать необходимые виды испытаний, определенные методическими реко& мендациями для соответствующих групп объектов информатизации (выделенные помещения, авто& матизированные системы, системы связи и т.д.), а также определять сроки, условия и методики про& ведения испытаний.

Программа испытаний может уточниться и корректироваться в процессе испытаний по согласова& нию с заявителем и руководителем аттестационной комиссии.

На сегодняшний день Гостехкомиссией России аккредитовано более 170 органов по аттестации объектов информатизации. Объем ежегодно проводимых ими работ по аттестации составляет поряд& ка 2000 объектов информатизации.

Обработка информации ограниченного доступа с помощью информационных технологий зачас& тую обуславливает возможность нанесения недопустимого ущерба правам и законным интересам

24

оглавление

1

2

3

4

5

Глава 2

Положения основных нормативных правовых актов и руководящих документов

по защите конфиденциальной информации

граждан, обороне и безопасности государства, поэтому государственное регулирование в указанной области является обоснованной необходимостью.

На сегодняшний день лицензирование и сертификация — являются наиболее рациональными формами государственного регулирования применения информационных технологий для обработки информации ограниченного доступа.

2.Положения основных нормативных правовых актов и руководящих документов по защите конфиденциальной информации

2.1. Основные положения законодательства в области защиты информации

Будущее России, ее экономики, благосостояния населения, наряду с промышленным потенциалом и природными богатствами зависит от информационных и телекоммуникационных технологий, ин& формационных ресурсов, а также от способности государства обеспечить их эффективную защиту.

Необходимость защиты информационных ресурсов, информационных и телекоммуникационных систем вытекают из требований Правительства РФ, которые нашли отражение в целом ряде норма& тивных правовых актов в области защиты конфиденциальной информации.

Все нормативно&правовые акты РФ по защите информации можно разделить на две основные группы:

1. Законы РФ.

2. Подзаконные нормативные акты.

К первой группе документов, прежде всего, относятся:

1. Федеральный закон «Об информации, информатизации и защите информации» от 20.02. 95 г. № 24&ФЗ.

2.Федеральный закон «О сертификации продукции и услуг» от 10.06.93 г. № 5151&I

3.Федеральный закон «Об электронной цифровой подписи» от 26.12.01 г.

4.Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 г. № 128&ФЗ

5.Федеральный закон «О государственной тайне» от 21.07.93 г. № 5485&1

6.«О внесении изменений и дополнений в закон российской федерации «о государственной тайне» от 06.10.97 г. № 131&ФЗ

7.Федеральный закон «О безопасности» от 05.03.92 г. № 2446&1

8.Федеральный закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 г. № 3523&1

9.Федеральный закон «О правовой охране топологий интегральных микросхем» от 23.09.92 г. № 3526&1

10.Федеральный закон «О стандартизации» от 10.06.93 г. № 5154&1

11.Федеральный закон «О науке и государственной научно&технической политике» от 23.08.96 г. № 127&ФЗ

12.Федеральный закон от 04.07.96 г. №85&ФЗ «Об участии в международном информационном обмене».

13.Федеральный закон от 16.02.95 г. №15&ФЗ «О связи».

14.Федеральный закон от 08.08.2001 г. № 128&ФЗ «О лицензировании отдельных видов деятельности».

Всоответствии с ФЗ РФ «Об информатизации, информации и защите информации»:

информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независи& мо от формы их представления;

документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

конфиденциальная информация — документированная информация, доступ к которой ограни&

25

оглавление

1

2

3

4

5

Глава 2

Положения основных нормативных правовых актов и руководящих документов

по защите конфиденциальной информации

чивается в соответствии с законодательством Российской Федерации;

информационные ресурсы — отдельные документы и отдельные массивы документов, докумен& ты и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Виды информационных ресурсов РФ представлены на рис. 2.1.

Документированные информационные ресурсы РФ

 

 

 

Статья 6.1. Закона

Негосударственные

 

 

Государственные

информационные ресурсы

информационные ресурсы

 

 

 

Статья 7.1. Закона

Федеральные

Информационные ресурсы,

Информационные

информационные ресурсы

находящиеся в совместном

ресурсы субъектов РФ

ведении РФ и субъектов РФ

Рис. 2.1 Виды документированных информационных ресурсов РФ.

Классификация информации по уровню доступа к ней пользователей приведена на рис. 2.2. На нем зеленым цветом обозначена общедоступная информация для всех пользователей, салато& вым — документированная информация, голубым — информация с ограниченным доступом, жел& тым — конфиденциальная информация, красным — информация, содержащая сведения, составляю& щие государственную тайну

Информация

сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления

 

не документированная

 

 

 

 

 

 

документированная информация

 

 

информация

 

 

 

 

 

 

зафиксированная на материальном носителе

 

 

 

 

с реквизитами, позволяющими ее идентифицировать

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

без ограничения доступа

 

 

 

 

 

с ограниченным доступом

 

зафиксированная на материальном носителе

 

 

 

с реквизитами, позволяющими ее

 

 

 

 

 

 

 

 

 

 

ст. 10.2

 

 

 

идентифицировать

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

конфиденциальная

 

 

 

государственная тайна

 

 

 

 

 

 

 

 

информация

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

сведения,

 

 

 

 

 

сведения

 

 

 

 

 

 

 

 

 

 

связанные с профессио&

 

 

 

 

 

об изобретениях

 

 

 

 

 

 

 

 

до официальной публикации

 

 

 

 

 

 

 

 

нальной деятельностью

 

 

 

 

 

 

 

 

 

 

 

 

 

 

информации о них

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

персональные

 

 

сведения,

 

 

 

 

 

служебные

 

 

 

сведения,

 

данные

 

 

составляющие

 

 

 

 

 

сведения

 

 

связанные с коммерчес&

 

 

 

тайну следствия

 

 

 

 

 

 

 

кой деятельностью

 

ст. 11.1

 

 

и судопроизводства

 

 

 

 

 

ст. 139 ГК РФ

 

 

 

ст. 139 ГК РФ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

26

оглавление

1

2

3

4

5

Рис. 2.2. Классификация информации по уровню доступа.

Глава 2

Положения основных нормативных правовых актов и руководящих документов

по защите конфиденциальной информации

Рассмотрим теперь более подробно, что представляет собой:

документированная информация,

информация с ограниченным доступом,

конфиденциальная информация.

Государственные информационные ресурсы Российской Федерации являются открытыми и обще&

доступными. Исключение составляет документированная информация, отнесенная законом к катего& рии ограниченного доступа.

Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

Запрещено относить к информации с ограниченным доступом:

законодательные и другие нормативные акты, устанавливающие правовой статус органов госу& дарственной власти, органов местного самоуправления, организаций, общественных объедине& ний, а также права, свободы и обязанности граждан, порядок их реализации;

документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологи& ческую, демографическую, санитарно&эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объек& тов, безопасности граждан и населения в целом;

документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и ме& стных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, от& несенных к государственной тайне;

документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Отнесение информации к государственной тайне осуществляется в соответствии с Законом Рос&

сийской Федерации «О государственной тайне».

Все подзаконные нормативные акты можно разложить на следующие составляющие:

1.Указы Президента РФ.

2.Постановления Правительства РФ.

3.Ведомственные акты (акты федеральных органов исполнительной власти):

Нормативно&правовые акты Гостехкомиссии (ФСТЭК) России

Государственные стандарты РФ.

Наиболее важными Указами Президента в области защиты конфиденциальной информации являются:

1.«Перечень сведений конфиденциального характера» от 6 марта 1997 года, № 188

2.Вопросы Государственной технической комиссии Президенте Российской Федерации от 19 фев& раля 1999 года № 212

3.«Об основах государственной политики в сфере информатизации» от 20.01.94 N 170

4.«О мерах по соблюдению законности в области разработки, производства, реализации и эксплу& атации шифровальных средств, а также предоставления услуг в области шифрования информа& ции» 03.04.95 N 334

5.«Концепция национальной безопасности Российской Федерации» от 17.12.97 N 1300

6.«О концепции национальной безопасности Российской Федерации» от 10.01.00 N 24

7.«О перечне сведений, отнесенных к государственной тайне» от 24.01.98 N 61

8.«О внесении изменений и дополнений в перечень сведений, отнесенных к государственной тай& не, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203» от 06.06.2001г. N659

9.«Вопросы военно&технического сотрудничества Российской Федерации с иностранными государ& ствами» от 07.12.98 N 1488

27

оглавление

1

2

3

4

5

Глава 2

Положения основных нормативных правовых актов и руководящих документов

по защите конфиденциальной информации

10.«Вопросы военно&технического сотрудничества Российской Федерации с иностранными государ& ствами» от 01.12.00 N 1953

11.«Об утверждении состава комиссии по вопросам военно&технического сотрудничества Россий& ской Федерации с иностранными государствами» от 21.05.01 N 569

12.«Вопросы Государственной технической комиссии при Президенте Российской Федерации» ОТ 24.06.99 N 811

13.«Об утверждении перечня должностных лиц органов государственной власти, наделяемых пол& номочиями по отнесению сведений к государственной тайне» от 17.01.00 N 6&рп

14.«О внесении изменений в Перечень должностных лиц органов государственной власти, наделя& емых полномочиями по отнесению сведений к государственной тайне» ОТ 26.09.00 N 419&рп

15.«Доктрина информационной безопасности Российской Федерации» от 09.09.2000 N Пр&1895

16.«О мерах по обеспечению информационной безопасности Российской Федерации в сфере меж& дународного информационного обмена» от 12.05. 2004 года N 611.

Всоответствии с Указом Президента РФ от 6 марта 1997 г. N 188 утвержден перечень сведений конфиденциального характера (см. рис. 2.2), к ним относятся:

1.Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие иденти& фицировать его личность (персональные данные), за исключением сведений, подлежащих распро& странению в средствах массовой информации в установленных федеральными законами случаях.

2.Сведения, составляющие тайну следствия и судопроизводства.

3.Служебные сведения, доступ к которым ограничен органами государственной власти в соответ& ствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). К служебной тайне относятся:

служебная информация, имеющая действительную или потенциальную коммерческую ценность (статья 139 Гражданского кодекса РФ);

поступающие в органы государственной налоговой службы РФ сведениях о доходах государ&

ственного служащего и об его имуществе, принадлежащем ему на правах собственности (статья 12 Федерального органа «Об основах государственной службы РФ»);

сведения о вкладах физических лиц и другая информация, полученная сотрудниками налого& вой полиции при исполнении ими служебных обязанностей (статья 10.8 Закона РФ «О феде& ральных органах налоговой полиции»);

документированная служебная информация ограниченного распространения с грифом «ДСП» в федеральных органах исполнительной власти и в подведомственных им структурах (поста& новление Правительства РФ от 3.12.94 г. №1233).

4.Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соот& ветствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотари&

альная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, те& леграфных или иных сообщений и так далее).

Статья 23 Конституции РФ гласит:

1.Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну , за щиту своей чести и доброго имени.

2.Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных

ииных сообщений. Ограничение этого права допускается только на основании судебного ре

шения. Статья 24:

1.Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2.Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, не посредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

5.Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

28

оглавление

1

2

3

4

5

Глава 2

Положения основных нормативных правовых актов и руководящих документов

по защите конфиденциальной информации

Статья 139 Гражданского кодекса РФ определяет, что коммерческой тайной является информа& ция, имеющая действительную или потенциальную коммерческую ценность в силу неизвестно& сти ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель ин& формации принимает меры к охране ее конфиденциальности.

Установлен один общий признак, которым должна обладать охраняемая информация — «коммер& ческая ценность», т.е. способность быть объектом рыночного оборота.

Статья 10.4 Федерального закона «О бухгалтерском учете» определяет, что коммерческой тайной является содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности.

6.Сведения о сущности изобретения, полезной модели или промышленного образца до офици& альной публикации информации о них.

Примерный перечень сведений конфиденциального характера:

Персональные данные.

Сведения экономического характера.

Сведения по финансовым вопросам.

Сведения по транспорту и связи.

Сведения по вопросам внешней торговли и международных научно&технических связей.

Сведения по вопросам обеспечения безопасности.

Сводный перечень работ предприятия на перспективу, на год (квартал).

Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов.

Основные показатели задания на проектирование комплекса (установки). НОУ&ХАУ техноло& гии — различные технические, коммерческие и другие сведения, оформленные в виде техни& ческой документации.

Методические материалы, типовые технологические и конструктивные решения, разработан& ные на предприятии и используемые при проектировании.

Требования по обеспечению сохранения служебной тайны при выполнении работ на предпри& ятии.

Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица.

Вывод:

Признание тех или иных сведений конфиденциальными является прерогативой правообладателя. Исключения из этой общей нормы устанавливаются законом или иным правовым актом.

Наиболее важными постановлениями Правительства РФ в области защиты конфиденциаль& ной информации являются:

1.«О лицензировании деятельности по технической защите конфиденциальной информации» от 30 апреля 2002г. № 290

2.«О лицензировании деятельности по разработке и (или) производству средств защиты конфиден&

циальной информации» от 27.05.02 N 348

3.«О внесении изменения в Положение о лицензировании деятельности по технической защите конфиденциальной информации» от 23 сентября 2002 г. N 689

4.«Об утверждении правил отнесения сведений, составляющих государственную тайну, к различ& ным степеням секретности» ОТ 04.09.95 N 870

5.«О сертификации средств защиты информации»

6.«О лицензировании отдельных видов деятельности» от 11.04.00 N 326

7.«Об утверждении положения о лицензировании деятельности по разработке, производству и ис& пытаниям авиационной техники, в том числе авиационной техники двойного назначения» от 19.03.01 N 205

8.«Об утверждении положения о лицензировании деятельности в области вооружения и военной техники» от 19.03.01 N 207

9.«Об утверждении Положения о лицензировании образовательной деятельности» от 18.10.00 N 796

10.«Об утверждении положения о лицензировании деятельности по производству боеприпасов» от 19.03.01 N 209

11.«О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной став&

29

оглавление

1

2

3

4

5

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]