path: root/sections/section4.tex

\section{Нормативно-правовые основы защиты информации}
\newrefsection

\subsection{Базовое российское законодательство в сфере защиты информации}

В этом вопросе мы рассмотрим федеральные законы, постановления Правительства и
указы Президента, которые регулируют те или иные отношения, возникающие при
осуществлении деятельности, связанной с использованием информационных
технологий. Здесь мы не будем рассматривать нормативные акты, которые связаны с
вопросами политического регулирование отношений в этой сфере: реализации права
на информацию, порядка накопления информации в госархивах и т.д. Рассмотрим
только те, которые имеют непосредственный выход на разработку организационных
документов и принятие организационных, технических или физических мер защиты.

Конституция (12.12.1993 года). Устанавливает основные права и свободы гражданина
РФ в том числе и в сфере защиты права на информацию: ст. 24, 41(п.3), 42
гарантируют право на получение достоверной жизненно важной информации. Ст. 23
гарантирует право на тайну. Ст. 29 - право на свободное распространение
незапрещенной информации.

Доктрина информационной безопасности Российской Федерации (утверждена Указом
Президента Российской Федерации от 5 декабря 2016 г. № 646). Является
определяющим документом в сфере законодательства по защите информации. Вводит
понятие информационной безопасности (ИБ) РФ и описывает составляющие
национальных интересов в этой области. Вводит понятие внутренних и внешних
источников угроз и описывает угрозы ИБ РФ. Формулирует задачи, которые должны
быть решены для обеспечения ИБ РФ. Описывает общие методы обеспечения ИБ РФ по
сферам общественной жизни. Также в этом документе описываются основные функции
системы обеспечения ИБ РФ и основные элементы организационной основы системы
обеспечения ИБ РФ (руководство страны).

ФЗ от 28.12.2010 № 390-ФЗ «О безопасности» устанавливает основные принципы
обеспечения безопасности в РФ, государственную политику в этой области и
полномочия субъектов РФ. Вводит новый орган - Совет Безопасности РФ и определяет
его полномочия и обязанности.

ФЗ от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности». Дает
определение федеральной службе безопасности и устанавливает систему органов ФСБ
в РФ. Устанавливает особый статус ФСБ при противодействии иностранным разведкам,
правонарушениям в обеспечении информационной безопасности. Устанавливает права и
обязанности ФСБ в частности в отношении контроля над производством и оборотом
шифровальных средств на территории РФ.

ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите
информации» устанавливает основные принципы правового регулирования в сфере
информации, дает понятие информации и связанных с ней процессов и систем,
документированной информации, обладателя информации и его прав и обязанностей,
действий над информацией, электронного документа и оператора ИС. Устанавливает
информацию как объект правовых отношений, определяет категории информации в
зависимости от порядка ее предоставления, основные мероприятия по защите
информации на предприятии. Кроме того, в этом документе определяется понятие
государственной информационной системы (ГИС), и требования по защите информации
в ней.

Основные определения:
\begin{itemize}
  \item
    информация - сведения (сообщения, данные) независимо от формы их
    представления
  \item
    информационная система - совокупность содержащейся в базах данных информации
    и обеспечивающих ее обработку информационных технологий и технических
    средств
  \item
    обладатель информации - лицо, самостоятельно создавшее информацию либо
    получившее на основании закона или договора право разрешать или ограничивать
    доступ к информации, определяемой по каким-либо признакам;
  \item
    доступ к информации - возможность получения информации и ее использования;
  \item
    конфиденциальность информации - обязательное для выполнения лицом,
    получившим доступ к определенной информации, требование не передавать такую
    информацию третьим лицам без согласия ее обладателя;
  \item
    документированная информация - зафиксированная на материальном носителе
    информация с реквизитами, позволяющими определить такую информацию или ее
    материальный носитель
  \item
    электронный документ - документированная информация, представленная в
    электронной форме (воспринимаемая для последующей обработки компьютерными
    системами)
\end{itemize}

Основное положение: информация может являться объектом публичных, гражданских и
иных правовых отношений.

Классификация информации:
\begin{enumerate}
  \item
    свободно распространяемая;
  \item
    предоставляемая по соглашению лиц, участвующих в соответствующих отношениях;
  \item
    подлежащая предоставлению или распространению в соответствии с федеральными
    законами;
  \item
    распространение которой в Российской Федерации ограничивается или
    запрещается.
\end{enumerate}

Защита информации представляет собой принятие правовых, организационных и
технических мер, направленных на:
\begin{enumerate}
  \item
    обеспечение защиты информации от неправомерного доступа, уничтожения,
    модифицирования, блокирования, копирования, предоставления, распространения,
    а также от иных неправомерных действий в отношении такой информации;
  \item
    соблюдение конфиденциальности информации ограниченного доступа;
  \item
    реализацию права на доступ к информации.
\end{enumerate}

ФЗ от 27.12.2002 г. N 184-ФЗ «О техническом регулировании». Регулирует
правоотношения, возникающие при разработке, принятии и эксплуатации технических
средств, применение которых может быть опасно. Вводит понятие безопасности,
аттестации, аккредитации, сертификации, объекта информатизации. Устанавливает
требование сертификации на ИС, обрабатывающие ГТ и  технические СЗИ.

Основные определения:
\begin{itemize}
  \item
    аккредитация - официальное признание органом по аккредитации компетентности
    физического или юридического лица выполнять работы в определенной области
    оценки соответствия;
  \item
    декларирование соответствия - форма подтверждения соответствия продукции
    требованиям технических регламентов;
  \item
    сертификация - форма осуществляемого органом по сертификации подтверждения
    соответствия объектов требованиям технических регламентов, положениям
    стандартов, сводов правил или условиям договоров.
\end{itemize}

Формы подтверждения соответствия:
\begin{itemize}
  \item
    Добровольное подтверждение соответствия осуществляется в форме добровольной
    сертификации.
  \item Обязательное подтверждение соответствия осуществляется в формах:
    \begin{itemize}
      \item принятия декларации о соответствии;
      \item обязательной сертификации.
    \end{itemize}
\end{itemize}

Декларация о соответствии - документ, в котором производитель, продавец или
исполнитель удостоверяет, что поставляемая им продукция соответствует
требованиям, предусмотренным для обязательной сертификации данной продукции или
услуги (далее - установленным требованиям).

Декларирование соответствия проводит изготовитель, обязательная сертификация
проводится органом по сертификации.

Положение о сертификации средств защиты информации (Утверждено Постановлением
Правительства РФ от 26.06.1995 г. N 608 «О сертификации средств защиты
информации»). Предписывает обязательную сертификацию для технических СЗИ.
Требует обязательное применение госстандартов при создании технических СЗИ.
Указывает функции и алгоритм взаимодействия участников сертификации в процессе
разработки и производства технических СЗИ. Предписывает порядок осуществления
контроля за качеством разработок и выпускаемой продукции.

Участниками сертификации средств защиты информации являются:
\begin{itemize}
  \item
    федеральный орган по сертификации (Госстандарт России);
  \item
    центральный орган системы сертификации (создаваемый при необходимости) -
    орган, возглавляющий систему сертификации однородной продукции;
  \item
    органы по сертификации средств защиты информации - органы, проводящие
    сертификацию определенной продукции (ФСБ, ФСТЭК);
  \item
    испытательные лаборатории - лаборатории, проводящие сертификационные
    испытания (отдельные виды этих испытаний) определенной продукции;
  \item
    изготовители - продавцы, исполнители продукции.
\end{itemize}

Федеральный орган системы сертификации аккредитует остальных участников (кроме
изготовителей) на право выполнения ими работ по сертификации средств защиты
информации. Аккредитация проводится только при наличии у указанных органов и
лабораторий лицензии на соответствующие виды деятельности.

Испытательные лаборатории проводят сертификационные испытания средств защиты
информации и по их результатам оформляют заключения и протоколы, которые
направляют в соответствующий орган по сертификации средств защиты информации и
изготовителям.

Испытательные лаборатории несут ответственность за полноту испытаний средств
защиты информации и достоверность их результатов.

Изготовители должны иметь лицензию на соответствующий вид деятельности.

Положение по аттестации объектов информатизации по требованиям безопасности
информации (Утверждено председателем Государственной технической комиссии при
Президенте Российской Федерации 25.11.1994 г.)  Уточняет систему аттестации для
объектов информатизации. Указываются работы, которые должны быть выполнены при
аттестации объекта. Устанавливает, что несертифицированные по требованиям
безопасности информации изделия, устанавливаемые на объекте информатизации,
подлежащему обязательной аттестации, должны быть проверены в лицензированных
испытательных центрах. Устанавливает порядок проведения аттестации.

Система аттестации объектов информатизации по требованиям безопасности
информации (далее - система аттестации) является составной частью единой системы
сертификации средств защиты информации

Под аттестацией объектов информатизации понимается комплекс
организационно-технических мероприятий, в результате которых посредством
специального документа - "Аттестата соответствия" подтверждается, что объект
соответствует требованиям стандартов или иных нормативно-технических документов
по безопасности информации.

ФЗ от 4.05.2011 г. N 99-ФЗ «О лицензировании отдельных видов деятельности».
Позволяет контролировать качество работ, связанных с безопасностью. Определяет
такие понятия как лицензия и лицензирование, устанавливает перечень
лицензируемых видов деятельности. Устанавливает порядок взаимодействия
госорганов и организаций при получении, продлении и отзыве лицензии.

Основные определения:
\begin{itemize}
  \item
    лицензирование - деятельность лицензирующих органов по предоставлению,
    переоформлению лицензий, продлению срока действия лицензий \dots осуществлению
    лицензионного контроля, приостановлению, возобновлению, прекращению действия
    и аннулированию лицензий, формированию и ведению реестра лицензий и по
    предоставлению в установленном порядке информации по вопросам
    лицензирования;
  \item
    лицензия - специальное разрешение на право осуществления юридическим лицом
    или индивидуальным предпринимателем конкретного вида деятельности
    (выполнения работ, оказания услуг, составляющих лицензируемый вид
    деятельности), которое подтверждается документом\dots
\end{itemize}

Общие лицензионные требования, которым должны удовлетворять лицензиаты (для устранения мошенничества в этой области):
\begin{enumerate}
  \item
    наличие помещений по месту осуществления лицензируемого вида деятельности,
    технических средств, оборудования и технической документации, принадлежащих
    им на праве собственности (или ином законном основании) необходимых для
    осуществления лицензируемой деятельности;
  \item
    наличие работников, заключивших с ними трудовые договоры, имеющих
    профессиональное образование, обладающих соответствующей профессиональной
    подготовкой и (или) имеющих стаж работы, необходимый для осуществления
    лицензируемого вида деятельности;
  \item
    наличие необходимой для осуществления лицензируемого вида деятельности
    системы производственного контроля.
\end{enumerate}

Положение о лицензировании деятельности по технической защите конфиденциальной
информации (Утверждено Постановлением правительства РФ от 3.02.2012 г. №79).
Указывает, что лицензионную деятельность в отношении защиты конфиденциальной
информации осуществляет ФСТЭК. Указывает перечень услуг, подпадающий под данное
постановление и детализирует лицензионные требования в отношении деятельности,
направленной на защиту информации.

Основные лицензионные требования:
\begin{enumerate}
  \item
    наличие специалистов, имеющих соответствующее образование или прошедших
    курсы повышения квалификации по данному направлению,
  \item
    наличие защищенных помещений,
  \item
    наличие соответствующего производственного и контрольного оборудования,
  \item
    наличие средств контроля защищенности информации от несанкционированного
    доступа, сертифицированных по требованиям безопасности информации,
  \item
    использование лицензированных, а при необходимости и сертифицированных
    устройств, программ (в том числе и СЗИ), если таковые предусмотрены
    технологическими процессами.
  \item
    наличие технической документации, национальных стандартов и методических
    документов, необходимых для выполнения работ и (или) оказания услуг,
  \item
    наличие системы производственного контроля в соответствии с установленными
    стандартами.
\end{enumerate}

Положением о лицензировании деятельности по разработке и производству средств
защиты конфиденциальной информации (утверждено Постановление Правительства РФ от
03.03.2012 N 171)

Устанавливает, что лицензирующим органом для этого вида деятельности является
ФСТЭК, а для госорганов – ФСБ, устанавливаются соответствующие лицензионные
требования, порядок получения и сроки лицензии.

Положение о лицензировании деятельности по разработке, производству,
распространению шифровальных (криптографических) средств, информационных систем
и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области
шифрования информации, техническому обслуживанию шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств (за
исключением случая, если техническое обслуживание шифровальных
(криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя). (Утверждено Постановлением Правительства РФ от
16.04.2012 N 313)

В лицензионных требованиях указывается условия соответствия для руководителя и
сотрудников.

Лицензионные требования несколько специфичнее, чем для деятельности, связанной с
защитой конфиденциальной информации, в частности Указываются отдельно требования
для руководителя и сотрудников, подконтрольность ФСБ, использование только
рекомендованных ФСБ алгоритмов шифрования, специальные требования к контролю
доступа к защищаемой информации.

Так же существуют положение о лицензировании деятельности по ввозу-вывозу в/из
РФ специальных технических средств, предназначенных для негласного получения
информации их разработке, производстве, обороту, а также положение о
лицензировании деятельности по обнаружению таковых устройств. Список видов этих
устройств устанавливается согласно перечня:

Перечень видов специальных технических средств, предназначенных (разработанных,
приспособленных, запрограммированных) для негласного получения информации в
процессе осуществления оперативно - розыскной деятельности:
\begin{enumerate}
  \item
    Специальные технические средства для негласного получения и регистрации
    акустической информации.
  \item
    Специальные технические средства для негласного визуального наблюдения и
    документирования.
  \item
    Специальные технические средства для негласного прослушивания телефонных
    переговоров.
  \item
    Специальные технические средства для негласного перехвата и регистрации
    информации с технических каналов связи.
  \item
    Специальные технические средства для негласного контроля почтовых сообщений
    и отправлений.
  \item
    Специальные технические средства для негласного исследования предметов и
    документов.
  \item
    Специальные технические средства для негласного проникновения и обследования
    помещений, транспортных средств и других объектов.
  \item
    Специальные технические средства для негласного контроля за перемещением
    транспортных средств и других объектов.
  \item
    Специальные технические средства для негласного получения (изменения,
    уничтожения) информации с технических средств ее хранения, обработки и
    передачи.
  \item
    Специальные технические средства для негласной идентификации личности.
\end{enumerate}

Требования к лицензиату этого вида деятельности примерно такие же как и
требования к лицензиату по защите конфиденциальной информации в том числе и
криптографическими системами, не используемыми для защиты гостайны.

ФЗ от 07.07.2003 № 126-ФЗ «О связи». Определяет полномочия органов
государственной власти по регулированию этой деятельности, а также права и
обязанности физических лиц, осуществляющих деятельность в области связи.
Устанавливает правила передачи информации в системах связи и обеспечения этой
связи, обязывает учитывать требования защиты информации еще на этапе
строительства сооружений от НСД. Обязывает операторов связи обеспечивать защиту
средств связи и сооружений связи от НСД. Декларирует тайну связи на территории
РФ и обязывает операторов предоставлять органам, осуществляющим
оперативно-розыскную деятельность, информацию о пользователях услугами связи в
случаях установленных законом.

Основные определения:
\begin{itemize}
  \item
    сооружения связи - объекты инженерной инфраструктуры (в том числе
    линейно-кабельные сооружения связи), созданные или приспособленные для
    размещения средств связи, кабелей связи;
  \item
    средства связи - технические и программные средства, используемые для
    формирования, приема, обработки, хранения, передачи, доставки сообщений
    электросвязи или почтовых отправлений, а также иные технические и
    программные средства, используемые при оказании услуг связи или обеспечении
    функционирования сетей связи.
\end{itemize}

Операторы связи обязаны обеспечить соблюдение тайны связи: не предоставлять
другим информацию о корреспонденции и не извлекать содержание корреспонденции,
кроме случаев оперативно-розыскных мероприятий.

С 2017 добавлено требование передачи в неизменном виде абонентского номера и
уникального кода идентификации в сеть другого оператора, участвовавшего в
установлении соединения.

ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель – обеспечение
правовых условий использования электронной подписи (ЭП) в электронных
документах. Дается определение и виды ЭП в РФ, а так же понятия сертификата,
ключа ЭП, удостоверяющего центра (УЦ). Устанавливаются принципы использования
ЭП. Указывается, что ЭП в случае использования ее согласно закона признается
аналогом собственноручной подписи и имеет ту же силу. Устанавливается порядок
реализации системы обеспечения достоверности (аккредитация УЦ) и проверки
подлинности ЭП (корневые сертификаты УЦ). Как правило на сертификат
квалифицированной ЭП устанавливаются ограничения не только по времени но и по
виду деятельности, в отношении которой будут подписываться документы.

Основные понятия:
\begin{itemize}
  \item
    электронная подпись (ЭП) - информация в электронной форме, которая
    присоединена к другой информации в электронной форме (подписываемой
    информации) или иным образом связана с такой информацией и которая
    используется для определения лица, подписывающего информацию;
  \item
    ключ электронной подписи - уникальная последовательность символов,
    предназначенная для создания электронной подписи;
  \item
    сертификат ключа проверки электронной подписи - электронный документ или
    документ на бумажном носителе, выданные удостоверяющим центром и
    подтверждающие принадлежность ключа проверки электронной подписи владельцу
    сертификата ключа проверки электронной подписи;
  \item
    ключ проверки электронной подписи - уникальная последовательность символов,
    однозначно связанная с ключом электронной подписи и предназначенная для
    проверки подлинности электронной подписи (далее - проверка электронной
    подписи);
  \item
    квалифицированный сертификат ключа проверки электронной подписи  -
    сертификат ключа проверки электронной подписи, выданный аккредитованным
    удостоверяющим центром;
  \item
    удостоверяющий центр - юридическое лицо или индивидуальный предприниматель,
    осуществляющие функции по созданию и выдаче сертификатов ключей проверки
    электронных подписей, а также иные функции, предусмотренные настоящим
    Федеральным законом.
\end{itemize}

Виды ЭП:
\begin{itemize}
  \item
    Простая ЭП позволяет посредством использования кодов, паролей или иных
    средств подтверждать факт формирования электронной подписи определенным
    лицом.

  \item
    Неквалифицированная ЭП должна:
    \begin{enumerate}
      \item
        быть получена в результате криптографического преобразования информации
        с использованием ключа электронной подписи;
      \item
        позволять определить лицо, подписавшее электронный документ;
      \item
        позволять обнаружить факт внесения изменений в электронный документ
        после момента его подписания;
      \item
        создаваться с использованием средств электронной подписи.
    \end{enumerate}

  \item
    Квалифицированная ЭП кроме того:
    \begin{enumerate}
      \item
        имеет квалифицированный сертификат;
      \item
        создается и проверяется средствами, получившими подтверждение
        соответствия требованиям безопасности.
    \end{enumerate}
\end{itemize}

Правила использования простой электронной подписи при оказании государственных и
муниципальных услуг (Утверждено Постановлением Правительства РФ от 25.01.2013 №
33 «Об использовании простой электронной подписи при оказании государственных и
муниципальных услуг»). Вводит понятие оператора, предоставляющего ЭП и
заявителя, будущего пользователя ЭП. Устанавливает порядок использования простой
ЭП для случаев предоставления гражданам электронных государственных и
муниципальных услуг. Устанавливает элементарные требования к соблюдению
конфиденциальности оператором и заявителем (будущим владельцем простой ЭП).
Данный порядок использования не подразумевает удостоверения документов,
предоставляемых гражданином, а только его аутентификацию в системе.


\subsection{Специализированные нормативно-правовые акты по классам информации}

ФЗ от 21.07.1993 № 5485 – 1 «О государственной тайне». Этот закон определяет
порядок отнесения сведений к ГТ, засекречивания и рассекречивания и защиты этих
сведений в интересах обеспечения безопасности РФ. Устанавливает субъектов ГТ,
вводит понятие лиц, допущенных к ГТ и периода владения ГТ. Устанавливает
требование лицензирования работ с ГТ и сертификации средств защиты ГТ.
Устанавливает орган, ответственный за защиту ГТ – ФСБ РФ. Перечень сведений,
отнесенных к государственной тайне, который уточнялся Указами президента РФ от
11.02.2006 № 90, от 24.12.2007 № 1745, от 08.04.2008 № 460, от 30.04.2008 № 654,
от 28.07.2008 № 1129, от 06.09.2008 № 1316, от 18.05.2009 № 565, от 10.06.2009 №
640, от 30.09.2009 № 1088)

Основные определения:
\begin{itemize}
  \item
    государственная тайна - защищаемые государством сведения в области его
    военной, внешнеполитической, экономической, разведывательной,
    контрразведывательной и оперативно-розыскной деятельности, распространение
    которых может нанести ущерб безопасности Российской Федерации;
  \item
    носители сведений, составляющих ГТ, - материальные объекты, в том числе
    физические поля, в которых сведения, составляющие ГТ, находят свое
    отображение в виде символов, образов, сигналов, технических решений и
    процессов;
  \item
    система защиты ГТ - совокупность органов защиты государственной тайны,
    используемых ими средств и методов защиты сведений, составляющих
    государственную тайну, и их носителей, а также мероприятий, проводимых в
    этих целях;
  \item
    доступ к сведениям, составляющим ГТ, - санкционированное полномочным
    должностным лицом ознакомление конкретного лица со сведениями, составляющими
    ГТ;
  \item
    средства защиты информации - технические, криптографические, программные и
    другие средства, предназначенные для защиты сведений, составляющих
    государственную тайну, средства, в которых они реализованы, а также средства
    контроля эффективности защиты информации.
\end{itemize}

Обоснованность отнесения сведений к ГТ и их засекречивание заключается в
установлении путем экспертной оценки целесообразности засекречивания конкретных
сведений, вероятных последствий этого акта исходя из баланса жизненно важных
интересов государства, общества и граждан.

Устанавливаются три степени секретности сведений, составляющих государственную
тайну, и соответствующие этим степеням грифы секретности для носителей указанных
сведений: "особой важности", "совершенно секретно" и "секретно".

Организации, допущенные к работам по обработке или защите сведений, составляющих
ГТ должны иметь лицензию на данный вид работ и использовать средства и
соответственным образом сертифицированное оборудование.

ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Вводит понятие коммерческой
тайны, ее обладателя, контрагента и разглашения коммерческой тайны, незаконного
получения коммерческой тайны. Перечисляет сведения, которые не могут составлять
коммерческую тайну, меры по охране конфиденциальной информации и обязанности
сотрудников по ее защите, устанавливает ответственность за нарушение режима
защиты коммерческой тайны.

Основные понятия:
\begin{itemize}
  \item
    коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю сохранить свои конкурентные возможности,
  \item
    незаконное получение информации, составляющей коммерческую тайну, связано с умышленным преодолением принятых обладателем этой информации, мер по охране конфиденциальности этой информации.
\end{itemize}

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

\begin{enumerate}
  \item
    определение перечня информации, составляющей коммерческую тайну;
  \item
    ограничение доступа к информации, составляющей коммерческую тайну, путем
    установления порядка обращения с этой информацией и контроля за соблюдением
    такого порядка;
  \item
    учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и
    (или) лиц, которым такая информация была предоставлена или передана;
  \item
    регулирование отношений по использованию информации, составляющей
    коммерческую тайну, работниками на основании трудовых договоров и
    контрагентами на основании гражданско-правовых договоров;
  \item
    нанесение на материальные носители (документы), содержащие информацию,
    составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием
    обладателя этой информации (для юридических лиц - полное наименование и
    место нахождения, для индивидуальных предпринимателей - фамилия, имя,
    отчество гражданина, являющегося индивидуальным предпринимателем, и место
    жительства).
\end{enumerate}

Указ Президента от 06.03.1997 № 188 «Об утверждении Перечня сведений
конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111).
Устанавливает перечень сведений, отнесенных к конфиденциальным сведениям, куда
входят сведения, аналогичные персональным данным, составляющие судебную тайну,
служебную тайну, профессиональную тайну (врачебная, нотариальная, адвокатская
тайна, тайна переписки, телефонных переговоров, почтовых отправлений,
телеграфных или иных сообщений), коммерческая тайна, ноу-хау.
 
ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных». Дает определение понятия
персональных данных, как объекта охраны государством. Особенность ПДн
заключается в том, что их сбор, хранение и обработку осуществляет лицо,
объективно не заинтересованное в обеспечении конфиденциальности. В
конфиденциальности ПДн заинтересован субъект ПДн, но он не может влиять на
вышеуказанные процедуры, поскольку не управляет информационными системами,
хранящими его ПДн, и, следовательно, не является обладателем ПДн, как
информации.

Закон устанавливает основные понятия и принципы обработки ПДн, условия при
которых они могут собираться, храниться и обрабатываться. Устанавливается при
каких условиях требуется, а когда – нет, получение согласия субъекта (в т.ч. и
письменного) на обработку его ПДн оператором и о чем при этом должен быть
уведомлён субъект. Вводятся специальные категории ПДн, сбор, хранение и
обработка которых осуществляется только в строго определенных случаях.
Указываются права субъекта ПДн и обязанности оператора ПДн в том числе и по
обеспечению безопасности ПДн от потери их основных качеств, как информации, а
также меры по обеспечению безопасности ПДн. Обязательным условием сбора,
хранения и обработки ПДн закон указывает уведомление госорганов (Роскомнадзор) о
своем намерении.

Закон вводит понятие обезличивания персональных данных – действия, в результате
которых становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту персональных
данных. Данное действие позволит в некоторых облегчить требования по защите ПДн.

Основные понятия:
\begin{itemize}
  \item
    персональные данные (ПДн) - любая информация, относящаяся к прямо или
    косвенно определенному, или определяемому физическому лицу (субъекту
    персональных данных);
  \item
    оператор - государственный орган, муниципальный орган, юридическое или
    физическое лицо, самостоятельно или совместно с другими лицами организующие
    и (или) осуществляющие обработку ПДн и другую связанную с этим деятельность;
  \item
    обработка персональных данных - любое действие или совокупность действий с
    ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение,
    извлечение, использование, передачу, обезличивание, блокирование, удаление,
    уничтожение персональных данных;
  \item
    обезличивание персональных данных - действия, в результате которых
    становится невозможным без использования дополнительной информации
    определить принадлежность персональных данных конкретному субъекту
    персональных данных;
  \item
    информационная система персональных данных - совокупность содержащихся в
    базах данных персональных данных и обеспечивающих их обработку
    информационных технологий и технических средств;
  \item
    уровень защищенности ПДн - комплексный показатель, характеризующий
    требования, исполнение которых обеспечивает нейтрализацию определенных угроз
    безопасности персональных данных при их обработке в информационных системах
    персональных данных.
\end{itemize}

Принципы обработки ПДн в значительной мере совпадают с положениями Конвенции ЕвроСоюза 1980 года:
\begin{enumerate}
  \item
    Обработка ПДн должна осуществляться на законной и справедливой основе.
  \item
    Обработка ПДн должна ограничиваться достижением конкретных, заранее
    определенных и законных целей. Не допускается обработка ПДн, несовместимая с
    целями сбора персональных данных.
  \item
    Не допускается объединение баз данных, содержащих ПДн, обработка которых
    осуществляется в целях, несовместимых между собой.
  \item
    Содержание и объем обрабатываемых ПДн должны соответствовать заявленным
    целям обработки.
  \item
    При обработке ПДн должны быть обеспечены их точность, достаточность
    актуальность по отношению к целям обработки. За это отвечает оператор.
  \item
    Хранение персональных данных должно осуществляться в форме, позволяющей
    определить субъекта персональных данных, не дольше, чем этого требуют цели
    обработки персональных данных.
\end{enumerate}

Обработка специальных категорий персональных данных, касающихся расовой,
национальной принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни, не допускается, за исключением
случаев, предусмотренных данным законом.

В законе оговорены особые случаи, когда требуется, чтобы уведомление субъекта об
обработке его ПДн было обязательно осуществлено и получено письменное разрешение
на это действие:
\begin{enumerate}
  \item
    включение в общедоступные источники персональных данных фамилии, имени,
    отчества, года и места рождения, адреса, абонентского номера, сведений о
    профессии и иных персональных данных, сообщаемых субъектом персональных
    данных (часть 1 статьи 8);
  \item
    обработка специальных категорий персональных данных, касающихся расовой,
    национальной принадлежности, политических взглядов, религиозных или
    философских убеждений, состояния здоровья, интимной жизни (п.1 части 2
    статьи 10);
  \item
    обработка сведений, которые характеризуют физиологические и биологические
    особенности человека, на основании которых можно установить его личность
    (биометрические персональные данные) и которые используются оператором для
    установления личности субъекта персональных данных (часть 1 статьи 11);
  \item
    трансграничная передача персональных данных на территории иностранных
    государств, не обеспечивающих адекватной защиты прав субъектов персональных
    данных (п. 1 части 4 статьи 12);
  \item
    принятие на основании исключительно автоматизированной обработки
    персональных данных решений, порождающих юридические последствия в отношении
    субъекта персональных данных или иным образом затрагивающих его права и
    законные интересы (часть 2 стать 16).
  \item
    В остальных случаях согласие на обработку персональных данных может быть
    дано субъектом персональных данных в любой позволяющей подтвердить факт его
    получения форме.
\end{enumerate}

Обеспечение безопасности персональных данных достигается:
\begin{enumerate}
  \item
    определением угроз безопасности персональных данных при их обработке в
    информационных системах персональных данных;
  \item
    применением организационных и технических мер по обеспечению безопасности
    персональных данных при их обработке в информационных системах персональных
    данных, необходимых для выполнения требований к защите персональных данных,
    исполнение которых обеспечивает установленные Правительством Российской
    Федерации уровни защищенности персональных данных;
  \item
    применением прошедших в установленном порядке процедуру оценки соответствия
    средств защиты информации;
  \item
    оценкой эффективности принимаемых мер по обеспечению безопасности
    персональных данных до ввода в эксплуатацию информационной системы
    персональных данных;
  \item
    учётом машинных носителей персональных данных;
  \item
    обнаружением фактов несанкционированного доступа к персональным данным и
    принятием мер;
  \item
    восстановлением персональных данных, модифицированных или уничтоженных
    вследствие несанкционированного доступа к ним;
  \item
    установлением правил доступа к персональным данным, обрабатываемым в
    информационной системе персональных данных, а также обеспечением регистрации
    и учета всех действий, совершаемых с персональными данными в информационной
    системе персональных данных;
  \item
    контролем за принимаемыми мерами по обеспечению безопасности персональных
    данных и уровня защищенности информационных систем персональных данных.
\end{enumerate}

\subsection{Санкционное законодательство}

Гражданский Кодекс РФ

Статья 150. Нематериальные блага. Относит личную и семейную тайну к
нематериальным благам. Устанавливает компенсацию (в т.ч. и денежную) морального
вреда в случае посягательств на нематериальные блага.

\dots

Статья 857. Устанавливает понятие банковской тайны для банковского счета или
вклада

\dots

Статья 946. Устанавливает статус тайны на сведения, полученные о страхователе
или выгодоприобретателе.

\dots

Статья 1259. Объекты авторских прав. Относит к объектам авторских прав программу
для ЭВМ и охраняет их как литературные произведения.

\dots

Статья 1280. Свободное воспроизведение программ для ЭВМ и баз данных.
Декомпилирование программ для ЭВМ. Разрешает преобразование программ с целью
достижения совмещения с техническими средствами правомерного владельца
экземпляра программы, а так же их декомпиляцию. Делать это можно только для
собственных нужд.


Кодекс об административных правонарушениях

Статья 13.11. Нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о гражданах (ПДн). Устанавливает
наказание за нарушения порядка работы с ПДн, установленного законом РФ «О
персональных данных»

Статья 13.12. Нарушение правил защиты информации. Устанавливает наказание за
нарушение лицензионных требований и использование несертифицированных средств
при осуществлении лицензиатом работ по защите конфиденциальной информации или
гостайны.

Статья 13.13. Незаконная деятельность в области защиты информации. Устанавливает
наказание за ведение работ по защите информации без лицензии (если она требуется
по закону).

Уголовный кодекс РФ

Прямого действия по нарушениям в сфере информационных отношений.

Статья 183. Незаконные получение и разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну. Устанавливает наказание за
незаконное, т.е. несогласованное с обладателями  собирание сведений,
составляющих коммерческую, налоговую или банковскую тайну.

Статья. 272. Неправомерный доступ к компьютерной информации. Устанавливает
наказание за доступ к защищаемой информации субъектом, не имеющим на это право,
когда воля обладателя информации явно выражена в противодействии таком у доступу
средствами защиты, если такой доступ повлек уничтожение, блокирование,
модификацию либо копирование информации. Понятие модификация отлично от понятия
преобразование для собственных нужд правомерно приобретенных программ,
отраженное в ст. 1280 ГК.

Статья. 273. Создание, использование и распространение вредоносных компьютерных
программ. Устанавливает наказание за создание, распространение или использование
вредоносных программ либо ной информации, использование которой может нанести
ущерб обладателям информации.  К иной информации может быть отнесен и ключевая
информация преданная постороннему лицу.

Статья. 274. Нарушение правил эксплуатации средств хранения, обработки или
передачи компьютерной информации и информационно-телекоммуникационных сетей.
Устанавливает наказание за нарушение правил эксплуатации, а не за неправомерный
доступ. Таким образом, вызвавший нарушение качеств информации событие не
является несанкционированным доступом, поскольку, очевидно, доступ разрешен, а
сами действия оказались неправомерными, наносящими ущерб обладателям информации.
Такой доступ могут иметь либо сами обладатели информации, либо администраторы
информационных систем.

Статья 283. Разглашение ГТ. Устанавливает наказание за разглашение сведений,
составляющих ГТ, лицом, которому она была доверена.

Статья 284. Утрата документов, содержащих ГТ, лицом, допущенным к ГТ.
Устанавливает наказание за нарушение правил обращения со сведениями (в виде
документов или предметов), составляющими ГТ.

Связанные с этими статьи:
Статья 137. Нарушение неприкосновенности частной жизни.
Статья 275. Государственная измена.
Статья 285. Злоупотребление должностными полномочиями.
Статья 293. Халатность.
Статья 292. Служебный подлог.

\printbibliography