базовый нормативный документ, юридически описывающий понятия и определения области информационной технологии и задающий принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, а также регулирует отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий.
Федеральный закон Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.
Для целей настоящего Федерального закона используются следующие основные понятия: электронная подпись, сертификат ключа проверки электронной подписи, квалифицированный сертификат ключа проверки электронной подписи (квалифицированный сертификат), владелец сертификата ключа проверки электронной подписи, ключ электронной подписи, ключ проверки электронной подписи, удостоверяющий центр и т.д.
В законе указано, что электронный документ, подписанный электронной подписью, является равнозначным документу на бумажном носителе, подписанным собственноручной подписью.
Целый ряд законодательных и нормативных правовых актов затрагивают вопросы защиты информации, в т.ч. в официальных документах, системах управления документов.
Федеральным законом Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» определено понятие «коммерческой тайны», в статье 5 дан перечень сведений, которые не могут составлять коммерческую тайну. В статье 10 дан перечень мер по охране конфиденциальности информации: ограниченный доступ сотрудников к документам, составляющих коммерческую тайну, вести учет лиц, которые имеют доступ к такой информации, закреплять ответственность работников в случае разглашения конфиденциальной информации в трудовом договоре и других нормативных правовых актах.
Закон РФ «О государственной тайне» от 21.07.1993 г. № 5485-1 (в ред. от 08.11.2011 г.) дает определение государственной тайны как защищаемым государственным сведениям, относящимся к важным видам деятельности, разглашение которых может быть опасно для государства. К таким видам деятельности относится внешнеполитическая, военная, экономическая, контрразведывательная, разведывательная, оперативно-розыскная и другие виды деятельности.
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных (в ред. от 25.07.2011 г.) регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
. Угрозы информационной безопасности и принципы, методы, технологии их предотвращения в электронном документообороте
Под угрозой информационной безопасности понимается потенциально возможное или реальное нарушение нормального использования информационных ресурсов. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: кражи или несанкционированное уничтожение документов, ускорение угасания текста или изображения, подмена или изъятие документов, фальсификация текста или его части, несанкционированное копирование бумажных и электронных документов и многие другие. Для электронных документов угрозы особенно опасны, так как часто трудно обнаружить сам факт кражи информации.
Неконфиденциальные документы и информация также должны находиться под строгим предупредительным контролем собственника информационных ресурсов, так как их внимательный анализ со стороны конкурентов может дать им до 90% полезной, ценной информации.
Диапазон угроз для конфиденциальных документов значительно шире, что связано, прежде всего, с тем, что к этим документам проявляется повышенный интерес со стороны иностранных спецслужб, криминальных структур, отдельных преступных элементов.
Основные виды угроз электронным документам:
отказ: абонент заявляет, что не отправлял, документ, хотя отправлял;
модификация: несанкционированное изменение документа, полученного от абонента А;
подмена: абонент сам формирует документ и заявляет, что получил его от абонента А;
перехват документа: нарушитель (со стороны) перехватывает документ и изменяет его;
«маскарад»: абонент С посылает абоненту В от абонента А.
В современной системе управления электронными документами система защиты информации включает:
средства защиты серверов;
средства защиты баз данных;
средства защиты рабочих станций.
Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
Обеспечение информационной безопасности электронного документооборота реализуется следующими методами защиты:
правовой метод, таким как лицензирование (деятельности в области защиты информации), сертификация средств защиты информации и применение уже сертифицированных, и аттестация объектов информатизации по требованиям безопасности информации;
организационный - включает организацию охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности;
программно-аппаратный, включающий в себя разработку программ обеспечения информационной безопасности Российской Федерации, определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков.
Защита информации всегда является комплексным мероприятием. В совокупности, организационные и технические мероприятия позволяют предотвратить утечку информации по техническим каналам, предотвратить несанкционированный доступ к защищаемым ресурсам, что в свою очередь обеспечивает целостность и доступность информации при ее обработке, передаче и хранении. Так же техническими мероприятиями могут быть выявлены специальные электронные устройства перехвата информации, установленные в технические средства и защищаемое помещение.
информационный безопасность электронный документооборот
3. Нормативная база, регламентирующая процессы внедрения и использование информационных технологий в ДОУ
Национальный стандарт Российской Федерации ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» регулирует процессы управления документами в различных организациях. В нем определено понятие «система управления документами» - это информационная система, обеспечивающая сбор документов (включение документов в систему, управление документами и доступ к ним).
Национальный стандарт Российской Федерации ГОСТ Р 54471-2011/ISO/TR 15801:2009 «Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности» создан на основе и в полном соответствии с техническим отчётом ISO/TR 15801:2009 Международной организации по стандартизации (ИСО) «Управление документацией - Информация, сохраняемая в электронном виде - Рекомендации по обеспечению достоверности и надёжности». Стандарт описывает порядок внедрения и использования систем управления документами и информацией, сохраняющих электронную информацию заслуживающим доверия, надёжным способом.. (Model Requirements) Типовые требования к управлению электронными официальными документами, международный стандарт - обновленная и дополненная версия первоначальной сертификации MoReq.впервые создает условия для тестирования программного обеспечения. Она специально подготовлена для проведения независимого тестирования на соответствие требованиям спецификации.детально описывает функциональные требования к управлению электронными документами при помощи систем управления электронными документами, чтобы обеспечить юридическую значимость электронных документов, получаемых и создаваемых в ходе деятельности организаций.
Данная спецификация составлена таким образом, чтобы быть применимой как в государственном, так и в коммерческом секторе в организациях, которые намереваются внедрить АСЭД или которые желают оценить возможности систем используемых ими.
В декабре 2011 года была подготовлена к выпуску первая, основная часть новой версии европейской спецификации MoReq-2010, которая должна прийти на смену, принятой в 2008 году MoReq-2.
. ФЗ «Об информации, информационных технологиях и защита информации»
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - базовый нормативный документ, юридически описывающий понятия и определения области информационной технологии и задающий принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, а также регулирует отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий.
В настоящем Федеральном законе используются следующие основные понятия: информация, информационные технологии, информационная система, конфиденциальность информации и другие.
Статья 8 регулирует право на доступ к информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами. В статье 9 установлены правила ограничения доступа к информации в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
В соответствии со статьей 12, п.1 государство в сфере применения информационных технологий регулирует:
развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;
создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети "Интернет" и иных подобных информационно-телекоммуникационных сетей.
Государственные органы, органы местного самоуправления в соответствии со своими полномочиями должны участвовать в разработке и реализации целевых программ применения информационных технологий, а также создавать информационные системы и обеспечивать доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации.
Статья 14 содержит объяснения о создании государственных информационных систем, правовое регулировании в этой области.
В соответствии со статьей 16, п.1 защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
) соблюдение конфиденциальности информации ограниченного доступа,
) реализацию права на доступ к информации.
Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
. ФЗ «Об электронной подписи»
Федеральный закон Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.
Для целей настоящего Федерального закона используются следующие основные понятия: электронная подпись, сертификат ключа проверки электронной подписи, квалифицированный сертификат ключа проверки электронной подписи (квалифицированный сертификат), владелец сертификата ключа проверки электронной подписи, ключ электронной подписи, ключ проверки электронной подписи, удостоверяющий центр и другие.
Федеральным законом определяется понятие электронной подписи, её виды.
Кроме того, Федеральным законом устанавливаются требования к удостоверяющим центрам, осуществляющим функции по созданию и выдаче сертификатов ключей проверки электронных подписей.
В статье 5 устанавливаются виды электронных подписей, требования к средствам электронной подписи, с помощью которых создаются и проверяются электронная подпись, ключ электронной подписи и ключ проверки электронной подписи.
Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.