В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
Ключевые моменты закона об информационной безопасности:
1.Нельзя собирать и распространять информацию о жизни человека без его согласия.
2.Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3.Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4.Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5.Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6.У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7.Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.
152-ФЗ «О персональных данных»
Ключевые моменты закона:
1.Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2.Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3.Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4.Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5.Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.
98-ФЗ «О коммерческой тайне»
Ключевые моменты закона о защите информации компании:
1.Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
2.Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
3.Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
4.Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
5.Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.
63-ФЗ «Об электронной подписи»
Ключевые моменты закона:
1.Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
2.Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
3.Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
4.Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Ключевые моменты закона об информационной безопасности критически важных структур:
1.Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
2.Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
3.Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
4.Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
5.Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
6.При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
7.Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.