Информационные ресурсы по категориям доступа

Федеральным законом Российской Федерации "Об информации, информатизации и защите информации" предусмотрен порядок создания информационных ресурсов с ограниченным доступом.

В указанном Законе введены следующие термины, применение которых необходимо при оценке ввода в эксплуатацию средств вычислительной техники (СВТ) с внедренной Системой "Кобра".

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информатизация - организационный социально - экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом.

Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

При обеспечении информационной безопасности на объектах СВТ администратор службы безопасности информации (ответственное должностное лицо владельца СВТ) участвует в разработке порядка формирования информационных ресурсов и введения в эксплуатацию объектов СВТ. За основу такого порядка берется следующее:

- учитывается государственная политика в сфере формирования информационных ресурсов и информатизации, направленная на создание условий для эффективного и качественного информационного обеспечения решения задач развития владельца СВТ;

- обеспечение условий для развития и защиты информационных ресурсов;

- формирование и защита информационных ресурсов;

- создание и развитие информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве;

- создание условий для качественного и эффективного информационного обеспечения потребителей информационных ресурсов;

- обеспечение безопасности в сфере информатизации;

- содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;

- формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного уровня развития информационных технологий;

- разработка проектов и программ информатизации;

- развитие положений законодательных актов в сфере информационных процессов, информатизации и защиты информации.

Федеральным законом Российской Федерации "Об информации, информатизации и защите информации" определены следующие цели защиты информации:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение конфиденциальности документированной информации в соответствии с законодательством;

- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Согласно положениям ст.21 Федерального закона "Об информации, информатизации и защите информации":

1. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Режим защиты информации устанавливается:

а) в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Федерального закона "Об информации, информатизации и защите информации";

б) в отношении персональных данных - федеральным законом.

2. Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно - технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

4. Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.

Запрещено относить к информации с ограниченным доступом:

- законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарноэпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации за исключением случаев, предусмотренных статьей 11 Федерального закона "Об информации, информатизации и защите информации"..

При разработке требований по информационной безопасности предприятия (фирмы, офиса, организации, учреждения, банковских структур и т.п.) общие положения законодательных актов в части создания и распространения информационных ресурсов с ограниченным доступом, как правило, учитываются в полном объеме с целью конкретизации выбора требований нормативных документов (НД) по безопасности информации.

Федеральным законом Российской Федерации "Об информации, информатизации и защите информации" определены следующие положения, регламентирующих организацию работ по обеспечению информационной безопасности.

Защита информации достигается путем выполнения комплекса мероприятий.

Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности предприятия и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима конфиденциальности.

Информационная безопасность конкретизируется:

- определением охраняемых сведений ;

- ценностью информации и ее носителей;

- определением источников угроз безопасности информации, демаскирующих признаков, технических каналов утечки и несанкционированного доступа к информации;

- оценкой возможностей источников угроз безопасности информации;

- разработкой и проведением обоснованных мероприятий по защите информации;

- контролем эффективности принятых мер защиты.

Мероприятия по защите информации в системах и средствах информатизации включаются в организационно - распорядительную и техническую (проектную) документацию на эти системы (средства).

Защита информации в системах и средствах информатизации является составной частью работ по охране сведений, подлежащих защите по Законам РФ.

Средства защиты информации должны иметь СЕРТИФИКАТ, удостоверяющий их соответствие требованиям НД по безопасности информации.

Для организации работ по защите информации на предприятии (в фирме) должна быть создана служба безопасности информации (служба БИ) или назначены ответственные должностные лица.

Практика организации защиты информации в средств вычислительной техники (СВТ) должна учитывать следующие принципы обеспечения безопасности информации:

1. Соответствие уровня безопасности информации законодательным положениям и нормативным требованиям по охране сведений, подлежащих защите по Закону РФ.

2. Физическая защита средств СВТ и объектов, на которых установлены СВТ.

3. Наиболее важные решения по защите информации должны приниматься должностными лицами (владельцем) СВТ.

4. Планомерный и оперативный контроль уровня безопасности защищаемой информации согласно НД по безопасности информации.

5. Установление перечня защищаемых ресурсов в СВТ и его своевременная корректировка.

6. Установление личной ответственности пользователей СВТ за поддержание уровня защищенности СВТ при обработке сведений, подлежащих защите по Закону РФ.

7. Оперативное внесение изменений в оргмеры по поддержанию уровня защищенности СВТ и др. правила и принципы.