Закон о конфиденциальной информации
Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию
В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.
Ключевые моменты закона об информационной безопасности:
- Нельзя собирать и распространять информацию о жизни человека без его согласия.
- Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
- Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
- Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
- Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
- У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
- Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
152-ФЗ «О персональных данных»
Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»
Ключевые моменты закона:
- Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
- Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
- Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
- Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
- Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
Серверы облачной платформы Mail.ru Cloud Solutions находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.
При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.
98-ФЗ «О коммерческой тайне»
Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.
Ключевые моменты закона о защите информации компании:
- Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
- Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
- Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
- Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
- Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
63-ФЗ «Об электронной подписи»
Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона:
- Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
- Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
- Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
- Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Ключевые моменты закона об информационной безопасности критически важных структур:
- Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
- Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
- Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
- Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
- Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
- При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
- Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.
Источник: https://mcs.mail.ru/blog/zakonodatelstvo-ob-informatsionnoy-bezopasnosti
Федеральный закон от 27 июля 2006 г. N 149-ФЗ
Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”
Настоящий Федеральный закон вступает в силу по истечении 10 дней после дня его официального опубликования
Текст Федерального закона опубликован в “Российской газете” от 29 июля 2006 г. N 165, в “Парламентской газете” от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3448
В настоящий документ внесены изменения следующими документами:
Федеральный закон от 8 июня 2020 г. N 177-ФЗ
Изменения вступают в силу с 1 октября 2020 г.
Федеральный закон от 3 апреля 2020 г. N 105-ФЗ
Изменения вступают в силу с 3 апреля 2020 г.
Федеральный закон от 27 декабря 2019 г. N 480-ФЗ
Изменения вступают в силу с 29 декабря 2020 г.
См. будущую редакцию настоящего документа
Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ
Федеральный закон от 2 декабря 2019 г. N 427-ФЗ
Изменения вступают в силу с 13 декабря 2019 г.
Федеральный закон от 2 декабря 2019 г. N 426-ФЗ
Изменения вступают в силу с 2 декабря 2019 г.
Федеральный закон от 1 мая 2019 г. N 90-ФЗ
Изменения вступают в силу с 1 ноября 2019 г., за исключением подпункта “б” пункта 3 статьи 2 названного Федерального закона, вступающего в силу с 1 января 2021 г.
См. будущую редакцию настоящего документа
Текст настоящего документа представлен в редакции, действующей на момент выхода установленной у Вас версии системы ГАРАНТ
Федеральный закон от 18 марта 2019 г. N 31-ФЗ
Изменения вступают в силу с 29 марта 2019 г.
Федеральный закон от 18 марта 2019 г. N 30-ФЗ
Изменения вступают в силу с 29 марта 2019 г.
Федеральный закон от 18 декабря 2018 г. N 472-ФЗ
Изменения вступают в силу с 29 декабря 2018 г.
Федеральный закон от 28 ноября 2018 г. N 451-ФЗ
Изменения вступают в силу с 1 октября 2019 г.
Федеральный закон от 19 июля 2018 г. N 211-ФЗ
Изменения вступают в силу с 30 июля 2018 г.
Федеральный закон от 29 июня 2018 г. N 173-ФЗ
Изменения вступают в силу с 29 июня 2018 г.
Федеральный закон от 23 апреля 2018 г. N 102-ФЗ
Изменения вступают в силу с 23 апреля 2018 г.
Федеральный закон от 31 декабря 2017 г. N 482-ФЗ
Изменения вступают в силу с 30 июня 2018 г.
Федеральный закон от 25 ноября 2017 г. N 327-ФЗ
Изменения вступают в силу с 25 ноября 2017 г.
Федеральный закон от 29 июля 2017 г. N 278-ФЗ
Изменения вступают в силу с 1 октября 2017 г.
Федеральный закон от 29 июля 2017 г. N 276-ФЗ
Изменения вступают в силу с 30 июля 2017 г., за исключением изменений, вступающих в силу с 1 ноября 2017 г.Федеральный закон от 29 июля 2017 г. N 241-ФЗ
Изменения вступают в силу с 1 января 2018 г.
Федеральный закон от 1 июля 2017 г. N 156-ФЗ
Изменения вступают в силу с 1 октября 2017 г.
Федеральный закон от 18 июня 2017 г. N 127-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 7 июня 2017 г. N 109-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального законаФедеральный закон от 1 мая 2017 г. N 87-ФЗ
Изменения вступают в силу с 1 июля 2017 г.
Федеральный закон от 19 декабря 2016 г. N 442-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального законаФедеральный закон от 6 июля 2016 г. N 374-ФЗ
Изменения вступают в силу с 20 июля 2016 г., за исключением изменений, вступающих в силу с 1 июля 2018 г.
Федеральный закон от 23 июня 2016 г. N 208-ФЗ
Изменения вступают в силу с 1 января 2017 г.
Федеральный закон от 13 июля 2015 г. N 264-ФЗ
Изменения вступают в силу с 1 января 2016 г.
Федеральный закон от 13 июля 2015 г. N 263-ФЗ
Изменения вступают в силу по истечении ста восьмидесяти дней после дня официального опубликования названного Федерального закона
Федеральный закон от 29 июня 2015 г. N 188-ФЗ
Изменения вступают в силу с 1 января 2016 г.
Федеральный закон от 31 декабря 2014 г. N 531-ФЗ
Изменения вступают в силу с 1 июля 2015 г.
Федеральный закон от 24 ноября 2014 г. N 364-ФЗ
Изменения вступают в силу с 1 мая 2015 г.
Федеральный закон от 21 июля 2014 г. N 242-ФЗ
Изменения вступают в силу с 1 сентября 2015 г.
Федеральный закон от 21 июля 2014 г. N 222-ФЗ
Изменения вступают в силу по истечении 30 дней после дня официального опубликования названного Федерального закона
Федеральный закон от 5 мая 2014 г. N 97-ФЗ
Изменения вступают в силу с 1 августа 2014 г.
Федеральный закон от 28 декабря 2013 г. N 398-ФЗ
Изменения вступают в силу с 1 февраля 2014 г.
Федеральный закон от 28 декабря 2013 г. N 396-ФЗ
Изменения вступают в силу с 1 января 2014 г.
Федеральный закон от 2 июля 2013 г. N 187-ФЗ
Изменения вступают в силу с 1 августа 2013 г.
Федеральный закон от 7 июня 2013 г. N 112-ФЗ
Изменения вступают в силу с 1 июля 2013 г.
Федеральный закон от 5 апреля 2013 г. N 50-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального законаФедеральный закон от 28 июля 2012 г. N 139-ФЗ
Изменения вступают в силу с 1 ноября 2012 г.
Федеральный закон от 21 июля 2011 г. N 252-ФЗ
Изменения вступают в силу с 1 сентября 2012 г.
Федеральный закон от 6 апреля 2011 г. N 65-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального законаФедеральный закон от 27 июля 2010 г. N 227-ФЗ
Изменения вступают в силу с 1 января 2011 г.
Источник: https://base.garant.ru/12148555/
Нормативная база для работы с конфиденциальными документами #законодательство #СЭД #ECMJ
Конфиденциальность информации – понятие объемное. Оно охватывает разные отрасли экономики и сферы общественной жизни, для каждой из которых есть свои особенности правового регулирования.
Предлагаем вашему вниманию обзор российского законодательства, который поможет разобраться в том, какие данные следует отнести к конфиденциальной информации и какие законы определяют сохранность конфиденциальности.
Нормативная база для работы с конфиденциальными документами
В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в широком понимании информация подразделяется на общедоступную информацию и информацию ограниченного доступа. В зависимости от порядка ее предоставления или распространения она подразделяется на:
● информацию, свободно распространяемую;
● информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
● информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
● информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Говоря о нормативном регулировании работы с информацией ограниченного доступа, важно помнить, что ограничения на доступ к такой информации устанавливаются только федеральными законами (ст. 5, п. 2 Закона об информации). Законодательно установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.
Законодательство РФ в области государственной тайны и конфиденциальной информации
Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации регулируются Законом Российской Федерации от 21 июля 1993 г. № 5485-1 «О государственной тайне».
К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В Законе об информации дается определение конфиденциальности информации, под которым понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Виды конфиденциальной информации
Виды конфиденциальной информации установлены Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». К ней относятся:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Секрет производства (ноу-хау), то есть сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности.
Нормативно-правовые акты
● Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
● Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
● Трудовой кодекс Российской Федерации
● Федеральный закон от 15 ноября 1997 г. № 143-ФЗ «Об актах гражданского состояния»
● Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ
В соответствии с Федеральным законом от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных», персональными данными признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (глава 14), где, в частности, говорится, что работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Положение о неразглашении персональных данных содержится и в Федеральном законе «Об актах гражданского состояния» от 15 ноября 1997 г.
№ 143-ФЗ, где говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат (ст. 12).
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ (ст.
137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.