Закон о защите информации 2017

Содержание
  1. Фз об информационной безопасности
  2. Основные законы информационной безопасности
  3. Описание закона 149
  4. Скачать
  5. Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions
  6. 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  7. 152-ФЗ «О персональных данных»
  8. 98-ФЗ «О коммерческой тайне»
  9. 63-ФЗ «Об электронной подписи»
  10. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
  11. Как выполнить требования закона 187-ФЗ о безопасности критической информационной инфраструктуры?
  12. С чего начать?
  13. Почему к категорированию не стоит относиться как к очередной формальности
  14. Категорирование – отдать подрядчику или провести самостоятельно?
  15. Категорирование выполнено. Что дальше?
  16. Организация проектов по защите объектов КИИ. Рекомендации
  17. 1. Разбейте проект на части
  18. 2. Используйте результаты предыдущих работ
  19. 4. Используйте средства защиты, «прошедшие оценку соответствия»

Фз об информационной безопасности

Закон о защите информации 2017

Бесплатная консультация юриста по телефону:

Информационная безопасность — эта область науки, которая изучает защиту данных конкретного (государственного или коммерческого) предприятия. Специалисты (аудиторы) проверяют информационные каналы для обеспечения защиты секретных данных.

Все каналы засекреченных данных проверяются на достаточный уровень защиты. Если специалист обнаружит изъян в файловой системе, он должен незамедлительно уведомить об этом руководство предприятия.

Основные законы информационной безопасности

Основные законы, которые относятся к области информационной безопасности:

Так же есть Федеральный закон о безопасности 390. Подробности по ссылке: 

Описание закона 149

Федеральный закон «Об информации, информационных технологиях и о защите информации» был принят Государственной Думой 8 июля 2006 года, а одобрен Советом Федерации спустя 6 дней того же года. Последние изменения были внесены 27 июля 2017 года.

Настоящий ФЗ определяет порядок по:

  • Применению информационных технологий;
  • Обеспечению данных информационной безопасности.

Основные принципы настоящего ФЗ:

  • Каждый гражданин РФ может воспользоваться поиском общедоступных данных, передавать их или распространять любым доступным ему методом;
  • Доступ к информации может быть ограничен только на основании действующих Федеральных законов об информационной безопасности;
  • Каждое коммерческое предприятие должно иметь информацию о себе в открытом доступе, кроме случаев, предусмотренных Федеральным законом №149 об информационной безопасности;
  • Создание информационных систем и их эксплуатация должно осуществляться на государственном языке;
  • Созданная системная информатизация должна защищаться государством;
  • Данные должны предоставляться каждому гражданину Российской Федерации по запросу;
  • Возможность использования только общедоступной информации. В целях информационной безопасности запрещено запрашивать данные, которые относятся к частной жизни, или их предоставлять.

Закон №109 был создан на основе Конституции РФ и международных договоров РФ.

Владеть данными может не только физическое, но и юридическое лицо. Полномочия обладателя должны соответствовать нормативным правовым актам государственных органов власти и положениям закона об информационной безопасности.

 Владелец имеет право:

  • Разрешать или запрещать доступ к данным;
  • Использовать данные или распространять их по своему усмотрению;
  • Передавать данные третьим лицам на основании заключенного между ними договора.

Обязательства гражданина РФ, который владеет информацией, следующие:

  • Соблюдение прав и законных интересов иных лиц;
  • Применение различных методов для обеспечения полученных сведений информационной безопасностью;
  • Ограничение доступа к данным, если эта обязанность устанавливается одним из Федеральных законов.

Информация на территории Российской Федерации передается свободным методом. Если данные зашифрованы, то отправлять их можно только в порядке, предусмотренном законом об информационной безопасности.

Если данные передаются третьим лицам без использования средств массовой информации, то они должны быть достоверными, а указанные сведения обязаны идентифицировать их личность.

Например, владелец интернет-ресурса должен разместить в соответствующей базе данных следующую информацию:

  • Фамилию, имя и отчество;
  • Адрес местожительства;
  • Адрес электронной почты.

Личная информация владельца сайта может потребоваться для написания ему письма или заявления о нарушении законодательных положений.

Закон об информационной безопасности запрещает пропагандировать информацию о войне, религиозной или расовой ненависти, а также других сведений, за передачу которых предусмотрена административная или уголовная ответственность.

Важные данные органов власти должны быть задокументированы. К оформлению предъявляются требования, установленные федеральным органом исполнительной власти.

Скачать

Лица, которые нарушили требования Федерального закона №149 об информационной безопасности, могут быть привлечены к ответственности. Также лица, права и законные интересы которых были нарушены, могут обратиться в судебные инстанции для возмещения убытков в виде:

  • морального вреда;
  • защиты чести;
  • достоинства и деловой репутации.

При просмотре интернет-страниц правообладатель может обнаружить информацию, защищенную его авторскими правами. В таком случае он или доверенное им лицо может подать заявление на владельца сайта о нарушении его авторских прав. В этом случае составляется доверенность, которая предварительно заверяется у нотариуса.

Владелец сайта может купить информацию у третьего лица, а автор даже не будет об этом подозревать. В таком случае заявление от автора может быть проигнорировано. Эти положения Федерального закона об информационной безопасности действуют и на лицензиата, который получил лицензию об использовании авторских прав.

Если на интернет-ресурсах неоднократно размещается информация, которая нарушает авторские права других пользователей, органы федеральной власти могут ограничить доступ к этим сайтам. Полный список сайтов, на которые на основании суда были наложены ограничения, представлен на официальном сайте Федерального органа.

Скачайте Федеральный закон №149 об информационной безопасности с внесенными дополнениями по ссылке.

Бесплатная консультация юриста по телефону:

Источник: https://210fz.ru/fz-ob-informacionnoj-bezopasnosti/

Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions

Закон о защите информации 2017

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

  1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
  2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
  3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
  4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
  5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
  6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
  7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

  1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
  2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
  3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
  4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
  5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

  1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
  2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
  3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
  4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
  5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

  1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
  2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
  3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
  4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

  1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
  2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
  3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
  4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
  5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
  6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
  7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Источник: https://mcs.mail.ru/blog/zakonodatelstvo-ob-informatsionnoy-bezopasnosti

Как выполнить требования закона 187-ФЗ о безопасности критической информационной инфраструктуры?

Закон о защите информации 2017

Федеральный закон “О безопасности критической информационной инфраструктуры Российской Федерации” от 26.07.2017 N 187-ФЗ вступил в силу 1 января 2018 года и ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ.

Субъектами КИИ, на которые распространяются требования закона, являются государственные и коммерческие учреждения, работающие в сферах, составляющих основу функционирования государства: здравоохранении, науке, транспорте, связи, энергетике, банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Под объектами КИИ понимаются информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ.

В соответствии с требованиями закона, предприятия и организации должны провести категорирование своих объектов КИИ и уведомить о результатах ФСТЭК России. Рекомендуемый срок – январь 2019 года.

Однако в настоящее время многие организации либо еще не начали категорирование своих объектов, либо находятся в самом начале пути.

При этом у ряда компаний и предприятий нет понимания не только того, как проводить категорирование, но и подпадают ли они вообще под действие данного ФЗ.

В статье, подготовленной экспертом компании «Стэп Лоджик», предлагается оптимальный вариант реализации требований по защите объектов КИИ, уточняется, на что стоит обратить внимание при проведении данных работ, а также рассказывается о факторах, влияющих на стоимость таких проектов.

С чего начать?

Самый первый вопрос, на который необходимо ответить: является ли ваша организация субъектом КИИ. Для этого регулятор (ФСТЭК России) рекомендует осуществить поиск указанных в тексте закона тринадцати видов деятельности в уставах, ОКВЭД, лицензиях организации[1]. Если ваше предприятие соответствует данному критерию, необходимо приступать к категорированию объектов.

Почему к категорированию не стоит относиться как к очередной формальности

Без категорирования объектов КИИ невозможно определить необходимые технические и организационные меры защиты. Именно от результатов категорирования зависят дальнейшие объемы работ в области ИБ.

В случае расследований инцидентов ИБ возможна ситуация, когда привлекаемые органы установят нарушения в защите объектов КИИ по причине отсутствия категорирования или его занижения. Это может повлечь за собой уголовную ответственность в соответствии с УК РФ (ст. 274.1).

Кроме того, уже анонсировано введение в начале 2019 года административной ответственности за некорректное категорирование объектов КИИ и нарушение установленных сроков. Сроки категорирования будут жестко регламентированы, и, если не начать процесс заранее, есть вероятность в них не уложиться.

Категорирование – отдать подрядчику или провести самостоятельно?

Многие организации предпочитают отдать эту часть работ подрядчикам.

Есть множество примеров, когда заказчик просит не только провести категорирование, но и в целом «привести все объекты КИИ в соответствие с 187-ФЗ».

Специалисты «Стэп Лоджик» рекомендуют осуществлять категорирование самостоятельно, а если и привлекать сторонних исполнителей, то только для консультации по частным вопросам.

Во-первых, в соответствии с законодательством, вся ответственность за принятие решений ложится исключительно на руководителя организации и комиссию, включающую руководителей подразделений и иных ответственных работников, а не на подрядную организацию.

Во-вторых, основа категорирования – оценка последствий от нарушений функционирования критических процессов и соответствующих объектов КИИ. Интеграторы и консультанты априори не могут знать все детали и нюансы вашей деятельности, все возможные последствия и их взаимосвязи.

По опыту «Стэп Лоджик», даже в рамках группы компаний одни и те же процессы иногда реализованы по-разному, и такие нюансы могут оказать существенное влияние на результаты категорирования.

Поэтому сторонние специалисты, изучив, например, десять заводов, не смогут быстро и идеально описать одиннадцатый без его обследования – вся информация в итоге будет снова запрашиваться у ответственных сотрудников.

Таким образом, массив данных для категорирования предоставляется самой организацией, а суть услуг подрядчиков в 90% случаев состоит в наличии у них отработанных шаблонов и отчетных форм, а также имеющегося опыта работы с конкретной сферой.

В-третьих, для того чтобы подрядчик смог качественно провести категорирование, ему необходимо полностью изучить все бизнес-процессы организации, ее инфраструктуру, показатели деятельности (договоры, финансовую отчетность, иную статистику). Очевидно, что в данном случае проект займет не один месяц, а стоимость работ может оцениваться в миллионы рублей, если речь идет о крупных предприятиях или группах компаний. Насколько это оправдано с учетом сказанного выше?

Проведение категорирования своими силами – это еще один повод детально разобраться в бизнес-процессах организации, оценить все риски и ответить на главный вопрос: к каким последствиям может привести недостаточное соблюдение организационных и технических мер защиты информации. Это важно понимать самой организации, в том числе при дальнейшей реализации мер защиты и обосновании соответствующих проектов.

Если вы решились проводить категорирование самостоятельно, получить ответы на отдельные вопросы можно из следующих источников:

  • По телефону горячей линии ФСТЭК России: 8 (499) 246-11-89, на методических сборах регулятора и конференциях, где выступают специалисты ФСТЭК;
  • В подробной методике категорирования объектов КИИ от «Стэп Лоджик» с шаблонами необходимых документов и ответами на часто задаваемые вопросы. Методика распространяется на безвозмездной основе, доступна для скачивания на сайте компании и постоянно обновляется с учетом взаимодействия с регулятором и полученного опыта;
  • На профильных ресурсах (например, чат КИИ 187-ФЗ в Telegram);
  • Также можно привлекать консультантов для решения конкретных вопросов. Но в данном случае это частное мнение, основанное на субъективных знаниях и опыте, и оно не всегда будет верным. Лучше сопоставлять информацию из нескольких источников.

Категорирование выполнено. Что дальше?

Дальнейшие шаги будут различаться в зависимости от того, есть ли у организации значимые объекты КИИ по результатам категорирования.

Если значимых объектов нет, то дополнительные требования по защите объектов КИИ, определяемые ФСТЭКРоссии, не требуются.

Но это не значит, что защищать ничего не нужно – вполне вероятно, что после оценки возможного ущерба при инцидентах организация сама пересмотрит важность безопасности своих ресурсов и будет заинтересована в реализации дополнительных мер защиты.

В соответствии с требованиями 187-ФЗ, необходимо будет обеспечить взаимодействие с ГосСОПКА в части предоставления сведений об инцидентах ИБ. Детали по передаваемой информации и организации взаимодействия можно найти в соответствующих приказах ФСБ России и методических документах НКЦКИ (органа, ответственного за оперирование ГосСОПКА).

Если у организации есть значимые объекты КИИ, то ей потребуется реализовать систему безопасности для защиты данных объектов в соответствии с нормативными документами ФСТЭК России.

Организация проектов по защите объектов КИИ. Рекомендации

С учетом высокой загрузки отделов и департаментов по ИБ и нехватки профильных специалистов в самих организациях, данные работы обычно реализуют в виде проектов с привлечением подрядчиков.

Далее рассмотрим рекомендации «с другой стороны баррикад», так как часто организации сами загоняют себя в угол, и из-за банальных неточностей в постановке задачи получают не те результаты, на которые рассчитывали.

1. Разбейте проект на части

Не стоит объединять в один проект (договор) все работы «под ключ». Есть несколько этапов, от результата которых зависит объем всех последующих работ, поэтому до их завершения подрядчик не сможет корректно оценить сроки и бюджет проекта.

Соответственно, будет или демпинг и не слишком качественный результат, в случае объема работ выше ожидаемого, или, наоборот, попытка перезаложиться для закрытия своих рисков.

Поэтому в «Стэп Лоджик» рекомендуют разбить проект на этапы и реализовывать их последовательно, приступая к следующему этапу только после завершения предыдущего:

  • Категорирование объектов. На данном этапе фактически определяется область дальнейших работ – перечень объектов КИИ и их границы;
  • Разработка требований ИБ. Это ключевой этап, на котором осуществляется оценка угроз и формируются требования к необходимым мероприятиям и средствам защиты или обосновывается возможность использования существующих мер защиты;
  • Все последующие работы, связанные с реализацией мер, определенных на втором этапе.

2. Используйте результаты предыдущих работ

Нередко объекты КИИ также являются информационными системами персональных данных (ИСПДн) и/или государственными информационными системами (ГИС). В таких случаях необходимо выполнить требования нормативных документов из нескольких сфер. Стоит включить в работы ревизию уже выполненных ранее проектов и ответить на следующие вопросы:

  • Соответствуют ли друг другу «старая» и «новая» модели угроз, выполненные для одной и той же системы – например, для ГИС (ИСПДн), которая стала еще и объектом КИИ?
  • Насколько соответствуют реализованные ранее требования по защите информации новым, какие из существующих средств защиты планируется использовать для защиты объекта КИИ?
  • Насколько соответствуют существующие нормативно-методические документы организации по вопросам ИБ новым требованиям?

3. Не стоит изобретать велосипед

В приказах ФСТЭК №235 и №239 в явном виде определены все работы, их содержание и документация, которая должна быть разработана в ходе реализации проектов по защите объекта КИИ.

При формировании задания на работы рекомендуется строго придерживаться этих формулировок, чтобы четко выполнить поставленную задачу и не увеличить сроки и бюджет проекта.

Даже незначительная корректировка может иногда повлечь заметные изменения в проекте.

4. Используйте средства защиты, «прошедшие оценку соответствия»

Применение сертифицированных средств защиты не во всех случаях является обязательным.

Чтобы не загнать себя и исполнителя в угол, пропишите в требованиях формулировку из нормативных документов: «использование средств защиты, прошедших оценку соответствия».

Грамотный исполнитель сам определит необходимость применения сертифицированных средств защиты и возможность использования альтернатив.

Источник: https://zen.yandex.ru/media/tadviser/kak-vypolnit-trebovaniia-zakona-187fz-o-bezopasnosti-kriticheskoi-informacionnoi-infrastruktury-5c0795fb41604d00a9111928

Финансист тут
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: