Elettracompany.com

Компьютерный справочник
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Статья 16 защита информации

Статья 16. Защита информации

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации;

Информация об изменениях:

Федеральным законом от 21 июля 2014 г. N 242-ФЗ часть 4 статьи 16 настоящего Федерального закона дополнена пунктом 7, вступающим в силу с 1 сентября 2015 г.

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

ГАРАНТ:

См. комментарии к статье 16 настоящего Федерального закона

Информация, подлежащая в защите Российской Федерации

В соответствии с законодательством Российской Федерации в области информации и защиты информации, защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб её обладателю, пользователю, собственнику или оператору информационной системы (информационно-телекоммуникационной сети), или уполномоченному лицу, с которым оператор информационной системы (информационно-телекоммуникационной сети) заключил договор об обеспечении обработки информации в его информационной системе (информационно-телекоммуникационной сети).

Общие нормы, определяющие защиту информации в Российской Федерации устанавливает Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» в статье 16 названного Федерального закона, часть 1 устанавливает, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на достижение следующих целей:

«1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

  • 2) соблюдение конфиденциальности информации ограниченного доступа;
  • 3) реализацию права на доступ к информации».

В соответствии с частью 2 названной статьи государственное регулирование отношений в сфере защиты информации осуществляется путём установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации, как уже было сказано, базируется на Конституции Российской Федерации, названном Федеральном законе, а также законе Российской Федерации от 21.07.93 № 5485-1 «О государственной тайне», Федерального закона от 29.07.2004 № 5485-ФЗ «О коммерческой тайне», Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».

Федеральный закон «Об информации, информационных технологиях и о защите информации» в части 3 статьи 16 устанавливает, что требования о защите общедоступной информации могут устанавливаться только для достижения первой и третьей из перечисленных в части 1 этой статьи целей.

Требования о защите информации ограниченного доступа должны устанавливаться в обязательном порядке для всех трех перечисленных в части 1 статьи 16 целей.

Часть 5 названной статьи устанавливает следующее:

«Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий».

При этом под государственными информационными системами названный Федеральный закон понимает федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Федеральным органом исполнительной власти в области обеспечения безопасности в Российской Федерации является Федеральная служба безопасности Российской Федерации (ФСБ России), а федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России), являющаяся правопреемником Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России).

Кроме государственных информационных систем Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в части 1 статьи 13 определяет ещё два вида информационных систем, а именно:

муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

иные информационные системы.

Названный Федеральный закон явно не определяет, какие информационные системы относятся к иным информационным системам. Однако на основании определений государственной и муниципальной информационных систем к иным информационным системам следует относить информационные системы, создаваемые по решению:

  • 1) юридических лиц, не являющихся государственными органами и органами местного самоуправления;
  • 2) физических лиц (граждан).

Часть 4 статьи 13 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает, что требования к государственной информационной системе, устанавливаемые этим Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении. Эту норму можно рассматривать как распространение на муниципальные информационные системы требований о защите информации, установленных для государственных информационных систем.

В части установления требований о защите информации в иных информационных системах можно предположить, что требования о защите информации для этого класса информационных систем могут определять операторы этих информационных систем и обладатели информации, содержащейся в базах данных этих информационных систем.

Часть 3 статьи 13 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ устанавливает, что права обладателей информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

Основанием для предположения о том, что обладатель информации и оператор информационной системы определяют требования о защите информации для иных информационных систем, можно считать часть 6 названной статьи, которая устанавливает следующее:

«Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами»,

а также часть 4 статьи 16 этого же Федерального закона, которая устанавливает следующее:

«Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

  • 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • 2) своевременное обнаружение фактов несанкционированного доступа к информации;
  • 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • 6) постоянный контроль за обеспечением уровня защищенности информации».
Читать еще:  Коэффициент надежности срабатывания защиты

Правовые нормы, определяющие защиту государственной тайны, устанавливаются законодательством Российской Федерации о государственной тайне.

Правовые нормы, определяющие защиту сведений, составляющих коммерческую тайну, служебную тайну, профессиональную тайну, а также определяющие защиту персональных данных, определяются федеральными законами об этих сведениях.

149 ФЗ об информации информационных технологиях и безопасности 2018 года

Информатизация затрагивает всё больше сфер экономики и общественной жизни. Для комплексного регулирования правоотношений, возникающих по поводу данных (информации) в любом виде, был принят закон № 149-ФЗ от 27.07.2006 г.

Список законов РФ об информационной безопасности и технологиях

Сфера хранения и обмена данными регулируется несколькими федеральными законами:

  • № 2124-1 от 27.12.1991 г. «О СМИ»;
  • № 5485-I от 21.07.1993 г. «О государственной тайне» (касается ограничения доступа к сведениям в целях обеспечения безопасности работы государственных институтов);
  • № 98-ФЗ от 29.07.2004 г. «О коммерческой тайне» (регулирует отношения, связанные с ограничением доступа к определённым данным юридических лиц);
  • № 152-ФЗ от 27.07.2006 г. «О персональных данных».

Краткое содержание ФЗ 149

Рассматриваемый закон содержит ряд положений:

  • перечень основных понятий;
  • список основополагающих норм, которых государство должно придерживаться при регулировании информационной сферы;
  • определение информации с точки зрения закона;
  • описание права на доступ к информации и оснований для его ограничения;
  • описание способов распространения сведений по различным каналам связи;
  • установление статуса новостного агрегатора, организатора распространения сведений в интернете, оператора поисковой системы, владельца сервиса с аудио- и видео-контентом;
  • порядок регулирования сферы обмена данными на уровне государства;
  • описание информационных систем и режима их использования;
  • порядок ведения единого реестра доменных имён;
  • основания для ограничения доступа к определённым сведениям и сайтам;
  • меры ответственности;
  • порядок вступления нормативного акта в силу.

Статья 1

Содержание статьи касается области действия нормативного акта. Нормы регулируют:

  • реализацию права граждан и организаций на производство данных, их передачу, поиск, хранение;
  • защиту данных;
  • использование технологий в информационной сфере.

Статья 2

В статье даны дефиниции терминам, часто используемым в документе. Так информация определена как любые данные, сведения и сообщения, представляемые в любой форме. В тексте можно найти описание сайта в сети Интернет, электронного сообщения, поисковой системы и других явлений.

Статья 3

В данной статье утверждены базовые принципы правового регулирования порядка обращения с информацией:

  • свобода поиска и распространения информации любым не запрещённым способом;
  • прекращение доступа к определённым сведениям возможно только в рамках правовых актов Российской Федерации;
  • информация о работе гос. органов должна находиться в свободном доступе, если сведения не относятся к гос. секретам;
  • данные должны быть достоверными и предоставляться лицам своевременно;
  • сбор информации о частной жизни, её хранение и распространение, допустимы только с согласия гражданина;
  • недопустимо предоставление приоритета определённым технологиям на уровне правовых актов, если обязанность использовать определённую технологию не установлена законом РФ;
  • при функционировании информационных систем должна обеспечиваться государственная безопасность;
  • данные создаются в равной степени на всех языках, которыми пользуются народы РФ.

Статья 4

Законодательство в области обращения информации, её защиты и информационных технологиях состоит из:

  • Конституции РФ;
  • международных соглашений;
  • ФЗ-149;

других законов РФ.

Статья 5

Информация может быть нескольких видов:

  • предоставляемая на основании закона (например, о работе гос.органа);
  • передаваемая по соглашению между лицами;
  • распространяемая свободно;

данные, использование которых ограничено.

6 статья

В тексте регламентируется статус обладателя информации. Им может быть гражданин, любая организация, орган государственной власти. Обладатель информации может:

  • передавать данные по договору или в ином порядке;
  • прекращать доступ к сведениям определённых лиц или разрешать его;
  • использовать информацию по своему усмотрению.
  • защищать данные;
  • ограничивать доступ к сведениям, которые не могут свободно распространяться в соответствии с законом;
  • воздерживаться от нарушений прав третьих лиц.

7 статья

В этой статье 149-го ФЗ, описывается порядок работы с общедоступной информацией. К таковой относятся данные, распространение которых не ограничено. Например, общеизвестные сведения.

8 статья

Установлены нормы, регулирующие право на доступ к информации. Кратко его можно охарактеризовать так: граждане и представители организаций могут использовать любые источники для получения необходимых данных.

Государственные органы обязаны отвечать на запросы лиц, если обращение касается прав или обязанностей заявителя.

В рамках реализации принципа открытости информации, нельзя ограничивать распространение сведений:

  • о состоянии окружающей среды;
  • текстов правовых актах, регламентирующих полномочий госорганов, прав и обязанностей юр. лиц и граждан;
  • сведений о работе госорганов;
  • информации, которая хранится в архивах, музеях, библиотеках;
  • иных сведений.

Государственные институты обязаны отвечать на запросы граждан и организаций, которые касаются прав и обязанностей заявителей, указывая необходимую информацию.

Статья 9

В этом разделе Федерального Закона установлен общий порядок прекращения доступа к определённой информации. Конфиденциальная информация может касаться гос. секретов, частной жизни граждан, служебной или профессиональной тайне и т.д. Люди, которые получили доступ к данным ограниченного распространения, не могут передавать их третьим лицам.

Статья 10

Здесь регламентированы некоторые особенности распространения данных. Если распространение сведений происходит через интернет, но не СМИ, пользователю должна быть доступна информация о владельце сайта.

Ст. 11

В некоторых случаях сведения подлежат документированию согласно законодательству. Например, работа государственных ведомств осуществляется в соответствии с правилами делопроизводства.

В статье установлены базовые нормы работы с сообщениями, подписанными цифровой подписью.

Ст. 12

Тут описаны направления деятельности государства в сфере применения закона номер 149-ФЗ:

  • регулирование отношений, возникающих в связи с созданием и обменом информацией;
  • защита несовершеннолетних от нежелательных данных;
  • создание благоприятных условий для развития сетей телекоммуникации;
  • развитие информационных систем.

Ст. 13

Нормы этой части закона касаются создания и работы информационных систем. Они могут быть федеральными, региональными, муниципальными и иными.

Системы создаются на основании отдельного нормативного документа, который регламентирует порядок использования данных, назначение системы, круг лиц, имеющих доступ к ней и другие вопросы.

Ст. 14

В статье раскрываются основы работы государственных информационных систем. Такие ресурсы создаются для обеспечения работы госорганов.

Ст. 15

В статье утверждены общие правила работы информационных сетей на территории РФ.

В тексте предусмотрена норма, которая позволяет требовать обязательной идентификации пользователей, если такое правило будет введено на уровне федерального законодательства.

Ст. 16

В статье раскрывается понятие защиты информации. Предпринимаемые меры должны:

  • обеспечивать свободный доступ всех лиц, которые имеют право пользоваться информацией;
  • способствовать соблюдению особого режима использования информации, если он установлен;
  • предотвратить неправомерное использование данных, их модификацию, удаление, совершение других неправомерных действий.

Обладатели информации должны:

  • своевременно получать сведения о противоправном доступе к информации и прекращать его;
  • делать шаги по предупреждению противоправных действий в отношении информации;
  • хранить персональные данные физических лиц РФ только на территории страны;
  • контролировать уровень защиты важной для них информации;
  • предусмотреть возможность полного восстановления данных, если они будут неправомерно удалены или изменены.

Ст. 17

В статье утверждены меры ответственности за нарушение правил в сфере обращения информации.

Работники, которые пользуются сведениями ограниченного распространения, могут быть привлечены к дисциплинарной ответственности за разглашение информации.

Ущерб может быть компенсирован через суд в рамках гражданско-правовой ответственности.

В некоторых случаях возможно наложение административного взыскания. Например, если муниципальное СМИ отказывает участвовать в информировании людей о предстоящих выборах, то организация будет привлечена к ответственности по статье 13.17 КоАП РФ.

Ст. 18

Список нормативных документов, которые перестают действовать после принятия ФЗ-149.

Закон о распространении информации в интернете

В РФ не принимали отдельного правового акта, который бы регламентировал обмен данными в интернете.
Указанные правоотношения регулируются нормами статей 10.1-10.5 ФЗ-149.

Изменения и поправки в законе

В ФЗ-149 неоднократно вносились изменения. Чаще всего в документ добавлялись новые статьи, которые касались обращения с определённым массивом данных.

Например, с сентября 2015 г. персональные данные граждан должны находится на носителях на территории РФ.

В последней редакции, действующей с 30.06.2018 г., была добавлена статья 14.1.

Поправки касаются создания и работы системы идентификации граждан на основе их биометрических данных.

Комментарии

Анализ ФЗ-149 юристами производился несколько раз: в 2007 г. Королёвым А.Н. и Плешаковой О.В., 2011 г. Рыжовым Р.С.

Указанные работы – результат теоретического осмысления норм закона. Для лучшего понимания практической стороны применения ФЗ-149 следует читать сам текст документа и изучать правовые акты, принятые в его развитие.

Есть ли наказание за нарушение этого закона

Уголовные наказания за нарушения требований информационной безопасности предусмотрены во многих статьях УК РФ. Например, по статье 287 привлекают лиц за неправомерный отказ предоставить требуемые сведения Счётной палате РФ.

Чаще всего лица привлекаются по статьям главы 29 за нарушения, связанные с несанкционированным доступом к данным в электронном виде.

В статье 272 УК РФ установлена ответственность за несанкционированный доступ лица к сведениям, ограниченным к распространению. Виновный знает, что не имеет право пользоваться данными, но нарушает установленный режим.

Действия, запрещённые статьёй 273 УК РФ, заключаются в создании вредоносного программного обеспечения. Нормы статьи 274 УК РФ применяются, если гражданин нарушил правила работы с данными ограниченного доступа, информационными системами, тем самым причинив ущерб в крупном размере.

Статья 274.1 УК РФ предусматривает наказание за незаконное воздействие на критическую информационную инфраструктуру РФ.

Скачать ФЗ 149 об информации информатизации и защите информации, последняя редакция

Загрузить действующий ФЗ-149 можно здесь. ⇐ Это актуальная на 2018-й год версия.

Статьи ФЗ-149 создают правовую основу для принятия других правовых актов в области информационной безопасности.

Защита информации

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1) Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Рупор «бумажной» безопасности

Блог о нюансах и особенностях законодательства в области информационной безопасности

Страницы

понедельник, 15 апреля 2019 г.

Особенности квалификации правонарушения от ФСТЭК

Столкнулся с интересным примером квалификации сотрудниками ФСТЭК по ЮФО правонарушения по ст.13.12 КоАП . Вопросы вызвало 2 момента:
1. Квалификация по п.6 ст.13.12 за использование несертифицированных СЗИ (антивирус), то есть наказали за нарушение требований о защите информации, при наличии отдельной квалификации в КоАП по п.2 ст.13.12 (использование несертифицированых СЗИ).Наличие антивирусных средств отражено в протоколе. Почему квалификация по п.6?
2. Никакого упоминания про аттестат соответствия? Правонарушение вменили на основании 17 приказа ФСТЭК, то есть предъявили требования как к ГИС. Про обязательную сертификацию вспомнили, а про аттестацию нет.
Вопросов у суда по квалификации правонарушения не возникло.

КоАП. Статья 13.12. Нарушение правил защиты информации

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), —
влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч пятисот рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от двух тысяч пятисот до трех тысяч рублей; на юридических лиц — от двадцати тысяч до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, —
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до пятнадцати тысяч рублей.

Решение № 12-46/2015 12-46/2016 от 4 февраля 2016 г. по делу № 12-46/2015
Ворошиловский районный суд г. Волгограда (Волгоградская область) — Административное
Дело № 12-46/2015
установил:
По постановлению заместителя руководителя Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО3 № от ДД.ММ.ГГГГ, Управление государственного автодорожного надзора по Федеральной службы по надзору в сфере транспорта (далее УГАДН по ) признано виновным в совершении административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ и подвергнуто административному наказанию в виде штрафа в размере .
Не согласившись с постановлением, УГАДН по обратилось в суд с жалобой на предмет его отмены, в связи с отсутствием в его действиях состава административного правонарушения, ссылаясь на то, что доказательства, подтверждающих факт использования УГАДН по антивирусных средств защиты информации (антивирусных программ), установленных, а средствах вычислительной техники УГАДН по , не прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, отсутствуют.
Частью 6 статьи 13.12. КоАП РФ предусмотрена ответственность за нарушение требований о защите информации (за исключением информации, составляющей государственную ), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, —
Из представленного материала следует, что в ходе проведения ДД.ММ.ГГГГ в период с . плановой выездной проверки в отношении УГАДН по по адресу: , при осмотре средств вычислительной техники в составе локальной вычислительной сети УГАДН по , обнаружено, что Управлением государственного автодорожного надзора по нарушены требования защиты информации, а именно на средствах вычислительной техники в составе локальной вычислительной сети, предназначенных для обработки информации в составе информационных систем, являющихся сегментами федеральных государственных информационных систем Федеральной службы по надзору в сфере транспорта (Ространснадзора) в УГАДН по установлено антивирусные средства защиты информации (антивирусные программы) Неисключительное (пользовательское) право на антивирусное программное обеспечение предоставлено УГАДН по на основании государственного контракта от ДД.ММ.ГГГГ №.
Частью 5 статьи 16 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Пунктом 11 Требований о защите информации, не составляющей государственную , содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17 предусмотрено, что для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»
Антивирусные средства защиты информации (антивирусные программы), установленные на средствах вычислительной техники УГАДН по , не прошли оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
Таким образом, своими действиями УГАДН по допустило нарушение требований о защите информации (за исключением информации, составляющей государственную ), установленные ч.5 ст.16 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» в части невыполнения при защите информации ограниченного доступа, содержащейся в государственных информационных системах, п. 11 Требований о защите информации, не составляющей государственную , содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от ДД.ММ.ГГГГ №.
Кроме того, факт совершения данного административного правонарушения подтверждаются совокупностью исследованных доказательств, допустимость и достоверность которых сомнений не вызывает, а именно: протоколом об административном правонарушении от ДД.ММ.ГГГГ, протокол осмотра сервера и рабочих станций в составе локальновычислительной сети УГАДН по ; объяснением Врио начальника управления — главного государственного инспектора госавтодорнадзора.
С учетом изложенного, судья приходит к выводу, что должностное лицо – заместитель руководитель Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам ФИО3 обоснованно пришел к выводу о наличии в действиях УГАДН по состава административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ.
Совокупность исследованных доказательств является достаточной для установления виновности УГАДН по в совершении вменённого правонарушения.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.

Ссылка на основную публикацию
Adblock
detector