Защита информации в России: нет ни законов, ни кадров

[5611]

В России в отличие от Великобритании разглашение личных данных граждан – не причина для ухода с должности провинившихся чиновников


Вчера в Великобритании случилось беспрецедентное событие. После пропажи компьютерной базы данных со счетами 25 млн. англичан подал в отставку глава налогового ведомства страны Пол Грей. Отечественные чиновники могут только удивляться такому решению. В России в свободном доступе несколько сотен просочившихся сквозь стены госучреждений конфиденциальных баз данных, и ни один из виновных в утечке информации чиновников не только не уволен, но и не найден.

Исчезновение двух компьютерных дисков с данными о миллионах английских налогоплательщиков вызвало в Великобритании крупный скандал. Во вторник английское казначейство (Министерство финансов) признало, что не может найти компьютерные диски с информацией о домашних адресах, номерах банковских счетов, данных о страховании и детских пособиях 25 млн. англичан, которые в нарушение всех инструкций были отправлены по обычной почте. Из-за этой потери глава управления по налогам и сборам Пол Грей подал в отставку, а премьер Гордон Браун вынужден был публично подтверждать доверие министру финансов, которому подотчетна налоговая служба.


В России в отличие от Великобритании разглашение личных данных граждан – не причина для ухода с должности провинившихся чиновниковПринципиально другая картина в обращении с частными данными наблюдается в России. На днях в редакцию по спамовой рассылке пришло предложение приобрести необходимые базы данных, в котором была дана ссылка на сайт с 600 разнообразными базами, собранными в период с 1993 по 2007 год. В свободной продаже – сведения, способные заинтересовать мошенников, конкурентов, вымогателей и даже ревнивых супругов. Например, в традиционном списке данных о налоговых декларациях, прописке и недвижимости удалось отыскать еще и базу о всех авиаперелетах россиян за последние три года. Вряд ли вся эта информация была собрана без участия чиновников. Впрочем, пока что борьба против этих нарушений ограничивается принятием корявых законов и громкими пиар-заявлениями.

«Необходимо провести тщательное расследование обстоятельств взлома базы данных о доходах физлиц», – заявил осенью 2005 года вице-спикер Госдумы Владимир Пехтин после того, как в продаже появились все налоговые декларации жителей Москвы и Московской области. «Ход расследования я контролирую лично, но вне зависимости от его результатов мы уже приняли технические и организационные меры по повышению безопасности доступа к информации», – заявлял в том же 2005 году председатель Банка России Сергей Игнатьев после появления в продаже базы с банковскими проводками. Однако, как пояснили вчера в пресс-службе ЦБ, «мы не знаем о наказании каких-либо сотрудников ЦБ в связи с пропажей информации».

После громких скандалов правительство обязало Мининформсвязи разработать несколько законов, упорядочивающих распространение компьютерных данных о личной жизни граждан. Формально эти законы вступили в силу еще в 2006 году, однако, по словам экспертов, новые нормы никак не повлияли на «информационный беспредел».

«Попытка защитить частную жизнь граждан обернулась только ненужным усложнением бюрократических процедур, сохранив возможность торговли данными», – заявил «НГ» исполнительный директор Национальной ассоциации дистанционной торговли Михаил Яценко. По его словам, кража налоговых деклараций, данных ГИБДД или Пенсионного фонда невозможна без участия сотрудников этих госструктур. «Все старые, якобы украденные базы данных до 2010 года можно использовать совершенно законно, а новую информацию легально можно собирать только с официального согласия гражданина, из-за чего теперь невозможно даже получить безобидную информацию из Мосгорсправки», – поясняет Яценко.

«Официально получить данные о гражданине практически невозможно, а торговля нелегальными данными все расширяется и расширяется», – говорит адвокат и патентный поверенный Александр Осокин. По его словам, правительство приняло законодательство о персональных данных только для галочки, тогда как на практике эта информация никак не защищается. «Уверен, что в ближайшее время будут поданы иски к российскому правительству за нарушение подписанных им норм европейской конвенции об уважении личной жизни», – говорит адвокат.

Коммерческие организации, как правило, отрицают свою причастность к утечке информации о личной жизни граждан. «Наша компания крайне осторожно обращается с данными о проданных билетах и предоставляет информацию только по запросу правоохранительных органов», – заявил «НГ» директор по связям с общественностью «Трансаэро» Сергей Быхал. Между тем сами продавцы утверждают, что база содержит данные не только о внутренних, но и обо всех внешних перелетах российских граждан.
http://www.ng.ru/economics/2007-11-22/5_otstavka.html

[Erlang]

В России в отличие от Великобритании разглашение личных данных граждан – не причина для ухода с должности провинившихся чиновников

У них, наверное, в переходах не стоят с Базами...

Несколько лет назад было, вроде в США, украли ноутбук - человек взял работу на дом.

[5611]

Желая доказать британцам бессмысленность паники из-за утери несколькими ведомствами дисков с конциденциальной информацией, известный британский журналист и телеведущий Джереми Кларксон опубликовал свои данные. И сразу же лишился пятисот фунтов. Правда, злоумышленник, воспользовавшийся сведениями журналиста, напрвил деньги с его счета на благотворительность.




В период с октября по декабрь прошлого года в Британии разразился ряд скандалов в утерей некоторыми офисиальными и коммерческими организациями дисков с базами данных о частных лицах. Естественным образом, это вызвало панику среди британцев, которые опасались, что этой информацией могут воспользоваться преступники.

Джереми Кларксон в авторской колонке газеты "Санди таймс" высмеял опасения соотечествеников. "Все всполошились из-за этих дисков, но я призываю людей соблюдать спокойствие. В этих данных нет ничего секретного, они напечатаны на каждом чеке, которые мы ежедневно отдаем совершенно незнакомым нам людям", - написал Кларксон и, чтобы показать всем, что в информации, содержащейся на дисках, нет ничего секретного, опубликовал номер своего банковского счета, а также дал подробные инструкции, как раздобыть его домашний адрес и узнать, какую машину он водит. "Все, что вы сможете сделать, это положить мне на счет деньги, но не снять их. Честное слово, я никогда не видел, чтобы такая суматоха поднялась вокруг какой-то мелочи", - самоуверенно заявил Кларксон в присущей ему саркастической манере. Однако уже следующая авторская колонка содержала признания журналистом своей ошибки.

Самоуверенность Кларксона стоила ему 500 фунтов, недостачу которых он обнаружил при прверке своего счета. Принявший вызов журналиста неизвестный использовал его номер счета и перевел эти средства на имя Британской ассоциации борьбы с диабетом. Сделать это оказалось возможным, так как перевод средств со счета на счет на благотворительность в Соединенном Королевстве не требует личной подписи человека. При этом банк не может ни предотвратить повторный перевод денег, ни вычислить, кто их перевел, так как эта информация по иронии судьбы попадает под действие закона о защите информации. В результате Кларксон был вынужден признать свою неправоту: "Я изменил свою точку зрения и признаю, что был неправ!" "Нам следует найти тех идиотов, которые потеряли эти диски, и выкалывать им глаза палочками от коктейля, пока они не начнут молить о пощаде", - призвал журналист к кровавому отмщению.

http://gzt.ru/world/2008/01/08/115536.html

[5611]

ФСБ подготовила изменения в Уголовный кодекс, разграничивающие умышленный шпионаж и разглашение гостайны без признаков шпионажа. О соответствующих поправках сообщил общественный совет при ФСБ...

Как рассказал в интервью "Новой газете" Председатель Комитета Госдумы по безопасности Владимир Васильев, новый закон должен защищать всех: и компании, и людей. Ведь в госорганы поступает как информация, составляющая коммерческую, налоговую, банковскую тайны, так и сведения, содержащие персональные данные людей. Принятый федеральный закон «Об информатизации, информационных технологиях и защите информации» уравнял режим конфиденциальности государственной, коммерческой и служебной тайны. Нет критериев отнесения информации к тому или иному виду тайны. Все это предстоит решить.
У нас сегодня не прописан доступ к гостайне лиц, работающих на выборных должностях. Это касается и депутатов. Контролировать такую деятельность должны люди, которые не нанесут вреда, сказал Васильев. ...

http://www.newsinfo.ru/articles/2008-05-05/shpion/37629

[5611]

В начале июня нынешнего года Министерство связи и массовых коммуникаций провело всероссийское отраслевое совещание “Безопасное функционирование отрасли “Связь” — составная часть национальной безопасности”. В ходе мероприятия были обсуждены проблемы защиты сетей связи от деструктивных информационных воздействий, а также защиты конфиденциальной информации и персональных данных.

Подобные совещания не однажды проводились и в прошлые годы, однако нынешнее, судя по отзывам участников, было организовано явно не для галочки, а вытекало из реальных потребностей и проблем отрасли. Об этом свидетельствует и должностной статус участников, и их высокий профессиональный уровень. Так что не исключено, что данное совещание может оказаться поворотным в смысле осознания отраслевых проблем безопасности и ускорения принятия реальных мер, в которых сегодня заинтересованы операторы связи и коммерческие предприятия, пользующиеся их услугами.

По мнению постоянного участника подобных совещаний Алексея Сабанова, заместителя генерального директора компании Aladdin Security Solutions, такое осознание обусловлено прежде всего взрывным ростом количества угроз со стороны сети Интернет, увеличением числа правонарушений в области информационных технологий и, конечно, принимающимися и уже вступившими в действие законодательными актами. В данном случае речь идет, в частности, о соблюдении требований федеральных законов № 149 “Об информации, информационных технологиях и о защите информации” и № 152 “О персональных данных”, принятых два года назад, но так и не заработавших в полную силу.

Тем не менее в последние месяцы в РФ наметился явный переход от риторики в деле укрепления национальной безопасности в инфокоммуникациях к практическим шагам, считает Валерий Андреев, директор по науке и развитию компании ИВК. Первые такие шаги направлены на проработку проблем информационной безопасности (ИБ) в сетях и телекоммуникациях как наиболее “глубоких” инфокоммуникационных слоях. Следующим шагом, по его мнению, должно стать полномасштабное внедрение механизмов ЭЦП в электронный документооборот.

На совещании Минкомсвязи было уделено большое внимание практическому осмыслению положений федеральных законов и отраслевых стандартов в области ИБ, а также техническим и программным средствам, предлагаемым на рынке РФ. Наряду с положительным опытом внедрения систем защиты информации были затронуты и проблемные вопросы.

К основным проблемам в этой сфере участники совещания отнесли прежде всего нехватку квалифицированных кадров, способных адекватно оценить угрозы на каждом конкретном предприятии связи и предложить действительно надежные решения для противодействия этим угрозам. Множество проблем возникает и в связи с недоработанностью законодательных актов, отсутствием четкой юридической оценки тех или иных правонарушений в области информационных технологий. Подчеркнуто, что подобные вопросы должны напрямую влиять на законотворчество в области информационных технологий.

По окончании совещания все проблемные вопросы и приоритетные направления для их решения были внесены в Обращение участников к руководителям организаций и предприятий отрасли связи и информатизации. В нем, в частности, выражена надежда, что в связи с расширением полномочий Министерства связи и массовых коммуникаций в аппарате министерства и агентств появятся структурные подразделения, отвечающие за разработку и реализацию политики ИБ. Необходимость создания таких подразделений сегодня не вызывает сомнений у многих экспертов.

“Вопросами информационной безопасности должны заниматься не только силовые ведомства, как это было ранее, но и гражданские, в частности профильное министерство, — уверен Александр Калинин, президент “Национальной компьютерной корпорации”. — Поэтому было бы логично существенно усилить соответствующее направление, опираясь не только на экспертизу силовиков, но и на наработки бизнеса и саморегулирующихся организаций (таких, как Ассоциация защиты информации)”. Такого же мнения придерживается и Виталий Езопов, генеральный директор операторской компании “Мастертел”.

В тексте обращения также зафиксирован ряд рекомендаций в отношении дальнейшего развития нормативного правового регулирования и проведения определенных организационных мероприятий в отрасли. Так, полагают участники совещания, необходимо определить порядок взаимодействия операторов связи при предотвращении серьезных инцидентов в области обеспечения ИБ, в том числе в чрезвычайных ситуациях; создать отраслевой центр проведения экспертиз в области лицензирования гостайны; наладить анализ правоприменительной практики в области обеспечения информационной безопасности, в том числе при исполнении федеральных законов “Об информации, информационных технологиях и о защите информации” и “О персональных данных”.

Помимо этого признано целесообразным создание единого банка знаний по методам выявления и предотвращения фактов мошенничества при оказании услуг связи, а также проведение политики использования доверенного программного обеспечения, ответственных систем и средств обеспечения информационной безопасности и защиты информации. Необходимо также создать банки данных о наличии такого программного обеспечения, об отечественных разработках систем и средств обеспечения ИБ сетей связи и защиты информации. В интересах предприятий отрасли следует разработать систему защищенного электронного почтового обмена с применением электронной цифровой подписи, криптографических средств защиты информации, научно обоснованных методик и программно-технических средств для борьбы с мошенничеством в сетях связи.

Участники совещания, кроме того, посчитали необходимым создание при Министерстве связи и массовых коммуникаций консультативного органа для открытого обсуждения и выработки рекомендаций по вопросам безопасного функционирования ИКТ-инфраструктуры РФ. Обращаясь к руководителям министерства, служб и агентств, организаций и предприятий отрасли связи, они также выразили мнение, что все эти меры будут способствовать укреплению национальной безопасности Российской Федерации.
http://www.pcweek.ru/themes/detail.php?ID=111319

[5611]

Регулирование и регуляторы
<p><b>Статья продолжает тему построения эффективной системы информационной
безопасности, начатую в предыдущих публикациях автора («Защищать сети, серверы,
компьютеры или бизнес?», «Вооружен… Но защищен ли?»).<br>
В них уже затрагивались проблемы регулирования вопросов защиты информации как
государством, так и негосударственными организациями, влияния регулирования на
работу предприятий и организаций, рассматривались плюсы и минусы следования (или
неследования) требованиям и рекомендациям регуляторов. Сегодня мы продолжим
разговор на эту актуальную тему.</b><br>
<br>
<b>Кто, что и как регулирует</b><br>
<br>
Рассматривать этот вопрос мы будем на близкой нам российской почве, при
необходимости обращаясь к опыту зарубежному, не всегда применимому у нас, но,
тем не менее, полезному. </p>
<p>Главным регулятором, естественно, является само государство.</p>
<p>Вопросы обеспечения информационной безопасности регулируются целым рядом
федеральных законов Российской Федерации, постановлениями и распоряжениями
Правительства, указами Президента, нормативными и методическими документами,
принимаемыми органами исполнительной власти в пределах своей компетенции. К
таким органам относятся:</p>
<ul>
<li>федеральный орган исполнительной власти, уполномоченный в области
обеспечения безопасности, — Федеральная служба безопасности (ФСБ);</li>
<li>федеральный орган исполнительной власти, уполномоченный в области
противодействия техническим разведкам и технической защиты информации, —
Федеральная служба по техническому и экспортному контролю (ФСТЭК).</li>
</ul>
<p>В текущем году в соответствии с Постановлением Правительства РФ № 418 к
перечисленным добавилось Министерство связи и массовых коммуникаций —
федеральный орган исполнительной власти, осуществляющий функции по выработке и
реализации государственной политики и нормативно правовому регулированию в сфере
информационных технологий и обработки персональных данных. Теперь оно имеет
право принимать в виде нормативных правовых актов требования по информационной
безопасности информационных систем, в том числе информационных систем
персональных данных (за исключением информационных систем критически важных
объектов), информационно телекоммуникационных сетей и других сетей связи. Как
будут взаимодействовать эти ведомства в ходе регулирования — покажет время.</p>
<p>Вопросы обеспечения информационной безопасности организаций и предприятий
могут регулироваться и другими органами:</p>
<ul>
<li>национальными (в частности американским законом Сарбейнса Оксли (SOX) в
случае вывода акций российской копании на американские фондовые биржи);</li>
<li>межнациональными (например, после ратификации Россией Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных);</li>
<li>негосударственными объединениями (скажем, Советом по стандартам
безопасности индустрии платежных карт — PCI SSC, разработавшим Стандарт
безопасности данных индустрии платежных карт — PCI DSS, который обязателен
для исполнения всеми банками, эмитирующими карты, а также предприятиями
торговли и обслуживания, принимающими в качестве средств платежа пластиковые
карты систем VISA, MasterCard, American Express, JCB и Discover);</li>
<li>негосударственными организациями (к примеру Банком России, разработавшим
группу стандартов информационной безопасности банковской системы — СТО БР
ИББС).</li>
</ul>
<p>Документы регуляторов могут быть как обязательными для исполнения —
федеральные законы, постановления Правительства, указы Президента, положения и
приказы уполномоченных органов исполнительной власти и т. п., закон Сарбейнса
Оксли, стандарт PCI DSS, так и носить рекомендательный характер — сегодня это
государственные стандарты и стандарты Центробанка, соглашение Basel II,
методические документы регуляторов и др.</p>
<p>К российской специфике, существенно отличающей нашу практику регулирования от
западной, следует отнести и тот факт, что ряд нормативных документов регуляторов
носит закрытый характер, и их правовой статус не очень понятен. Может ли
организация выполнять требования, о существовании которых она не знает, а иногда
и не может знать? <br>
<br>
<b>Законодательные лабиринты<br>
</b><br>
Проблемы возникают уже с самого начала — на стадии законодательного
регулирования. К основополагающим законам в области информационной безопасности
необходимо отнести следующие:</p>
<ul>
<li>Федеральный закон от 27 июля 2006 г. № 149 ФЗ «Об информации,
информационных технологиях и о защите информации»;</li>
<li>Гражданский кодекс РФ, в первую очередь четвертую его часть (от 18
декабря 2006 г. 230 ФЗ);</li>
<li>Федеральный закон от 29 июля 2004 г. № 98 ФЗ «О коммерческой тайне»;</li>
<li>Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных»;</li>
<li>Федеральный закон от 10 января 2002 г. № 1 ФЗ «Об электронной цифровой
подписи».</li>
</ul>
<p>Некоторые вопросы информационной безопасности регламентируются в других
законах, но там они решают более частные задачи.</p>
<p>Первый парадокс заключается в том, что определения информационной
безопасности нет ни в одном законе. В лучшем случае, речь идет о защите
информации, которая существенно сужает общепринятое в мировой практике понятие
информационной безопасности (information security), присутствующее, к примеру, в
международных стандартах ISO 27001 и 27002, переводы которых приняты и как
российские стандарты. В то же время в Доктрине информационной безопасности,
подписанной Президентом Российской Федерации 9 сентября 2000 г., дано
развернутое определение этого термина, не совпадающее с международными
стандартами, но значительно расширяющее его по сравнению с ISO.</p>
<p>Второй парадокс состоит в том, что в законах нет понятия конфиденциальной
информации. Деятельность по технической защите конфиденциальной информации
предусмотрена Федеральным законом «О лицензировании отдельных видов
деятельности», однако само определение конфиденциальной информации отсутствует.
Есть сведения конфиденциального характера, но не в законах, а в Указе Президента
РФ 1997 г. № 188. Правда, в соответствии с распоряжением Правительства РФ 2007
г. № 1055 р еще в третьем квартале прошлого года должен был появиться Указ
Президента Российской Федерации о признании утратившими силу указов по вопросам
защиты сведений конфиденциального характера, но каких — пока не ясно. Автору
известны всего два открытых указа по этой теме — упоминавшийся № 188 и № 351 от
17 марта 2008 г. «О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно телекоммуникационных сетей
международного информационного обмена». </p>
<p>Вместо понятия «конфиденциальная информация» в законах используется
«информация ограниченного доступа» (вводит его ФЗ «Об информации, информационных
технологиях и о защите информации», получивший в среде профессионалов
наименование «Трехглавый закон»). Таким образом, не ясно, на техническую защиту
какой именно информации необходимо получать лицензию в соответствии с законом о
лицензировании и Постановлением Правительства РФ 2006 г. № 504 «О лицензировании
деятельности по технической защите конфиденциальной информации».</p>
<p>Попутно выясняется, что к информации ограниченного доступа не относятся
сведения, составляющие коммерческую тайну, которые, с легкой руки законодателей,
с 1 января 2008 г. (после вступления в силу четвертой части Гражданского кодекса
и новой редакции ФЗ «О коммерческой тайне») стали объектом интеллектуальной
деятельности. А в первой же статье «Трехглавого закона» указывается, что его
положения «не распространяются на отношения, возникающие при правовой охране
результатов интеллектуальной деятельности». Поставив знак равенства между
информацией, составляющей коммерческую тайну, и секретом производства, закон к
тому же, с одной стороны, лишил права обладать коммерческой тайной
непроизводственные организации, с другой — расширил понятие секрета производства
до такой степени, что под него можно подвести фактически любые сведения
(«…сведения любого характера — производственные, технические, экономические,
организационные и другие, в том числе о результатах интеллектуальной
деятельности в научно технической сфере, а также сведения о способах
осуществления профессиональной деятельности». — Выд. авт.). Уж какое тут
производство…</p>
<p>Выполнять требования закона приходится не юристам теоретикам, а специалистам
практикам, для которых блуждания в законодательных дебрях — сущая каторга.
Слушатели учебных курсов по защите коммерческой тайны и персональных данных
постоянно задают вопросы, касающиеся выполнения базовых требований
законодательства. Например, как правильно сформировать перечень информации,
составляющей коммерческую тайну, в страховой, рекламной компании или в банке,
где сведения, имеющие коммерческую ценность и не известные на законном основании
третьим лицам (т. е. обладающие «родовыми признаками» коммерческой тайны),
безусловно, есть, а производства (и «секретов производства» соответственно) нет.</p>
<p>Законы, регулирующие проблемы обеспечения информационной безопасности,
устанавливают наиболее общие требования, обязательные для всех участников
возникающих при этом отношений, не раскрывая содержания мероприятий и конкретных
правил. Примерами подобных требований являются:</p>
<ul>
<li>ограничение доступа к информации только на основании федеральных законов
(кстати, что такое в данном случае «служебная тайна» и ограничительный гриф
«Для служебного пользования»?);</li>
<li>установление режима коммерческой тайны для всех обладателей
исключительных прав на секрет производства как обязательного условия
предоставления им правовой помощи со стороны государственных институтов (ФЗ
«О коммерческой тайне»);</li>
<li>обязанность операторов персональных данных принимать необходимые
организационные и технические меры для их защиты от неправомерных действий,
получать согласие субъекта на обработку и направлять уведомления об
обработке в уполномоченный орган (ФЗ «О персональных данных»);</li>
<li>применение только сертифицированных средств электронной цифровой подписи
в информационных системах общего пользования (ФЗ «Об Электронной цифровой
подписи).</li>
</ul>
<p>Среди этих общих требований иногда, опять таки с точки зрения специалиста
практика, появляются несколько странные. Например, ФЗ «О коммерческой тайне»
определяет, что меры по охране конфиденциальности информации признаются разумно
достаточными, если исключается доступ к информации, составляющей коммерческую
тайну, любых лиц без согласия ее обладателя. Любому студенту, добросовестно
посещавшему курс по информационной безопасности в вузе, известно, что управление
безопасностью — это управление рисками, которых можно избежать (не вводя режим
коммерческой тайны), минимизировать, ограничить возможность реализации, но вот
исключить…<br>
<br>
<b>За пределами законодательного поля</b><br>
<br>
Детализация требований, в общем виде изложенных в законах, осуществляется
Правительством РФ (в виде постановлений) и органами исполнительной власти,
уполномоченными в области безопасности. Зона ответственности разделена между
двумя ведомствами — ФСБ и ФСТЭК: все, что связано с криптографией (средства
шифрования и ЭЦП), регулируется ФСБ России, а разработка и применение всех
остальных средств защиты информации — прерогатива ФСТЭК. Для регулирования
используются три основных механизма: лицензирование деятельности, сертификация
продуктов и аттестация объектов информатизации и помещений, где ведутся работы с
информацией ограниченного доступа.</p>
<p>Регулирование производится путем выдвижения обязательных для выполнения
требований (с установлением области их применения) и разработки рекомендаций и
методических материалов по их выполнению (тоже, как правило, с определением
сферы использования).</p>
<p>Примером обязательных требований является сертификация средств защиты
информации, составляющей государственную тайну, а также предназначенных для
защиты персональных данных; рекомендательных — стандарты банка России по
информационной безопасности или соглашение Basel II.</p>
<p>Область применения требований и/или рекомендаций устанавливается исходя из
определенных законами и соответствующими положениями полномочий органов
исполнительной власти. Так, Положение о разработке, производстве, реализации и
эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ
2005), утвержденное приказом ФСБ России, обязательно в случаях, если информация
конфиденциального характера подлежит защите в соответствии с российским
законодательством (персональные данные), а также для государственных органов и
организаций, выполняющих государственные заказы. Для организаций, занимающихся
защитой информации, доступ к которой ограничивается обладателем (коммерческая
тайна), для общедоступных и открытых ресурсов, для применения ЭЦП в
документообороте, информация которого не относится к конфиденциальной, ПКЗ 2005
носит рекомендательный характер. <br>
Область применения отдельных нормативных и методических документов регуляторов
существенно ограничивается тем, что эти документы имеют закрытый характер.<br>
<br>
<b>Хорошо или плохо?</b><br>
<br>
Многие специалисты категорично заявляют, что регулирование в вопросах
обеспечения безопасности информации, не составляющей государственную тайну, не
нужно, никакой пользы оно не приносит, часто ведет к излишним неоправданным
расходам без существенных результатов для обладателя (в первую очередь это
касается бизнеса, направленного на получение прибыли). На мой взгляд, в ряде
случаев регулирование как государственными, так и негосударственными институтами
не только полезно, но и необходимо.</p>
<p>Крах седьмой по величине американской компании Enron и доткомов (компаний,
бизнес которых целиком лежал в Интернете), значительные убытки и даже разорение
людей, инвестировавших в эти компании, стали толчком к созданию закона Сарбейнса
Оксли, статья 404 которого (SOX 404) требует организовать эффективную систему
внутреннего контроля, в том числе в информационной системе организации,
направленную на предотвращения искажения финансовой отчетности. По данным
исследования, проведенного компанией Ernst & Young, 71% опрошенных ожидают от
реализации требований SOX 404 улучшений в своей ИТ инфраструктуре.</p>
<p>Безусловно, повышению безопасности электронных транзакций с использованием
пластиковых платежных карт способствует приведение поддерживающей их
информационной системы в соответствие стандарту PCI DSS, включая аудит на
соответствие стандарту, ежегодный тест на проникновение в систему и
ежеквартальные сканирования защищенности системы. Кроме всего прочего, эти
мероприятия повышают доверие потребителей к банкамэмитентам, обслуживающим
платежные карты, и предприятиям торговли, принимающим платежи с их
использованием, прошедшим аудит и имеющим положительное заключение по его
результатам.</p>
<p>Есть надежда, что реализация предусмотренных ФЗ «О персональных данных» и
Постановлением Правительства 2007 г. № 781 требований по обеспечению
безопасности обработки персональных данных будет способствовать прекращению
беспредела в незаконном распространении сведений о российских гражданах в виде
контрафактных баз, активно продаваемых до настоящего времени на всевозможных «радиорынках»
и через Интернет.</p>
<p>Никакого иного способа подтверждения заявленных характеристик средств защиты
информации, кроме их сертификации, пока не найдено.</p>
<p>Конечный пользователь оценить качество средств защиты не в состоянии.</p>
<p>Должна ли она быть обязательной или добровольной — другой вопрос.</p>
<p>Скорее всего, обе имеют право на существование: для тех средств, которые
используются в госорганах, в критически важных инфраструктурах, там, где
обрабатывается информация, составляющая государственную тайну, — обязательная;
там, где доступ к информации ограничивается и она защищается по решению
обладателя, — добровольная. И тогда пользователь будет сам решать, устанавливать
сертифицированное средство с подтвержденными качествами или поверить
производителю на слово.</p>
<p>Если этот производитель имеет имя на рынке и им дорожит, сертификат его
продукции, возможно, и не понадобится.<br>
<br>
<b>Когда все это работает</b><br>
<br>
Для эффективной работы системы регулирования необходимо выполнение целого ряда
условий. Без этого даже самые благие намерения регуляторов останутся
намерениями, и не более. </p>
<p>Прежде всего, о том, какими должны быть выдвигаемые требования:</p>
<ul>
<li>разумными — результат их реализации должен соответствовать заявленным
целям, для достижения которых требования выдвигались;</li>
<li>выполнимыми — существующие средства защиты информации должны обеспечить
выполнение этих требований без нарушения функционирования информационной
системы (требования безопасности не должны блокировать или существенно
затруднять обработку той информации, которую надо защитить);</li>
<li>прозрачными — владельцу информационной системы должно быть понятно, для
чего эти требования выдвигаются и на предотвращение каких конкретно
нежелательных последствий они направлены;</li>
<li>проверяемыми — должен быть создан доступный механизм, описывающий
процедуру оценки соответствия требованиям, и критерии, позволяющие дать
оценку на уровне «требования выполнены — не выполнены».</li>
</ul>
<p>Следующим условием функционирования системы регулирования является
эффективный контроль и надзор за выполнением требований.</p>
<p>Если реализация обязательных требований не проверяется уполномоченными
регуляторами (не важно, государством или негосударственными органами), выполнять
эти требования никто не будет. Особо беспокоит эффективность контроля над
обработкой персональных данных.</p>
<p>Вроде бы и создана система — в ней, помимо ФСБ и ФСТЭК, еще и
Россвязькомнадзор, да и Министерство связи и массовых коммуникаций к системе
подтягивается. Но пока не начались проверки и наказания операторов, не
выполняющих этот закон, никто деньги в создание системы защиты вкладывать не
хочет: «авось, переживем…», «строгость российских законов компенсируется их
невыполнением» и т. п. На почтовые ящики продолжают приходить письма с
предложениями типа «комплект из более чем 600 баз, объединенных в единую систему
поиска на жестком диске 500Gb. Стоимость комплекта 37 000 руб. Подробности по
телефону…».</p>
<p>Примером «работающей» системы регулирования является уже упоминавшееся
правило SOX 404. Обязательность аудита на соответствие закону, колоссальные
штрафы и даже перспектива тюремного заключения руководителей компаний — игроков
американских бирж, не выполнивших требования закона, приводит к тому, что
значительные средства на создание системы контроля в ИТ инфраструктуре
выделяются, а сама система функционирует. По данным американских специалистов,
приведение информационной системы в соответствие SOX 404 обходится в среднем в 2
млн долл., однако владельцы компаний идут на эти расходы!</p>
<p>Угрозы штрафов и запрета на эмиссию пластиковых карт в случае отсутствия
подтверждения соответствия стандарту PCI DSS сработали — к организациям, имеющим
право проводить аудит, выстроились очереди.</p>
<p>И еще одно условие. К системе регулирования должно быть доверие
представителей той сферы деятельности, которая регулируется.</p>
<p>Полная безответственность изготовителя, сертификационной лаборатории,
сертификационного органа за негативные последствия, наступившие в результате
несрабатывания сертифицированного средства защиты, приводит к тому, что
сертификация зачастую воспринимается не как подтверждение соответствия
требованиям, а как косвенный налог. Требования лицензировать деятельность по
технической защите коммерческой тайны, к которой ограничивает доступ обладатель
исключительных прав на результаты интеллектуальной деятельности, ставит под
сомнение саму необходимость сертификации.</p>
<p>Пока эти проблемы решить не удастся, эффективным регулирование не станет. </p>
http://www.cio-world.ru/techniques/371462/

[5611]

6 ноября в подмосковном отеле Holiday Inn Виноградово прошла первая международная конференция по борьбе с утечками конфиденциальной информации DLP Russia 2008. Мероприятие, организованное Экспертным Советом по борьбе с утечками данных «DLP-Эксперт» и компанией InfoWatch, привлекло более 150 российских и иностранных специалистов по информационной безопасности, представителей СМИ и наглядно продемонстрировало актуальность проблемы в нашей стране и за рубежом.

«Данные утекают отовсюду: из коммерческих компаний и государственных учреждений, небольших организаций и предприятий гигантов. Попасть под удар может предприятие любой отрасли, в любой стране мира, поэтому сегодня бизнесу необходимы эффективные решения, способные защитить конфиденциальные данные при их использовании, перемещении и хранении», утверждает Рич Могул, американский эксперт в области защиты конфиденциальной информации с 17-ним опытом работы в индустрии информационной безопасности. Рич Могул знает, о чем говорит – США лидируют по количеству преданных огласке инцидентов, связанных с утечкой персональных данных и внутренней информации компаний.


Россия в этом смысле пока остается самой закрытой страной, однако за текущий год, по данным аналитического центра компании InfoWatch, у нас зафиксировано 5 утечек чувствительных данных из компаний. В России пока нет развитой законодательной базы, которая требовала бы от компаний обеспечения эффективной и всесторонней защиты персональных данных граждан и чувствительной корпоративной информации. Но ее появления отечественные компании ожидают уже в ближайшие годы, и пионерами защиты данных, скорее всего, станут предприятия банковской отрасли.

Уже сегодня многие российские банки придерживаются требований стандарта PCI DSS в области защиты персональных данных владельцев банковских карт, разработанного европейской платежной системой VISA. О серьезных требованиях этого документа к защите информации с пластиковых карт российским специалистам в области информационной безопасности рассказал руководитель европейского офиса компании VISA Мани Туласи. Банки, не соблюдающие требования PCI DSS, лишены права выпускать карты платежной системы VISA. В Европе и США уже существуют законодательно закрепленные требования к коммерческим и государственным компаниям принимать все возможные и разумные меры к защите конфиденциальной информации (закон SOX, соглашение Basel II и др.). России в этой связи еще предстоит пройти определенный путь от теоретических знаний по предмету до строгого исполнения требований законодательства.


С другой стороны, в Европе существуют жесткие требования при внедрении любых систем предотвращения утечки данных и мониторинга за персоналом, обязывающие компании соблюдать заботиться о частной жизни сотрудников и соблюдать их право на тайну переписки. Ведь эти положения во многих европейских странах закреплены конституционно. О том, как в такой ситуации соблюсти требования законодательства и одновременно защитить конфиденциальность корпоративной информации участникам DLP Russia 2008 рассказал глава французского офиса Kroll Ontrack, компании, специализирующейся в области компьютерной форенсики и консультирования на соответствие законодательным требованиям.

Свой взгляд на проблему использования DLP систем, а также предъявляемые к ним требования высказали заказчики этих решений – представители российских компаний «Газпром трансгаз «Москва», «ВымпелКом» и др. Акцент был сделан на многоуровневой защите максимального количества каналов утечки информации, модульности и масштабируемости решений. На мобильных стендах в фойе были продемонстрированы ведущие DLP решения, представленные сегодня в России компаниями InfoWatch, Symantec, Websense, Verdasys, Trend Micro и др.


Итог мероприятия был подведен в дискуссионной панели «Можно ли спастись от утечек данных?». Участники DLP Russia 2008 сошлись в главном – спастись от утечек данных можно, но делать это надо уже сегодня, совместными усилиями разработчиков и заказчиков DLP систем, реально оценивая масштаб угрозы и оперативно реагируя на инциденты. http://www.it-world.ru/current/51519.html

[5611]

Российские стандарты

Среди различных отечественных стандартов по безопасности информационных технологий отметим несколько современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):
- ГОСТ Р ИСО 7498-2—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
- ГОСТ Р ИСО/МЭК 9594-8—98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;
- ГОСТ Р ИСО/МЭК 9594-9—95. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.
К ним можно добавить нормативные документы, посвященные средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем:
- руководящий документ «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997);
- ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
- ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
- ГОСТ Р 34.10--94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
- ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

Общие критерии оценки безопасности ИТ

В 1990 г. Международная организация по стандартизации (ИСО) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Common Criteria» или «Общие критерии оценки безопасности информационных технологий» (ОК). В их разработке участвовали Национальный институт стандартов и технологии (NIST) и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).

Новые критерии адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и призваны стать основой для такой оценки. Разрабатываемые лучшими специалистами мира на протяжении десятилетия ОК неоднократно редактировались. В результате был подготовлен и в 1999 г. утвержден международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий». Ведущие мировые производители оборудования ИТ подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

Заключение

Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:
законодательного;
административного;
процедурного;
программно-технического.

В современном мире национальная нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость привести российские стандарты и сертификационные нормативы в соответствие с общим международным уровнем развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.

Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ viewtopic.php?f=2&t=4791

В рамках выполнения плана работ Технического комитета по стандартизации № 362 “Защита информации” ФСТЭК России приказом Федерального агентства по техническому регулированию и метрологии утвержден и введен в действие ГОСТ Р 53110 – 2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения» (СОИБ ССОП). Стандарт был разработан Центральным научно-исследовательским институтом связи (ЦНИИС) при активном участии компании ТТК. Компания также выступила в качестве одного из заказчиков ГОСТа.

Новый стандарт определяет правовые, организационные и технические направления, обеспечения информационной безопасности организаций связи, эксплуатирующих сети электросвязи, входящие в состав сети связи общего пользования, и представляет собой систематизированное изложение основных мероприятий и действий по реализации в организации оператора связи системы обеспечения информационной безопасности, коррелированной с системой менеджмента информационной безопасности, определенной в ГОСТ Р ИСО/МЭК 27001-2006.

В основу разработки стандарта были положены практические результаты внедрения в Компании ТТК структуры по обеспечению информационной безопасности сетей связи Компании, а сотрудники ТТК выступили в роли редакторов и рецензентов нового стандарта. ТТК, совместно с другими операторами связи, также принял участие в финансировании разработки ГОСТа.

«Мы высоко оцениваем решения и методики, применяемые в СОИБ, внедренной в компании ТТК, - сказал исполнительный директор ЦНИИС Владимир Cадовский. - Значительный опыт ТТК в области обеспечения информационной безопасности позволил существенно облегчить разработку стандарта».

«ГОСТ регламентирует построение системы обеспечения информационной безопасности сети связи общего пользования. Для отрасли он дает ориентир того, как необходимо обеспечивать безопасность сетей связи. Это абсолютно новый ГОСТ, раньше его не было. В данном документе сформулированы общие положения. Это только начало работы, за этим стандартом последует продолжение. В 2009 - 2010 годах планируется разработать два стандарта, определяющих модель угроз и нарушителя ИБ сетей и систем связи, а также методику оценки вероятности риска причинения ущерба сетям и системам связи» - сказал руководитель Департамента информационной безопасности компании ТТК Александр Золотников.

ГОСТ позволит телекоммуникационным компаниям использовать самые современные подходы и решения в области построения СОИБ. Данные решения уже доказали свою эффективность в практике работы компании ТТК. http://www.spbit.ru/news/n57316/

[Erlang]

Выставка Softool

Ну про Кадры Вы не правы.
Дали Демо-версию.
Ребята из Госорганов диск посмотрели - и мы взаимно долго им пользовались.
Нефиг Бюджет напрягать

[Связной (С)]

Leta спешит защитить данные

Российский поставщик программного обеспечения для защиты информации Leta IT-company (входит в состав управляющей компании Leta Group) выходит на рынок по предоставлению услуг в сфере защиты персональных данных (ПДн). Компания планирует, что к концу 2009 г. новое направление деятельности займет около 30-40% в обороте компании, а в 2010 г. ПДн станет одним из двух основных направлений работы Leta. К созданию нового бизнеса поставщик ПО подтолкнул Федеральный закон "О персональных данных", который вступит в силу с января 2010 г. и затронет практически всех участников телекоммуникационного рынка.

Согласно закону, все компании, имеющие дело с информацией о гражданах, должны обеспечить ее защиту на основе стандарта, согласованного с Минкомсвязи, ФСБ и Федеральной службой технического и экспортного контроля (ФСТЭК). Разработчиком стандарта для телекоммуникационной отрасли Инфокоммуникационный союз (ICU) выбрал российскую компанию ReignVox, которая занимается инновационными проектами в области информационных технологий и безопасности. ReignVox обследует операторов "большой тройки", чтобы установить, какие принципы защиты персональных данных они уже используют. Также компания должна разработать единый отраслевой стандарт. "Мобильные ТелеСистемы" (МТС), "МегаФон" и "ВымпелКом" уже заключили соответствующие контракты с ReignVox (см. дайджест ComNews от 30 января 2009 г.).

Как говорит руководитель службы корпоративных коммуникаций "ВымпелКома" Елена Прохорова, работа по подготовке к вступлению в силу требований закона "О персональных данных" идет по двум направлениям: регуляторно-отраслевому и на уровне каждой компании. "По первому направлению составлено и согласовано с регулятором техническое задание для ReignVox на формирование отраслевых требований по защите персональных данных, и, насколько нам известно, компания работает в этом направлении. Параллельно осуществляется работа в области разработки нормативно- правовой базы и подготовки закона о внесении изменений в ряд законодательных актов, действующих в РФ для приведения их в соответствие с положениями закона "О персональных данных", - говорит Елена Прохорова.

Что касается самого оператора, то "ВымпелКом" выделил работы по этому направлению в отдельный общекорпортивный кроссфункциональный проект. "Мы заключили договора с подрядчиками, в том числе с ReignVox и российской сервисной компанией "Информзащита", которые приступили к выполнению работ по мониторингу и контролю всех действующих в компании систем (как на техническом уровне, так и на уровне организации работ) по защите персональных данных и формированию рекомендаций по их оптимизации для соответствия требованиям закона", - сказала репортеру ComNews Елена Прохорова. Пресс-секретарь МТС Ирина Осадчая только отметила, что необходимые работы в рамках контракта с ReignVox еще ведутся.

По оценкам компании Leta, на первом этапе ее новой деятельности основными потребителями услуг ПДн станут страховые компании, с середины 2009 г. к ним добавятся банки, энергетические и телекоммуникационные компании. Leta IT-company планирует запустить ряд таких проектов уже в марте-апреле 2009.

"Приведение информационной системы в соответствие с требованиями ФЗ "О персональных данных" требует от операторов связи быстрого создания и внедрения IT-решений с применением сертифицированного оборудования и программных средств, прохождения определенных процедур регистрации, лицензирования, аттестации и аудита. Технические вопросы защиты персональных данных являются лишь частью комплекса проблем, с которыми сталкивается оператор", - отмечает пресс-служба Leta IT-company. Так, для компаний важно на раннем этапе проекта правильно оценить, каким именно требованиям нормативной базы должна соответствовать создаваемая система защиты, какие процедуры взаимодействия с регулирующими органами потребуются при ее создании, внедрении и эксплуатации.

По мнению сотрудников Leta IT-company, существует также проблема в расхождении принципов построения систем защиты персональных данных и корпоративных систем управления информационной безопасностью (СУИБ) на базе процессного подхода, тогда как именно такие системы стали магистральным направлением развития информационной безопасности во всем мире.

Готовится к запуску нового бизнес-направления Leta IT-company начала в 2008 г. В марте 2009 г. компания и российский поставщик программного обеспечения для защиты информации "ИнфоТеКС" заключили партнерское соглашение, по которому Leta IT-company станет продвигать средства защиты информации и других разработок компании партнера, которые он выпускает под брендом ViPNet (см. новость ComNews от 16 марта 2009 г.).

Пресс-служба еще одного участника рынка систем информационной безопасности - "Информзащиты" - отмечает, что компания одной из первых на этом рынке начала оказывать услуги по защите персональных данных. "В январе 2009 г. мы запустили специализированный сайт, где, в том числе, собраны подборки законодательных и нормативных актов органов власти, осуществляющих государственное регулирование и контроль в сфере защиты информации ограниченного доступа", - сообщает пресс-служба "Информзащиты".

По словам исполнительного директора ICU Андрея Скородумова, 26 марта пройдет совет союза, на котором, в том числе, будет рассматриваться и план работ по ПДн.

"Этот ФЗ является вполне логичным для страны, которая переходит от постиндустриального к информационному обществу, где персональные данные каждого человека должны защищаться наравне с прочими его основными правами и свободами. Это шаг к унификации систем хранения и доступа к персональным данным, что, несомненно, является положительным моментом для развития отрасли в целом", - добавляет аналитик ComNews Research Артем Акчурин. Исполнительный директор Leta IT-company Андрей Конусов считает, что работы в сфере защиты персональных данных приведут к формированию рынка с огромным потенциалом роста и с ожидаемыми высокими темпами расширения.

© ComNews
20.03.2009

[5611]

Вносится Правительством Российской Федерации
Проект
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН

«О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона
«Об информации, информационных технологиях и о защите информации»

Статья 1.
Внести в Закон Российской Федерации от 27 декабря 1991 г.
№ 2124-I «О средствах массовой информации» (Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1992, № 7, ст. 300; Собрание законодательства Российской Федерации, 1995, № 30, ст. 2870; 2000, № 26, ст. 2737; № 32, ст. 3333; 2002, № 30, ст. 3029; 2006, № 31, ст. 3452; № 43, ст. 4412; 2007, № 31, ст. 4008) следующие изменения:
1) в части 3 статьи 4 слово «компьютерных» заменить словами «информационно-телекоммуникационных»;
2) в части 2 статьи 24 слова «иные телекоммуникационные» заменить словами «информационно-телекоммуникационные»;
3) наименование статьи 41 изложить в следующей редакции:
«Статья 41. Обеспечение конфиденциальности информации».

Статья 2.
Пункт 2 статьи 160 части первой Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1994, № 32, ст. 3301) изложить в следующей редакции:
«2. Использование при совершении сделок факсимильного воспроизведения подписи на бумажном носителе с помощью средств механического или иного копирования допускается в случаях
и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
Сделка, совершенная путем составления документа в форме электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи (помимо электронной цифровой подписи), признается совершенной
в письменной форме, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или
не подразумевается требование о совершении сделки в форме документа на бумажном носителе.».

Статья 3.
В абзаце третьем преамбулы Федерального закона
от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов» (Собрание законодательства Российской Федерации, 1995, № 1, ст. 1; 2002, № 7, ст. 630; 2008, № 13, ст. 1184) слова
«в сетевом режиме» заменить словами «с использованием информационно-телекоммуникационных сетей».

Статья 4.
В абзаце пятом статьи 1 Федерального закона
от 29 декабря 1994 г. № 78-ФЗ «О библиотечном деле» (Собрание законодательства Российской Федерации, 1995, № 1, ст. 2) слово «документ» заменить словами «библиотечный документ (документ)».

Статья 5.
Наименование статьи 1045 части второй Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, № 5, ст. 410) изложить в следующей редакции:
«Статья 1045. Право товарища на доступ к информации».

Статья 6.
Внести в Федеральный закон от 1 апреля 1996 г. № 27-ФЗ
«Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (Собрание законодательства Российской Федерации, 1996, № 14, ст. 1401; 2001, № 44, ст. 4149; 2003, № 1, ст. 13; 2008, № 18, ст. 1942) следующие изменения:
1) в пункте 8 статьи 6 слова «конфиденциальной информации» заменить словами «персональных данных»;
2) в части первой статьи 17 слова «конфиденциальной информации (персональных данных)» заменить словами «персональных данных».

Статья 7.
Внести в Федеральный закон от 22 апреля 1996 г. № 39-ФЗ
«О рынке ценных бумаг» (Собрание законодательства Российской Федерации, 1996, № 17, ст. 1918; 2001, № 33, ст. 3424; 2002, № 52, ст. 5141; 2005, № 25, ст. 2426; 2006, № 1, ст. 5; № 17, ст. 1780; 2007, № 41, ст. 4845) следующие изменения:
1) в статье 275-1:
а) в части 3 слова «странице Банка России
в сети Интернет» заменить словами «сайте Банка России
в информационно-телекоммуникационной сети «Интернет»;
б) в части 4 слова «странице Банка России
в сети Интернет» заменить словами «сайте Банка России
в информационно-телекоммуникационной сети «Интернет».
2) в пункте 12 статьи 44 слова «конфиденциальной информацией» заменить словами «информацией, в отношении которой установлено требование конфиденциальности (конфиденциальной информацией)».

Статья 8.
Абзац третий пункта 1 статьи 9 Федерального закона
от 8 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью» (Собрание законодательства Российской Федерации, 1998, № 7, ст. 785; 2009, № 1, ст. 20) изложить
в следующей редакции:
«не разглашать информацию о деятельности общества,
в отношении которой установлено требование конфиденциальности.».

Статья 9.
Внести в Федеральный закон от 7 мая 1998 г. № 75-ФЗ
«О негосударственных пенсионных фондах» (Собрание законодательства Российской Федерации, 1998, № 19, ст. 2071; 2003, № 2, ст. 166; 2007, № 50, ст. 6247) следующие изменения:
1) в пункте 12 статьи 7 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
2) в пункте 20 статьи 7.1 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».
Статья 10.
Внести в Федеральный закон от 19 июля 1998 г. № 113-ФЗ
«О гидрометеорологической службе» (Собрание законодательства Российской Федерации, 1998, № 30, ст. 3609; 2002, № 26, ст. 2516; 2004, № 35, ст. 3607; 2006, № 6, ст. 638) следующие изменения:
1) в части 2 статьи 2 слова «формировании информационных ресурсов» заменить словами «сборе и обработке информации»,
а слово «информатизации» заменить словами «информационных технологий»;
2) в абзаце шестом статьи 5 слово «ресурсов» заменить словом «систем».

Статья 11.
Внести в Федеральный закон от 29 июля 1998 г. № 135-ФЗ
«Об оценочной деятельности в Российской Федерации» (Собрание законодательства Российской Федерации, 1998, № 31, ст. 3813; 2002, № 46, ст. 4537; 2006, № 31, ст. 3456; 2007, № 29, ст. 3482) следующие изменения:
1) в абзаце десятом статьи 15 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
2) в статье 151:
а) в абзаце шестом слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
б) в абзаце седьмом слова «за исключением информации, составляющей коммерческую тайну юридического лица или заказчика, либо иной конфиденциальной информации» исключить;
3) в части 6 статьи 20 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
4) в статье 223:
а) в части 1 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
б) в части 2 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
5) в части 10 статьи 24 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Статья 12.
Внести в часть первую Налогового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1998, № 31, ст. 3824; 1999, № 28, ст. 3487; 2000, № 2, ст. 134; № 32, ст. 3340, 3341; 2001, № 1, ст. 18; № 53, ст. 5015; 2002, № 22, ст. 2026; № 30, ст. 3027; 2003, № 1, ст. 2; № 23, ст. 2147; № 27, ст. 2700; № 28, ст. 2886; 2004, № 27, ст. 2711; № 34, ст. 3524; № 45, ст. 4377; 2005, №1, ст. 30; № 24, ст. 2312; № 30, ст. 3130; 2006, № 10, ст. 1065; № 31, ст. 3436; № 45, ст. 4628; № 50, ст. 5279; 2007, № 1, ст. 31; № 18, ст. 2118; № 23, ст. 2691; № 26, ст. 3022; № 31, ст. 3991; № 45, ст. 5417; 2008, № 26, ст. 3022; № 27, ст. 3126; № 30, ст. 3616; № 48, ст. 5504, 5519) следующие изменения:
1) пункт 1 статьи 21 дополнить подпунктом 16 следующего содержания:
«16) представлять документы в налоговые органы и хранить такие документы как на бумажных носителях, так и в виде электронных документов, если иное не установлено настоящим Кодексом.»;
2) в пункте 4 статьи 82 слово «сохранности» заменить словами «соблюдения конфиденциальности»;
3) в статье 102:
а) подпункт 1 пункта 1 изложить в следующей редакции:
«1) являющихся общедоступными, в том числе по решению
их обладателя – налогоплательщика;»;
б) в абзаце втором пункта 2 слово «производственной» заменить словом «служебной».

Статья 13.
В подпункте 9 пункта 2 статьи 11 Федерального закона
от 16 июля 1999 г. № 165-ФЗ «Об основах обязательного социального страхования» (Собрание законодательства Российской Федерации, 1999, № 29, ст. 3686; 2003, № 1, ст. 5; 2004, № 10, ст. 836) слова «конфиденциальной информации» заменить словами «информации ограниченного доступа».

Статья 14.
Внести в часть вторую Налогового кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2000, № 32, ст. 3340, 3341; 2001, № 1, ст. 18; № 53, ст. 5015; 2002, № 22, ст. 2026; № 30, ст. 3027; 2003, № 1, ст. 2; № 23, ст. 2147; № 27, ст. 2700; № 28, ст. 2886; 2004, № 27, ст. 2711; № 34, ст. 3524; № 45, ст. 4377; 2005, №1, ст. 30; № 24, ст. 2312; № 30, ст. 3130; 2006, № 10, ст. 1065; № 31, ст. 3436; № 45, ст. 4628; № 50, ст. 5279; 2007, № 1, ст. 31; № 18, ст. 2118; № 23, ст. 2691; № 26, ст. 3022; № 31, ст. 3991; № 45, ст. 5417; 2008, № 26, ст. 3022; № 27, ст. 3126; № 30, ст. 3616; № 48, ст. 5504, 5519; № 52, ст. 6237; 2009, № 1, ст. 21) следующие изменения:
1) в подпункте 4 пункта 3 статьи 149 слово «рассылке» заменить словом «предоставлению»;
2) в абзаце втором пункта 4 статьи 264 слово «телекоммуникационные» заменить словами «информационно-телекоммуникационные».
Статья 15.
Внести в Федеральный закон от 16 апреля 2001 г. № 44-ФЗ
«О государственном банке данных о детях, оставшихся без попечения родителей» (Собрание законодательства Российской Федерации, 2001, № 17, ст. 1643; 2009, № 1, ст. 21) следующие изменения:
1) абзац второй статьи 1 после слова «совокупность» дополнить словом «государственных»;
2) в статье 2 слово «информатизации» заменить словами «информационных технологий»;
3) в статье 4:
а) пункт 2 после слов «формируется как» дополнить словом «государственные»;
б) в пункте 3 слова «в области связи и информатизации» заменить словами «по надзору в сфере информационных технологий и связи»;
4) в пункте 1 статьи 8 слово «информатизации» заменить словами «информационных технологий»;
5) в пункте 1 статьи 10 слова «государственному банку» заменить словами «информации, содержащейся
в государственном банке»;
6) в статье 13 слова «государственному банку» заменить словами «информации, содержащейся в государственном банке».

Статья 16.
Внести в Федеральный закон от 8 августа 2001 г. № 128-ФЗ
«О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2001, № 33, ст. 3430; 2005, № 27, ст. 2719; 2006, № 50, ст. 5279; 2007, № 1, ст. 7, 15; № 30, ст. 3748, 3749, 3750; № 45, ст. 5427; № 46, ст. 5554; № 50, ст. 6247; 2008, № 30, ст. 3604; № 52, ст. 6227; 2009, № 1, ст. 17) следующие изменения:
1) в пункте 2 статьи 6:
а) слово «ресурсы» заменить словом «системы»;
б) слова «свободный доступ к таким ресурсам» заменить словами «доступ к такой информации»;
2) подпункты 10 и 11 пункта 1 статьи 17 изложить в следующей редакции:
«10) деятельность по разработке и (или) производству средств защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
11) деятельность по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну;».

Статья 17.
Внести в Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; № 44, ст. 4295; 2003, № 27, ст. 2700, 2708, 2717; № 46, ст. 4434; № 50, ст. 4847, 4855; 2004, № 31, ст. 3229; № 34, ст. 3533; 2005, № 1, ст. 9, 13; № 10, ст. 763; № 13, ст. 1077; № 19, ст. 1752; № 27, ст. 2719, 2721; № 30, ст. 3104, 3131; 2006, № 1, ст. 10; № 10, ст. 1067; № 12, ст. 1234; № 17, ст. 1776; № 18, ст. 1907; № 19, ст. 2066; № 23, ст. 2380; № 31, ст. 3420, 3438, 3452; № 45, ст. 4641; № 50, ст. 5279; № 52, ст. 5498; 2007, № 1, ст. 21, 29; № 30, ст. 3755; № 31, ст. 4007; № 41, ст. 4845; № 43, ст. 5084; 2008, № 18, ст. 1941; № 30, ст. 3604) следующие изменения:
1) в статье 23.44:
а) наименование изложить в следующей редакции:
«Статья 23.44. Органы, осуществляющие государственный надзор в сфере информационных технологий и связи»;
б) в части 1 слова «за связью и информатизацией» заменить словами «в сфере информационных технологий и связи»;
в) в пунктах 1 и 2 части 2 слова «за связью и информатизацией» заменить словами «в сфере информационных технологий и связи».
2) в пункте 57 части 2 статьи 28.3 слова «в области связи
и информатизации» заменить словами «в сфере информационных технологий и связи».

Статья 18.
В статье 2 Федерального закона от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) слова «Об информации, информатизации и защите информации» заменить словами
«Об информации, информационных технологиях и о защите информации».

Статья 19.
В статье 8 Федерального закона от 25 января 2002 г. № 8-ФЗ
«О Всероссийской переписи населения» (Собрание законодательства Российской Федерации, 2002, № 4, ст. 252):
1) пункт 1 изложить в следующей редакции:
«1. Сведения о населении, содержащиеся в переписных листах, являются информацией ограниченного доступа, не подлежат разглашению и используются в целях формирования соответствующих федеральных информационных ресурсов.»;
2) в пункте 3 слово «конфиденциальную» заменить словами
«не являющуюся общедоступной».

Статья 20.
Внести в Федеральный закон от 25 апреля 2002 г. № 40-ФЗ
«Об обязательном страховании гражданской ответственности владельцев транспортных средств» (Собрание законодательства Российской Федерации, 2002, № 18, ст. 1720; 2007, № 49, ст. 6067) следующие изменения:
1) в пункте 7 статьи 21 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
2) в абзаце втором пункта 2 статьи 25 слова «формировать
и использовать информационные ресурсы» заменить словами «создавать и использовать информационные системы»;
3) подпункт «г» пункта 1 статьи 26 изложить в следующей редакции:
«г) создания информационных систем профессионального объединения, содержащих информацию ограниченного доступа,
а также правил защиты информации в этих системах и пользования ими;»;
4) в статье 30:
а) в пункте 1:
в абзаце первом слово «конфиденциальную» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
в абзаце третьем слова «конфиденциальной информации» заменить словами «информации, в отношении которой установлено требование конфиденциальности»;
б) в пункте 3:
в абзаце первом слово «автоматизированная»
в соответствующем падеже исключить;
абзац второй изложить в следующей редакции:
«Доступ к информации, содержащейся в информационной системе, является свободным, за исключением информации ограниченного доступа. Информация ограниченного доступа предоставляется органам государственной власти, страховщикам
и их профессиональным объединениям, иным органам
и организациям в соответствии с их компетенцией, установленной законодательством Российской Федерации, и в предусмотренном для них порядке.»;
в абзаце третьем слова «формирования информационных ресурсов автоматизированной информационной системы» заменить словами «для включения в информационную систему».

Статья 21.
В пункте 3 статьи 23 Федерального закона от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» (Собрание законодательства Российской Федерации, 2002, № 23, ст. 2102; 2004, № 52, ст. 5267) слова «является документом, который содержит конфиденциальную информацию, и» исключить.

Статья 22.
Внести в Федеральный закон от 12 июня 2002 г. № 67-ФЗ
«Об основных гарантиях избирательных прав и права на участие
в референдуме граждан Российской Федерации» (Собрание законодательства Российской Федерации, 2002, № 24, ст. 2253; 2005, № 30, ст. 3104; 2006, № 29, ст. 3124, 3125; № 50, ст. 5303; 2007, № 6, ст. 681; № 18, ст. 2118) следующие изменения:
1) в подпункте «г» пункта 9 статьи 21 слова «общего пользования» исключить;
2) в пункте 9 статьи 35 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
3) в пункте 7 статьи 45 слова «общего пользования (включая «Интернет»)» заменить словами «доступ к которым не ограничен определенным кругом лиц (включая информационно-телекоммуникационную сеть «Интернет»)»;
4) в пункте 3 статьи 46 слова «общего пользования (включая «Интернет»)» заменить словами «доступ к которым не ограничен определенным кругом лиц (включая информационно-телекоммуникационную сеть «Интернет»)»;
5) в пункте 10 статьи 48 слова «общего пользования» исключить;
6) в пункте 1 статьи 56 слова «общего пользования, включая «Интернет» заменить словами «доступ к которым не ограничен определенным кругом лиц, включая информационно-телекоммуникационную сеть «Интернет»;
7) в пункте 36 статьи 68 слова «общего пользования» исключить;
8) в пункте 4 статьи 72 слова «общего пользования» исключить;
9) в пункте 5 статьи 74 слова «общего пользования» исключить;
10) в статье 76:
а) в подпункте «ж» пункта 7 слова «общего пользования, включая «Интернет» заменить словами «доступ к которым не ограничен определенным кругом лиц, включая информационно-телекоммуникационную сеть «Интернет»;
б) в подпункте «ж» пункта 8 слова «общего пользования, включая «Интернет» заменить словами «доступ к которым не ограничен определенным кругом лиц, включая информационно-телекоммуникационную сеть «Интернет».

Статья 23.
Часть 3 статьи 75 Арбитражного процессуального кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2002, № 30, ст. 3012) изложить в следующей редакции:
«3. Документы, подписанные путем факсимильного воспроизведения подписи на бумажном носителе с помощью средств механического или иного копирования, допускаются в качестве письменных доказательств в случаях и в порядке, которые установлены федеральным законом, иным нормативным правовым актом или договором.».

Статья 24.
В статье 37 Федерального закона от 24 июля 2002 г. № 111-ФЗ
«Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» (Собрание законодательства Российской Федерации, 2002, № 30, ст. 3028) слова «конфиденциальной информации, связанной с процессом» заменить словами «персональных данных, обрабатываемых в процессе».

Статья 25.
В пункте 8 статьи 25 Федерального закона
от 10 января 2003 г. № 19-ФЗ «О выборах Президента Российской Федерации» (Собрание законодательства Российской Федерации, 2003, № 2, ст. 171; 2005, № 30, ст. 3104; 2007, № 18, ст. 2118) слова «общего пользования» исключить.

Статья 26.
Внести в Федеральный закон от 10 января 2003 г. № 20-ФЗ
«О Государственной автоматизированной системе Российской Федерации «Выборы» (Собрание законодательства Российской Федерации, 2003, № 2, ст. 172) следующие изменения:
1) в статье 3 слова «Об информации, информатизации и защите информации» заменить словами «Об информации, информационных технологиях и о защите информации»;
2) в пункте 10 статьи 4 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Статья 27.
Внести в Таможенный кодекс Российской Федерации
(Собрание законодательства Российской Федерации, 2003, № 22, ст. 2066; 2004, № 27, ст. 2711; 2008, № 26, ст. 3022) следующие изменения:
1) в статье 10:
а) в абзаце первом пункта 2 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
б) в абзаце втором пункта 2 слова «конфиденциальной информации» заменить словами «информации, в отношении которой установлено требование конфиденциальности»;
в) в пункте 3 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
г) в пункте 4 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
2) в пункте 3 статьи 143 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
3) в пункте 3 статьи 144 слова «конфиденциальная информация» заменить словами «информация, в отношении которой установлено требование конфиденциальности»;
4) в абзаце третьем пункта 2 статьи 376 слова «базам и банкам данных автоматизированных информационных систем» заменить словами «информации в базах данных информационных систем»;
5) пункт 2 статьи 381 изложить в следующей редакции:
«2. Полученная экспертом в ходе проведения экспертизы
или при подготовке к ее проведению информация, составляющая коммерческую, банковскую или иную охраняемую законом тайну,
а также иная информация, в отношении которой установлено требование конфиденциальности, не должны им разглашаться, использоваться в иных целях, кроме как для подготовки заключения, либо передаваться третьим лицам, за исключением случаев, предусмотренных федеральными законами.»;
6) в пункте 5 статьи 384 слова «конфиденциальная информация» заменить словами «информация, в отношении которой установлено требование конфиденциальности»;
7) в пункте 3 статьи 398 слово «конфиденциальной» заменить словами «информацией ограниченного доступа»;
8) в пункте 3 статьи 420 слова «конфиденциальной информации» заменить словами «иной информации, в отношении которой установлено требование конфиденциальности»;
9) статью 424 изложить в следующей редакции:
«Статья 424. Подтверждение соответствия программно-технических средств и средств защиты информации
Технические средства, предназначенные для обработки информации, содержащейся в используемых для таможенных целей информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.»;
10) наименование, пункты 1 и 2 статьи 427 изложить
в следующей редакции:
«Статья 427. Защита информации таможенными органами
1. Разработка, создание и использование специальных программно-технических средств и средств защиты информации осуществляются таможенными органами в соответствии с настоящим Кодексом и другими федеральными законами.
2. Уровень защиты информации, обеспечиваемый средством защиты информации, должен соответствовать категории доступа
к информации. Соответствие уровня защиты информации определенной категории доступа к информации обеспечивается таможенными органами, в ведении которых находятся информационные системы.».

Статья 28.
Внести в Федеральный закон от 7 июля 2003 г. № 126-ФЗ
«О связи» (Собрание законодательства Российской Федерации, 2003, № 28, ст. 2895; 2004, № 45, ст. 4377) следующие изменения:
1) в пункте 4 статьи 26 слова «не является коммерческой тайной» заменить словами «является общедоступной»;
2) в пункте 1 статьи 53 слова «конфиденциальной информацией» заменить словами «информацией ограниченного доступа»;
3) в статье 57:
а) в абзаце четвертом пункта 1 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
б) в абзаце четвертом пункта 2 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Статья 29.
Внести в Федеральный закон от 8 декабря 2003 г. № 164-ФЗ
«Об основах государственного регулирования внешнеторговой деятельности» (Собрание законодательства Российской Федерации, 2003, № 50, ст. 4850) следующие изменения:
1) в статье 17 слова «конфиденциальность информации, составляющей государственную, коммерческую и другую охраняемую законом тайну» заменить словами «защиту информации, составляющей государственную, коммерческую или иную охраняемую законом тайну, а также иной информации ограниченного доступа»;
2) подпункт «в» пункта 8 части 1 статьи 35 изложить
в следующей редакции:
«в) защиты от вмешательства в частную жизнь отдельных лиц
в отношении обработки и распространения сведений личного характера и защиты информации о личности и личных счетах, представляющей собой персональные данные, либо являющейся банковской или иной охраняемой законом тайной.».

Статья 30.
В части 4 статьи 28 Федерального закона от 8 декабря 2003 г. № 165-ФЗ «О специальных защитных, антидемпинговых
и компенсационных мерах при импорте товаров» (Собрание законодательства Российской Федерации, 2003, № 50, ст. 4851; 2007, № 1, ст. 43) слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Статья 31.
Часть 8 статьи 23 Федерального закона от 10 декабря 2003 г. № 173-ФЗ «О валютном регулировании и валютном контроле» (Собрание законодательства Российской Федерации, 2003, № 50, ст. 4859; 2005, № 30, ст. 3101; 2007, № 29, ст. 3480) изложить
в следующей редакции:
«8. Органы и агенты валютного контроля и их должностные лица обязаны соблюдать требование конфиденциальности информации, ставшей им известной при осуществлении
их полномочий».

Статья 32.
Внести в Федеральный закон от 27 июля 2004 г. № 79-ФЗ
«О государственной гражданской службе Российской Федерации» (Собрание законодательства Российской Федерации, 2004, № 31, ст. 3215; 2008, № 13, ст. 1186; № 52, ст. 6235) следующие изменения:
1) в статье 17:
а) в пункте 9 части 1 слова «сведениям конфиденциального характера» заменить словами «информации ограниченного доступа»;
б) в пункте 2 части 3 слова «сведения конфиденциального характера» заменить словами «информацию ограниченного доступа».
2) часть 3 статьи 20 изложить в следующей редакции:
«3. Сведения о доходах, об имуществе и обязательствах имущественного характера, представляемые гражданским служащим в соответствии с настоящей статьей, являются информацией ограниченного доступа, если федеральным законом они не отнесены
к сведениям, составляющим государственную тайну.».

Статья 33.
Внести в Федеральный закон от 29 июля 2004 г. № 98-ФЗ
«О коммерческой тайне» (Собрание законодательства Российской Федерации, 2004, № 32, ст. 3283; 2006, № 52, ст. 5497) следующие изменения:
1) пункт 5 части 1 статьи 10 изложить в следующей редакции:
«5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, либо включение
в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).»;
2) пункт 5 части 3 статьи 11 после слов «коммерческую тайну» дополнить словами «либо уничтожить (удалить) такую информацию под контролем работодателя».

Статья 34.
Внести в Федеральный закон от 30 декабря 2004 г. № 218-ФЗ
«О кредитных историях» (Собрание законодательства Российской Федерации, 2005, № 1, ст. 44; № 30, ст. 3121; 2007, № 31, ст. 4011) следующие изменения:
1) в части 2 статьи 1 слово «формирования» заменить словом «сбора», а слово «раскрытия» заменить словом «предоставления»;
2) в статье 6:
а) в части 4 слово «раскрывается» заменить словом «предоставляется»;
б) в пункте 2 части 6 слова «юридическая сила которого подтверждена» заменить словом «подписанного»;
в) в части 8 слова «юридическая сила которого подтверждена» заменить словом «подписанного»;
г) в части 9 слово «раскрывается» заменить словом «предоставляется»;
д) в части 11.1 слово «раскрывать» заменить словом «предоставлять».

Статья 35.
В части 2 статьи 9 Федерального закона от 18 мая 2005 г.
№ 51-ФЗ «О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации» (Собрание законодательства Российской Федерации, 2005, № 21, ст. 1919) слова «международной компьютерной» заменить словами «информационно-телекоммуникационной».

Статья 36.
В статье 12 Федерального закона от 21 июля 2005 г. № 108-ФЗ
«О Всероссийской сельскохозяйственной переписи» (Собрание законодательства Российской Федерации, 2005, № 30, ст. 3119):
1) пункт 1 изложить в следующей редакции:
«1. Содержащиеся в переписных листах сведения об объектах сельскохозяйственной переписи признаются информацией ограниченного доступа, не подлежат распространению
и используются в целях формирования соответствующих федеральных информационных ресурсов.»;
2) пункт 4 изложить в следующей редакции:
«4. Обязанность не разглашать сведения об объектах сельскохозяйственной переписи, являющиеся информацией ограниченного доступа и полученные в ходе проведения сельскохозяйственной переписи, должна предусматриваться договорами, заключаемыми с лицами, осуществляющими сбор сведений об объектах сельскохозяйственной переписи, либо
в отношении должностных лиц нормативными правовыми актами Правительства Российской Федерации.».
Статья 37.
Внести в статью 10 Федерального закона от 18 июля 2006 г. № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации» (Собрание законодательства Российской Федерации, 2006, № 30, ст. 3285) следующие изменения:
1) в части 2 слово «конфиденциальными» заменить словами «информацией ограниченного доступа»;
2) в части 3 слова «банках (базах) данных» заменить словом «системах».

Статья 38.
Внести в часть четвертую Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2006, № 52, ст. 5496) следующие изменения:
1) подпункт 1 пункта 1 статьи 1280 после слов «одного пользователя» дополнить словами «информационно-телекоммуникационной»;
2) в абзаце втором пункта 1 статьи 1334 слова «информационный носитель» заменить словами «материальный носитель»;
3) в подпункте 5 пункта 2 статьи 1484 слова «в сети «Интернет» заменить словами «в информационно-телекоммуникационной сети «Интернет»;
4) в подпункте 4 пункта 2 статьи 1519 слова «в сети «Интернет» заменить словами «в информационно-телекоммуникационной сети «Интернет»;
5) в пункте 2 статьи 1544 слова «сохранения тайны» заменить словами «конфиденциальности».

Статья 39.
Внести в Федеральный закон от 2 марта 2007 г. № 25-ФЗ
«О муниципальной службе в Российской Федерации» (Собрание законодательства Российской Федерации, 2007, № 10, ст. 1152; 2008, № 52, ст. 6235) следующие изменения:
1) в статье 14:
а) в пункте 8 части 1 слова «сведениям конфиденциального характера» заменить словами «информации ограниченного доступа»;
б) в части 3 слова «сведения конфиденциального характера» заменить словами «информацию ограниченного доступа»;
2) часть 2 статьи 15 изложить в следующей редакции:
«2. Сведения о доходах, об имуществе и обязательствах имущественного характера, представляемые муниципальным служащим в соответствии с настоящей статьей, являются информацией ограниченного доступа, если федеральным законом они не отнесены к сведениям, составляющим государственную тайну.».

Статья 40.
Пункт 22 части 3 статьи 3 Федерального закона от 17 мая 2007 г.
№ 82-ФЗ «О банке развития» (Собрание законодательства Российской Федерации, 2007, № 22, ст. 2562) изложить в следующей редакции:
«22) осуществляет в установленном порядке работы, связанные
с использованием информации, составляющей государственную тайну, иной информации ограниченного доступа и информации,
в отношении которой установлено требование конфиденциальности, обеспечивает защиту такой информации.».

Статья 41.
В пункте 22 части 1 статьи 15 Федерального закона
от 1 декабря 2007 г. № 317-ФЗ «О Государственной корпорации
по атомной энергии «Росатом» (Собрание законодательства Российской Федерации, 2007, № 49, ст. 6078) слова «конфиденциальной информации» заменить словами «информации ограниченного доступа и информации, в отношении которой установлено требование конфиденциальности».

Статья 42.
Внести в Федеральный закон от 13 мая 2008 г. № 68-ФЗ
«О центрах исторического наследия президентов Российской Федерации, прекративших исполнение своих полномочий» (Собрание законодательства Российской Федерации, 2008, № 20, ст. 2253) следующие изменения:
1) в пункте 10 части 2 статьи 3 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
2) в части 5 статьи 16 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
3) в части 5 статьи 17 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности».

Статья 43.
Внести в Федеральный закон от 24 июля 2008 г. № 161-ФЗ
«О содействии развитию жилищного строительства» (Собрание законодательства Российской Федерации, 2008, № 30, ст. 3617; № 49, ст. 5723) следующие изменения:
1) в части 6 статьи 4 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
2) части 5 статьи 9 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
3) в части 7 статьи 10 слова «конфиденциальную информацию» заменить словами «информацию, в отношении которой установлено требование конфиденциальности»;
4) в части 9 статьи 12 слова «сети «Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Статья 44.
Внести в Федеральный закон от 30 декабря 2008 г. № 307-ФЗ
«Об аудиторской деятельности» (Собрание законодательства Российской Федерации, 2009, № 1, ст. 15) следующие изменения:
1) в статье 9:
а) в части 2 слово «сохранять» заменить словами «соблюдать конфиденциальность информации, составляющей»;
б) в части 5 слова «обеспечить (сохранять)» заменить словом «соблюдать»;
2) в статье 23:
а) в части 6 слова «сети Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет»;
б) в части 7 слова «сети Интернет» заменить словами «информационно-телекоммуникационной сети «Интернет».

Президент
Российской Федерации
http://www.minkomsvjaz.ru/.cmsc/upload/ ... 1642Ak.doc

[Связной (С)]

Утвержденные приказом Минкомсвязи России от 25.08.2009 г № 104 требования, распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти". ... Приказ 104 от 25.08.2009 Целостность устойчивость информсист

[Erlang]

на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти

А где-то Перечень систем есть?
Понятно что часть под Грифом. Общедоступный.

[Связной (С)]

А где-то Перечень систем есть?

Наверно в Минсвязи перечень. Если не ошибаюсь Минсвязи ответственно и курирует вопросы информатизации органов власти...
Думаю это сети Ведомств: Запущена обновлённая версия сайта Минкомсвязи России
А вообще-то: Государственные информационные системы

[Связной (С)]

Неправомерный доступ к государственным информационным системам и (или) содержащимся в них государственным информационным ресурсам, в том числе размещенным в сети “Интернет”, повлекший уничтожение, блокирование, модификацию либо копирование информации, нарушение функционирования государственной информационной системы, наказывается штрафом от 200 000 до 500 000 руб. или в размере заработной платы или иного дохода осужденного за период до трех лет либо исправительными работами на срок от одного года до двух лет либо лишением свободы на срок до трех лет

Проект ФЗ Обеспечение безопасности госинформ ресурсов