М.Ю.Емельянников Директор по развитию бизнеса НИП «ИНФОРМЗАЩИТА» Защита информации ограниченного доступа на промышленных предприятиях: госрегулирование и интересы бизнеса XI международная научно-практическая конференция "ИТ-бизнес в металлургии, машиностроении и ТЭК« Москва, июня 2009 г.
Источник: 10-е ежегодное международное исследование в области информационной безопасности компании «Эрнст энд Янг» ОСНОВНЫЕ ПРИВОДНЫЕ СИЛЫ РЫНКА
Технологичность требований Жесткость требований Ограничения на использование несертифицированных средств защиты информации, в том числе зарубежного производства Необходимость проведения оценки соответствия объектов информатизации, информационных систем, информационных технологий и средств защиты Закрытость части требований Необходимость лицензирования деятельности по технической защите конфиденциальной информации ПРОБЛЕМЫ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ГОСУДАРСТВЕННЫХ РЕГУЛЯТОРОВ
ОСНОВНЫЕ ПРИВОДНЫЕ СИЛЫ РЫНКА Источник: 10-е ежегодное международное исследование в области информационной безопасности компании «Эрнст энд Янг»
ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах: 2) установление ограничений доступа к информации только федеральными законами
Право на неприкосновенность частной жизни, личную и семейную тайну Право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Право на ознакомление с документами и материалами, непосредственно затрагивающими права и свободы гражданина, в органах государственной власти и органы местного самоуправления Право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. БАЛАНС ПРАВ И ИНТЕРЕСОВ БАЛАНС ПРАВ И ИНТЕРЕСОВ
РАСКРЫТИЕ ИНФОРМАЦИИ ОРГАНОМ ВЛАСТИ Федеральный закон от г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" Информация о деятельности государственных органов и органов местного самоуправления - информация … поступившая в указанные органы и организации Информация о деятельности государственных органов и органов местного самоуправления не предоставляется в случае, если: … запрашиваемая информация относится к информации ограниченного доступа Пользователь информацией имеет право …не обосновывать необходимость получения запрашиваемой информации о деятельности государственных органов и органов местного самоуправления, доступ к которой не ограничен
ПРОСЛЕЖИВАЕМЫЕ ТЕНДЕНЦИИ 1.Усиление государственного регулирования, в том числе – введение различного рода ограничений и условий 2.Ограничение доступа к информации только федеральными законами 3.Обязательность наличия правового режима обращения с информацией и его зависимость от обладателя (коммерческая - служебная - банковская - налоговая - таможенная и др. виды тайн) при неизменности статуса персональных данных 4.Обязательность перечня сведений ограниченного доступа и его пополняемость 5.Ограничительные грифы (пометки) и учет носителей 6.Закрепление обязанностей в трудовых договорах 7.Учет ознакомления с ИОД
ПЕРСОНАЛЬНЫЕ ДАННЫЕ ГРАЖДАН Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), …, а также сведения о способах осуществления профессиональной деятельности, которые: имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании в отношении которых обладателем таких сведений введен режим коммерческой тайны КОММЕРЧЕСКАЯ ТАЙНА
Зачем выполнять ФЗ «О коммерческой тайне» и «О персональных данных?
Операторами персональных данных являются все юридические лица России, в том числе – все лечебно- медицинские учреждения Под обработкой персональных данных понимается практически все, что с ними можно сделать, начиная с собственно получения тем или иным способом и заканчивая уничтожением или обезличиванием До 1 января 2010 году все ИСПДн должны быть приведены в соответствие требованиям законодательства Зачем выполнять ФЗ «О персональных данных»? Кнут
Система государственного контроля и надзора за обеспечением безопасности персданных при их обработке в ИС: Зачем выполнять ФЗ «О персональных данных»? Кнут Уполномоченный орган по защите прав субъектов персональных данных [Роскомнадзор] ФОИВ, уполномоченный в области обеспечения безопасности [ФСБ] ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации [ФСТЭК] Министерство связи и массовых коммуникаций РФ [выдвижение требований к ИСПДн, порядок проведения классификации ИСПДн]
КОАП РФ от 30 декабря 2001 года N 195-ФЗ Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Зачем выполнять ФЗ «О персональных данных»? Кнут
УГОЛОВНЫЙ КОДЕКС РФ от 13 июня 1996 года N 63-ФЗ Статья 137. Нарушение неприкосновенности частной жизни Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации Зачем выполнять ФЗ «О персональных данных»? Кнут
Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий. По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры; 11 – в судебные органы. Зачем выполнять ФЗ «О персональных данных»? Кнут
Без установления режима коммерческой тайны получение правовой помощи государственных институтов невозможно. Установление режима коммерческой тайны позволяет защитить интересы ее обладателя во взаимоотношениях с: Собственными работниками Контрагентами Зачем выполнять ФЗ «О коммерческой тайне»? Пряник Конкурентами Государственными и муниципальными органами СМИ Акционерами и независимыми директорами Рейдерами
Главные проблемы, решаемые законом: 1.Предоставляет бизнесу правовую охрану коммерческой тайны и дает механизм ее реализации 2.Выдвигает обязательные требования, при выполнении которых предоставляется правовая охрана 3.Определяет условия передачи информации, составляющей коммерческую тайну, третьим лицам – физическим и юридическим, в том числе работникам предприятий ФЗ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
Меры по охране конфиденциальности информации (ст.10): 1) определение перечня ИКТ; 2) ограничение доступа к ИКТ, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; 3) учет лиц, получивших доступ к ИКТ, и (или) лиц, которым такая информация была предоставлена или передана; 4) регулирование отношений по использованию ИКТ, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; 5) нанесение на материальные носители (документы), содержащие ИКТ, грифа "Коммерческая тайна" с указанием обладателя этой информации Как выполнить ФЗ «О коммерческой тайне»?
В 2006 году в России возбуждено и доведено до суда более 240 уголовных дел по признакам ст.183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» Зачем выполнять ФЗ «О коммерческой тайне»? Пряник
7 мая 2009 г. Тверской суд Москвы вынес братьям Заславским приговор по части 1 статьи 183 УК РФ (сбор сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом) – 1 год условно с отсрочкой исполнения на 2 года Зачем выполнять ФЗ «О коммерческой тайне»? Пряник
(495) ВОПРОСЫ? М.Ю.Емельянников XI международная научно-практическая конференция "ИТ-бизнес в металлургии, машиностроении и ТЭК« Москва, июня 2009 г.