Система правовых требований в области технической защиты информации, содержащей сведения, отнесенные к служебной тайне

Код

Наименование требований

Источник

Содержание требований, статья, пункт

1

Перечни защищаемой информации и ее носителей

1.1

Перечень сведений конфиденциального характера

Об утверждении перечня сведений конфиденциального характера. Указ Президента Российской Федерации от 6 марта 1997 г. № 188

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

…

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

…

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них

1.2

Перечни сведений, составляющих служебную тайну

Разрабатывается самостоятельно

Перечень сведений, составляющих служебную тайну, может содержать:

сведения по организационным и общим вопросам;

cведения экономического характера;

cведения по финансовым вопросам;

cведения по транспорту и связи;

cведения по вопросам международных научно-технических связей;

сведения по кадровым вопросам;

сведения по вопросам обеспечения безопасности организаций и объектов агентства;

сведения по вопросам защиты информации;

другая служебная информация о деятельности агентства, доступ к которой ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами

1.3

Перечни подле­жащих защите объектов - носите­лей информации, содержащей све­дения, составляю­щих служебную тайну

Разрабатываются организациями самостоятельно в соответствии с Перечнем сведений, составляющих служебную тайну и СТР-К

СТР-К

2.7. Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.

Объектами защиты при этом являются:

• средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;
• технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
• защищаемые помещения

2

Права и обязанности субъектов в области отнесения информации к защищаемой и ее защиты

2.1

Полномочия по отнесению сведений, к служебной тайне, и распоряжению защищаемой информацией

Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 г
№ 24-ФЗ

Статья 6. Информационные ресурсы как элемент состава имущества

7. Собственник информационных ресурсов пользуется всеми правами, предусмотренными законодательством Российской Федерации, в том числе он имеет право:

       назначать лицо, осуществляющее хозяйственное ведение информационными ресурсами, или оперативное управление ими;

       устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

       определять условия распоряжения документами при их копировании и распространении.

       8. Право собственности на средства обработки информации не создает права собственности на информационные ресурсы, принадлежащие другим собственникам. Документы, обрабатываемые в порядке предоставления услуг или при совместном использовании этих средств обработки, принадлежат их владельцу. Принадлежность и режим производной продукции, создаваемой в этом случае, регулируются договором       

2.2

Полномочия по установлению режима защиты информации

То же

Статья 21. Защита информации

1. …Режим защиты информации устанавливается:

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

в отношении персональных данных - федеральным законом.

2.3

Права и обязанности субъектов в области защиты информации

То же

Статья 22. Права и обязанности субъектов в области защиты информации

1. Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с настоящим Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации

2.4

Полномочия по контролю и надзору за выполнением требований по защите информации

То же

Статья 21. Защита информации

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно - технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

…

5. Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки

3

Порядок распоряжения защищаемой информации, ее носителями и защиты информации

3.1

Порядок отнесения сведений, к служебной тайне, и обращения с информацией, содержащей сведения, отнесенные к служебной тайне

Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти. Утверждено постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233

3.2

Порядок обращения носителей защищаемой информации

То же

3.3

Порядок лицензирования деятельности по технической защите конфиденциальной информации

Положение
о лицензировании деятельности по технической защите конфиденциальной информации
Утверждено постановлением Правительства Российской Федерации от 30 апреля 2002 г.
№ 290      

5. Для получения лицензии соискатель лицензии представляет в лицензирующий орган следующие документы:
       а) заявление о выдаче лицензии с указанием:
лицензируемой деятельности;
       наименования, организационно-правовой формы и места нахождения - для юридического лица;
       фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;
       б) копии учредительных документов и документа, подтверждающего внесение записи о юридическом лице в Единый государственный реестр юридических лиц; (В редакции Постановления Правительства Российской Федерации от 6 февраля 2003 г. № 64)
       в) копия свидетельства о государственной регистрации соискателя лицензии - индивидуального предпринимателя;
       г) копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
       д) документ, подтверждающий уплату лицензионного сбора за рассмотрение заявления о выдаче лицензии;
       е) сведения о квалификации специалистов по защите информации соискателя лицензии.
       Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
       6. При предоставлении лицензии лицензирующий орган имеет право провести проверку соответствия соискателя лицензии указанным в пункте 4 настоящего Положения лицензионным требованиям и условиям, а также запросить у соискателя лицензии сведения, подтверждающие возможность соблюдения таких требований и условий.
       7. Лицензирующий орган в срок, не превышающий шестидесяти дней с даты получения документов, предусмотренных пунктом 5 настоящего Положения, принимает решение о выдаче или об отказе в выдаче лицензии и направляет (вручает) соискателю лицензии уведомление о выдаче лицензии либо об отказе в выдаче лицензии с указанием причин отказа.
       8. Срок действия лицензии составляет пять лет и может быть продлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии.
       Переоформление лицензии осуществляется в течение десяти дней со дня получения лицензирующим органом соответствующего заявления       

3.4

Порядок лицензирования деятельности по разработке и (или)  производству средств защиты конфиденциальной информации

Положение
о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации
Утверждено постановлением Правительства Российской Федерации от
 27 мая 2002 г.
 № 348

       5. Для получения лицензии соискатель лицензии представляет в соответствующий лицензирующий орган следующие документы:
       а) заявление о предоставлении лицензии с указанием:
       лицензируемой деятельности;
       наименования, организационно-правовой формы и места нахождения - для юридического лица;
       фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя;
       б) заверенные копии учредительных документов и документа, подтверждающего факт внесения записи о юридическом лице в Единый государственный реестр юридических лиц (В редакции постановления Правительства Российской Федерации от 3 октября 2002 г. №731);
       заверенная копия свидетельства о государственной регистрации гражданина в качестве индивидуального предпринимателя;
       в) заверенная копия свидетельства о постановке соискателя лицензии на учет в налоговом органе с указанием идентификационного номера налогоплательщика;
       г) документ, подтверждающий уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии;
       д) сведения о квалификации специалистов по разработке и (или) производству средств защиты конфиденциальной информации соискателя лицензии.
       Если копии документов не заверены нотариально, вместе с копиями предъявляются оригиналы.
       6. Лицензирующий орган вправе запрашивать у соискателя лицензии подтверждение соответствия лицензируемой деятельности лицензионным требованиям и условиям.
       7. Лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 60 дней с даты получения от соискателя лицензии документов, предусмотренных пунктом 5 настоящего Положения, и направляет (вручает) соискателю лицензии документ о предоставлении лицензии либо уведомление об отказе в предоставлении лицензии с указанием причин отказа.
       В случае необходимости лицензирующий орган организует проведение проверки соискателя лицензии с целью определения достоверности сведений в представленных документах и их соответствия лицензионным требованиям и условиям.
       8. Срок действия лицензии - 5 лет. По заявлению лицензиата он может быть продлен в порядке, предусмотренном для переоформления лицензии, в течение 10 дней с даты получения лицензирующим органом заявления       

3.5

Порядок сертификация средств защиты информации

Федеральный закон "Об информации, информатизации и защите информации" от 20 февраля 1995 г
№ 24-ФЗ

Статья 19. Сертификация информационных систем, технологий, средств их обеспечения (В редакции Федерального закона от 10 января 2003 г. № 15-ФЗ)
       1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".
       2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации

Федеральный закон "О техническом регулировании " от 27 декабря 2002 г.
№ 24-ФЗ

Статья 25. Обязательная сертификация

     1. Обязательная сертификация осуществляется органом по сертификации на основании договора с заявителем. Схемы сертификации, применяемые для сертификации определенных видов продукции, устанавливаются соответствующим техническим регламентом.

     2. Соответствие продукции требованиям технических регламентов подтверждается сертификатом соответствия, выдаваемым заявителю органом по сертификации.

     Сертификат соответствия включает в себя:

     наименование и местонахождение заявителя;

     наименование и местонахождение изготовителя продукции, прошедшей сертификацию;

     наименование и местонахождение органа по сертификации, выдавшего сертификат соответствия;

     информацию об объекте сертификации, позволяющую идентифицировать этот объект;

     наименование технического регламента, на соответствие требованиям которого проводилась сертификация;

     информацию о проведенных исследованиях (испытаниях) и измерениях;

     информацию о документах, представленных заявителем в орган по сертификации в качестве доказательств соответствия продукции требованиям технических регламентов;

     срок действия сертификата соответствия.

     Срок действия сертификата соответствия определяется соответствующим техническим регламентом.

     Форма сертификата соответствия утверждается федеральным органом исполнительной власти по техническому регулированию.

     Статья 26. Организация обязательной сертификации

     1. Обязательная сертификация осуществляется органом по сертификации, аккредитованным в порядке, установленном Правительством Российской Федерации.

     2. Орган по сертификации:

     привлекает на договорной основе для проведения исследований (испытаний) и измерений испытательные лаборатории (центры), аккредитованные в порядке, установленном Правительством Российской Федерации (далее - аккредитованные испытательные лаборатории (центры);

     осуществляет контроль за объектами сертификации, если такой контроль предусмотрен соответствующей схемой обязательной сертификации и договором;

     ведет реестр выданных им сертификатов соответствия;

     информирует соответствующие органы государственного контроля (надзора) за соблюдением требований технических регламентов о продукции, поступившей на сертификацию, но не прошедшей ее;

     приостанавливает или прекращает действие выданного им сертификата соответствия;

     обеспечивает предоставление заявителям информации о порядке проведения обязательной сертификации;

     устанавливает стоимость работ по сертификации на основе утвержденной Правительством Российской Федерации методики определения стоимости таких работ.

     3. Федеральный орган исполнительной власти по техническому регулированию ведет единый реестр выданных сертификатов соответствия.

     Порядок ведения единого реестра выданных сертификатов соответствия, порядок предоставления содержащихся в едином реестре сведений и порядок оплаты за предоставление содержащихся в указанном реестре сведений устанавливаются Правительством Российской Федерации.

     Порядок передачи сведений о выданных сертификатах соответствия в единый реестр выданных сертификатов устанавливается федеральным органом исполнительной власти по техническому регулированию.

     4. Исследования (испытания) и измерения продукции при осуществлении обязательной сертификации проводятся аккредитованными испытательными лабораториями (центрами).

     Аккредитованные испытательные лаборатории (центры) проводят исследования (испытания) и измерения продукции в пределах своей области аккредитации на условиях договоров с органами по сертификации. Органы по сертификации не вправе предоставлять аккредитованным испытательным лабораториям (центрам) сведения о заявителе.

     Аккредитованная испытательная лаборатория (центр) оформляет результаты исследований (испытаний) и измерений соответствующими протоколами, на основании которых орган по сертификации принимает решение о выдаче или об отказе в выдаче сертификата соответствия. Аккредитованная испытательная лаборатория (центр) обязана обеспечить достоверность результатов исследований (испытаний) и измерений.

Положение о системе сертификации средств защиты информации по требованиям безопасности информации (система сертификации Гостехкомиссии России). Утверждено приказом председателя Гостехкомиссии России от 15 августа 2000 г. № 328

       3.1. Сертификацию средств защиты информации осуществляют органы по сертификации.
       3.2. Сертификационные испытания проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе. В отдельных случаях по согласованию с органом по сертификации допускается проведение испытаний на испытательной базе заявителя данного средства защиты информации под контролем представителей органа по сертификации.
       3.3. Основными схемами сертификации средств защиты информации являются:
       для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
       для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
       для серийного производства средств защиты информации – проведение испытаний типа образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований. Кроме того, если это предусмотрено схемой сертификации, проводится анализ состояния производства по утвержденной программе.
       Схемы сертификации приведены в приложении 6.
       3.4. Порядок сертификации включает:
       подачу и рассмотрение заявки на проведение сертификации (продление срока действия сертификата) средств защиты информации;
       сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства;
       экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;
       осуществление инспекционного контроля за деятельностью органов по сертификации и испытательных лабораторий и за сертифицированными средствами защиты информации;
       информирование о результатах сертификации средств защиты информации.
       3.5. Подача и рассмотрение заявки на проведение сертификации средств защиты информации.
       3.5.1. Заявитель для получения сертификата направляет в орган по сертификации заявку (приложение 2) на проведение сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Орган по сертификации в десятидневный срок направляет копию заявки на проведение сертификации средства защиты информации в Гостехкомиссию России для оформления решения по заявке на проведение сертификации (приложение 3).
       3.5.2. Орган по сертификации в месячный срок после получения заявки направляет заявителю и в назначенный для проведения сертификации испытательный центр (лабораторию) решение по заявке на проведение сертификации.
       Орган по сертификации и испытательный центр (лаборатория) могут быть изменены по согласованию с заявителем.
       3.5.3. После получения решения заявитель обязан представить в испытательный центр (лабораторию) средство защиты информации и комплект технической и эксплуатационной документации в комплектации согласно соответствующим нормативным документам.
       3.6. Сертификационные испытания средств защиты информации и анализ состояния их производства.
       3.6.1. Сертификационные испытания средств защиты информации проводятся в испытательных центрах (лабораториях) на образцах, конструкция, состав и технология изготовления которых должны быть аналогичны образцам средств защиты информации, поставляемым потребителю, по программам и методикам испытаний, утвержденным органом по сертификации.
       Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов.
       3.6.2. Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).
       3.6.3. По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний средств защиты информации и предоставленной документации на эти средства в испытательном центре (лаборатории).
       3.6.4. По результатам испытаний оформляются протоколы и технические заключения, которые направляются испытательным центром (лабораторией) в орган по сертификации, а копия технического заключения - заявителю.
       3.6.5. Сертификация средств защиты информации зарубежного производства проводится по тем же правилам.
       3.7. Экспертиза результатов сертификационных испытаний, оформление, регистрация и выдача сертификата и лицензии на право использования знака соответствия.
       3.7.1. Орган по сертификации проводит экспертизу результатов испытаний и готовит экспертное заключение, которое утверждает его руководитель. При соответствии результатов испытаний требованиям нормативных документов орган по сертификации оформляет сертификат соответствия (форма - приложения 4) и лицензию на применение знака соответствия (форма - приложение 5), которые вместе с копией экспертного заключения направляет в Гостехкомиссию России для регистрации в государственном реестре.
       3.7.2. Сроки проведения экспертизы результатов сертификационных испытаний устанавливаются договором между заявителем и органом по сертификации.
       3.7.3. Срок действия сертификата – не более трех лет.
       При несоответствии результатов испытаний требованиям нормативных документов орган по сертификации принимает решение об отказе в выдаче сертификата и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата заявитель имеет право обратиться в Гостехкомиссию России для дополнительного рассмотрения материалов сертификации.
       3.7.4. Получение изготовителем средств защиты информации лицензии на применение знака соответствия дает ему право на применение знака соответствия.
       Владелец лицензии на применение знака соответствия несет ответственность за поставку немаркированных средств защиты информации

3.6

Порядок контроля за выполнением требований (норм) в области защиты информации

Положение о государственной системе защиты информации в Российской  Федеpации от иностранной технической разведки и от ее утечки по техническим каналам. Постановление Совета Министров - Правительства РФ от 15.09.93 г.
№ 912-51

47. Контроль состояния защиты информации (далее именуется — контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений Государственной технической комиссии при Президенте Российской Федерации, а также в оценке обоснованности и эффективности принятых мер защиты  для обеспечения выполнения утвержденных требований и норм по защите информации.

48. Контроль организуется Государственной технической комиссией при Президенте Российской Федерации, Министерством безопасности Российской Федерации, Министерством внутренних. дел Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации и Федеральным агентством правительственной связи и информации при Президенте Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителям в орган, проводивший проверку, и в орган государственной власти по подчиненности предприятия.

49. Государственная техническая комиссия при Президенте Российской Федерации организует контроль силами центрального аппарата и подчиненных ей в специальном отношении специальных центров. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат Государственной технической комиссии при Президенте Российской Федерации осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию Министерства безопасности Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства обороны Российской Федерации, Службы внешней разведки Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации, Главного управления охраны Российской Федерации).

Специальные центры, подчиненные в специальном отношении Государственной технической комиссии при Президенте Российской Федерации,  в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Контроль в органах государственной власти силами центрального аппарата Государственной технической комиссии при Президенте Российской Федерации и специальных центров, подчиненных в специальном отношении Государственной технической комиссии при Президенте Российской Федерации, осуществляется по согласованию с соответствующими органами государственной власти.

50. Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.            

51. Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайне, осуществляется органами государственной власти. Государственной технической комиссией при Президенте Российской Федерации, Министерством безопасности Российской Федерации, Федеральным агентством правительственной связи и информации при Президенте Российской Федерации и заказчиком работ в соответствии с их компетенцией.

52. Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Нарушения по степени важности делятся на три категории:

первая—невыполнение требований или норм по защите информации, в результате чего имелась или" имеется реальная возможность ее утечки по техническим каналам;

вторая—невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

третья—невыполнение других требований по защите информации.

53. При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения и принять меры по их устранению;

организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

сообщить в Государственную техническую комиссию при Президенте Российской Федерации, руководству органа государственной власти, федеральному органу государственной безопасности и заказчику о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой Государственной технической комиссией при Президенте Российской Федерации или по ее поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органон государственной власти и предприятий.

54....

Допуск представителей центрального аппарата Государственной технической комиссии при Президенте Российской Федерации, специальных центров, подчиненных ей в специальном отношении, на объекты для проведения контроля состояния защиты информации,, доступ их к работам и документам, необходимым для проведения контроля, осуществляется в установленном порядке по предъявлении специального удостоверения представителя Государственной технической комиссии при Президенте Российской Федерации и предписания  на право проведения проверки данного объекта.; Допуск на военные объекты осуществляется по разрешению начальника Генерального штаба Вооруженных Сил Российской Федерации.

Предписания на право проверки состояния защиты информации выдаются:

для объектов органов государственной власти—председателем Государственной технической комиссии при Президенте Российской Федерации (заместителем председателя);

для предприятий на всей территории Российской Федерации— начальником инспекции Государственной технической комиссии при Президенте Российской Федерации; для предприятий в пределах установленных зон ответственности—начальниками специальных центров, подчиненных в специальном отношении Государственной технической комиссии при Президенте Российской Федерации;

для подведомственных предприятий—руководителями органов государственной власти

3.7

Порядок финансирования мероприятий по защите информации

То же

55. Финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание.

56. Создание технических средств защиты информации, не требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с разработкой продукции. Расходы по разработке технических средств защиты включаются в стоимость разработки образца продукции.

Создание технических средств защиты информации, требующее капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на строительство (реконструкцию) сооружений или объектов

4

Ответственность за правонарушения в области защиты информации

4.1

Уголовная ответственность

Уголовный Кодекс Российской Федерации от 13 июня 19996 г. № 63 -ФЗ

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети,

наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети,

наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами

наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия,

наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред,

наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия,

наказывается лишением свободы на срок до четырех лет

4.2

Административная ответственность

Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г.№ 195-ФЗ

Статья 13.12. Нарушение правил защиты информации

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну),

влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты

труда.

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну),

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.

3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну,

влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц - от ста пятидесяти до двухсот минимальных размеров оплаты труда.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну,

влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

Статья 13.13. Незаконная деятельность в области защиты информации

1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна),

влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии

влечет наложение административного штрафа на должностных лиц в размере от сорока до пятидесяти минимальных размеров оплаты труда; на юридических лиц - от трехсот до четырехсот минимальных размеров оплаты труда с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой

4.3

Гражданско-правовая ответственность

Гражданский Кодекс Российской Федерации от 30 ноября 1994 г.  № 51-ФЗ

Статья 139. Служебная и коммерческая тайна

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско - правовому договору

4.4

Дисциплинарная ответственность

Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197 -ФЗ

Статья 192. Дисциплинарные взыскания

За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания:

1) замечание;

2) выговор;

3) увольнение по соответствующим основаниям.

Федеральными законами, уставами и положениями о дисциплине для отдельных категорий работников могут быть предусмотрены также и другие дисциплинарные взыскания.

Не допускается применение дисциплинарных взысканий, не предусмотренных федеральными законами, уставами и положениями о дисциплине