Некоторые аспекты правового регулирования защиты информационных систем в Российской Федерации
Комплексное рассмотрение наиболее часто возникающих вопросов правового регулирования защиты информационных систем в РФ. Внесение изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ.
| Рубрика | Государство и право |
| Вид | статья |
| Язык | русский |
| Дата добавления | 16.12.2024 |
| Размер файла | 23,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Некоторые аспекты правового регулирования защиты информационных систем в Российской Федерации
Варфоломеева Елена Викторовна
Аннотация
правовой защита информационный закон
В статье рассматриваются наиболее часто возникающие вопросы правового регулирования защиты информационных систем в Российской Федерации, в том числе о применении понятий «информационная система» и «автоматизированная система», а также правильной классификации информационной системы как «государственная информационная система». Предлагается внесение изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
Ключевые слова: информация, защита информации, автоматизированная система, информационная система, государственная информационная система, оператор информационной системы.
Abstract
The article discusses the most frequently arising issues of legal regulation of information systems protection in the Russian Federation, including the application of the concepts of “information system” and “automated system”, as well as the correct classification of an information system as a “state information system.” It is proposed to introduce amendments to the Federal Law “On Information, Information Technologies and Information Protection” dated 27.07.2006 No. 149-FZ.
Key words: information, information protection, automated system, information system, state information system, operator of information system.
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (далее - Закон № 149-ФЗ) установил понятие «информационная система» как «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» [1]. При этом под «информацией» подразумеваются «сведения (сообщения, данные) независимо от формы их представления» [1], а «информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов» [1].
В нормативных документах государственных регуляторов ФСТЭК России и ФСБ России, которые принимаются в соответствии с Законом № 149-ФЗ, также используется понятие «информационная система», однако в документах, принятых до введения этого закона, используется понятие «автоматизированная система». Так, в методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
В связи с этим возникает вопрос по применению понятий «информационная система» и «автоматизированная система». Разъяснения по нему даны в информационном сообщении ФСТЭК России от 15.07.2013 № 240/22/2637 (далее - Информационное сообщение). В п. 6 Информационного сообщения, сказано «... Учитывая, что Требования, утвержденные приказом ФСТЭК России от 01.02.2013 № 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18.02.2013 № 21, разрабатывались во исполнение федеральных законов от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27.07.2006 № 152-ФЗ «О персональных данных» соответственно, в которых используется понятие «информационная система», в нормативных правовых актах ФСТЭК России также использовано указанное понятие. Исходя из родственных определений понятия «информационная система», установленного Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации », и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11.02.2013 № 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18.02.2013 № 21, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации» [5].
Отметим, что ГОСТ 34.003-90 заменен на ГОСТ Р 59853-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения», который действует с 01.01.2022 года.
В соответствии с Законом № 149-ФЗ информационные системы включают в себя государственные, муниципальные и иные информационные системы.
Правильная классификация системы имеет непосредственное практическое значение: если информационная система не является государственной, то ряд обязательных (порой серьезных) требований к защите данных, которые в ней обрабатываются, переходят в разряд рекомендаций.
Что же такое государственная информационная система?
Понятие «государственная информационная система» (далее - ГИС), цели и порядок ее создания, а также порядок эксплуатации установлены статьями 13 и 14 Закона № 149-ФЗ.
Итак, согласно статье 13 Закона № 149-ФЗ «государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов» [1].
Какие выводы можно сделать из содержания этого понятия?
Государственные системы бывают федеральные и региональные.
Федеральные государственные системы создаются на основании федеральных законов или же акта федерального государственного органа.
Региональные государственные системы создаются на основании законов субъектов или же акта регионального государственного органа.
В статье 14 Закона № 149-ФЗ дается подробное описание государственных информационных систем:
- ГИС создается для реализации полномочий государственного органа, обмена информацией между государственными органами, также цель создания может быть определена федеральным законом;
- информационное наполнение - документированная информация, которая предоставляется физическими лицами, организациями, государственными органами, органами местного самоуправления.
К операторам государственных информационных систем, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее - Приказ ФСТЭК № 17).
Напомним, что согласно статье 2 Закона №149-ФЗ «оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных» [1].
Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты государственных регуляторов ФСТЭК России или ФСБ России).
Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИС, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите, что влечет за собой, соответственно, и большие финансовые затраты организации.
Казалось бы, по определению: есть нормативный акт о создании -- это государственная информационная система, нет - не является ГИС. Однако, на практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять.
Добавляет неопределенности в этом вопросе и позиция государственных регуляторов, которые, осуществляя проверочные мероприятия, зачастую руководствуются косвенными признаками, характеризующими ГИС (так, по негласному мнению, ФСТЭК России к «государственным» относятся все информационные системы, которые создаются, модернизируются и эксплуатируются на бюджетные деньги, что вообще не является обязательным). При несоблюдении требований о защите информации к нарушителям применяются санкции - от штрафа до более строгих мер.
Исходя из вышеизложенного представляется целесообразным внесение изменений в Закон № 149-ФЗ, предусматривающих раскрытие содержания понятия «государственная информационная система» в статье 2 «Основные понятия, используемые в настоящем Федеральном законе».
Подобное изменение, на наш взгляд, позволит сделать определение ГИС «конкретным», устранить разнообразную (порой, недопустимую) трактовку данного понятия и разночтение между государственными регуляторами и операторами информационных систем.
Использованные источники
1. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации: Федер. закон № 149-ФЗ: принят Государственной Думой 8 июля 2006 г.: одобрен Советом Федерации 14 июля 2006 г.: послед. ред. // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения: 03.11.2023). Режим доступа: для зарегистрир. пользователей.
2. Российская Федерация. Законы. О персональных данных: Федер. закон № 152-ФЗ: принят Государственной Думой 8 июля 2006г.: одобрен Советом Федерации 14 июля 2006 г.: послед. ред. // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 10.11.2023). Режим доступа: для зарегистрир. пользователей.
3. Российская Федерация. Федеральная служба по техническому и экспортному контролю. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18 февраля 2013г. № 21 // Федеральная служба по техническому и экспортному контролю: офиц. сайт. URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21?ysclid=lp5j7wiupb152801908 (дата обращения: 03.11.2023).
4. Российская Федерация. Федеральная служба по техническому и экспортному контролю. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11 февраля 2013г. № 17 // Федеральная служба по техническому и экспортному контролю: офиц. сайт. URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17?ysclid=lp5h9koowe135666550 (дата обращения: 03.11.2023).
5. По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»: информационное сообщение Федеральной службы по техническому и экспортному контролю от 15 июля 2013 г. № 240/22/2637 // Федеральная служба по техническому и экспортному контролю: офиц. сайт. URL: https://fstec.ru/dokumenty/vse-soobshchenie-fstek-rossii-ot-15-iyulya-2013-g-n-240-22-2637 (дата обращения: 03.11.2023).
6. Термины и определения: нац. стандарт Российской Федерации: утвержден и введен в действие приказом Федер. агентства по техн. регулированию и метрологии от 19 ноября 2021 г. № 1520-ст: введен впервые: дата введения 2022-01-01. // Кодекс: электрон. фонд правовой и норматив.-техн. информ. URL: https://docs.cntd.ru/document/1200181819 (дата обращения: 03.11.2023).
7. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения: межгосударственный стандарт: утвержден и введен в действие постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 27 декабря 1990г. № 3399: взамен ГОСТ 24.003-84, ГОСТ 22487-77: дата введения 1992-01-01: отменен с 01.01.2022; заменен на ГОСТ Р 59853-2021. // Кодекс: электрон. фонд правовой и норматив.-техн. информ. URL: https://docs.cntd.ru/document/1200006979.
Размещено на Allbest.ru
...Подобные документы
Свобода поиска, получения, передачи, производства и распространения информации законным способом. Установление ограничений доступа к ней только федеральными законами. Равноправие языков народов РФ при создании информационных систем и их эксплуатации.
презентация [424,4 K], добавлен 23.10.2016Действующая Конституция РФ. Федеральный закон об информации, информационных технологиях и о защите информации. Федеральный закон об электронной цифровой подписи. Законы РФ "Об авторском праве и смежных правах", "О средствах массовой информации".
презентация [525,9 K], добавлен 19.05.2014Предмет регулирования Закона об информации и субъекты правоотношений в сфере информации, его основное содержание и значение. Предоставление и распространение информации, принципы получения доступа к ней. Ответственность за правонарушения в данной сфере.
реферат [24,5 K], добавлен 21.10.2014Анализ публикаций и монографий по вопросам информации, информатизации и информационных технологий как объекта правового регулирования. Краткая характеристика государственного управления в области информации, информатизации и информационных технологий.
реферат [30,7 K], добавлен 16.12.2012Формы правового регулирования отношений в области создания и использования информационных систем, технологий и средств обеспечения, разработки и применения средств связи и телекоммуникаций. Государственная политика в области информационных систем.
контрольная работа [44,6 K], добавлен 06.07.2010Информационные отношения как основной предмет правового регулирования информационного права. Основные положения закона "Об информации, информатизации и защите информации". Оценка защиты сведений, составляющих государственную и коммерческую тайны.
контрольная работа [31,7 K], добавлен 21.12.2010- Юридические факты в механизме правового регулирования. Нормативно-правовые аспекты защиты информации
Ответственность за нарушение условий договора. Роль и место судебной власти в РФ; органы, функции. Юридические факты в механизме правового регулирования, их классификация. Законодательные нормативно-правовые акты в области защиты информации и гостайны.
контрольная работа [27,3 K], добавлен 02.01.2012 Комплексное рассмотрение вопросов о нормативной и ненормативной системах правового регулирования. Общественные отношения, возникающие при реализации функций механизма правового регулирования. Понятие социального и психологического принципа действия права.
курсовая работа [38,8 K], добавлен 10.11.2014Понятие конфиденциальности и виды информации. Основные источники правового регулирования конфиденциальной информации. Угрозы информационной безопасности в России, меры по предупреждению. Организация систем защиты информации. Служебная, коммерческая тайна.
курсовая работа [90,0 K], добавлен 19.01.2015Направления правового регулирования отношений в Интернете. Анализ места справочно-правовых систем в современной России. Ответственность за распространение недоброкачественной информации. Особенности информационной войны. Правовая основа архивного дела.
презентация [131,5 K], добавлен 20.10.2013Исследование информационной сферы как сферы правового регулирования общественных отношений. Юридические свойства информации. Органы государственной власти. Разные организационно-правовые формы формирования и использования информационных ресурсов.
презентация [126,1 K], добавлен 20.10.2013Особенности правовой защиты информации как ресурса. Основные требования информационной безопасности и структура правовых актов. Сущность специального законодательства в области безопасности информационной деятельности, положения Федерального закона.
реферат [141,0 K], добавлен 24.03.2011Интернет и право виртуального пространства. Источники правового регулирования использования информационных ресурсов Интернет. Понятие информационных ресурсов. Интернет-сайт как средство массовой информации. Деятельность и ответственность посредников.
дипломная работа [208,4 K], добавлен 24.06.2011Основные источники правового регулирования конфиденциальной информации. Угрозы и меры по предупреждению ее утечки. Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края.
курсовая работа [95,3 K], добавлен 09.10.2014Внесение изменений в действующие приказы в сфере правового регулирования лекарственных средств. Порядок проведения экспертизы их соответствия, государственная монополия в данной отрасли. Требования к информации о лекарственном средстве, ее анализ.
презентация [5,9 M], добавлен 07.09.2016История формирования правового института в области защиты чести и достоинства гражданина, особенности его правового регулирования. Удаление информации в сети интернет, как способ защиты от распространения ложных сведений в рамках судопроизводства.
курсовая работа [55,5 K], добавлен 01.02.2015Понятие об информации, информационных ресурсах, их место в современном праве. Признаки информации с ограниченным доступом. Правовой режим защиты, составляющей государственную, служебную, профессиональную тайну; обеспечения недоступности третьим сторонам.
реферат [24,6 K], добавлен 13.12.2013Правовые проблемы виртуальной среды, особенности правоотношений в глобальной сети Интернет. Проблема формирования нового международного информационного законодательства. Основные направления правового регулирования информационных отношений в Интернет.
контрольная работа [34,2 K], добавлен 29.01.2017Рассмотрение общественных отношений, возникающих в процессе конституционной защиты гражданина в Российской Федерации, особенности. Сущность понятия "конституционный механизм защиты". Права человека как права, образующие основу правового статуса личности.
контрольная работа [82,7 K], добавлен 25.12.2013Определение конфиденциальной информации и её основные виды. Федеральный закон "Об информации, информатизации и защите информации". Понятие коммерческой и государственной тайны. Законодательное обеспечение и инструменты контроля за сохранением тайны.
эссе [14,1 K], добавлен 21.09.2012