Проект

Общее

Профиль

Действия
История

Wiki » ISM »

Правовые меры обеспечения информационной безопасности

Введение

Технические и организационные меры защиты информации работают только тогда, когда за их нарушение наступает реальная ответственность. Без правовой основы любая система ИБ — это рекомендация, а не требование. Сотрудник, похитивший данные, не может быть привлечён к ответственности, если он не был надлежащим образом ознакомлен с перечнем конфиденциальных сведений. Конкурент, укравший разработки, останется безнаказанным, если коммерческая тайна не была оформлена юридически.

Правовые меры — это фундамент, на котором держатся все остальные меры защиты.

Эта тема рассматривает правовую составляющую СУИБ, построение которой описано в теме 6. Создание СУИБ. Организационные меры, дополняющие правовые, — в теме 8. Организационные меры.

Три направления защиты информации

Комплексная защита информации строится по трём взаимодополняющим направлениям.

Направление Суть Примеры
Правовая защита Специальные законы, нормативные акты, правила и процедуры, обеспечивающие защиту информации на правовой основе 152-ФЗ, политика ИБ, трудовой договор с NDA
Организационная защита Регламентация производственной деятельности и взаимоотношений сотрудников на нормативно-правовой основе Режим доступа, инструктажи, служба безопасности
Инженерно-техническая защита Использование технических средств, препятствующих утечке или несанкционированному доступу СКУД, видеонаблюдение, шифрование, межсетевые экраны

Правовая защита носит прежде всего предупредительный характер: она создаёт юридическую основу для привлечения к ответственности и формирует у сотрудников понимание последствий нарушений.

Иерархия законодательно-правовой базы

Правовая база обеспечения ИБ имеет многоуровневую структуру. Каждый нижестоящий уровень не может противоречить вышестоящему.

Уровень 1. Международный

Межгосударственные договоры, конвенции и декларации в области защиты информации, авторского права и интеллектуальной собственности. Реализуются через патентное право, авторское право и лицензионные соглашения.

Примеры: Бернская конвенция об охране литературных и художественных произведений, Конвенция Совета Европы о киберпреступности (Будапештская конвенция).

Уровень 2. Конституция Российской Федерации

Устанавливает основные права граждан в информационной сфере: право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки (ст. 23–24), свободу информации (ст. 29). Является основой для всего последующего законодательства.

Уровень 3. Федеральные законы и кодексы

Основные законы, непосредственно регулирующие сферу ИБ:

Закон Область регулирования
149-ФЗ «Об информации, информационных технологиях и о защите информации» Базовый закон в сфере ИБ: определяет понятия информации, информационных систем, устанавливает требования к защите
152-ФЗ «О персональных данных» Обработка, хранение и защита персональных данных граждан
98-ФЗ «О коммерческой тайне» Режим коммерческой тайны: что охраняется, как вводится режим, ответственность за разглашение
187-ФЗ «О безопасности КИИ» Защита критической информационной инфраструктуры: субъекты КИИ, категорирование, требования к защите
63-ФЗ «Об электронной подписи» Правовой статус электронной подписи и электронных документов
395-1-ФЗ «О банках и банковской деятельности» Банковская тайна и требования к защите финансовой информации
УК РФ (гл. 28) Уголовная ответственность за преступления в сфере компьютерной информации (ст. 272–274.2)
КоАП РФ Административная ответственность за нарушения в области персональных данных и ИБ

Уровень 4. Подзаконные акты

Указы Президента, постановления Правительства, приказы регуляторов — ФСТЭК России, ФСБ России, Роскомнадзора. Детализируют требования федеральных законов применительно к конкретным типам систем и организаций.

Ключевые документы:

Документ Содержание
Приказ ФСТЭК №117 (2025) Требования к защите информации в государственных информационных системах
Приказ ФСТЭК №21 (2013) Состав и содержание мер по обеспечению безопасности персональных данных в ИСПДн
Приказ ФСТЭК №239 (2017) Требования по обеспечению безопасности значимых объектов КИИ
Постановление Правительства №1119 (2012) Требования к защите персональных данных при обработке в ИС

Уровень 5. Корпоративные документы

Нормативные документы конкретного предприятия: политика ИБ, регламенты, инструкции, трудовые договоры. Разрабатываются на основе всех вышестоящих уровней и не должны им противоречить.

Корпоративные документы — единственный уровень, который организация создаёт самостоятельно. Именно здесь происходит «приземление» государственных требований на конкретные процессы, системы и роли. Без этого уровня государственные законы не защитят организацию в споре с нарушителем.

Политика информационной безопасности предприятия

Центральный корпоративный документ по ИБ — Политика информационной безопасности.
Это совокупность руководящих принципов, правил, процедур и практических приёмов, которые регулируют управление, защиту и распределение ценной информации в организации.

Политика ИБ должна быть утверждена высшим руководством, опубликована и доведена до каждого сотрудника и подрядчика под подпись. ISO 27002 прямо закрепляет это требование.

Обязательные разделы политики ИБ

  • определение понятия «информационная безопасность» применительно к данной организации;
  • цели обеспечения ИБ и их связь с бизнес-целями компании;
  • декларация руководства о поддержке программы ИБ;
  • подход к управлению рисками и выбору мер защиты;
  • основные принципы ИБ: минимальные привилегии, необходимость знать, разделение обязанностей;
  • требования по обучению и повышению осведомлённости персонала;
  • ответственность за нарушение политики (вплоть до увольнения и уголовного преследования);
  • ссылки на поддерживающие политики и процедуры (политика паролей, политика доступа, BCP и др.).

Политика пересматривается не реже одного раза в год, а также при значимых изменениях в структуре организации, бизнес-процессах или законодательстве.

Пример высокоуровневой политики ИБ

Политика информационной безопасности
Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Компании. Политика распространяется на главный офис и все филиалы. Политика обязательна для всех сотрудников и лиц, работающих с информацией Компании в рамках контрактов.
Под обеспечением ИБ понимается сохранение конфиденциальности, целостности и доступности информации.
Целями ИБ являются минимизация ущерба от реализации угроз и улучшение деловой репутации Компании.
Информация является важным активом Компании, её защита — обязанность каждого сотрудника.
Доступ к информации предоставляется только лицам, которым он необходим для выполнения служебных обязанностей, в минимально необходимом объёме.
Для каждого информационного ресурса определяется владелец, отвечающий за предоставление доступа и эффективность мер защиты.
Сотрудники проходят регулярное обучение в области ИБ. В Компании ежегодно проводится независимый аудит ИБ.
СУИБ строится на основе ISO 27001 и ISO 27002. Меры защиты внедряются по результатам ежегодной оценки рисков. Стоимость принимаемых мер не должна превышать возможный ущерб.
Несоблюдение политики может повлечь дисциплинарные меры вплоть до увольнения.

Поддерживающие документы

Политика ИБ — верхушка айсберга. Под ней располагаются документы, детализирующие конкретные аспекты защиты:

  • положение о коммерческой тайне и перечень конфиденциальных сведений;
  • инструкция о порядке допуска сотрудников к конфиденциальной информации;
  • положение о специальном делопроизводстве и документообороте;
  • перечень сведений, разрешённых к опубликованию в открытой печати;
  • обязательство сотрудника о неразглашении (NDA);
  • памятка сотруднику о сохранении коммерческой тайны;
  • политика использования паролей;
  • политика использования интернета и электронной почты;
  • политика удалённого доступа.

Полная структура документации СУИБ (четыре уровня: политики → регламенты → инструкции → журналы) подробно рассмотрена в теме 6. Создание СУИБ.

Формы правовой защиты информации

В зависимости от характера информации и экономической целесообразности выбирается подходящая форма правовой защиты.

Форма Суть Когда применять
Патент Исключительное право на изобретение, подтверждённое государством Технические решения, подлежащие публикации
Авторское право Защита результатов творческого труда (ПО, документация, базы данных) Программное обеспечение, контент, документы
Коммерческая тайна Режим конфиденциальности для сведений, имеющих коммерческую ценность Бизнес-процессы, формулы, клиентские базы, стратегии
Товарный знак Защита обозначений, индивидуализирующих товары и услуги Бренды, логотипы, фирменные наименования
Лицензия Разрешение на использование охраняемого объекта на определённых условиях Передача прав на ПО, технологии, методики

Авторское право и коммерческая тайна решают противоположные задачи:
авторское право применяется при публикации информации, коммерческая тайна — при её сокрытии.
Коммерческая тайна гибче патента: не требует раскрытия сведений и действует неограниченное время при соблюдении режима.

Что не может быть коммерческой тайной

Согласно 98-ФЗ, режим коммерческой тайны не распространяется на:
  • сведения, охраняемые государством (государственная тайна);
  • сведения, являющиеся общеизвестными на законном основании;
  • учредительные документы и сведения о хозяйственной деятельности, подлежащие обязательному раскрытию;
  • сведения о нарушениях законодательства и условиях труда.

Без официально введённого режима коммерческой тайны (приказ руководителя, перечень сведений, ознакомление сотрудников под подпись) судебная защита при утечке данных практически невозможна.

ИБ в корпоративных документах предприятия

Требования ИБ должны быть закреплены не только в специализированных политиках, но и в базовых корпоративных документах — это создаёт юридическую основу для привлечения нарушителей к ответственности.

Устав предприятия

Устав должен закреплять право предприятия определять состав и порядок защиты конфиденциальных сведений, требовать от сотрудников их сохранения, создавать службы защиты информации и разрабатывать нормативные документы по ИБ.

Коллективный договор

Включает обязательства администрации по разработке и реализации мер защиты конфиденциальной информации и обязательства трудового коллектива по соблюдению этих требований. Предусматривает ответственность нарушителей режима коммерческой тайны вплоть до уголовного преследования.

Трудовой договор

Наиболее практически значимый документ с точки зрения ИБ.
Должен содержать:
  • перечень конфиденциальных сведений, к которым сотрудник получает доступ;
  • обязательство о неразглашении (NDA) — оформляется отдельным приложением;
  • ответственность за нарушение режима конфиденциальности;
  • порядок действий при увольнении (возврат носителей, аннулирование доступа).

Критически важно: подпись сотрудника на трудовом договоре или приказе о приёме на работу подтверждает его ознакомление с требованиями ИБ. Без этого ознакомления — зафиксированного документально — привлечение к ответственности за утечку конфиденциальной информации крайне затруднено.

Должностные инструкции

Каждая должностная инструкция должна содержать раздел об обязанностях сотрудника в части ИБ:
с какой информацией он работает, какие права доступа имеет, какие действия запрещены, как действовать при инциденте.

Договоры с контрагентами

Соглашения с поставщиками, клиентами и партнёрами должны включать отдельный пункт о конфиденциальности — NDA или соответствующий раздел договора. Это единственный правовой инструмент для защиты информации, переданной третьим сторонам.

Что дальше

Правовые меры создают юридическую основу. Следующий шаг — организационные меры, которые превращают правовые требования в реальные процессы и процедуры.

Список литературы и нормативных актов

Обновлено С. Антошкин 16 дня назад · 10 изменени(я, ий)