Добавил червёртую лекцию

2 files changed, 844 insertions, 12 deletions

diff --git a/legal-infosec.tex b/legal-infosec.tex
index d751716..d766007 100644
--- a/legal-infosec.tex
+++ b/legal-infosec.tex
@@ -22,17 +22,17 @@
 
 \maketitle
 
-\input{sections/section1.tex}
-\input{sections/section2.tex}
-\input{sections/section3.tex}
-\input{sections/section4.tex}
-\input{sections/section5.tex}
-\input{sections/section6.tex}
-\input{sections/section7.tex}
-\input{sections/section8.tex}
-\input{sections/section9.tex}
-\input{sections/section10.tex}
-\input{sections/section11.tex}
-\input{sections/section12.tex}
+\include{sections/section1.tex}
+\include{sections/section2.tex}
+\include{sections/section3.tex}
+\include{sections/section4.tex}
+\include{sections/section5.tex}
+\include{sections/section6.tex}
+\include{sections/section7.tex}
+\include{sections/section8.tex}
+\include{sections/section9.tex}
+\include{sections/section10.tex}
+\include{sections/section11.tex}
+\include{sections/section12.tex}
 
 \end{document}
\ No newline at end of file
diff --git a/sections/section4.tex b/sections/section4.tex
new file mode 100644
index 0000000..b9d96e0
--- /dev/null
+++ b/sections/section4.tex
@@ -0,0 +1,832 @@
+\section{Нормативно-правовые основы защиты информации}
+\newrefsection
+
+\subsection{Базовое российское законодательство в сфере защиты информации}
+
+В этом вопросе мы рассмотрим федеральные законы, постановления Правительства и
+указы Президента, которые регулируют те или иные отношения, возникающие при
+осуществлении деятельности, связанной с использованием информационных
+технологий. Здесь мы не будем рассматривать нормативные акты, которые связаны с
+вопросами политического регулирование отношений в этой сфере: реализации права
+на информацию, порядка накопления информации в госархивах и т.д. Рассмотрим
+только те, которые имеют непосредственный выход на разработку организационных
+документов и принятие организационных, технических или физических мер защиты.
+
+Конституция (12.12.1993 года). Устанавливает основные права и свободы гражданина
+РФ в том числе и в сфере защиты права на информацию: ст. 24, 41(п.3), 42
+гарантируют право на получение достоверной жизненно важной информации. Ст. 23
+гарантирует право на тайну. Ст. 29 - право на свободное распространение
+незапрещенной информации.
+
+Доктрина информационной безопасности Российской Федерации (утверждена Указом
+Президента Российской Федерации от 5 декабря 2016 г. № 646). Является
+определяющим документом в сфере законодательства по защите информации. Вводит
+понятие информационной безопасности (ИБ) РФ и описывает составляющие
+национальных интересов в этой области. Вводит понятие внутренних и внешних
+источников угроз и описывает угрозы ИБ РФ. Формулирует задачи, которые должны
+быть решены для обеспечения ИБ РФ. Описывает общие методы обеспечения ИБ РФ по
+сферам общественной жизни. Также в этом документе описываются основные функции
+системы обеспечения ИБ РФ и основные элементы организационной основы системы
+обеспечения ИБ РФ (руководство страны).
+
+ФЗ от 28.12.2010 № 390-ФЗ «О безопасности» устанавливает основные принципы
+обеспечения безопасности в РФ, государственную политику в этой области и
+полномочия субъектов РФ. Вводит новый орган - Совет Безопасности РФ и определяет
+его полномочия и обязанности.
+
+ФЗ от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности». Дает
+определение федеральной службе безопасности и устанавливает систему органов ФСБ
+в РФ. Устанавливает особый статус ФСБ при противодействии иностранным разведкам,
+правонарушениям в обеспечении информационной безопасности. Устанавливает права и
+обязанности ФСБ в частности в отношении контроля над производством и оборотом
+шифровальных средств на территории РФ.
+
+ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите
+информации» устанавливает основные принципы правового регулирования в сфере
+информации, дает понятие информации и связанных с ней процессов и систем,
+документированной информации, обладателя информации и его прав и обязанностей,
+действий над информацией, электронного документа и оператора ИС. Устанавливает
+информацию как объект правовых отношений, определяет категории информации в
+зависимости от порядка ее предоставления, основные мероприятия по защите
+информации на предприятии. Кроме того, в этом документе определяется понятие
+государственной информационной системы (ГИС), и требования по защите информации
+в ней.
+
+Основные определения:
+\begin{itemize}
+  \item
+    информация - сведения (сообщения, данные) независимо от формы их
+    представления
+  \item
+    информационная система - совокупность содержащейся в базах данных информации
+    и обеспечивающих ее обработку информационных технологий и технических
+    средств
+  \item
+    обладатель информации - лицо, самостоятельно создавшее информацию либо
+    получившее на основании закона или договора право разрешать или ограничивать
+    доступ к информации, определяемой по каким-либо признакам;
+  \item
+    доступ к информации - возможность получения информации и ее использования;
+  \item
+    конфиденциальность информации - обязательное для выполнения лицом,
+    получившим доступ к определенной информации, требование не передавать такую
+    информацию третьим лицам без согласия ее обладателя;
+  \item
+    документированная информация - зафиксированная на материальном носителе
+    информация с реквизитами, позволяющими определить такую информацию или ее
+    материальный носитель
+  \item
+    электронный документ - документированная информация, представленная в
+    электронной форме (воспринимаемая для последующей обработки компьютерными
+    системами)
+\end{itemize}
+
+Основное положение: информация может являться объектом публичных, гражданских и
+иных правовых отношений.
+
+Классификация информации:
+\begin{enumerate}
+  \item
+    свободно распространяемая;
+  \item
+    предоставляемая по соглашению лиц, участвующих в соответствующих отношениях;
+  \item
+    подлежащая предоставлению или распространению в соответствии с федеральными
+    законами;
+  \item
+    распространение которой в Российской Федерации ограничивается или
+    запрещается.
+\end{enumerate}
+
+Защита информации представляет собой принятие правовых, организационных и
+технических мер, направленных на:
+\begin{enumerate}
+  \item
+    обеспечение защиты информации от неправомерного доступа, уничтожения,
+    модифицирования, блокирования, копирования, предоставления, распространения,
+    а также от иных неправомерных действий в отношении такой информации;
+  \item
+    соблюдение конфиденциальности информации ограниченного доступа;
+  \item
+    реализацию права на доступ к информации.
+\end{enumerate}
+
+ФЗ от 27.12.2002 г. N 184-ФЗ «О техническом регулировании». Регулирует
+правоотношения, возникающие при разработке, принятии и эксплуатации технических
+средств, применение которых может быть опасно. Вводит понятие безопасности,
+аттестации, аккредитации, сертификации, объекта информатизации. Устанавливает
+требование сертификации на ИС, обрабатывающие ГТ и  технические СЗИ.
+
+Основные определения:
+\begin{itemize}
+  \item
+    аккредитация - официальное признание органом по аккредитации компетентности
+    физического или юридического лица выполнять работы в определенной области
+    оценки соответствия;
+  \item
+    декларирование соответствия - форма подтверждения соответствия продукции
+    требованиям технических регламентов;
+  \item
+    сертификация - форма осуществляемого органом по сертификации подтверждения
+    соответствия объектов требованиям технических регламентов, положениям
+    стандартов, сводов правил или условиям договоров.
+\end{itemize}
+
+Формы подтверждения соответствия:
+\begin{itemize}
+  \item
+    Добровольное подтверждение соответствия осуществляется в форме добровольной
+    сертификации.
+  \item Обязательное подтверждение соответствия осуществляется в формах:
+    \begin{itemize}
+      \item принятия декларации о соответствии;
+      \item обязательной сертификации.
+    \end{itemize}
+\end{itemize}
+
+Декларация о соответствии - документ, в котором производитель, продавец или
+исполнитель удостоверяет, что поставляемая им продукция соответствует
+требованиям, предусмотренным для обязательной сертификации данной продукции или
+услуги (далее - установленным требованиям).
+
+Декларирование соответствия проводит изготовитель, обязательная сертификация
+проводится органом по сертификации.
+
+Положение о сертификации средств защиты информации (Утверждено Постановлением
+Правительства РФ от 26.06.1995 г. N 608 «О сертификации средств защиты
+информации»). Предписывает обязательную сертификацию для технических СЗИ.
+Требует обязательное применение госстандартов при создании технических СЗИ.
+Указывает функции и алгоритм взаимодействия участников сертификации в процессе
+разработки и производства технических СЗИ. Предписывает порядок осуществления
+контроля за качеством разработок и выпускаемой продукции.
+
+Участниками сертификации средств защиты информации являются:
+\begin{itemize}
+  \item
+    федеральный орган по сертификации (Госстандарт России);
+  \item
+    центральный орган системы сертификации (создаваемый при необходимости) -
+    орган, возглавляющий систему сертификации однородной продукции;
+  \item
+    органы по сертификации средств защиты информации - органы, проводящие
+    сертификацию определенной продукции (ФСБ, ФСТЭК);
+  \item
+    испытательные лаборатории - лаборатории, проводящие сертификационные
+    испытания (отдельные виды этих испытаний) определенной продукции;
+  \item
+    изготовители - продавцы, исполнители продукции.
+\end{itemize}
+
+Федеральный орган системы сертификации аккредитует остальных участников (кроме
+изготовителей) на право выполнения ими работ по сертификации средств защиты
+информации. Аккредитация проводится только при наличии у указанных органов и
+лабораторий лицензии на соответствующие виды деятельности.
+
+Испытательные лаборатории проводят сертификационные испытания средств защиты
+информации и по их результатам оформляют заключения и протоколы, которые
+направляют в соответствующий орган по сертификации средств защиты информации и
+изготовителям.
+
+Испытательные лаборатории несут ответственность за полноту испытаний средств
+защиты информации и достоверность их результатов.
+
+Изготовители должны иметь лицензию на соответствующий вид деятельности.
+
+Положение по аттестации объектов информатизации по требованиям безопасности
+информации (Утверждено председателем Государственной технической комиссии при
+Президенте Российской Федерации 25.11.1994 г.)  Уточняет систему аттестации для
+объектов информатизации. Указываются работы, которые должны быть выполнены при
+аттестации объекта. Устанавливает, что несертифицированные по требованиям
+безопасности информации изделия, устанавливаемые на объекте информатизации,
+подлежащему обязательной аттестации, должны быть проверены в лицензированных
+испытательных центрах. Устанавливает порядок проведения аттестации.
+
+Система аттестации объектов информатизации по требованиям безопасности
+информации (далее - система аттестации) является составной частью единой системы
+сертификации средств защиты информации
+
+Под аттестацией объектов информатизации понимается комплекс
+организационно-технических мероприятий, в результате которых посредством
+специального документа - "Аттестата соответствия" подтверждается, что объект
+соответствует требованиям стандартов или иных нормативно-технических документов
+по безопасности информации.
+
+ФЗ от 4.05.2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности».
+Позволяет контролировать качество работ, связанных с безопасностью. Определяет
+такие понятия как лицензия и лицензирование, устанавливает перечень
+лицензируемых видов деятельности. Устанавливает порядок взаимодействия
+госорганов и организаций при получении, продлении и отзыве лицензии.
+
+Основные определения:
+\begin{itemize}
+  \item
+    лицензирование - деятельность лицензирующих органов по предоставлению,
+    переоформлению лицензий, продлению срока действия лицензий \dots осуществлению
+    лицензионного контроля, приостановлению, возобновлению, прекращению действия
+    и аннулированию лицензий, формированию и ведению реестра лицензий и по
+    предоставлению в установленном порядке информации по вопросам
+    лицензирования;
+  \item
+    лицензия - специальное разрешение на право осуществления юридическим лицом
+    или индивидуальным предпринимателем конкретного вида деятельности
+    (выполнения работ, оказания услуг, составляющих лицензируемый вид
+    деятельности), которое подтверждается документом\dots
+\end{itemize}
+
+Общие лицензионные требования, которым должны удовлетворять лицензиаты (для устранения мошенничества в этой области):
+\begin{enumerate}
+  \item
+    наличие помещений по месту осуществления лицензируемого вида деятельности,
+    технических средств, оборудования и технической документации, принадлежащих
+    им на праве собственности (или ином законном основании) необходимых для
+    осуществления лицензируемой деятельности;
+  \item
+    наличие работников, заключивших с ними трудовые договоры, имеющих
+    профессиональное образование, обладающих соответствующей профессиональной
+    подготовкой и (или) имеющих стаж работы, необходимый для осуществления
+    лицензируемого вида деятельности;
+  \item
+    наличие необходимой для осуществления лицензируемого вида деятельности
+    системы производственного контроля.
+\end{enumerate}
+
+Положение о лицензировании деятельности по технической защите конфиденциальной
+информации (Утверждено Постановлением правительства РФ от 3.02.2012 г. №79).
+Указывает, что лицензионную деятельность в отношении защиты конфиденциальной
+информации осуществляет ФСТЭК. Указывает перечень услуг, подпадающий под данное
+постановление и детализирует лицензионные требования в отношении деятельности,
+направленной на защиту информации.
+
+Основные лицензионные требования:
+\begin{enumerate}
+  \item
+    наличие специалистов, имеющих соответствующее образование или прошедших
+    курсы повышения квалификации по данному направлению,
+  \item
+    наличие защищенных помещений,
+  \item
+    наличие соответствующего производственного и контрольного оборудования,
+  \item
+    наличие средств контроля защищенности информации от несанкционированного
+    доступа, сертифицированных по требованиям безопасности информации,
+  \item
+    использование лицензированных, а при необходимости и сертифицированных
+    устройств, программ (в том числе и СЗИ), если таковые предусмотрены
+    технологическими процессами.
+  \item
+    наличие технической документации, национальных стандартов и методических
+    документов, необходимых для выполнения работ и (или) оказания услуг,
+  \item
+    наличие системы производственного контроля в соответствии с установленными
+    стандартами.
+\end{enumerate}
+
+Положением о лицензировании деятельности по разработке и производству средств
+защиты конфиденциальной информации (утверждено Постановление Правительства РФ от
+03.03.2012 N 171)
+
+Устанавливает, что лицензирующим органом для этого вида деятельности является
+ФСТЭК, а для госорганов – ФСБ, устанавливаются соответствующие лицензионные
+требования, порядок получения и сроки лицензии.
+
+Положение о лицензировании деятельности по разработке, производству,
+распространению шифровальных (криптографических) средств, информационных систем
+и телекоммуникационных систем, защищенных с использованием шифровальных
+(криптографических) средств, выполнению работ, оказанию услуг в области
+шифрования информации, техническому обслуживанию шифровальных
+(криптографических) средств, информационных систем и телекоммуникационных
+систем, защищенных с использованием шифровальных (криптографических) средств (за
+исключением случая, если техническое обслуживание шифровальных
+(криптографических) средств, информационных систем и телекоммуникационных
+систем, защищенных с использованием шифровальных (криптографических) средств,
+осуществляется для обеспечения собственных нужд юридического лица или
+индивидуального предпринимателя). (Утверждено Постановлением Правительства РФ от
+16.04.2012 N 313)
+
+В лицензионных требованиях указывается условия соответствия для руководителя и
+сотрудников.
+
+Лицензионные требования несколько специфичнее, чем для деятельности, связанной с
+защитой конфиденциальной информации, в частности Указываются отдельно требования
+для руководителя и сотрудников, подконтрольность ФСБ, использование только
+рекомендованных ФСБ алгоритмов шифрования, специальные требования к контролю
+доступа к защищаемой информации.
+
+Так же существуют положение о лицензировании деятельности по ввозу-вывозу в/из
+РФ специальных технических средств, предназначенных для негласного получения
+информации их разработке, производстве, обороту, а также положение о
+лицензировании деятельности по обнаружению таковых устройств. Список видов этих
+устройств устанавливается согласно перечня:
+
+Перечень видов специальных технических средств, предназначенных (разработанных,
+приспособленных, запрограммированных) для негласного получения информации в
+процессе осуществления оперативно - розыскной деятельности:
+\begin{enumerate}
+  \item
+    Специальные технические средства для негласного получения и регистрации
+    акустической информации.
+  \item
+    Специальные технические средства для негласного визуального наблюдения и
+    документирования.
+  \item
+    Специальные технические средства для негласного прослушивания телефонных
+    переговоров.
+  \item
+    Специальные технические средства для негласного перехвата и регистрации
+    информации с технических каналов связи.
+  \item
+    Специальные технические средства для негласного контроля почтовых сообщений
+    и отправлений.
+  \item
+    Специальные технические средства для негласного исследования предметов и
+    документов.
+  \item
+    Специальные технические средства для негласного проникновения и обследования
+    помещений, транспортных средств и других объектов.
+  \item
+    Специальные технические средства для негласного контроля за перемещением
+    транспортных средств и других объектов.
+  \item
+    Специальные технические средства для негласного получения (изменения,
+    уничтожения) информации с технических средств ее хранения, обработки и
+    передачи.
+  \item
+    Специальные технические средства для негласной идентификации личности.
+\end{enumerate}
+
+Требования к лицензиату этого вида деятельности примерно такие же как и
+требования к лицензиату по защите конфиденциальной информации в том числе и
+криптографическими системами, не используемыми для защиты гостайны.
+
+ФЗ от 07.07.2003 № 126-ФЗ «О связи». Определяет полномочия органов
+государственной власти по регулированию этой деятельности, а также права и
+обязанности физических лиц, осуществляющих деятельность в области связи.
+Устанавливает правила передачи информации в системах связи и обеспечения этой
+связи, обязывает учитывать требования защиты информации еще на этапе
+строительства сооружений от НСД. Обязывает операторов связи обеспечивать защиту
+средств связи и сооружений связи от НСД. Декларирует тайну связи на территории
+РФ и обязывает операторов предоставлять органам, осуществляющим
+оперативно-розыскную деятельность, информацию о пользователях услугами связи в
+случаях установленных законом.
+
+Основные определения:
+\begin{itemize}
+  \item
+    сооружения связи - объекты инженерной инфраструктуры (в том числе
+    линейно-кабельные сооружения связи), созданные или приспособленные для
+    размещения средств связи, кабелей связи;
+  \item
+    средства связи - технические и программные средства, используемые для
+    формирования, приема, обработки, хранения, передачи, доставки сообщений
+    электросвязи или почтовых отправлений, а также иные технические и
+    программные средства, используемые при оказании услуг связи или обеспечении
+    функционирования сетей связи.
+\end{itemize}
+
+Операторы связи обязаны обеспечить соблюдение тайны связи: не предоставлять
+другим информацию о корреспонденции и не извлекать содержание корреспонденции,
+кроме случаев оперативно-розыскных мероприятий.
+
+С 2017 добавлено требование передачи в неизменном виде абонентского номера и
+уникального кода идентификации в сеть другого оператора, участвовавшего в
+установлении соединения.
+
+ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель – обеспечение
+правовых условий использования электронной подписи (ЭП) в электронных
+документах. Дается определение и виды ЭП в РФ, а так же понятия сертификата,
+ключа ЭП, удостоверяющего центра (УЦ). Устанавливаются принципы использования
+ЭП. Указывается, что ЭП в случае использования ее согласно закона признается
+аналогом собственноручной подписи и имеет ту же силу. Устанавливается порядок
+реализации системы обеспечения достоверности (аккредитация УЦ) и проверки
+подлинности ЭП (корневые сертификаты УЦ). Как правило на сертификат
+квалифицированной ЭП устанавливаются ограничения не только по времени но и по
+виду деятельности, в отношении которой будут подписываться документы.
+
+Основные понятия:
+\begin{itemize}
+  \item
+    электронная подпись (ЭП) - информация в электронной форме, которая
+    присоединена к другой информации в электронной форме (подписываемой
+    информации) или иным образом связана с такой информацией и которая
+    используется для определения лица, подписывающего информацию;
+  \item
+    ключ электронной подписи - уникальная последовательность символов,
+    предназначенная для создания электронной подписи;
+  \item
+    сертификат ключа проверки электронной подписи - электронный документ или
+    документ на бумажном носителе, выданные удостоверяющим центром и
+    подтверждающие принадлежность ключа проверки электронной подписи владельцу
+    сертификата ключа проверки электронной подписи;
+  \item
+    ключ проверки электронной подписи - уникальная последовательность символов,
+    однозначно связанная с ключом электронной подписи и предназначенная для
+    проверки подлинности электронной подписи (далее - проверка электронной
+    подписи);
+  \item
+    квалифицированный сертификат ключа проверки электронной подписи  -
+    сертификат ключа проверки электронной подписи, выданный аккредитованным
+    удостоверяющим центром;
+  \item
+    удостоверяющий центр - юридическое лицо или индивидуальный предприниматель,
+    осуществляющие функции по созданию и выдаче сертификатов ключей проверки
+    электронных подписей, а также иные функции, предусмотренные настоящим
+    Федеральным законом.
+\end{itemize}
+
+Виды ЭП:
+\begin{itemize}
+  \item
+    Простая ЭП позволяет посредством использования кодов, паролей или иных
+    средств подтверждать факт формирования электронной подписи определенным
+    лицом.
+
+  \item
+    Неквалифицированная ЭП должна:
+    \begin{enumerate}
+      \item
+        быть получена в результате криптографического преобразования информации
+        с использованием ключа электронной подписи;
+      \item
+        позволять определить лицо, подписавшее электронный документ;
+      \item
+        позволять обнаружить факт внесения изменений в электронный документ
+        после момента его подписания;
+      \item
+        создаваться с использованием средств электронной подписи.
+    \end{enumerate}
+
+  \item
+    Квалифицированная ЭП кроме того:
+    \begin{enumerate}
+      \item
+        имеет квалифицированный сертификат;
+      \item
+        создается и проверяется средствами, получившими подтверждение
+        соответствия требованиям безопасности.
+    \end{enumerate}
+\end{itemize}
+
+Правила использования простой электронной подписи при оказании государственных и
+муниципальных услуг (Утверждено Постановлением Правительства РФ от 25.01.2013 №
+33 «Об использовании простой электронной подписи при оказании государственных и
+муниципальных услуг»). Вводит понятие оператора, предоставляющего ЭП и
+заявителя, будущего пользователя ЭП. Устанавливает порядок использования простой
+ЭП для случаев предоставления гражданам электронных государственных и
+муниципальных услуг. Устанавливает элементарные требования к соблюдению
+конфиденциальности оператором и заявителем (будущим владельцем простой ЭП).
+Данный порядок использования не подразумевает удостоверения документов,
+предоставляемых гражданином, а только его аутентификацию в системе.
+
+
+\subsection{Специализированные нормативно-правовые акты по классам информации}
+
+ФЗ от 21.07.1993 № 5485 – 1 «О государственной тайне». Этот закон определяет
+порядок отнесения сведений к ГТ, засекречивания и рассекречивания и защиты этих
+сведений в интересах обеспечения безопасности РФ. Устанавливает субъектов ГТ,
+вводит понятие лиц, допущенных к ГТ и периода владения ГТ. Устанавливает
+требование лицензирования работ с ГТ и сертификации средств защиты ГТ.
+Устанавливает орган, ответственный за защиту ГТ – ФСБ РФ. Перечень сведений,
+отнесенных к государственной тайне, который уточнялся Указами президента РФ от
+11.02.2006 № 90, от 24.12.2007 № 1745, от 08.04.2008 № 460, от 30.04.2008 № 654,
+от 28.07.2008 № 1129, от 06.09.2008 № 1316, от 18.05.2009 № 565, от 10.06.2009 №
+640, от 30.09.2009 № 1088)
+
+Основные определения:
+\begin{itemize}
+  \item
+    государственная тайна - защищаемые государством сведения в области его
+    военной, внешнеполитической, экономической, разведывательной,
+    контрразведывательной и оперативно-розыскной деятельности, распространение
+    которых может нанести ущерб безопасности Российской Федерации;
+  \item
+    носители сведений, составляющих ГТ, - материальные объекты, в том числе
+    физические поля, в которых сведения, составляющие ГТ, находят свое
+    отображение в виде символов, образов, сигналов, технических решений и
+    процессов;
+  \item
+    система защиты ГТ - совокупность органов защиты государственной тайны,
+    используемых ими средств и методов защиты сведений, составляющих
+    государственную тайну, и их носителей, а также мероприятий, проводимых в
+    этих целях;
+  \item
+    доступ к сведениям, составляющим ГТ, - санкционированное полномочным
+    должностным лицом ознакомление конкретного лица со сведениями, составляющими
+    ГТ;
+  \item
+    средства защиты информации - технические, криптографические, программные и
+    другие средства, предназначенные для защиты сведений, составляющих
+    государственную тайну, средства, в которых они реализованы, а также средства
+    контроля эффективности защиты информации.
+\end{itemize}
+
+Обоснованность отнесения сведений к ГТ и их засекречивание заключается в
+установлении путем экспертной оценки целесообразности засекречивания конкретных
+сведений, вероятных последствий этого акта исходя из баланса жизненно важных
+интересов государства, общества и граждан.
+
+Устанавливаются три степени секретности сведений, составляющих государственную
+тайну, и соответствующие этим степеням грифы секретности для носителей указанных
+сведений: "особой важности", "совершенно секретно" и "секретно".
+
+Организации, допущенные к работам по обработке или защите сведений, составляющих
+ГТ должны иметь лицензию на данный вид работ и использовать средства и
+соответственным образом сертифицированное оборудование.
+
+ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Вводит понятие коммерческой
+тайны, ее обладателя, контрагента и разглашения коммерческой тайны, незаконного
+получения коммерческой тайны. Перечисляет сведения, которые не могут составлять
+коммерческую тайну, меры по охране конфиденциальной информации и обязанности
+сотрудников по ее защите, устанавливает ответственность за нарушение режима
+защиты коммерческой тайны.
+
+Основные понятия:
+\begin{itemize}
+  \item
+    коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю сохранить свои конкурентные возможности,
+  \item
+    незаконное получение информации, составляющей коммерческую тайну, связано с умышленным преодолением принятых обладателем этой информации, мер по охране конфиденциальности этой информации.
+\end{itemize}
+
+Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
+
+\begin{enumerate}
+  \item
+    определение перечня информации, составляющей коммерческую тайну;
+  \item
+    ограничение доступа к информации, составляющей коммерческую тайну, путем
+    установления порядка обращения с этой информацией и контроля за соблюдением
+    такого порядка;
+  \item
+    учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и
+    (или) лиц, которым такая информация была предоставлена или передана;
+  \item
+    регулирование отношений по использованию информации, составляющей
+    коммерческую тайну, работниками на основании трудовых договоров и
+    контрагентами на основании гражданско-правовых договоров;
+  \item
+    нанесение на материальные носители (документы), содержащие информацию,
+    составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием
+    обладателя этой информации (для юридических лиц - полное наименование и
+    место нахождения, для индивидуальных предпринимателей - фамилия, имя,
+    отчество гражданина, являющегося индивидуальным предпринимателем, и место
+    жительства).
+\end{enumerate}
+
+Указ Президента от 06.03.1997 № 188 «Об утверждении Перечня сведений
+конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111).
+Устанавливает перечень сведений, отнесенных к конфиденциальным сведениям, куда
+входят сведения, аналогичные персональным данным, составляющие судебную тайну,
+служебную тайну, профессиональную тайну (врачебная, нотариальная, адвокатская
+тайна, тайна переписки, телефонных переговоров, почтовых отправлений,
+телеграфных или иных сообщений), коммерческая тайна, ноу-хау.
+ 
+ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных». Дает определение понятия
+персональных данных, как объекта охраны государством. Особенность ПДн
+заключается в том, что их сбор, хранение и обработку осуществляет лицо,
+объективно не заинтересованное в обеспечении конфиденциальности. В
+конфиденциальности ПДн заинтересован субъект ПДн, но он не может влиять на
+вышеуказанные процедуры, поскольку не управляет информационными системами,
+хранящими его ПДн, и, следовательно, не является обладателем ПДн, как
+информации.
+
+Закон устанавливает основные понятия и принципы обработки ПДн, условия при
+которых они могут собираться, храниться и обрабатываться. Устанавливается при
+каких условиях требуется, а когда – нет, получение согласия субъекта (в т.ч. и
+письменного) на обработку его ПДн оператором и о чем при этом должен быть
+уведомлён субъект. Вводятся специальные категории ПДн, сбор, хранение и
+обработка которых осуществляется только в строго определенных случаях.
+Указываются права субъекта ПДн и обязанности оператора ПДн в том числе и по
+обеспечению безопасности ПДн от потери их основных качеств, как информации, а
+также меры по обеспечению безопасности ПДн. Обязательным условием сбора,
+хранения и обработки ПДн закон указывает уведомление госорганов (Роскомнадзор) о
+своем намерении.
+
+Закон вводит понятие обезличивания персональных данных – действия, в результате
+которых становится невозможным без использования дополнительной информации
+определить принадлежность персональных данных конкретному субъекту персональных
+данных. Данное действие позволит в некоторых облегчить требования по защите ПДн.
+
+Основные понятия:
+\begin{itemize}
+  \item
+    персональные данные (ПДн) - любая информация, относящаяся к прямо или
+    косвенно определенному, или определяемому физическому лицу (субъекту
+    персональных данных);
+  \item
+    оператор - государственный орган, муниципальный орган, юридическое или
+    физическое лицо, самостоятельно или совместно с другими лицами организующие
+    и (или) осуществляющие обработку ПДн и другую связанную с этим деятельность;
+  \item
+    обработка персональных данных - любое действие или совокупность действий с
+    ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение,
+    извлечение, использование, передачу, обезличивание, блокирование, удаление,
+    уничтожение персональных данных;
+  \item
+    обезличивание персональных данных - действия, в результате которых
+    становится невозможным без использования дополнительной информации
+    определить принадлежность персональных данных конкретному субъекту
+    персональных данных;
+  \item
+    информационная система персональных данных - совокупность содержащихся в
+    базах данных персональных данных и обеспечивающих их обработку
+    информационных технологий и технических средств;
+  \item
+    уровень защищенности ПДн - комплексный показатель, характеризующий
+    требования, исполнение которых обеспечивает нейтрализацию определенных угроз
+    безопасности персональных данных при их обработке в информационных системах
+    персональных данных.
+\end{itemize}
+
+Принципы обработки ПДн в значительной мере совпадают с положениями Конвенции ЕвроСоюза 1980 года:
+\begin{enumerate}
+  \item
+    Обработка ПДн должна осуществляться на законной и справедливой основе.
+  \item
+    Обработка ПДн должна ограничиваться достижением конкретных, заранее
+    определенных и законных целей. Не допускается обработка ПДн, несовместимая с
+    целями сбора персональных данных.
+  \item
+    Не допускается объединение баз данных, содержащих ПДн, обработка которых
+    осуществляется в целях, несовместимых между собой.
+  \item
+    Содержание и объем обрабатываемых ПДн должны соответствовать заявленным
+    целям обработки.
+  \item
+    При обработке ПДн должны быть обеспечены их точность, достаточность
+    актуальность по отношению к целям обработки. За это отвечает оператор.
+  \item
+    Хранение персональных данных должно осуществляться в форме, позволяющей
+    определить субъекта персональных данных, не дольше, чем этого требуют цели
+    обработки персональных данных.
+\end{enumerate}
+
+Обработка специальных категорий персональных данных, касающихся расовой,
+национальной принадлежности, политических взглядов, религиозных или философских
+убеждений, состояния здоровья, интимной жизни, не допускается, за исключением
+случаев, предусмотренных данным законом.
+
+В законе оговорены особые случаи, когда требуется, чтобы уведомление субъекта об
+обработке его ПДн было обязательно осуществлено и получено письменное разрешение
+на это действие:
+\begin{enumerate}
+  \item
+    включение в общедоступные источники персональных данных фамилии, имени,
+    отчества, года и места рождения, адреса, абонентского номера, сведений о
+    профессии и иных персональных данных, сообщаемых субъектом персональных
+    данных (часть 1 статьи 8);
+  \item
+    обработка специальных категорий персональных данных, касающихся расовой,
+    национальной принадлежности, политических взглядов, религиозных или
+    философских убеждений, состояния здоровья, интимной жизни (п.1 части 2
+    статьи 10);
+  \item
+    обработка сведений, которые характеризуют физиологические и биологические
+    особенности человека, на основании которых можно установить его личность
+    (биометрические персональные данные) и которые используются оператором для
+    установления личности субъекта персональных данных (часть 1 статьи 11);
+  \item
+    трансграничная передача персональных данных на территории иностранных
+    государств, не обеспечивающих адекватной защиты прав субъектов персональных
+    данных (п. 1 части 4 статьи 12);
+  \item
+    принятие на основании исключительно автоматизированной обработки
+    персональных данных решений, порождающих юридические последствия в отношении
+    субъекта персональных данных или иным образом затрагивающих его права и
+    законные интересы (часть 2 стать 16).
+  \item
+    В остальных случаях согласие на обработку персональных данных может быть
+    дано субъектом персональных данных в любой позволяющей подтвердить факт его
+    получения форме.
+\end{enumerate}
+
+Обеспечение безопасности персональных данных достигается:
+\begin{enumerate}
+  \item
+    определением угроз безопасности персональных данных при их обработке в
+    информационных системах персональных данных;
+  \item
+    применением организационных и технических мер по обеспечению безопасности
+    персональных данных при их обработке в информационных системах персональных
+    данных, необходимых для выполнения требований к защите персональных данных,
+    исполнение которых обеспечивает установленные Правительством Российской
+    Федерации уровни защищенности персональных данных;
+  \item
+    применением прошедших в установленном порядке процедуру оценки соответствия
+    средств защиты информации;
+  \item
+    оценкой эффективности принимаемых мер по обеспечению безопасности
+    персональных данных до ввода в эксплуатацию информационной системы
+    персональных данных;
+  \item
+    учётом машинных носителей персональных данных;
+  \item
+    обнаружением фактов несанкционированного доступа к персональным данным и
+    принятием мер;
+  \item
+    восстановлением персональных данных, модифицированных или уничтоженных
+    вследствие несанкционированного доступа к ним;
+  \item
+    установлением правил доступа к персональным данным, обрабатываемым в
+    информационной системе персональных данных, а также обеспечением регистрации
+    и учета всех действий, совершаемых с персональными данными в информационной
+    системе персональных данных;
+  \item
+    контролем за принимаемыми мерами по обеспечению безопасности персональных
+    данных и уровня защищенности информационных систем персональных данных.
+\end{enumerate}
+
+\subsection{Санкционное законодательство}
+
+Гражданский Кодекс РФ
+
+Статья 150. Нематериальные блага. Относит личную и семейную тайну к
+нематериальным благам. Устанавливает компенсацию (в т.ч. и денежную) морального
+вреда в случае посягательств на нематериальные блага.
+
+\dots
+
+Статья 857. Устанавливает понятие банковской тайны для банковского счета или
+вклада
+
+\dots
+
+Статья 946. Устанавливает статус тайны на сведения, полученные о страхователе
+или выгодоприобретателе.
+
+\dots
+
+Статья 1259. Объекты авторских прав. Относит к объектам авторских прав программу
+для ЭВМ и охраняет их как литературные произведения.
+
+\dots
+
+Статья 1280. Свободное воспроизведение программ для ЭВМ и баз данных.
+Декомпилирование программ для ЭВМ. Разрешает преобразование программ с целью
+достижения совмещения с техническими средствами правомерного владельца
+экземпляра программы, а так же их декомпиляцию. Делать это можно только для
+собственных нужд.
+
+
+Кодекс об административных правонарушениях
+
+Статья 13.11. Нарушение установленного законом порядка сбора, хранения,
+использования или распространения информации о гражданах (ПДн). Устанавливает
+наказание за нарушения порядка работы с ПДн, установленного законом РФ «О
+персональных данных»
+
+Статья 13.12. Нарушение правил защиты информации. Устанавливает наказание за
+нарушение лицензионных требований и использование несертифицированных средств
+при осуществлении лицензиатом работ по защите конфиденциальной информации или
+гостайны.
+
+Статья 13.13. Незаконная деятельность в области защиты информации. Устанавливает
+наказание за ведение работ по защите информации без лицензии (если она требуется
+по закону).
+
+Уголовный кодекс РФ
+
+Прямого действия по нарушениям в сфере информационных отношений.
+
+Статья 183. Незаконные получение и разглашение сведений, составляющих
+коммерческую, налоговую или банковскую тайну. Устанавливает наказание за
+незаконное, т.е. несогласованное с обладателями  собирание сведений,
+составляющих коммерческую, налоговую или банковскую тайну.
+
+Статья. 272. Неправомерный доступ к компьютерной информации. Устанавливает
+наказание за доступ к защищаемой информации субъектом, не имеющим на это право,
+когда воля обладателя информации явно выражена в противодействии таком у доступу
+средствами защиты, если такой доступ повлек уничтожение, блокирование,
+модификацию либо копирование информации. Понятие модификация отлично от понятия
+преобразование для собственных нужд правомерно приобретенных программ,
+отраженное в ст. 1280 ГК.
+
+Статья. 273. Создание, использование и распространение вредоносных компьютерных
+программ. Устанавливает наказание за создание, распространение или использование
+вредоносных программ либо ной информации, использование которой может нанести
+ущерб обладателям информации.  К иной информации может быть отнесен и ключевая
+информация преданная постороннему лицу.
+
+Статья. 274. Нарушение правил эксплуатации средств хранения, обработки или
+передачи компьютерной информации и информационно-телекоммуникационных сетей.
+Устанавливает наказание за нарушение правил эксплуатации, а не за неправомерный
+доступ. Таким образом, вызвавший нарушение качеств информации событие не
+является несанкционированным доступом, поскольку, очевидно, доступ разрешен, а
+сами действия оказались неправомерными, наносящими ущерб обладателям информации.
+Такой доступ могут иметь либо сами обладатели информации, либо администраторы
+информационных систем.
+
+Статья 283. Разглашение ГТ. Устанавливает наказание за разглашение сведений,
+составляющих ГТ, лицом, которому она была доверена.
+
+Статья 284. Утрата документов, содержащих ГТ, лицом, допущенным к ГТ.
+Устанавливает наказание за нарушение правил обращения со сведениями (в виде
+документов или предметов), составляющими ГТ.
+
+Связанные с этими статьи:
+Статья 137. Нарушение неприкосновенности частной жизни.
+Статья 275. Государственная измена.
+Статья 285. Злоупотребление должностными полномочиями.
+Статья 293. Халатность.
+Статья 292. Служебный подлог.
+
+\printbibliography
\ No newline at end of file