Нормативно-правовые акты информационной безопасности

Понятие «угроза информационной безопасности»

Рассмотрим, какие угрозы существуют, и на какие свойства информации они направлены. Свойства и краткие пояснения указаны в скобках.

  • Противоправные сбор и использование информации (нарушение конфиденциальности).
  • Нарушение технологии обработки информации (нарушение целостности, аутентичности).
  • Внедрение в аппаратные и программные изделия компонентов функций не предусмотренные документацией (нарушение достоверности).
  • Разработка и распространение программ нарушающих нормальное функционирование информационных систем и систем защиты информации (нарушение целостности).
  • Уничтожение, повреждение или разрушение средств и систем обработки информации (нарушение целостности).
  • Воздействие на парольно-ключевые системы защиты систем обработки информации (нарушение доступности – ввести несколько раз неправильно пароль, блокировка информации через систему защиты; отключение парольной защиты – нарушение целостности).
  • Компрометация ключей и средств криптографической защиты информации (угроза конфиденциальности, применительно к системе защиты информации).
  • Утечка информации по техническим каналам, например, акустическим (нарушение конфиденциальности информации).
  • Внедрение электронных устройств для перехвата информации в технические средства обработки информации «жучки» (нарушение целостностипомещения, системы).
  • Уничтожение, повреждение, разрушение носителей информации, хищение (угроза целостности).
  • Несанкционированный доступ к информации в БД (нарушение конфиденциальности).
  • Перехват информации в сетях, дешифрирование и передача ложной информации (нарушение конфиденциальности/целостности).
  • Использование несертифицированных средств защиты информации. Это не совсем угроза. Ну, приведу простое сравнение, например. Вы пришли в больницу, а почему я заболел – по тому, что таблетки не пили. Сертификация направлена на обнаружение недекларированных возможностей (нарушение достоверности).
  • Нарушение законных ограничений на распространение информации (нарушение доступности).

То есть, нарушение информационной безопасности – случайное или преднамеренное неправомерное действие вызывающее негативные последствия (ущерб/вред) для организации.

Теперь немного не связно, но по сути.

Взаимоотношения Отдела с другими структурными подразделениями организации

Служба защиты информации в пределах свой компетенции взаимодействует с:

5.1. Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

5.2. Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

5.3. Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

5.4. Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

5.5. Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).

Виды конфиденциальных данных

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.

  • Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
  • Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
  • Судебные конфиденциальные данные: тайна следствия и судопроизводства.
  • Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
  • Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.

Физические способы обеспечения информационной безопасности

Физические меры защиты — это разного рода механические, электро- и электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационной системы и охраняемой информации. В перечень физических способов защиты информации входят:

  • организация пропускного режима;
  • организация учёта, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
  • распределение реквизитов разграничения доступа;
  • организация скрытого контроля за деятельностью пользователей и обслуживающего персонала информационной системы;
  • мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях аппаратного и программного обеспечения.

Когда физические и технические способы недоступны, применяются административные меры обеспечния информационной безопасности. Опыт функционирования организаций со сложной организацией информационной системы показал, что наилучшие результаты в достижении информационной безопасности достигаются при использовании системного подхода.

Наказание СМИ за нарушение закона

О наказании при нарушении закона «О СМИ» говорится в последней 7-ой главе. Для СМИ, которые злоупотребили свободой массовой информации, прописанные в ст.4 ФЗ по ст.13.15 КоАП, предполагается следующее наказание:

  • за изготовление/распространение фильмов/программ со специальными скрытыми вставками, действующие отрицательно на подсознание людей через СМИ: конфискация предмета, нарушающего закон и штраф для физических лиц: от 2.000-2.500 руб., для должностных — от 4.000-5.000 руб. и для юрлиц — от 40.000-50.000 руб.;
  • за передачу данных об организациях, чья экстремистская деятельность была запрещена по решению суда, влечет наказание, как и в вышеоговоренном случае;
  • за распространение сведений о лице, не достигшем совершеннолетия, пострадавшим от незаконных действий или нарушение правил предоставления подобной информации: штраф для граждан — от 3.000-5.000 руб., для должностных лиц — 30.000-50.000 руб. и для юридических лиц — от 400.000 — 1.000.000 руб.;
  • за проявление неуважения на публике к датам, посвященным ВОВ: для юрлиц — от 400.000 — 1.000.000 руб.;
  • за предоставление инструкции по изготовке взрывчатых устройств/средств: конфискация предмета и штраф для физлиц: от 4.000-5.000 руб., для должностных — от 40.000-50.000 руб., для ИП — от 40.000-50.000 руб. или остановка деятельности на максимальный срок до 90 дней, для юрлиц — от 800.000-1.000.000 руб. или остановка деятельности на максимальный срок до 90 дней;
  • за пропаганду экстремистской деятельности: конфискация и штраф для юридических лиц — от 100.000-1.000.000 руб.;
  • за разглашение государственных секретных данных: штраф для юрлиц — от 400.000-1.000.000 рублей.

За нарушение ст. 35 закона «О СМИ» физических лиц ждет по ст. 13.17 КоАП штраф — от 100-300 руб., должностных — от 300-500 руб. и юрлиц — от 3.000-5.000 рублей.

Уголовная ответственность за нарушение ФЗ-2124-1 «О средствах массовой информации» вводится в следующих случаях:

  • за клевету по ст.242 п.2 УК: штраф до 1.000.000 руб. или в объеме зарплаты за 1 год или обязательные работы до 240 ч.;
  • за вмешательство в личную жизнь лица без его согласия с целью сбора и распространения сведений о нем по ст.137 УК: штраф до 200.000 руб. или в объеме зарплаты за 18 мес., или 360 ч. обязательных работ, или до 1 года исправительных работ, или 2 года исправительных работ, или арест до 4 мес., или заключение в тюрьму до 2-х лет;
  • за призыв к войне по ст.354 УК: штраф — от 100.000-500.000 руб. или в объеме з/п за период от 1 до 3 лет или лишение свободы до 5 лет и запрещение занимать должности до 3-х лет;
  • и так далее.

Дисциплинарная ответственность за нарушение закона «О средствах массовой информации» (ФЗ «О СМИ»), подразумевает — выговор, увольнение, штраф.

Бесплатная консультация юриста по телефону:

8 (804) 333-01-43

Практика взаимодействия США и Европы по вопросам обработки личных данных

EU-U.S. Privacy ShieldSafe Harbor Privacy Principlesрешениетребования

  • информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
  • предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
  • взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
  • поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
  • обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
    1. в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
    2. в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
  • открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
  • соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
  • Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.

Цели, задачи и функции Отдела

2.1. Цель работы Отдела – обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения. 

2.2. В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации. 

2.3. В перечень функций службы защиты информации входит:

  • разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • внедрение режима конфиденциальности и контроль за его соблюдением;
  • взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров; 
  • разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;
  • оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения; 
  • проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации; 
  • составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности; 
  • другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела. 

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней.   

Структура информационной безопасности

Условия и факторы, способные нанести ущерб объекту обеспечения безопасности в информационной сфере, в своей совокупности составляют угрозу информационной безопасности.

Правовое обеспечение информационной безопасности направлено на регулирование отношений в области выявления и предотвращения угроз для информационной безопасности граждан, организаций и в целом государства и при этом в большой степени определяет принципы и структурное построение иных видов обеспечения безопасности в информационной сфере, в том числе и обеспечения на организационном уровне.

Закрепления норм и институтов правового обеспечения информационной безопасности происходит через международные договора Российской Федерации и национальные нормативно-правовые акты. К числу основных и важнейших правовых актов этой сферы относятся: Конституция РФ, Устав Организации Объединенных наций, Федеральные законы о информации и государственной тайне, Стратегия нац. Безопасности и др. нормативно-правовые акты. В общем Структуру информационной безопасности можно изобразить следующим образом:

Рисунок 1. Структура правового режима информационной безопасности

Всё ещё сложно?
Наши эксперты помогут разобраться

Все услуги

Решение задач

от 1 дня / от 150 р.

Курсовая работа

от 5 дней / от 1800 р.

Реферат

от 1 дня / от 700 р.

Рынок решений и услуг по защите информации

Для предотвращения потерь, связанных с киберпреступностью, государства и компании закупают оборудование, ПО и услуги для защиты информации.

  • Информационная безопасность (мировой рынок)
  • Информационная безопасность (рынок России)
  • Оборудование для защиты информации (мировой рынок)
  • Оборудование для защиты информации (рынок России)
  • ПО для защиты информации (мировой рынок)
  • ПО для защиты информации (рынок России)
  • ПО для защиты информации (рынок Японии)
  • DLP-решения (мировой рынок)
  • DLP-решения (рынок России)
  • Средства защиты информации от несанкционированного доступа (СЗИ от НСД)
  • Системы идентификации и управления доступом к информационным ресурсам предприятия — IDM (мировой рынок)

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

  1. Какиеисточники информации следует защитить?
  2. Какова цельполучения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

  1. Что являетсяисточником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

  1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

Несанкционированный доступ – незаконное использование данных;

Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;

Разглашение – следствие воздействия человеческого фактора

Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

  • физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
  • аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
  • программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
  • математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками

Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз

Структура Отдела

3.1. Сотрудников Отдела нанимают на работу в соответствии со штатным расписанием, установленным кадровой службой и согласованным с вышестоящим руководством организации. Штатное расписание разрабатывается в соответствии с целями и задачами структурного подразделения. 

3.2. В перечень специалистов, которые могут быть сотрудниками Отдела, входят инженеры и техники по защите информации, программисты, системные администраторы, другие специалисты, отвечающие за выполнение отдельных функций по защите информации.

3.3. Обязанности сотрудников службы защиты информации определяет непосредственный начальник Отдела. 
Права и обязанности

4.1. Служба защиты информации уполномочена: 

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;
  • пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;
  • вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;
  • принимать все необходимые меры для обеспечения защиты конфиденциальной информации;
  • привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;
  • давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;
  • проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации; 
  • осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

4.2. В обязанности начальника службы защиты информации входит:

  • распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;
  • участвовать в процессе подбора персонала;
  • разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;
  • организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;
  • устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;
  • координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

4.3. Сотрудники службы защиты информации обязаны:

  • контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;
  • проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;
  • участвовать в разработке комплексной системы защиты конфиденциальной информации;
  • периодически проверять журналы инструктажа и оборудование организации;
  • проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;
  • выполнять другую работу, направленную на реализацию целей и задач службы защиты информации.

Формы представления информации

Акустическая информация. Разговоры – передача акустической информации. Есть виброакустика, когда акустическая волна воздействует на стекло или трубу отопления (соответствующая поверхность вибрирует) можно попытаться снять вибрацию. Аналогично – электроакустика (через розетки). Двойные двери с тамбуром у начальников – решение, которое позволят уменьшить уровень акустического сигнала за пределами защищаемого помещения.

Побочное электромагнитное излучение. На определенной частоте в телевизоре можно было поймать сигнал соседей. То же самое качается розетки, в которой есть электричество.

Применительно к конфиденциальной информации не имеет смысла – проще купить информацию у сотрудника. Поэтому угроза считается не актуальной.

Информация обрабатываемая (циркулирующая) в ИСПДн.

Видовая информация в виде текста, изображений и т. д., например та информация, которая отображается в мониторе. Речь идет о канале, по которому может быть нарушена конфиденциальность + физический доступ. Мы можем посмотреть на бумажный документ, нарушив конфиденциальность (+ физическая нарушение целостности).

Информация в виде сигналов.

Угрозы конфиденциальности:

  • Утечка информации. Любое нарушение конфиденциальности можно назвать утечкой.
  • Разглашение информации. Является подмножеством утечки. Доведение защищаемой информации до лиц, не имеющих права доступа. Активным лицом является сотрудник знающий информацию. Т. Е. внутренний нарушитель.
  • Перехват. Активным лицом является злоумышленник. Перехват информации с помощью технических или иных средств. Подслушать и т.д.
  • Побочные элеткромагнитные излучения.
  • Наводка – наведение через конструктивный элемент.

Угрозы доступности:

Блокирование (затруднение) доступа к информации – прекращение возможности доступа к информации.

Способы реализации угроз

  • Способы реализации угроз утечки речевой и акустической информации:
    • С использованием аппаратуры регистрирующей акустические (в воздухе) и виброакустические (в других средах) волны.
    • С использованием специальных электронных устройств съема речевой информации внедренных в технические средства обработки информации. ВТСС – кондиционер, трубы отопления, телефон и т. д.
      • Регистрация волн за пределами помещения.
      • Внедрение жучков (средств негласного снятия информации).
  • Способы реализации угроз видовой информации:
    • С помощью оптических устройств и средств съема информации с экранов вне помещений.
    • С помощью специальных устройств съема внедренных в служебные помещения.
    • Пример – на вахте есть видеонаблюдение и монитор вахтера стоит так что проходящие мимо люди могут его свободно просматривать. Можно понять с какого количества камер выводится изображение и где они установлены.
  • Способы реализации угроз по каналам ПЭМИН – при помощи соответствующей аппаратуры перехватить все, что подключается к розетке и обладает побочным электромагнитным излучением.
  • Способ реализации угрозы целостности на основе сигналов. Преднамеренное электромагнитное воздействие на информацию – несанкционированное воздействие на информацию путем электромагнитного воздействия.

Компьютерные атаки

  1. Угрозы, реализуемые в ходе загрузки операционной системы (BIOS). Через BIOS можно установить устройство загрузки (приоритет), например флешка. Если у вас первым в очереди стоит USB порт, то при подключении «Вредоносной» флешки можно скопировать все нужные данные. Так же можно установить пароль на BIOS. Пароль на загрузку ОС.
  2. Угрозы, реализуемые после загрузки ОС. Эксплойты, использующие известные уязвимости операционной системы и прикладного программного обеспечения.
  3. Программное воздействие. Наличие в ОС вредоносных программ. Тут в целом все понятно и заучивать типовые определение не вижу смысла.
  4. Программная закладка. По сути это недекларируемые возможности программного обеспечения.

Теперь вы знаете основные понятия информационной безопасности.

Субъекты правового регулирования информационной безопасности

Субъекты правового регулирования информационной безопасности можно разделить на три группы:

  • субъекты, использующие информацию и информационную инфраструктуру, осуществляя экономическую, культурную, политическую или иную деятельность и осуществляющие государственные функции. Действия таких субъектов осуществляются в пределах правомочий, которыми они наделены в качестве обладателей информации, владельцев или собственников части информационной инфраструктуры, операторов разнообразных информационных систем и уполномоченных в вопросах правового режима тайны;
  • субъекты, осуществляющие деятельность, связанную с обеспечением информационной безопасности, в полномочия которых входит планирование и осуществление защиты от потенциальных угроз, надзорная и правоприменительная практика, правоохранительная деятельность и оперативно-следственные мероприятия;
  • субъекты, которые используют наличие уязвимостей в сфере информационной безопасности путем использования разного рода вредоносных технологий с противоправной, корыстной целью.

Замечание 2

В данном случае правовой режим обеспечивает придание таким лицам статуса лиц, которые наносят вред интересам других лиц и объектам их интересов. На противодействие таким лицам направлена работа государственных и иностранных органов правопорядка.

Виды юридических документов, посвященных защите информации

Юридическую документацию, касающуюся защиты секретных сведений, подразделяют на следующие виды:

  • Базовые законы РФ в области информационных техннологий, в частности, «Об информации, информатизации и защите информации», «О государственной тайне»;
  • Законы, касающиеся информационного обеспечения и обмена данными в отдельных сферах деятельности, например, «О банках и банковской деятельности», «О геодезии и картографии», «О федеральных органах правительственной связи», «О рекламе», «О средствах массовой информации», «Об участии в международном информационном обмене»;
  • Правовые документы (из области гражданского, административного и трудового права). Сюда относятся Гражданский и Уголовный кодекс России, Кодекс законов о труде;
  • Подзаконные акты:
    • Распоряжения правительства Российской Федерации;
    • Государственные стандарты;
    • Указы и постановления правительства и президента РФ. Среди них: «О перечне сведений конфиденциального характера», правила, касающиеся данных, составляющих государственную тайну;
  • Ведомственная нормативная документация;
  • Руководящие положения, перечни, письма, инструкции, методические пособия;
  • Региональные законодательные информационно-правовые постановления (распоряжения местной администрации).

Этап 2. Формирование основных направлений и их реализация

Данный этап и перечень всех изменений проще всего будет рассмотреть на примере двух Доктрин информационной безопасности Российской Федерации 2000 и 2015 года. Хоть они и не отражают всех изменений, внесенных за этот период с 2000 по 2016 год, но вполне отражают общую тенденцию выходящих тогда паровых актах и изменениях в праве. Данный анализ основан на статье: Информационная политика России в обеспечении информационной безопасности личности: история и современность (Чеботарева А.А.) («История государства и права», 2015, № 24)

1) Доктрина информационной безопасности личности Российской Федерации 2000 года (утверждена Президентом РФ 9 сентября 2000 г. № Пр-1895) ставит перед собой основную задачу – это защита личности в информационной сфере. При этом интересы личности в информационной сфере заключаются как в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, так и в защите информации, обеспечивающей личную безопасность.

2) В Стратегии развития информационного общества в Российской Федерации (утв. Президентом РФ 7 февраля 2008 г. № Пр-212) один из принципов, на которых базируется развитие информационного общества в России, – это обеспечение национальной безопасности в информационной сфере. В качестве одного из направлений реализации Стратегией названо обеспечение неприкосновенности частной жизни, личной и семейной тайны, соблюдение требований к обеспечению безопасности информации ограниченного доступа, что и подтвердила Доктрина 2016 года. Разработка новой Доктрины продиктована изменившимися реалиями, связанными с угрозами информационной безопасности, изменением в стратегическом планировании в сфере обеспечения национальной безопасности.

Из чего можно сделать вывод, что данный этап формирует две основные направленности: внутреннюю (2000 год) и внешнюю (2016 год). Право в сфере информационной безопасности формируется именно по этим двум направления, составляя тандем из состояния защищенности каждой отдельной личности, общества и государства. На деле – направление развития права в сфере информационной безопасности дало точек к конкретизации различных паровых случаев и возможность следовать тенденциям глобальной информатизации. Вопрос же в реализации данных направлений отразился в Этапе 3.