Информационная безопасность - это сфера деятельности, где изучаются, составляются, оформляются и применяются меры безопасности и защиты личной информации, а также открытость и доступность общедоступной информации. Специальные сотрудники федер. органов проверяют все каналы и потоки сведений для обнаружения и ликвидации утечки засекреченных данных, а также для предотвращения преступлений. Для гарантий прав граждан на использование и распространение данных был принят соответствующий закон.

Список законов РФ об информационной безопасности

Основные вопросы, процессы и меры информационных систем безопасности регулируются Федеральным законом 149 об инф. технологиях и безопасности. Однако эту область контролируют и положения других законов.

Контроль над этой сферой деятельности осуществляется при помощи следующих законов:

• ФЗ номер 152 о личных данных. Этот закон регулирует правоотношения между сотрудниками органов и гражданами, работниками учреждений, когда при проведении проверок сотрудники органов обладают полномочиями проверять любые материалы, документы и компьютеры. В таких случаях каждый человек может защищать свои персональные данные и материалы, относящиеся к его личной жизни;
• Этот закон регулирует правоотношения между работниками, сотрудниками, участниками осуществления проектирования, строительства, исполнения условий и требований по отношению к продукции и товарам и т. д. Также он определяет права, полномочия и обязанности перечисленных лиц;
• ФЗ номер 63 об электронной подписи. Этот закон регулирует правоотношения между участниками сделок купли-продажи, при выполнении услуг для обеспечения нужд муниц. и гос. учреждений, при исполнении гос. функций и других юр. действий, когда используются электронные подписи;
• ФЗ номер 99 о предоставлении лицензии на отдельные категории деятельности. Этот закон регулирует правоотношения, возникающие между сотрудниками различных гос. органов и юр. лицами и индивидуальными предпринимателями, возникающие при предоставлении лицензии на перечисленные в законе категории деятельности.

Во всех перечисленных законах оформлены статьи и положения, контролирующие сферу информационной безопасности и защиты личных данных.

Общие положения 149 ФЗ

Закон об информ. безопасности 149 был принят Государственной Думой 8 июля 2006 года, а одобрен Советом Федерации 14 июля 2006 года. Последние изменения в него были внесены 25 ноября 2017 года. ФЗ 149 содержит 18 статей. Он касается правоотношений, возникающих при проведении деятельности по поиску, предоставлении, производстве или передаче материалов или информации, при использовании системы и развитии мер защиты информации, при использовании или применении полученных сведений.

Краткое содержание Федерального закона номер 149 об информации, инф. технологиях и защите информации:

• 1 ст. — сфера, которую регулирует закон;
• 2 ст. — термины и понятия;
• 3 ст. — список законных принципов регулирования в данной сфере;
• 4 ст. — акты и нормативы, контролирующие настоящую область;
• 5 ст. — информация - это объект правоотношений;
• 6 ст. — лица, обладающие сведениями;
• 7 ст. — информация, доступная населению, открытая и публичная;
• 8 ст. — перечислены лица, имеющие права на доступ к сведениям;
• 9 ст. — ограничения и запреты;
• 10 ст. — распространение и предоставление сведений третьим лицам;
• 11 ст. — документирование и учет;
• 12 ст. — способы регулирования и контроля над настоящей сферой;
• 13 ст. — системы и программы;
• 14 ст. — гос. системы, содержащие важную информацию;
• 15 ст. — применение телевизионно-коммуникационных сетей в описываемой области деятельности;
• 16 ст. — защита и меры безопасности сведений;
• 17 ст. — ответственность, наказания и виды преступлений;
• 18 ст. — перечисление утративших силу положений.

Настоящий Федеральный закон обладает основными принципами, используемыми для определения информационной безопасности и для мер защиты:

• Любое лицо, проживающее на территории России имеет право на поиск публичной и общедоступной информации, использование найденных сведений для распространения и передачи любыми известными способами;
• Граждане имеют право применять, распространять или передавать только общедоступные сведения, запрещено запрашивать какие-либо данные, относящиеся к секретным или частным;
• Ограничения или запрет на доступ к информации может быть осуществлен только в связи с определенными положениями законодательства Российской Федерации;
• Сведения распространяются и передаются лицам только в случае их запроса на эту информацию;
• Любая организация, фирма или компания с коммерческой программой обязуется предоставить подробные сведения о собственной деятельности и с описанием характеристик компании в публичном доступе. Исключения могут быть использованы только если они соответствуют условиям и требованиям настоящего ФЗ;
• Информационная система контролируется и защищается государственными учреждениями;
• Все системы, эксплуатация информации и данные, оформленные на официальных сайтах или в официальных документах обязаны быть на русском языке.

Не только граждане (физ. лица), но и юридические лица обладают правами на наличие информации. У физ. и юр. лиц различные полномочия в этой области и права, обязанности и полномочия определяются законодательством, а именно нормативными актами РФ и описываемым Федеральным законом.

В ФЗ 149 перечислены права, которым обладает лицо, владеющее сведениями:

• Права на разрешение или ограничение доступа к принадлежащей владельцу информации;
• Право на передачу данных или сведений третьим лицам в связи с оформлением и заключением договора;
• Право на использование, распространение сведений по собственному усмотрению так, как желает владелец.

В ФЗ 149 перечислены обязанности, которыми обладает лицо, владеющее сведениями:

• Соблюдение прав, обязанностей и полномочий других граждан, к которым сведения могут относиться;
• Применение запрета или ограничения на доступ к данным, если эти данные должны быть изъяты из доступа согласно положениям нормативов, актов и законов России;
• Применение мер и методов для обеспечения защиты и безопасности информации, которая принадлежит этому лицу.

Любая информация, сведения и данные, разрешенные для распространения и применения должна быть открытой и предоставляться в свободном порядке. Шифровки возможны только в исключительных случаях, оформленных в настоящем законе. В случае если при передаче или при распространении информации деятельность происходит без участия СМИ (подробнее , проводится контроль, чтобы данные были достоверными и имели идентификацию опубликовавшей личности.

Владелец сайта в сети Интернет или любого другого ресурса, где распространяется информация обязан в специальной колонке или рубрике поместить собственные данные:

• Имя, фамилия, отчество;
• Адрес электронной почты;
• Адрес проживания.

Такие данные о владельце сайта могут понадобиться не только гражданам, заходящим на сайт, но и сотрудникам органов. Любое лицо, имеющее осложнения с доступом к информации или имеющее вопросы к владельцу, имеет право выслать письмо. Письмо также высылается владельцу в случае, если были обнаружены какие-либо нарушения в интернет - ресурсе.

Согласно законодательству РФ, запрещена также любая пропаганда. Среди запретов перечислена пропаганда войны и насилия, пропаганда религиозной или расовой ненависти, пропаганда самоубийства (псих. влияние) и т. д. За перечисленные виды открытой или закрытой пропаганды автор текста будет нести уголовную или административную ответственность, в зависимости от тяжести преступления.

Секретные, тайные или важные материалы, документация, сведения должны быть задокументированы. Оформление таких бумаг и способы их хранения оформлены в Федеральном законе об исполн. власти.

Владелец информации или каких-либо материалов при просмотре интернет - страниц может обнаружить использование собственной информации без разрешения. В таком случае, владелец имеет право подать иск о нарушении авторских прав на владельца сайта. При подаче иска составляется доверенность, обязательно заверяющаяся у нотариуса.

Скачать закон об информационных технологиях и защите информации

Граждане, сотрудники или должностные лица, нарушившие установленные положения, требования и условия закона будут нести ответственность. В случае, если гражданин обнаружил нарушение собственных прав в описанной выше области, он имеет право подать иск в судебные органы для получения компенсации и возмещения убытков, в зависимости от ситуации:

• В случае, если лицу был причинен моральный ущерб;
• Нанесение ущерба чести и деловой репутации;
• Защита чести и достоинства.

Владелец интернет-ресурса, страницы или сайта имеет право купить информацию у лица. Часто случается, что третьи лица продают материалы без ведома автора. В таких случаях иск о нарушении авторских прав будет проигнорирован. Эти условия и требования действуют не только на продажу сведений, но и на получении лицензии на использование авторских прав.

В случаях, когда нарушения закона были обнаружены неоднократно на одних и тех же сайтах и ресурсах, сотрудники органов контроля имеют право ограничить к ним доступ. На официальных сайтах Федеральных органов можно найти документ с полным списком сайтов и ресурсов, доступ к которым был ограничен или вовсе запрещен.

Законодательство в области защиты информации

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

· законодательного;

· административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

· процедурного (меры безопасности, ориентированные на людей);

· программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

· меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

· статья 272. Неправомерный доступ к компьютерной информации;

· статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

· статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информатизации и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

· информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

· документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

· информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

· информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

· информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

· информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

· конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

· пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.

Закон выделяет следующие цели защиты информации:

· предотвращение утечки, хищения, утраты, искажения, подделки информации;

· предотвращение угроз безопасности личности, общества, государства;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности ("предотвращение несанкционированных действий по... блокированию информации") сказано довольно мало.

Продолжим цитирование:

"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".

По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.

· в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

· в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

· в отношении персональных данных - федеральным законом."

Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".

2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...

И еще несколько пунктов, теперь из статьи 22:

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы "неотказуемости" (невозможности отказаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.

Закон выделяет следующие цели защиты информации:

предотвращение утечки, хищения, утраты, искажения, подделки информации;

предотвращение угроз безопасности личности, общества, государства;

предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности ("предотвращение несанкционированных действий по... блокированию информации") сказано довольно мало.

Продолжим цитирование:

"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".

По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.

в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

в отношении персональных данных - федеральным законом."

Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".

Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...

И еще несколько пунктов, теперь из статьи 22:

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи :

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы "неотказуемости" (невозможности отказаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обяза­ны обеспечить каждому возможность ознакомления с документами и ма­териалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, со­здающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средст­вами бумажных технологий, но в современных условиях наиболее прак­тичным и удобным для граждан является создание соответствующими за­конодательными, исполнительными и судебными органами информаци­онных серверов и поддержание доступности и целостности представлен­ных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тай­ну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, переда­вать, производить и распространять информацию любым законным спосо­бом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по ком­пьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие поня­тия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в слу­чае, когда информация имеет действительную или потенциальную ком­мерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и за­конных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности явля­ется Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - «Преступления в сфере компьютерной информа­ции» - содержит три статьи:

Статья 272. Неправомерный доступ к компьютерной информа­ции;

Статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ;

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вто­рая - с вредоносным ПО, третья - с нарушениями доступности и целост­ности, повлекшими за собой уничтожение, блокирование или модифика­цию охраняемой законом информации ЭВМ. Включение в сферу дейст­вия УК РФ вопросов доступности информационных сервисов представ­ляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, те­лефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государст­венной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в об­ласти его военной, внешнеполитической, экономической, разведыва­тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Россий­ской Федерации. Там же дается определение средств зашиты информа­ции. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализо­ваны, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон «Об информации, информатизации и защите информации»

Основополагающим среди российских законов, посвященных во­просам информационной безопасности, следует считать закон «Об ин­формации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позво­ляющими ее идентифицировать;

информационные процессы - процессы сбора, обработки, на­копления, хранения, поиска и распространения информации;

информационная система - организационно упорядоченная сово­купность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислитель­ной техники и связи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в ин­формационных системах (библиотеках, архивах, фондах, бан­ках данных, других информационных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позво­ляющие идентифицировать его личность;

конфиденциальная информация - документированная информа­ция, доступ к которой ограничивается в соответствии с законо­дательством Российской Федерации;

пользователь (потребитель) информации - субъект, обращаю­щийся к информационной системе или посреднику за получе­нием необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе опре­делений. Обратим лишь внимание на гибкость определения конфиденци­альной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закла­дывающее основу зашиты последних.

Закон выделяет следующие цели защиты информации:

Предотвращение утечки, хищения, утраты, искажения, поддел­ки информации;

Предотвращение угроз безопасности личности, общества, госу­дарства;

Предотвращение несанкционированных действий по уничто­жению, модификации, искажению, копированию, блокирова­нию информации;

Предотвращение других форм незаконного вмешательства в ин­формационные ресурсы и информационные системы, обеспе­чение правового режима документированной информации как объекта собственности;

Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имею­щихся в информационных системах;

Сохранение государственной тайны, конфиденциальности доку­ментированной информации в соответствии с законодательством;

Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиден­циальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности предотвращение несанк­ционированных действий по блокированию информации») сказано до­вольно мало.

Продолжим цитирование:

«Защите подлежит любая документированная информация, непра­вомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных от­ношений.

В отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

В отношении конфиденциальной документированной инфор­мации - собственником информационных ресурсов или упол­номоченным лицом на основании настоящего Федерального закона;

В отношении персональных данных - федеральным законом.

Здесь явно выделены три вида защищаемой информации, ко второ­му из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональ­ных данных берет на себя государство; за другую конфиденциальную ин­формацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предла­гает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, под­лежат сертификации в порядке, установленном Законом Россий­ской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Рос­сийской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организа­ций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подле­жат обязательной сертификации. Порядок сертификации определя­ется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, произ­водства средств зашиты информации и обработки персональных дан­ных, получают лицензии на этот вид деятельности. Порядок лицензи­рования определяется законодательством Российской Федерации.

4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной систе­мы сертификации.

Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...

И еще несколько пунктов, теперь из статьи 22:

2. Владелец документов, массива документов, информационных сис­тем обеспечивает уровень защиты информации в соответствии с за­конодательством Российской Федерации.

3. Риск, связанный с использованием сертифицированных инфор­мационных систем и средств их обеспечения, лежит на собственни­ке (владельце) этих систем и средств. Риск, связанный с использова­нием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие серти­фикацию средств защиты информационных систем и информаци­онных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных сис­тем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима за­щиты информации.

Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лек­цию 1): около трети респондентов-американцев не знали, были ли взло­маны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

Далее, статья 23 «Зашита прав субъектов в сфере информационных процессов и информатизации» содержит следующий пункт: 2. Защита прав субъектов в указанной сфере осуществляется судом, ар­битражным судом, третейским судом с учетом специфики правона­рушений и нанесенного ущерба.

Очень важными являются пункты статьи 5, касающиеся юридичес­кой силы электронного документа и электронной цифровой подписи:

3. Юридическая сила документа, хранимого, обрабатываемого и пере­даваемого с помощью автоматизированных информационных и те­лекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе про­граммно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы «неотказуемости» (невозможности от­казаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона «Об информа­ции, информатизации и защите информации». На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.

Другие законы и нормативные акты

Следуя логике Закона «Об информации, информатизации и защите информации», мы продолжим наш обзор Законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.

«Лицензия - специальное разрешение на осуществление конкретно­го вида деятельности при обязательном соблюдении лицензионных тре­бований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности - вид деятельности, на осуществле­ние которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование - мероприятия, связанные с предоставлением ли­цензий, переоформлением документов, подтверждающих наличие ли­цензий, приостановлением и возобновлением действия лицензий, анну­лированием лицензий и контролем лицензирующих органов за соблюде­нием лицензиатами при осуществлении лицензируемых видов деятельно­сти соответствующих лицензионных требований и условий.

Лицензирующие органы - федеральные органы исполнительной вла­сти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Феде­ральным законом.

Лицензиат - юридическое лицо или индивидуальный предприни­матель, имеющие лицензию на осуществление конкретного вида дея­тельности».

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:

Распространение шифровальных (криптографических) средств;

Техническое обслуживание шифровальных (криптографичес­ких) средств;

Предоставление услуг в области шифрования информации;

Разработка и производство шифровальных (криптографичес­ких) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, теле­коммуникационных систем;

Выдача сертификатов ключей электронных цифровых подпи­сей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных циф­ровых подписей и подтверждением подлинности электронных цифровых подписей;

Выявление электронных устройств, предназначенных для не­гласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятель­ность осуществляется для обеспечения собственных нужд юри­дического лица или индивидуального предпринимателя);

Разработка и (или) производство средств защиты конфиденци­альной информации;

Техническая защита конфиденциальной информации;

Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляю­щими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного За­кона не распространяется на следующие виды деятельности:

Деятельность, связанная с защитой государственной тайны;

Деятельность в области связи;

Образовательная деятельность.

Подчеркнем в этой связи, что данный Закон не препятствует органи­зации учебных курсов по информационной бе­зопасности (не требует получения специальной лицензии; ранее подоб­ная лицензия была необходима). В свою очередь. Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, ка­сающихся образовательной деятельности в области И Б.

Основными лицензирующими органами в области защиты инфор­мации являются Федеральное агентство правительственной связи и ин­формации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавля­ют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информа­ции (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Ми­нистерства внешних экономических связей Российской Федерации, вы­даваемой на основании решения ФАПСИ. Все эти вопросы регламенти­рованы соответствующими указами Президента и постановлениями Пра­вительства РФ, которые мы здесь перечислять не будем.

В эпоху глобальных коммуникаций важную роль играет Закон «Об участии в международном информационном обмене» от 4 июля 1996 го­да номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе «Об информации...», основным защитным средст­вом являются лицензии и сертификаты. Процитируем несколько пунк­тов из статьи 9.

2. Защита конфиденциальной информации государством распростра­няется только на ту деятельность по международному информаци­онному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной ин­формацией и использующие сертифицированные средства между­народного информационного обмена.

Выдача сертификатов и лицензий возлагается на Комитет при Пре­зиденте Российской Федерации по политике информатизации, Го­сударственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и ин­формации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Россий­ской Федерации.

3. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционирован­ными действиями обслуживающего персонала или иных лиц, либо ложной информацией собственник или владелец этих средств дол­жен своевременно сообщить об этом в органы контроля за осуществ­лением международного информационного обмена и собственнику

или владельцу взаимодействующих средств международного инфор­мационного обмена, в противном случае он несет ответственность за причиненный ущерб.

При желании здесь можно усмотреть обязательность выявления на­рушителя информационной безопасности - положение, вне всяких со­мнений, очень важное и прогрессивное.

Еще одна цитата - теперь из статьи 17 того же Закона. Статья 17: «Сертификация информационных продуктов, информа­ционных услуг, средств международного информационного обмена. 1. При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гаран­тирующий соответствие данных продуктов и услуг требованиям до­говора. В случае невозможности сертификации ввозимых на терри­торию Российской Федерации информационных продуктов, инфор­мационных услуг ответственность за использование данных продук­тов и услуг лежит на импортере.

2. Средства международного информационного обмена, которые обра­батывают документированную информацию с ограниченным досту­пом, а также средства защиты этих средств подлежат обязательной сертификации.

3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом «О связи»».

Читая пункт 2, трудно удержаться от вопроса: «А нужно ли сертифи­цировать средства защиты средств защиты этих средств?» Ответ, конечно, положительный...

10 января 2002 года Президентом был подписан очень важный закон «Об электронной цифровой подписи» номер 1-ФЗ(принят Государствен­ной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации...». Его роль по­ясняется в статье 1.

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подпи­си в электронных документах, при соблюдении которых элек­тронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумаж­ном носителе.

2. Действие настоящего Федерального закона распространяется на от­ношения, возникающие при совершении гражданско-правовых сде­лок и в других предусмотренных законодательством Российской Фе­дерации случаях. Действие настоящего Федерального закона не рас­пространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

Электронный документ - документ, в котором информация представ­лена в электронно-цифровой форме.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от под­делки, полученный в результате криптографического преобразования ин­формации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата клю­ча подписи, а также установить отсутствие искажения информации в эле­ктронном документе.

Владелец сертификата ключа подписи - физическое лицо, на имя ко­торого удостоверяющим центром выдан сертификат ключа подписи и ко­торое владеет соответствующим закрытым ключом электронной цифро­вой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи - аппаратные и (или) про­граммные средства, обеспечивающие реализацию хотя бы одной из сле­дующих функций: создание электронной цифровой подписи в электрон­ном документе с использованием закрытого ключа электронной цифро­вой подписи, подтверждение с использованием открытого ключа элек­тронной цифровой подписи подлинности электронной цифровой подпи­си в электронном документе, создание закрытых и открытых ключей эле­ктронных цифровых подписей.

Сертификат средств электронной цифровой подписи - документ на бу­мажном носителе, выданный в соответствии с правилами системы серти­фикации для подтверждения соответствия средств электронной цифро­вой подписи установленным требованиям.

Закрытый ключ электронной цифровой подписи - уникальная после­довательность символов, известная владельцу сертификата ключа подпи­си и предназначенная для создания в электронных документах электрон­ной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи - уникальная после­довательность символов, соответствующая закрытому ключу электрон­ной цифровой подписи, доступная любому пользователю информацион­ной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной циф­ровой подписи в электронном документе.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномо­ченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения под­линности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Подтверждение подлинности электронной цифровой подписи в элект­ронном документе - положительный результат проверки соответствую­щим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электрон­ной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электрон­ной цифровой подписью электронном документе.

Пользователь сертификата ключа подписи - физическое лицо, ис­пользующее полученные в удостоверяющем центре сведения о сертифи­кате ключа подписи для проверки принадлежности электронной цифро­вой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юри­дическими лицами и в услугах которой этим лицам не может быть отказа­но.

Корпоративная информационная система - информационная систе­ма, участниками которой может быть ограниченный круг лиц, определен­ный ее владельцем или соглашением участников этой информационной системы.

Пересказать такие определения своими словами невозможно... Об­ратим внимание на неоднозначное использование термина «сертифи­кат», которое, впрочем, не должно привести к путанице. Кроме того, дан­ное здесь определение электронного документа слабее, чем в Законе «Об информации...», поскольку нет упоминания реквизитов.

Согласно Закону, электронная цифровая подпись в электронном до­кументе равнозначна собственноручной подписи в документе на бумаж­ном носителе при одновременном соблюдении следующих условий:

Сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент про­верки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

Подтверждена подлинность электронной цифровой подписи в электронном документе;

Электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Закон определяет сведения, которые должен содержать сертификат ключа подписи:

Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

Фамилия, имя и отчество владельца сертификата ключа подпи­си или псевдоним владельца. В случае использования псевдо­нима запись об этом вносится удостоверяющим центром в сер­тификат ключа подписи;

Открытый ключ электронной цифровой подписи;

Наименование средств электронной цифровой подписи, с кото­рыми используется данный открытый ключ электронной циф­ровой подписи;

Наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;

Сведения об отношениях, при осуществлении которых элек­тронный документ с электронной цифровой подписью будет иметь юридическое значение.

Интересно, много ли Федеральных законов, содержащих такое ко­личество технической информации и столь зависимых от конкретной технологии?

На этом мы заканчиваем обзор законов РФ, относящихся к инфор­мационной безопасности.