- •Введение
- •Глава 1. Информация как объект правовой защиты
- •1.1. Необходимость защиты информации
- •1.2. Основные термины и определения
- •1.3. Структура информационных ресурсов
- •1.4. Модель информационной безопасности.
- •1.5. Правовая модель отношений субъектов информационного обмена
- •1.6. Особенность отношений субъектов информационного обмена в сети Интернет
- •1.7. Структура нормативных правовых актов в области информационной безопасности.
- •1.8. Судебная практика в области компьютерных преступлений
- •Контрольные вопросы к главе 1
- •Глава 2. Государственная система обеспечения информационной безопасности Российской Федерации
- •2.1 Организационная структура государственной системы обеспечения информационной безопасности
- •2.2. Совет Безопасности Российской Федерации
- •2.3. Комиссия Совета Федерации по информационной политике
- •2.4. Федеральные органы исполнительной власти в области информатизации
- •2.6. Правительственная Комиссия по федеральной связи
- •2.7. Федеральная служба безопасности Российской Федерации
- •2.8. Федеральная служба по техническому и экспортному контролю
- •2.9. Федеральная служба охраны Российской Федерации
- •2.10. Служба внешней разведки Российской Федерации
- •2.11. Федеральное агентство по информационным технологиям
- •2.12. Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия
- •2.13. Федеральная служба по интеллектуальной собственности, патентам и товарным знакам
- •2.15. Обеспечение информационной безопасности на уровне субъектов Российской Федерации
- •Контрольные вопросы к главе 2
- •Глава 3. Нормативно-правовое обеспечение информационной безопасности
- •3.1. Международные стандарты в области информационной безопасности
- •3.2. Основные нормативно-правовые документы Российской Федерации в области защиты информации
- •Международные документы
- •Концептуальные документы Российской Федерации
- •Федеральные законы Российской Федерации
- •Указы Президента Российской Федерации
- •Постановления Правительства Российской Федерации
- •Постановления Федеральных органов
- •Государственные стандарты
- •Руководящие документы Гостехкомиссии
- •3.3. Конституция Российской Федерации
- •3.4. Концепция национальной безопасности Российской Федерации
- •3.5. Доктрина информационной безопасности Российской Федерации
- •3.6. Концепция использования информационных технологий в деятельности федеральных органов исполнительной власти
- •3.7. Концепция региональной информатизации
- •3.8. Концепция создания системы персонального учета населения Российской Федерации
- •3.9. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •3.10. Концепция формирования информационного общества в России
- •3.11. Стратегия развития информационного общества в России
- •3.12. Закон «Об информации, информационных технологиях и о защите информации»
- •3.13. Кодекс Российской Федерации об административных правонарушениях
- •3.14. Уголовный кодекс Российской Федерации
- •3.15. Гражданский Кодекс Российской Федерации
- •3.16. Налоговый кодекс Российской Федерации
- •3.17. Таможенный Кодекс Российской Федерации
- •3.18. Трудовой Кодекс Российской Федерации
- •3.19. Федеральный Закон «О государственной тайне»
- •3.20. Федеральный Закон «О коммерческой тайне»
- •3.21. Федеральный Закон «О техническом регулировании»
- •3.22. Федеральный Закон «Об электронной цифровой подписи»
- •3.23. Федеральный Закон «О персональных данных»
- •3.24. Федеральный Закон «О связи»
- •3.25. Федеральный Закон «О государственной автоматизированной системе Российской Федерации «Выборы»
- •3.26. Федеральный Закон «О рекламе»
- •3.27. Федеральный Закон «О средствах массовой информации»
- •3.28. Федеральный Закон «О безопасности»
- •3.29. Федеральный Закон «О лицензировании отдельных видов деятельности»
- •3.30. Федеральный Закон «О транспортной безопасности»
- •3.32. Федеральный Закон «Об архивном деле в Российской Федерации»
- •Контрольные вопросы к главе 3
- •Заключение.
- •Литература
- •Интернет-ресурсы:
3.22.Федеральный Закон «Об электронной цифровой подписи»
Федеральный Закон «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ осуществляет правовое регулирование отношений в области использования электронной цифровой подписи (ЭЦП). Целью настоящего Федерального Закона является обеспечение правовых условий использования ЭЦП в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Работа над проектом Закона началась c обсуждения думским бюджетным комитетом общего подхода к законодательству об электронной коммерции и электронном документообороте. Наибольшую заинтересованность в принятии законов высказывали финансовые структуры и, в частности, коммерческие банки, давно использующие в своей деятельности аналоги собственноручной подписи. В результате данной дискуссии было принято решение о создании законодательной базы для электронного документооборота, в том числе о принятии Закона об электронной подписи.
Федеральный Закон об ЭЦП основывается на следующих принципах.
1. Цифровая подпись не может быть дискриминирована по сравнению с собственноручной подписью только по тому основанию, что она имеет электронную форму. Если соблюдены все указанные в Федеральном Законе требования, предъявляемые к электронной подписи, то она порождает те же правовые последствия, что и собственноручная и обе подписи могут быть равным образом использованы в качестве доказательства в суде.
330
2.Осуществление государственного контроля за обращением продуктов и услуг, связанных с электронной цифровой подписью. Физические и юридические лица могут использовать только сертифицированные средства электронной цифровой подписи, а деятельность удостоверяющих центров подлежит лицензированию.
3.Правовым признанием пользуется электронная цифровая подпись, полученная с помощью использования технологий асимметричной криптографии.
4.Широкая сфера применения электронной цифровой подписи.
5.Признание иностранного сертификата ключа подписи, что, несомненно, способствует не только развитию внутреннего рынка, но и международной электронной коммерции.
Статья 3 вводит основные понятия в области ЭЦП, описанные в первой главе настоящего учебного пособия.
Глава II Закона посвящена условиям использования ЭЦП. В соответствии со статьей 4 электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Всоответствии со статьей 5 при создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой
331
подписи. Использование несертифицированных средств ЭЦП и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
Статья 8 определяет статус удостоверяющего центра. Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
Статья 9 определяет основные функции удостоверяющего центра: изготавливает сертификаты ключей подписей; создает ключи электронных цифровых подписей по обращению
участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
332
выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.
Глава IV определяет особенности использования ЭЦП в сфере государственного управления и корпоративных информационных системах. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
В соответствии с Постановлением Правительства Российской Федерации от 30 июня 2004 года № 319 Федеральное агентство по информационным технологиям является уполномоченным федеральным органом исполнительной власти в области использования электронной цифровой подписи.
3.23. Федеральный Закон «О персональных данных»
Принятие Федерального Закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" направлено на реализацию конституционных
333
положений, закрепляющих право каждого на неприкосновенность частной жизни, личную и семейную тайну, а также на воплощение в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности при обращении с персональными данными от 28 января 1981 года. Конвенция была подписана Российской Федерацией и в г. Страсбурге 7 ноября 2001 года и ратифицирована Федеральным законом от 19 декабря 2005 года N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Кроме того, распоряжением Правительства Российской Федерации от 9 июня 2005 года № 748-рп утверждена «Концепция создания системы персонального учета населения Российской Федерации». В соответствии с Концепцией система персонального учета представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан.
Для обеспечения доступа к системе персонального учета должна быть предусмотрена процедура авторизации пользователей в соответствии с требованиями обеспечения информационной безопасности. В Концепции указано, что в целях развития и функционирования системы персонального учета необходимо принять нормативные правовые акты, определяющие понятие, структуру, виды персональной информации, порядок доступа к ней, права и обязанности пользователей и держателей баз данных персональной информации, порядок и условия сбора, хранения, использования и распространения персональных данных. Указанные нормативные правовые акты должны иметь статус федеральных законов и
334
определять все основные термины и понятия системы персонального учета.
Законом «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Действие настоящего Федерального Закона не распространяется на отношения, возникающие при:
1)обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2)организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3)обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4)обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
335
В соответствии со статьей 5 обработка персональных данных должна осуществляться на основе следующих принципов:
1)законности целей и способов обработки персональных данных и добросовестности;
2)соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3)соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4)достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5)недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Обработка персональных данных может осуществляться оператором
ссогласия субъектов персональных данных, за исключением случаев:
1)обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2)обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3)обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
336
4)обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5)обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6)обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7)осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из
337
общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
В соответствии со статьей 9 Закона обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1)фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность;
2)наименование и адрес оператора, получающего согласие субъекта персональных данных;
3)цель обработки персональных данных;
4)перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5)перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6)срок, в течение которого действует согласие, а также порядок его
отзыва.
Статья 10 регулирует порядок обработки специальных категорий персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:
1)субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2)персональные данные являются общедоступными;
338
3)персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни;
4)обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5)обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6)обработка персональных данных необходима в связи с осуществлением правосудия;
7)обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативнорозыскной деятельности, а также в соответствии с уголовноисполнительным законодательством Российской Федерации.
Глава 3 Закона определяет права субъекта персональных данных. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае,
339
если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1)обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется
вцелях обороны страны, безопасности государства и охраны правопорядка;
2)обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения;
3)предоставление персональных данных нарушает конституционные права и свободы других лиц.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
340
Глава 4 Закона определяет обязанности оператора при сборе персональных данных. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные.
Глава 5 посвящена вопросам контроля и надзора за обработкой персональных данных и ответственности за нарушение требований настоящего Федерального Закона. В соответствии со статьей 23 уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального Закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
В соответствии с Постановлением Правительства Российской Федерации от 30 июня 2004 года N 318 федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, являлась Федеральная служба по надзору в сфере связи. Указом Президента
341
Российской Федерации от 12 марта 2007 года № 320 указанная служба преобразована в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Указом Президента от 12 мая 2008 года № 724 «Вопросы системы и структуры Федеральных органов исполнительной власти» она вновь преобразована в Федеральную службу по надзору в сфере связи и массовых коммуникаций.
Во исполнение закона Постановлением Правительства № 781 от 17.11.2007 утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В этом же Постановлении дано поручение ФСБ и ФСТЭК утвердить в трехмесячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.
Совместным приказом ФСТЭК, ФСБ и Мининформсвязи № 55/86/20 от 13.02.2008 утвержден документ «Порядок классификации информационных систем персональных данных». Кроме того, во исполнение Постановления № 781, ФСТЭК в феврале 2008 года разработал и утвердил ряд методических документов (с грифом ДСП) в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных:
1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
342