Нормативная правовая и методическая база системы аттестации объектов информатизации по требованиям безопасности информации

Виды информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, определены "Перечнем сведений конфиденциального характера", утвержденным Указом Президента РФ от 6 марта 1997 г. N 188 и включают в себя следующие сведения:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами(коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
7. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве".

Исходя из положений Федерального закона Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ, защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о защите государственной тайны. В данном курсе аттестация объектов информатизации по требованиям безопасности информации, содержащей сведения, составляющие государственную тайну, рассматриваться не будет.

Защита информации ограниченного доступа, обрабатываемой с использованием технических средств, является частью работ по созданию и эксплуатации объектов информатизации.

Под объектом информатизации понимается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, что определено "Рекомендациями по стандартизации Р 50.1.056-2005.Техническая защита информации. Основные термины и определения".

С целью установления соответствия комплекса мероприятий по защите информации, проведенного на объекте информатизации, требованиям по безопасности информации, установленным законодательством Российской Федерации, проводится аттестация объектов информатизации по требованиям безопасности информации.

В соответствии с "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссия России) 25 ноября 1994 г., под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они расположены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации, что определено в "Положении по аттестации объектов информатизации по требованиям безопасности информации", утвержденном председателем Гостехкомиссии России 25 ноября 1994 г.

Правовую основу аттестации объектов информатизации по требованиям безопасности информации устанавливают Конституция Российской Федерации, Федеральные законы Российской Федерации, подзаконные акты, в том числе нормативно-методические документы органов исполнительной власти, уполномоченных в области обеспечения безопасности информации в пределах своих полномочий.

Федеральными органами исполнительной власти, уполномоченными в области безопасности информации, являются Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).

Итоги: Информация по категориям доступа делится на информацию ограниченного доступа, доступ к которой ограничен на законном основании и общедоступную информацию. Объекты информатизации, обрабатывающие информацию ограниченного доступа, подлежат аттестации в соответствии с требованиями, устанавливаемыми Конституцией Российской Федерации, Федеральными законами Российской Федерации, подзаконными актами, в том числе нормативно-методическими документами ФСТЭК России и ФСБ России.

Ключевые слова: информация, коммерческая тайна, обладатель информации, объект информатизации, объекты информатизации, аттестуемые по требованиям безопасности информации, персональные данные, служебная тайна.