Правовое регулирование защиты информации в РФ

В современном обществе роль информационных технологий сложно переоценить. Они проникли практически во все сферы деятельности отдельного человека и государства в целом, информация может оказывать как положительное, так и отрицательное влияние на различные социальные процессы, в связи с чем, на уровне государства возникает объективная потребность создать особый правовой режим ее использования, хранения, передачи. В данном случае охрана информации может включать в себя как меры технического, так и меры правового характера.
Поскольку структура информации неоднародна, то и нормативные акты, регулирующие данную сферу, также обладают этой характеристикой. В Российской Федерации в сфере защиты информации на сегодня приняты документы, обладающие разной юридической силой или носящие рекомендательный характер. Регулированию рассматриваемого вопроса посвящены доктрины, стратегии, государственные законы, федеральные законы, Указы Президента РФ, а также подзаконные нормативные акты на уровне Правительства РФ.
Ключевым нормативным актом в сфере защиты информации является Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации, далее - Закон об информации. Согласно ч. 4 ст. 6 «Закона об информации» нормативно закреплена обязанность обладателя информации принять меры для ее защиты, которые подразделяются на правовые, организационные и технические. Закон об информации устанавливает цели применения мер защиты, а именно:
- сохранность информации. Информация должна быть защищена от уничтожения, искажения, неправомерного доступа, копирования, предоставления, а также от иных неправомерных действий.
- конфиденциальность информации. В случае, если доступ к информации ограничен, должна быть также обеспечена ее конфиденциальномть.
- указные меры, не должны препятствовать реализации права на доступ к информации (ч. 1 ст. 16 Закона об информации).
Информация, которая подлежит защите, может принадлежать физическим лицам, организациям, муниципальным образованиям, субъектам РФ, а также Российской Федерации в целом. (ч. 1 ст. 6 Закона об информации).
Защита конфиденциальной информации в организации. Законом об информации в п.7 ст.2 приводится также понятие конфиденциальность информации – специальное требование, не передавать информацию третьим лицам, адресованное лицу, которое имеет доступ к такой информации. В данном случае на передачу информации должно быть получено согласие ее обладателя. Таким образом, конфиденциальность информации – это запрет на ее разглашение.
Также принят отдельный закон, посвященный коммерческой тайне. В п.1 ст 3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (далее - Закон о коммерческой тайне) конфиденциальную информацию на уровне организации считают коммерческой тайной.
Частью 1 ст. 10 Закона о коммерческой тайне предусмотрены следующие меры по защите конфиденциальной информации:
1. Идентификация. Необходимо определить и закрепить перечень ттой информации, которую организация относит к коммерческой тайне;
2. Ограничение доступа и контроль. Доступ к информации, отнесенный к коммерческой тайне должен быть предоставлен отдельным лицам, которым он необходим, также необходимо установить порядок обращения с указанной информацией и осуществлять контроль над его соблюдением.
3. Необходимо вести учет тех лиц, которым предоставлен доступ к коммерческой тайне и ( или) тех лиц которым она была передана.
4.Регулирование. Условия использования информации, которая отнесена к коммерческой тайне, должны быть регламентированы на уровне гражданско-правовых или трудовых договоров.
5.Нанесение грифа. На материальные носители, содержащие информацию о коммерческой тайне, должен быть нанесен гриф «Коммерческая тайна», а также указано полное наименование и место нахождения организации - обладателя информации.
Защита персональных данных оператором персональных данных субъекта.
Защита информации, которая имеет непосредственное отношение к личности, регулируется на основании специального закона, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных). В статье 3 указанного нормативного акта дано определение субъекта персональных данных и собственно персональных данных. Субъект персональных данных – любое физическое лицо, а информация, которая каким-либо образом может его индивидуализировать

.
Также в Законе о персональных данных определено понятие «оператор персональных данных. Им может являться любое физическое, юридическое лицо, государственный либо муниципальный орган, который обрабатывает или организовывает обработку персональных данных. Оператор персональных данных должен определить цели обработки персональных данных, их состав, а также действия, совершаемые с персональными данными.
Оператор персональных данных, в соответствии с ч.2 ст. 19 Закона о персональных данных обязан предпринимать все необходимые меры по их защите. На оператора персональных данных субъекта возлагается обязанность по их защите
В рассматриваемой статье также указаны меры защиты, которые должны быть применены для их защиты.
1. Идентификация возможных угроз при обработке персональных данных. В данном случае должна быть обеспечена безопасность при обработке персональных данных в информационных системах.
2.Обеспечение необходимого уровня защиты персональных данных. Организация должна предпринимать меры организационного и технического характера, необходимых для выполнения требований к защите персональных данных. Уровни защищенности персональных данных установлены Правительством РФ.
3. Применение надлежащих средств защиты информации. Средства защиты информации должны пройти регламентированную процедуру оценку их соответствия.
5.Предварительная оценка эффективности мер безопасности. Перед вводом в эксплуатацию информационной системы персональных данных должна быть проведена оценка эффективности принимаемых мер безопасности.
6.Оператор персональных данных должен вести учет машинных носителей персональных данных;
7. Мониторинг с целью выявления несанкционированного доступа к персональным данным. В случае выявления указанных фактов оператор персональных данных обязан принять соответствующие меры для их пресечения.
8. Восстановление персональных данных. В случае, если в результате несанкционированного доступа персональные данные были изменены или уничтожены, оператор персональных данных обязан их восстановить.
9. Регламентирование доступа и всех действий с персональными данными. Оператор персональных данных обязан установить правила доступа и обработки персональных данных, осуществлять контроль за их соблюдением, а также вести учет и регистрацию всех действий, которые совершаются с персональными данными в информационной системе.
10. Оператор персональных данных обязан контролировать меры, принимаемые для обеспечения защиты персональных данных, а также уровень защищенности информационных систем персональных данных.
Защита критической информационной инфраструктуры. В 2017 году, по данным Совета Безопасности РФ, зафиксировано около 52,5 млн кибератак на веб-сайты госорганов (в 2016 году - 14,4 млн). Данная статистика наглядно показывает рост количества кибератак. Их цель в большинстве случаев – получение доступа к информации, доступ к которой ограничен.
В данных условиях представляется вполне логичным принятие отдельного законодательного акта, направленного на снижение угроз в кибернетической сфере, минимизации их масштабов. Таким законом стал Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации(далее Закон о КИИ) . Предметом его регулирования является обеспечение безопасности критической инфраструктуры, в целях ее стабильного функционирования, а также закрепляет права и обязанности владельцев такой инфраструктуры и полномочия государственных органов. Закон о КИИ вступил в силу относительно недавно, 1 января 2018 г.
Основным понятием данного закона является безопасность критической информационной инфраструктуры (КИИ). В нормативном акте закреплено, что это состояние защищенности критической инфраструктуры, которое позволяет ей устойчиво функционировать, в случае проведения компьютерных атак.
Также в Законе о КИИ дано понятие компьютерной атаки. Это целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты КИИ, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой ими информации.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
В свою очередь, компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
К объектам КИИ относятся информационные системы и информационно-телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, здравоохранении, науке, связи, на транспорте, в кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей)