22 января 2021 г., пятница

Отраслевые мероприятия (Беларусь)

12 октября, 2020

О переносе даты проведения VIII международной выставки-форума «Центр безопасности. 2020»

1 июля, 2020

Запись вебинара – разработка BIM моделей АСПС

13 апреля, 2020

«Центр безопасности. 2020» – текущая ситуация

16 февраля, 2020

Новый практический курс «СКУД PERCo» в Образовательном центре АЭРКОМ

2 февраля, 2020

Конференция «СКУД – технологии и практика»

16 января, 2020

Обучение по базовому сертификационному курсу PERCo

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
Новые требования к защите информации
16 ноября, 2009

Сегодня невозможно отрицать влияние информационных процессов на социальные отношения. Кроме того, очевидно исключительно быстрое развитие правового регулирования вопросов, связанных с информатизацией как общества в целом, так и государственных органов. Понятия «информатизация», «информационный ресурс», «информационная система» все чаще появляются в законодательных актах многих стран постсоветского пространства. 

Одним из основополагающих нормативных актов в области информационного права Республики Беларусь стал принятый 10 ноября 2008 г. Закон Республики Беларусь «Об информации, информатизации и защите информации» № 455-З (далее по тексту – Закон), вступивший в силу 27 мая 2009 года. Основной функцией Закона является регулирование отношений, возникающих в процессе жизненного цикла информации, при создании и использовании информационных технологий, систем, сетей, ресурсов, а также при организации и обеспечении защиты информации. Закон основывается на четырех общих принципах: свобода, эффективное администрирование, защита частной жизни и законности национальных интересов. В целом данные принципы соответствуют международному законодательству в сфере регулирования информационных отношений. Однако отдельные статьи закона включают и ограничивающие условия, которые подчиняют себе основополагающие принципы.

Некоторые специалисты считают Закон несколько «расфокусированным» ввиду того, что он охватывает огромное количество различных сфер, для которых в западных странах нередко предусмотрено дополнительное законодательство. Однако следует учитывать молодость белорусского законодательства в сфере информационных отношений и необходимость скорейшего построения нормативных рамок для информационного общества.

Законом приведен исчерпывающий список основных терминов, использованных в законе и их определений (некоторых впервые). Так, например, ранее законодатель оперировал термином «информационный ресурс государственного значения». Ранее перечень информационных ресурсов, подлежащих регистрации, определялся Советом Министров Республики Беларусь. В соответствии с Законом (ст. 24) государственной регистрации подлежат государственные информационные ресурсы. Негосударственные информационные ресурсы регистрируются в Государственном регистре информационных ресурсов на добровольной основе. Согласно Закону, государственным информационным ресурсом является информационный ресурс, формируемый или приобретаемый за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц. Таким образом, Закон захватил в свое правовое поле более широкий круг информационных ресурсов, подлежащих обязательной регистрации. То есть трактовка норм Закона связана с буквальным применением определений. 

Важно, что информация должна защищаться средствами либо сертифицированными, либо системы, где обрабатывается информация, должны быть подвергнуты процедуре аттестации. Ранее это требование относилось только к информационным ресурсам, имеющим государственное значение, теперь, согласно Закону, – ко всем государственным информационным системам.
Надо понимать, что многое будет зависеть от того, как подзаконные нормативные акты будут регулировать отношения, возникающие в пределах рамок, установленных Законом. 
Так, непосредственно порядок государственной регистрации информационных ресурсов определяется Постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 673 «О некоторых мерах по реализации Закона Республики Беларусь «Об информации, информатизации и защите информации» и о признании утратившими силу некоторых постановлений Совета Министров Республики Беларусь».

В связи с принятием нового Закона государственные органы в первую очередь должны уделять повышенное внимание защите информации. Согласно п.п. 4–6 Положения «О порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено», утвержденного Постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации», законодательно закреплено следующее.

При создании систем защиты информации информационных систем и (или) взаимодействии между информационными системами, обрабатывающими информацию, распространение и (или) предоставление которой ограничено, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.

Подключение информационных систем, обрабатывающих информацию, распространение и (или) предоставление которой ограничено, к сетям общего пользования, в том числе к глобальной сети интернет, запрещается.

Требования по защите информации (ст. 28 Закона):
— Информация, распространение и (или) предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Советом Министров Республики Беларусь.
— Не допускается эксплуатация государственных информационных систем без реализации мер по защите информации.
— Для создания системы защиты информации используются средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется Советом Министров Республики Беларусь. 

Никто не спорит, что государственные информационные системы должны надежным образом защищаться. Более того, прогресс не стоит на месте, и, возможно, в весьма недалекой перспективе появятся системы, в которых будет обращаться открытая информация, но важность их настолько возрастет, что и этих требований станет недостаточно. 

В то же время хочется надеяться, что никто не станет требовать от системы учета принтеров и картриджей в госорганах экспертного заключения по результатам государственной экспертизы, хотя бы из рациональных соображений понимая, что затраты на такую сертификацию превзойдут как стоимость создания системы, так и стоимость информации, циркулирующей в ней. 

При создании информационной системы исполнитель должен разработать техническое задание по безопасности, включающее в себя требования к создаваемой системе в части информационной безопасности. Данный документ оценивается аккредитованными лабораториями на достаточность, непротиворечивость, соответствие требованиям ТНПА. Далее при построении информационной системы данные требования должны быть реализованы в полном объеме. До ввода системы в промышленную эксплуатацию система должна быть подвергнута аттестации на соответствие построенной системы аккредитованному заданию. Естественно, что данный подход хорошо работает и качественно обеспечивает информационную безопасность при методологии построения информационных систем «водопад» или «модифицированный водопад», когда система последовательно проходит стадии написания технического задания, технического проектирования, кодирования, тестирования, устранения замечаний и вводится в промышленную эксплуатация. При спиральном подходе к построению систем, когда информационная система постоянно эволюционирует, раз за разом улучшая свои потребительские свойства путем доработок и исправлений замечаний пользователей, данный порядок является неприемлемым ввиду длительности и дороговизны работы экспертов. Хотелось бы надеяться, что этот процесс будет легким и прозрачным и не станет дополнительным препятствием ко внедрению и эксплуатации информационных баз данных.

Отдельно отмечу, что если создание информационной системы при определенных условиях – процесс дискретный, то ее защита – процесс постоянный. Как следствие и затраты на нее, финансовые, человеческие и прочие, не прекращаются никогда, а имеют тенденцию только возрастать с развитием системы. Недопустимо, чтобы заказчик государственной системы оставался после окончания госконтракта наедине с подобными проблемами.

Несомненно, Закон можно назвать прогрессивным в сравнении с остальными, так как он предполагает определенный технологический нейтралитет. Законом предусмотрены справедливые процедурные гарантии, что может обеспечить основную правовую защиту тех, кто использует свои права в отношении государственных властей. Закон предполагает также необходимость проактивного подхода к распространению информации, а также обязательность и постоянное участие государственных органов. В качестве основного комментария следует отметить, что положительный эффект такого регулирования зависит, безусловно, от типа и объема предоставляемой информации.

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.