Существует ряд других федеральных законодательных актов, требованиями которых нельзя пренебречь при организации системы защиты данных. Конечно, большинство безопасников и так с ними достаточно неплохо знакомы, но, может быть, кому-то этот небольшой ликбез будет полезен.
Первым, конечно же, стоит упомянуть Закон РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Этот закон является базовым в области информационных технологий, а потому особенных практических рекомендаций от него ждать не стоит. Но ознакомиться с его текстом тому, кто специализируется на сфере обеспечения информационной безопасности, просто необходимо. Ещё один сугубо теоретический, но от этого не менее важный документ – это Национальный стандарт РФ «Защита информации. Основные термины и определения». Помимо них, в обязательном порядке стоит ознакомиться с такими документами, как Федеральный закон «О связи», Федеральный закон «О Государственной тайне», Федеральный закон «О коммерческой тайне». Все эти законы регулируют ту сферу, в которой работает специалист по информационной безопасности, и по этой причине тому, кто претендует на звание подобного специалиста, необходимо быть с ними знакомым.
Впрочем, все эти законы, будучи чрезвычайно важными в смысле регулирования правового поля, в котором осуществляется защита информации, не несут в себе тех практических рекомендаций и требований, которые оказывают наибольшее влияние на работу безопасника. Поэтому необходимо найти время и на изучение текстов второй группы законов. На них остановлюсь несколько подробнее.
Федеральный закон «О защите персональных данных», пожалуй, известен сегодня не только специалистам по информационной безопасности, но и большинству рядовых граждан. Данный закон, среди прочего, определяет требования к информационным системам обработки персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним. Несколько менее «раскручен» Федеральный закон «О противодействии неправомерному использованию инсайдерской информации». Как отмечают юристы, это сравнительно необычный для российского правового поля Федеральный закон. Он определяет сведения, относящиеся к инсайдерской информации, обозначает перечень лиц, относящихся к инсайдерам, а также действия, относящиеся к манипулированию рынком. Также он устанавливает меры противодействия неправомерному использованию инсайдерской информации и манипулированию рынком и перечень запрещенных способов использования инсайдерской информации, обязанность и порядок ее раскрытия.
Помимо этого, существует целый ряд индустриальных стандартов, регулирующих вопросы обеспечения информационной безопасности в конкретных областях. Так, к примеру, Федеральный закон «Об архивном деле» регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности. А те, кто работает в банковской сфере, наверняка сталкивались с таким документом, как Стандарт Банка России.
Не стоит также забывать о том, что существует ряд международных стандартов, которые придётся выполнять, если ваше руководство вдруг захочет украсить компанию сертификатами, свидетельствующими о её высоком уровне и привлекающими крупных клиентов. Впрочем, сертификация в сфере ИБ – это речь особая, и, кроме банковской сферы и государственных организаций, мало кому по-настоящему интересная.
Р. Идов,
ведущий аналитик компании SearchInform
