Правовые основы защиты информации

9.2. Система документов в области ТЗИ, а также ТКЗИ. Нормативные правовые акты ФСТЭК России. Методические документы

Так как темой данного курса является техническая защита информации, ниже кратко будет рассмотрено законодательство РФ данной области. Перечень нормативно-правовых документов, относящихся к технической защите информации, взят с сайта ФСТЭК России: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/107-zakony

К федеральным законам в области технической защиты информации относятся:

• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
• Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
• Закон Российской Федерации от 21 июля 1993 г. N 5485-1 "О государственной тайне"

Указы и распоряжения Президента РФ в области технической защиты информации:

• Указ Президента Российской Федерации от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"
• Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена"
• Указ Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера"
• Указ Президента Российской Федерации от 30 ноября 1995 г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне"

Специальные нормативные документы:

• Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. "Меры защиты информации в государственных информационных системах"
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год
• Руководящий документ. Приказ председателя Гостехкомиссии России от 19 июня 2002 г. N 187 "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий"
• Руководящий документ. Приказ председателя Гостехкомиссии России от 4 июня 1999 г. N 114 "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"
• Руководящий документ. Решение председателя Гостехкомиссии России от 25 июля 1997 г. "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации"
• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации"
• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Защита от несанкционированного доступа к информации. Термины и определения"
• Руководящий документ. Решение председателя Гостехкомиссии России от 30 марта 1992 г. "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации".

9.3. Документы в области технического регулирования и стандартизации. Техническая документация

Основным нормативным документом в области технического регулирования в Российской Федерации является Федеральный закон от 27.12.2002 N 184 "О техническом регулировании". Закон направлен на создание единой политики в областях технического регулирования, стандартизации и сертификации, отвечающей современным международным требованиям, и определяет правомочную систему установления и применения требований к продукции, процессам производства, работам и услугам. Исходя из определений, данных в Законе:

Техническое регулирование - правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, а также в области применения на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг и правовое регулирование отношений в области оценки соответствия.

Технический регламент - документ, который принят международным договором Российской Федерации, подлежащим ратификации в порядке, установленном законодательством Российской Федерации, или в соответствии с международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, или нормативным правовым актом федерального органа исполнительной власти по техническому регулированию и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции или к продукции и связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации);

Подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, документам по стандартизации или условиям договоров.

В Законе выделены три формы подтверждения соответствия:

• Добровольная сертификация;
• Декларирование соответствия;
• Обязательная сертификация.

Сертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, документам по стандартизации или условиям договоров.

При декларировании соответствия заявитель на основании собственных доказательств самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технического регламента. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие основанием для подтверждения соответствия продукции требованиям технического регламента.

Техническая документация должна содержать:

• основные параметры и характеристики продукции, а также ее описание в целях оценки соответствия продукции требованиям технического регламента;
• описание мер по обеспечению безопасности продукции на одной или нескольких стадиях проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
• список документов по стандартизации, применяемых полностью или частично и включенных в перечень документов по стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, и, если не применялись указанные документы по стандартизации, описание решений, выбранных для реализации требований технического регламента. В случае, если документы по стандартизации, включенные в перечень документов по стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, применялись частично, в технической документации указываются применяемые разделы указанных документов.

Техническая документация также может содержать общее описание продукции, конструкторскую и технологическую документацию на продукцию, схемы компонентов, узлов, цепей, описания и пояснения, необходимые для понимания указанных схем, а также результаты выполненных проектных расчетов, проведенного контроля, иные документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технического регламента.

Техническая документация, используемая в качестве доказательственного материала, также может содержать анализ риска применения (использования) продукции. Состав доказательственных материалов определяется соответствующим техническим регламентом, состав указанной технической документации может уточняться соответствующим техническим регламентом.

В июле 2015 года был принят Федеральный закон №162 "О стандартизации в Российской Федерации". ФЗ устанавливает правовые основы стандартизации в Российской Федерации, в том числе функционирования национальной системы стандартизации, и направлен на обеспечение проведения единой государственной политики в сфере стандартизации.

Стандартизация - деятельность по разработке (ведению), утверждению, изменению (актуализации), отмене, опубликованию и применению документов по стандартизации и иная деятельность, направленная на достижение упорядоченности в отношении объектов стандартизации.

Национальный стандарт - документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации утвержден федеральным органом исполнительной власти в сфере стандартизации и в котором для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации[88].

Общими целями стандартизации являются:

1. защита интересов потребителей и государства по вопросам качества продукции, процессов и услуг;
2. достижение оптимальной степени упорядочения в определенной области.

Основными результатами деятельности по стандартизации должны быть повышение степени соответствия продукта (услуги), процессов их функциональному назначению, устранение технических барьеров в международном товарообмене, содействие научно-техническому прогрессу и сотрудничеству в различных областях.