Защита конфиденциальной информации
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
(п. 7 ст. 2 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»)
Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
В соответствии с требованиями, установленными ч.ч.1 - 4 Федерального закона Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Соблюдение требований, установленных Федеральными законами и принятыми в соответствии с ними нормативными правовыми актами возможно только с применением программных и аппаратных комплексов по защите от несанкционированного доступа.
Средства защиты конфиденциальной информации в автоматизированных системах организаций должны отвечать целому ряду требований, таким, как надежность, масштабируемость, совместимость и соответствие законодательству.
В Российской Федерации надежность средства защиты конфиденциальной информации и соответствие технических параметров средства защиты требованиям законодательства подтверждается сертификацией ФСТЭК. В соответствии с законодательством, защита конфиденциальной информации должна происходить с использованием решений, сертифицированных ФСТЭК по требованиям руководящих документов (РД) и на отсутствие недекларированных возможностей (НДВ).
При построении подсистемы информационной безопасности необходимо учитывать необходимость её соответствия требованиям РД Гостехкомиссии России: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Так как встроенные средства безопасности операционных систем не имеют удовлетворяющего требованиям РД гибкого и надёжного механизма защиты конфиденциальной информации, организациям и компаниям следует обеспечивать безопасность конфиденциальной информации на должном уровне специальными аппаратными и программными средствами защиты.
Таблица Сертифицированные решения для защиты конфиденциальной информации