Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие основные понятия:
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
8. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»: назначение, область применение, концепция стандарта и методология практического применения.
Область применения
Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.
Согласно замыслу, основной задачей стандарта является разработка инструмента для создания эффективных систем информационной безопасности государственных и коммерческих организаций на основе современных методов менеджмента. В этом нормативном документе содержится исчерпывающий набор подходов к управлению безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в разных странах.
Первая часть стандарта
ISO/IEC 17799 содержит свод правил по управлению информационной безопасностью и используется в качестве критерия для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Этот стандарт не является техническим, поскольку не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. ISO/IEC 17799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. Данный стандарт представлен в форме руководящих принципов и практических рекомендаций.
В его тексте подчеркивается: «Особое внимание следует уделять тому, чтобы заявления о соответствии данному стандарту не вводили в заблуждение относительно уровня защиты информационной системы». Акцентируется также мысль о том, что управление информационной безопасностью — это не набор мер или продуктов по защите информации, а процесс.
Стандарт по своей идее является добровольным, то есть государства, где он адаптирован, не требуют его обязательного выполнения субъектами внутри страны.
Несмотря на это, в большинстве случаев выполнение требований ISO/IEC 17799 выгодно самим компаниям, так как достаточно часто инвесторам и клиентам компании отнюдь небезразлично то, каким образом предприятие обеспечивает информационную безопасность.
В таких случаях соответствие стандарту можно рассматривать как одно из условий договора, контракта или участия в конкурсе или тендере на поставку продуктов или проведения работ.
Такая практика уже существует на рынке, она касается не только соответствующих лицензий, но и сертификатов на саму компанию, ее продукцию, а также документов, полученных ее специалистами. В данном случае на первое место ставятся условия производства продукции или оказания услуг, в частности, их соответствие стандартам серии ISO 9000 (управление качеством продукции и услуг), ISO 27001 (управление информационной безопасностью), ISO 14000 (управление экологической безопасностью), ISO 22000 (управление пищевой безопасностью) и другим (OHSAS 18001, TL 9000, TS 16949).
В функции системы управления информационной безопасностью входит развертывание, осуществление, управление, контроль, мониторинг, поддержка и совершенствование информационной безопасности бизнеса. Важно иметь в виду, что система управления информационной безопасностью может и должна рассматриваться как часть общей интегрированной системы управления, основанной на анализе бизнес-рисков. В связи с этим полезно помнить общие принципы, характерные для всех систем управления (в том числе безопасности):
- управляемость;
- конкурентоспособность;
- развитие;
- прозрачность.
Вторая часть стандарта
ISO/IEC 27001 рассматривает аспекты информационной безопасности (ИБ) с точки зрения сертификации или аудита системы на соответствие требованиям этого стандарта. В этом документе указаны условия создания системы управления для проведения ее аудита или сертификации, а также перечислены требования, применительно к которым проводится проверка соответствия.
Процесс сертификации на соответствие требованиям стандарта предполагает несколько этапов:
- предварительная оценка системы управления ИБ и диагностика;
- сертификационный аудит;
- поддержка действия сертификата.
Организация, решившая провести аудит ИБ, должна привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После того приглашается аккредитованный аудитор.
Многие организации, желающие пройти сертификацию на соответствие требованиям ISO 27001, уже внедрили у себя системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. В таких компаниях аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам и на первоначальном этапе, и при контрольных проверках. Если организация уже имеет сертификаты CMMI, ITIL (ISO/IEC 20000) или ISO 9000, то создание информационной безопасности, отвечающей требованиям ISO 27001, и ее последующий периодический аудит (или сертификация) окажутся задачами, которые решаются достаточно быстро и требуют относительно небольшого объема ресурсов.
Несмотря на то, что стандарт ISO/IEC 27001 не предписывает прохождение сертификации (достаточно проведения регулярных внутренних аудитов), большинство организаций все же выбирают сертификацию в качестве способа независимой оценки правильности реализованных мер и их актуальности.
Стоит отметить, что сегодня стандарт используется в трех десятках стран мира: Великобритании, Франции, Германии, Италии, Нидерландах, Канаде, Австралии, Новой Зеландии, скандинавских странах, Корее, Сингапуре, Индии и т. д. Наибольшую популярность этот стандарт приобрел в Японии — на ее долю приходится больше половины (1338 из 2312) всех выданных сертификатов (для сравнения: в Великобритании выдано 230 сертификатов, в Индии — 163). Среди стран бывшего СССР стандарт принят на территории Молдовы и Белоруссии.
9. ГОСТ Р ИСO/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» : назначение, область применение, концепция стандарта и методология практического применения.
Применение
Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Исключение любого из требований, указанных в разделах 4, 5, 6, 7 и 8, не допускается, если организация заявляет о соответствии ее СМИБ настоящему стандарту.
Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован. Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. При исключении каких-либо мер управления заявления о соответствии организации настоящему стандарту неправомочны, кроме случаев, когда эти исключения не влияют на способность и/или обязанность организации обеспечивать информационную безопасность, которая соответствует требованиям безопасности, установленным соответствующими законодательными актами или определенными на основе оценок рисков.