ПРАВОВЫЕ И ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ В ЦИФРОВОМ БИЗНЕСЕ

Правовые основы защиты информации

Правовые меры и средства применяются для блокирования несанкционированного использования информации и угрожают наказанием для злоумышленников.

Основу этих мер составляют законы РФ, указы Президента РФ, постановления Правительства РФ и другие нормативные акты, определяющие правила обращения с информацией и наказание за их нарушения.

Поэтому к правовым мерам относятся юридические нормы, устанавливающие ответственность за компьютерные преступления, обеспечивающие защиту интеллектуальной собственности, персональных данных и др.

Иногда бытует мнение, что в нашей стране не регламентируются или недостаточно определены законодательные меры по защите информации. К счастью, это не так. В Российской Федерации регулирование отношений в области электронного документооборота и электронной коммерции осуществляется в соответствии с Гражданским кодексом РФ, федеральными законами.

Только за период с 1991 по 2016 г. по вопросам информационного законодательства издано около 600 нормативных и правовых актов. Из них около 100 актов полностью посвящены вопросам защиты информации. Около 15 законов прямо регулируют защиту информации. Это федеральные законы, указы Президента РФ и постановления Правительства РФ. Ниже приведен список основных законов и подзаконных актов РФ в области цифрового бизнеса.

  • 1. Федеральные законы РФ:
  • 1) Федеральный закон РФ от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»;
  • 2) Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;
  • 3) Федеральный закон РФ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;
  • 4) Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • 5) Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ;
  • 6) Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • 7) Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (Глава 14. Защита персональных данных работника);
  • 8) Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-ФЗ;
  • 9) Федеральный закон РФ от 27 июля 2010 г. № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».
  • 2. Указы Президента РФ:
  • 1) Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • 2) Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
  • 3) Указ Президента РФ от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
  • 3. Постановления Правительства РФ:
  • 1) постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • 2) постановление Правительства РФ от 13 июня 2012 г. № 584 «Об утверждении Положения о защите информации в платежной системе».

Кроме этого, существуют надзорные и регламентирующие организации в нашей стране, которые разрабатывают государственные стандарты, методики и рабочие документы по защите информации как в государственных органах (для них соблюдение стандартов по защите информации является строго обязательным), так и в частных учреждениях.

Кроме основных законодательных актов, принимаемых Федеральным собранием РФ, вопросами нормативного обеспечения информационной безопасности занимается ряд ведомств.

В соответствии с Указом Президента РФ от 9 марта 2004 г. № 314 вместо существовавшей Государственной технической комиссии при Президенте РФ в октябре 2004 г. была создана Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК). Эта организация — основная в нашей стране, которая вырабатывает нормативные акты, методические рекомендации и рабочие документы по организации защиты информации (в том числе персональных данных).

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет функции по контролю и надзору в сфере СМИ, в том числе электронных, массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, а также функции по организации деятельности радиочастотной службы.

В 1996 г. Генеральная Ассамблея ООН приняла Типовой закон об электронной торговле, разработанный и утвержденный Комиссией ООН по праву международной торговли (ЮНСИТРАЛ) и руководство по его применению. Основной правовой принцип электронной коммерции — стороны, заключившие электронную сделку, не могут ставить ее под сомнение только на том основании, что она заключена электронным способом и в основе ее не лежит традиционный бумажный документооборот, сопровождаемый традиционной собственноручной подписью.

Центробанк РФ осуществляет контроль за исполнением режима информационной безопасности всеми финансовыми учреждениями страны. Инструкции Центробанка РФ являются обязательными для всех финансовых учреждений и банков РФ.

Банк России имеет право в соответствии с законодательством РФ разрабатывать нормативные документы по всем вопросам, касающимся обработки персональных данных. Поэтому стандарт Банка России СТО БР ИББС-1.3—2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» принят в качестве отраслевого стандарта обеспечения безопасности персональных данных. Была разработана отраслевая модель угроз безопасности персональных данных, что очень важно, так как в системах электронной коммерции постоянно обрабатывается большое число персональных данных.

Для обеспечения защиты информации ЦБ РФ создал центр информационной безопасности. Задачами центра являются профилактика хищений денег с банковских счетов киберпреступниками, сообщения о возможных атаках на банковский сектор РФ, отслеживание киберинцидентов, а также взаимодействие с правоохранительными органами страны.

Центробанк еще в декабре 2014 г. заявил о своем намерении подключиться к борьбе с кибермошенниками и выступил за ужесточение ответственности за наиболее распространенные технические виды мошенничества с банковскими картами граждан — скимминг и фишинг (кража логинов и паролей клиентов с помощью сайтов- двойников).

В конце января 2016 г. Совет безопасности России сообщил о решении создать центр реагирования на инциденты информационной безопасности в финансовой сфере, который называется РтСЕ11Т. В настоящее время центр успешно функционирует.

Также существует Центр информационной безопасности Федеральной службы безопасности России (ЦИБ ФСБ, 18-й центр) — специализированное подразделение ФСБ, занимающееся обеспечением информационной безопасности России.

Центр создан на основе Управления компьютерной и информационной безопасности (УКИБ) Департамента контрразведки ФСБ и входит в состав Службы контрразведки ФСБ. ЦИБ расследует преступления в области электронной коммерции и незаконного распространения персональных данных.

Все эти организации дополняют друг друга и являются основными источниками нормативно-правовой информации по обеспечению защиты информации в нашей стране. Как правило, при построении любой системы защиты сотрудники службы безопасности руководствуются в своей работе документами этих ведомств (помимо законов, постановлений Правительства РФ и указов Президента РФ).

Важным законом в нашей стране с точки зрения обеспечения работы систем электронной коммерции является Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Этот закон определяет, что документ, подписанный электронной подписью (ЭП), имеет юридическую значимость (так же, как и бумажный аналог). ЭП признается равной подписи физического лица, если проведены все проверки ЭП.

Организационные меры защиты информации

Организационно-административные средства определяют бизнес- процессы системы обработки информации организации, а также порядок взаимодействия пользователей с системой.

К организационным мерам относятся:

  • • охрана компьютеров и серверов;
  • • подбор персонала;
  • • наличие плана восстановления работоспособности сайта электронной коммерции после выхода его из строя;
  • • организация обслуживания бэк-офиса и т.п.

Организационные меры ограничивают возможность несанкционированного доступа к компьютерам и системам. Основными средствами реализации служат:

  • • правила обработки информации (организация работы с документами);
  • • пропускной режим;
  • • организация учета документов с конфиденциальной информацией;
  • • введение контроля за работой сотрудников организации;
  • • регламентация использования технических средств сбора, обработки, накопления, хранения и передачи конфиденциальной информации;
  • • выявление внутренних и внешних угроз конфиденциальной информации и выработка мер по обеспечению ее защиты.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >