2014-02-02
1359
Немаловажная роль в системе правового регулирования информационных отношений отводится ответственности субъектов за нарушения в сфере информационной безопасности.
Основными документами в этом направлении являются:
Уголовный кодекс Российской Федерации.
Кодекс Российской Федерации об административных правонарушениях.
В принятом в 1996 году ^ Уголовном кодексе Российской Федерации, как наиболее сильнодействующем законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации особое внимание уделяется компьютерным преступлениям, ответственность за которые предусмотрена в специальной 28 главе кодекса "Преступления в сфере компьютерной информации". Глава 28 включает следующие статьи:
Статья 272. Неправомерный доступ к компьютерной информации.
- Неправомерный доступ к охраняемой законом компьютерной информации (уничтожение, копирование, блокирование, модификацию) наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
- То же деяние, совершенное группой лиц по предварительному сговору– наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
- Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы или их сети. – наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда.
- ^ Те же деяния, повлекшие по неосторожности тяжкие последствия, – наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
- Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе или их сети, повлекшее уничтожение и т.д. – наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
- То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок до четырех лет.
37. Защи́та да́нных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Обязательные (в том числе предварительные) этапы работ по защите персональных данных:
- Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
- Выделить бизнес-процессы, в которых обрабатываются персональные данные.
- Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
- Определить круг информационных систем и совокупность обрабатываемых ПДн.
- Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
- Выработать меры по снижению категорий обрабатываемых ПДн.
- Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
- Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
- Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
- Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
- Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
- Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
- Подготовить технический проект по защите ИСПДн и помещений.
- Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты).
- Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
- Взять согласия на обработку ПДн с субъектов персональных данных;
- Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.
37. Классификация защищаемой информации.
| Виды информации конфиденциального характера | Нормативные акты |
| Персональные данные | Федеральный закон «Об информации, информатизации и защите информации»; закон «О персональных данных». |
| Тайны усыновления | Семейный Кодекс Российской Федерации. |
| Личная и семейная тайна | Гражданский Кодекс Российской Федерации |
| Тайна следствия и судопроизводства | Уголовно-процессуальный Кодекс Российской Федерации. |
| Служебная тайна | Гражданский Кодекс Российской Федерации. |
| Врачебная тайна | Основы законодательства Российской Федерации «Об охране здоровья граждан». |
