Лицензирование в области защиты информации: нормативно-правовая база и вопросы практической реализации

 

 

Содержание

  

1.Лицензирование  в области защиты информации: нормативно-правовая база и вопросы  практической реализации

2.Защита  прав потребителей в информационной  сфере

3.Правовое  положение архивов и библиотек  по законодательству России 

4.Обеспечение  информационной безопасности в  предпринимательских отношениях

5.Защита  прав человека и гражданина  в сфере массовой информации  и телекоммуникаций

6.Реклама  как объект информационных правовых  отношений

7.Конфиденциальная  информация как объект правовых  отношений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Лицензирование в области защиты информации: нормативно-правовая база и вопросы практической реализации

 

Лицензией называется разрешение на право проведения работ  в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых  осуществляется ее перерегистрация  в порядке, установленном для  выдачи лицензии.

Лицензия  выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и  испытательную базу, нормативную  и методическую документацию, располагает  научным и инженерно-техническим  персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий  в области защиты информации образуют:

·        государственные  органы по лицензированию;

·        лицензионные центры;

·        предприятия-заявители.

Государственные органы по лицензированию:

·        организуют обязательное государственное лицензирование деятельности предприятий;

·        выдают государственные  лицензии предприятиям-заявителям;

·        согласовывают  составы экспертных комиссий, представляемые лицензионными центрами;

·        осуществляют контроль и надзор за полнотой и  качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

·        формируют  экспертные комиссии и представляют их состав на согласование руководителям  соответствующих государственных  органов по лицензированию, которыми являются ФСТЭК и ФСБ; ·        планируют и проводят работы по экспертизе предприятий-заявителей;

 

·        контролируют полноту и качество выполненных  лицензиатами работ.

Лицензионные  центры при государственных органах  по лицензированию создаются приказами  руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

·        сертификация, сертификационные испытания защищенных технических средств обработки  информации (ТСОИ), технических и  программных средств защиты, средств  контроля эффективности мер защиты информации, программных средств  обработки, защиты и контроля защищенности;

·        аттестация систем информатизации, автоматизированных систем управления, систем связи и  передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

·        разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических  средств защиты и контроля эффективности  мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;

·        проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

·        проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

·        разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

·        осуществление  научно-методического руководства  лицензионной деятельностью;

·        публикация необходимых сведений о системе  лицензирования;

·        рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

·        согласование заявлений с воинскими частями, ответственными за соответствующие  направления защиты информации;

·        согласование состава экспертных комиссий;

·        организация  и проведение специальных экспертиз;

·        принятие решения  о выдаче лицензии;

·        выдача лицензий;

·        принятие решения  о приостановлении, возобновлении  действия лицензии или ее аннулировании;

·        ведение реестра  выданных, приостановленных, возобновленных и аннулированных лицензий;

·        приобретение, учет и хранение бланков лицензий;

·        организация  работы аттестационных центров;

·        осуществление  контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных  видов деятельности» (с изменениями, введенными Федеральным законом  от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области  защиты информации):

·        деятельность по распространению шифровальных (криптографических) средств;

·        деятельность по техническому обслуживанию шифровальных (криптографических) средств;

·        предоставление услуг в области шифрования информации;

·        разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств  информационных систем, телекоммуникационных систем;

·        деятельность по разработке и (или) производству средств  защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

·        деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением  случая, если указанная деятельность осуществляется для обеспечения  собственных нужд юридического лица или индивидуального предпринимателя).

 

2. Защита прав потребителей в информационной сфере

 

Нарушение требований по защите информации влечет за собой  дисциплинарную, гражданско-правовую, административную или уголовную  ответственность в соответствии с законодательством Российской Федерации.

Лица, права  и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа  или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе  с исками о возмещении убытков, компенсации  морального вреда, защите чести, достоинства  и деловой репутации.

Требование  о возмещении убытков не может  быть удовлетворено в случае предъявления его лицом, не принимавшим мер  по соблюдению конфиденциальности информации или нарушившим установленные законодательством  Российской Федерации требования о  защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного  лица.

В случае, если распространение определённой информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несёт лицо, оказывающее услуги:

либо  по передаче информации, предоставленной  другим лицом, при условии её передачи без изменений и исправлений;

либо  по хранению информации и обеспечению  доступа к ней при условии, что это лицо не могло знать  о незаконности распространения  информации.

Данные мероприятия  за правонарушения в области защиты информации устанавливают нормативные  правовые акты и предусматривают  следующие виды ответственности:

дисциплинарную (замечание; выговор; увольнение)

гражданскую (возмещение причинённого ущерба)

административную (предупреждение, административный штраф)

уголовную (штраф, лишение свободы)

 

3. Правовое положение архивов и библиотек по законодательству России

Архивы несут  ответственность перед государством и гражданами в документальном подтверждении  их юридических прав и социальных гарантий. Документ выступает формой, организующей содержание любой информации: законодательной, научной, художественной и проч. – и, тем самым, способствует осуществлению социальных функций, реализация которых возможна только в обществе.

Разные социокультурные  сообщества заинтересованы в сохранении определенной информации о себе (положительной  преимущественно), что отражается в  традициях и специфике отбора, комплектования, собирания, хранения и  особенно доступа и использования  ретроспективной документной информации. Степень свободы доступа к  информации в обществе, государстве является важным показателем его развития, которая опосредованно влияет на поведение личности и органов власти.

 

Важным элементом, регулирующим функционирование информа-ционно-архивной сферы, выступает архивное законодательство.

Складывание архивного законодательства в РФ началось с первых лет его создания. В настоящее время в России насчитывается более 100 законодательных  актов, в той или иной степени  регламентирующих правоотношения в  архивной сфере. Центральное место в ряду нормативных актов занимает Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», который регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов# независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.

Законодательство  Российской Федерации, непосредственно  регламентирующее деятельность библиотек, состоит из следующих основных нормативно-правовых актов:

1) Основ законодательства Российской  Федерации о культуре,

2) Федерального закона "О библиотечном  деле",

3) Федерального закона "Об обязательном  экземпляре документов",

4) Федерального закона "Об информации, информатизации и защите информации" и некоторых других актов.

 

4. Обеспечение информационной безопасности в предпринимательских отношениях

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или  искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

   Таким образом, правильный  с методологической точки зрения  подход к проблемам информационной  безопасности начинается с выявления  субъектов и интересов субъектов,  связанных с использованием информационных  систем. Для иллюстрации достаточно  сопоставить режимные военные  организации и коммерческие структуры.  В данной работе информационная  безопасность рассматривается с  точки зрения наиболее массовой  – коммерческой – категории  пользователей. 

 Информационная  безопасность не сводится исключительно  к защите информации. Субъект  информационных отношений может  пострадать (понести убытки) не только  от несанкционированного доступа,  но и от поломки системы,  вызвавшей перерыв в обслуживании  клиентов. Более того, для многих  открытых организаций (например, учебных) собственно защита информации  не стоит на первом месте. 

Для того чтобы  освоить основы обеспечения информационной безопасности, необходимо владеть понятийным аппаратом. Раскрытие некоторых  ключевых терминов не самоцель, важно  формирование начальных представлений  о целях и задачах защиты информации.

Под безопасностью  информации понимается такое ее состояние, при котором исключается возможность  просмотра, изменения или уничтожения  информации лицами, не имеющими на это  права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между  объектами вычислительной техники.

Под защитой  информации понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность  – сохранение в секрете критичной  информации, доступ к которой ограничен  узким кругом пользователей (отдельных  лиц или организаций).

 Целостность  – свойство, при наличии которого  информация сохраняет заранее  определенные вид и качество.

Доступность – такое состояние информации, когда она находится в том  виде и месте, какие необходимы пользователю, и в то время, когда она ему  необходима.

 Целью  защиты информации является сведение  к минимуму потерь в управлении, вызванных нарушением целостности  данных, их конфиденциальности или  недоступности информации для  потребителей.

Приведенная совокупность определений достаточна для формирования общего, пока еще  абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы  информационной безопасности.