Правовые основы защиты информации

В статье рассмотрены правовые основы защиты информации на основании 149 федерального закона и доктрины информационной безопасности с комментариями.

149-ФЗ об информации, информационных технологиях и о защите информации

Основным законом в сфере защиты информации является Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Ранее он назывался «Об информации, информатизации и защиты информации». Если на просторах интернета вы встретите такое название, знайте, что он устарел и нужно руководствоваться законом от 27.07.2006 года.

Я рекомендую использовать 149-ФЗ как справочник, желательно его знать. Но не обязательно заучивать, если что к нему всегда можно вернуться.

Так вот, в 149-ФЗ определены следующие моменты.

Защита информации это принятие правовых, организационных и технических мер. Вся защита информации строится на этих трех китах.

Эти меры в комплексе направлены на:

обеспечение защиты информации от неправомерного доступа, уничтожения,

модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.

Когда мы работаем в сфере защиты информации, мы должны знать следующее.

Во-первых, мы должны, знать какое есть правовое обеспечение нашей деятельности.

Во-вторых, какие есть требования к нам и нашей деятельности.

В-третьих, мы должны знать, какие организационно-технические меры мы должны применять в своей деятельности (они, чаще всего, идут в комплексе).

Доктрина информационной безопасности

Помимо 149-ФЗ есть второй основополагающий документ это «Доктрина информационной безопасности Российской Федерации». Доктрина утверждена Указом Президента РФ от 05.12.2016 года №646.

В доктрине указано что:

Общие методы обеспечения информационной безопасности Российской Федерации разделяются на:

правовые;

организационно – технические;

экономические.

При этом нужно понимать что организационно – технические меры принимаются в едином комплексе. Они основываются на основании каких-то документах (правовых нормах) которые разрабатываются для каждой организации отдельно.

Экономические методы защиты информации это крайне размытое понятие. Тут все зависит от бюджета, который организация может (или не может) выделить на защиту информации. Ведь бывает так, что защищать информацию нужно, а денег нет.

Возникают вопросы, какими методами, как и что (самое главное) мы можем защитить? Соответственно перед любыми начинаниями нужно понимать четкие ответы на эти вопросы.

Иная нормативная документация

В своей деятельности специалист по информационной безопасности руководствуется правовыми нормами. Все утвержденные нормативно-правовые документы в области информационной безопасности подлежат обязательной публикации (за исключением секретных документов, естественно). Не опубликованные законы не применяются (согласно статье 15 части 3 Конституции РФ).

Поэтому я привожу список сайтов, на которых вы можете найти такие документы:

http://kremlin.ru – Президент России.

http://government.ru – Правительство России.

http://council.gov.ru – Совет Федерации.

http://duma.gov.ru – государственная Дума.

https://fstec.ru – ФСЭК России.

На самом деле их очень много.

Так же вы можете (и должны) использовать справочно-правовые информационные системы. На этом моменте я не останавливаюсь, так как с Гарантом и Консультантом обычно все умеют работать.

Основная ценность этих систем это аналитика нормативно правовых актов, а так же их актуальность.

При этом стоит вспомнить о Конституции РФ. Конституция является основным законом, которому не должны противоречить все остальные законы.

То есть сначала идет Конституция, затем идут Федеральные конституционные законы, далее Федеральные законы (самый большой пласт с которым приходится работать).

Далее по уровню идут акты Президента и Правительства РФ, нормативная документация Министерств, затем Региональная документация, Муниципальная документация и в конце внутренняя документация.

Это я к чему вспомнил? К тому, что любая документация, которую разрабатывает специалист по защите информации, не должна противоречить всем вышестоящим нормативно-правовым документам. Поэтому тут не все так просто.

Основы информационного права

Информационное право — отрасль права, совокупность правовых норм, регулирующих общественные отношения в информационной сфере.

Есть гражданский кодекс в соответствии, с которым мы имеем право «потреблять» определенную информацию (или обладать ей).

Это может быть изобретение, торговый знак, патент и так далее. Это очень важный процесс, так как если мы хотим защищать нашу информацию, то мы должны иметь документы, которые подтвердят наше право на ту или иную информацию.

Нам нужно понимать, где и какая информация обрабатывается и на каком основании? Тесть должно быть понимание того, как все это дело работает.

Конституция РФ и защита информации

Давайте выделим статьи Конституции, которые непосредственно касаются защиты информации.

Статья 23

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

То есть, до того момента, пока у нас нет судебного решения, получать доступ к указанной выше информации мы не можем.

Далее идет очень важная статья №24.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Эту информацию нужно запомнить и руководствоваться ей в своей деятельности.

Статья 29

Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Четвертый пункт является основным. Тут стоит акцентировать внимание на фразе «законным способом».

Базовые определения

Вернемся к 149-ФЗ. Практически в любой нормативно-правовой документации связанной с защитой информации есть ссылки на 149-ФЗ. Поэтому я выделю основные определения.

Информация — сведения (сообщения, данные) независимо от формы их представления.

Из этого определения вопросов больше чем ответов. Так как получается, что информацией может быть все, что угодно.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Тут все очень интересно. Получается, что информационные технологии это все, что позволяет обрабатывать информацию. Если мы слышим звуки, то уши это информационные технологии. Вообще организм человека это информационные технологии, между прочим (ну ведь получается так).

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Из определения непонятно одно. Это все же свойство информации или какое-либо действие. По определение можно подгонять все что угодно.

Принципы правового регулирования отношений в сфере защиты информации

Эти принципы описываются во многих документах связанных с защитой информации.

Свобода поиска, получения, передачи, производства и распространения информации любым законным способом.

Помним, что все должно быть законно.

Установление ограничений доступа к информации только федеральными законами.

Если вы хотите ограничить доступ к какой-либо информации своим внутренним нормативным актом, но он противоречит федеральному закону, то у вас ничего не получиться.

Если же в федеральном законе нет данных о той информации, доступ к которой вы хотите ограничить – то флаг вам в руки и вперед.

Всегда лучше действовать строго по закону.

Открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами.

Государственные органы работают открыто, они публичные. Исключение составляет информация ограниченного доступа.

Равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации.

Основной язык это русский. Но мы можем создавать информационные системы в регионах, в которых народ знает другие языки. В этом случае информационная система должна создаваться с учетом этих языков.

Например, в ХМАО и ЯНАО в государственных учреждениях информация размещается на двух языках.

Или еще пример, на некоторых телеканалах субтитры выходят на местных языках.

Обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации.

При создании любой информационной системы мы должны ее защищать. Я имею ввиду защищать информацию в этой системе, доступ к ней.

Достоверность информации и своевременность ее предоставления.

Тут комментировать особо нечего. Идем дальше.

Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.

Вспоминаем согласие на обработку персональных данных. Если мы обрабатываем информацию лица, то мы должны взять согласие не обработку.

Недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

С точки зрения государственных информационных систем, при обработке информации мы должны использовать только рекомендуемые министерствами информационные технологии.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации ведет реестры:

организаций, осуществляющих деятельность в области информационных технологий;
рекомендуемого программного обеспечения.

Так же нам следует понимать следующее.

Согласно ФЗ от 18.03.2019 «Об информации, информационных технологиях и о защите информации» информация может являться объектом публичных, гражданских и иных правовых отношений.

То есть мы можем продавать, распространять, использовать и арендовать информацию.

В зависимости от порядка предоставления и распространения информация делится следующим образом.
Порядок предоставления и распространения информация

Кто является обладателем информации?

Согласно ФЗ от 27.07.2006 N 149-ФЗ (ред. от 18.03.2019) «Об информации, информационных технологиях и о защите информации»:

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Доступ к информации – возможность получения информации и ее использования.

По факту обладателем информации моет быть физическое или юридическое лицо. При этом данный факт должен быть закреплен в нормативно-правовой документации.

Что вправе делать обладатель информации?

Он вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.

То есть, если вы являетесь владельцем информационной системы, в которой обрабатывается информация, то вы должны не просто предоставить кому-либо доступ. Вы должны определить порядок и условия такого доступа, и только после этого выдать доступ.

Использовать информацию, в том числе распространять ее, по своему усмотрению.

Тут все предельно ясно, комментировать не буду.

Передавать информацию другим лицам по договору или на ином установленном законом основании.

Вся информация должна передаваться на каком-то законном основании. Для этого нужно знать действую законодательство в области защиты информации.

Защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами.

Собственно, этот относиться к защите своей интеллектуальной собственности.

Осуществлять иные действия с информацией или разрешать осуществление таких действий.

То есть обладатель информации руководит правами доступа к этой информации.

Обязанности обладателя информации

соблюдать права и законные интересы иных лиц;
принимать меры по защите информации;
ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

На этом статья правовые основы защиты информации заканчивается. Задавайте ваши вопросы в комментариях.