Закон Республики Таджикистан «О защите информации»

Настоящий Закон устанавливает основополагающие принципы обеспечения защиты информации и регулирования правовых отношений возникающих в этой области.

Глава I. Общие положения

Статья 1. Цели защиты информации


К целям защиты информации относятся: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предупреждение санкционированных и несанкционированных действий, которые могут повлечь за собой преднамеренное или непреднамеренное уничтожение, блокирование, искажение (подделку), хищение, копирование, утечку, модифицирование и преобразование информации.

Статья 2. Основные понятия

В настоящем Законе используются следующие понятия:

техническое обеспечение информационной системы - совокупность технических средств, предназначенных для работы информационной системы, а также соответствующая документация на эти средства и технологические процессы;

программное обеспечение информационной системы - совокупность программ для реализации целей и задач информационной системы, а также для нормального функционирования комплекса технических средств;

защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования информации;

эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленным целям защиты;

контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты;

безопасность информации - состояние защищенности информации, обрабатываемой в информационных системах от внутренних или внешних угроз;

утечка информации - неконтролируемое распространение защищаемой информации в результате несанкционированного доступа;

несанкционированный доступ - получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником (владельцем) информации прав или правил доступа к защищаемой информации;

разглашение защищаемой информации - несанкционированное доведение защищаемой информации до потребителей, не имеющих прав доступа к этой информации;

модификация информации - изменения информации, которые требуют разрешения автора или собственника информации;

преобразование информации - изменения информации в результате операций, предписанных информационной системой или технологией;

искажение и подделка информации - изменение информации в результате произведенных операций по сокрытию, устранению, замене или внесению каких-либо элементов информации на синтаксическом, семантическом или прагматическом уровнях;

блокирование информации - действия, следствием которых является прекращение доступа к информации;

уничтожение информации - умышленное или неосторожное действие, вследствие которого информация перестает существовать для юридических или физических лиц в полном или ограниченном объеме;

сертификация средств защиты информации - процесс установления соответствия используемых средств защиты информации, требованиям государственных стандартов или иных нормативных документов Республики Таджикистан по защите информации.

Статья 3. Законодательство о защите информации

Законодательство Республики Таджикистан о защите информации основывается на Конституции Республики Таджикистан и состоит из настоящего Закона, других нормативно-правовых актов Республики Таджикистан, а также международных правовых актов, признанных Республикой Таджикистан.

Статья 4. Средства защиты информации

К средствам защиты информации относятся:

- организационные;

- технические;

- программные;

- аппаратные;

- физические;

- криптографические.

Статья 5. Объект защиты

Объектом защиты является документированная информация, по отношению к которой установлены определенные правила и ограничения ее использования законодательством Республики Таджикистан, владельцем или собственником такой информации.

Статья 6. Субъекты правоотношений в области защиты информации

Субъектами правоотношений в области защиты информации выступают государство в лице органов государственного управления, физические и юридические лица, имеющие в соответствии с законодательством Республики Таджикистан право на установление определенных правил и процедур по защите информации, а также ограничений при работе с информацией.

Статья 7. Гарантия юридической защиты

Субъекты правоотношений при обеспечении защиты информации имеют право на защиту от причиненного ущерба вследствие правомерных или неправомерных действий, повлекших за собой уничтожение, блокирование, искажение (подделку), хищение, копирование, утечку, модифицирование, преобразование информации, а также при нарушении авторских прав, прав владельцев или собственников информации в установленном порядке.

Статья 8. Регулирование отношений между субъектами правоотношений при обеспечении защиты информации

Отношения между субъектами правоотношений при обеспечении защиты информации регулируются законодательством Республики Таджикистан, определяющим категорию информации по уровню доступа к ней, порядку обеспечения защиты информации, а также договорами и соглашениями, заключенными между субъектами правоотношений.

Субъекты правоотношений обязаны информировать друг друга о свойствах, методах и формах обработки информации, ее защиты и получить согласие собственника или владельца информации на ее обработку.

Глава II. Организация защиты информации

Статья 9. Государственное регулирование и управление в области защиты информации


Государственный орган, уполномоченный Правительством Республики Таджикистан, осуществляет управление защитой информации путем:

- проведения единой технической политики по защите информации;

- разработки концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации;

- утверждения порядка организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся в собственности физических и юридических лиц;

- организации испытаний и сертификации средств защиты информации; создания ведомственных и отраслевых координационных структур для защиты информации;

- проведения аттестации работников сертификационных органов, центров и лабораторий, выдачи лицензий на право проведения сервисных работ в области защиты информации;

- осуществления контроля за выполнением работ по организации защиты информации; определения порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.

Министерства, ведомства и другие органы государственной власти и управления обеспечивают решение вопросов защиты информации в пределах своих полномочий.

Статья 10. Лицензирование деятельности в области защиты информации

Деятельность в области защиты информации подлежит лицензированию. Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации. Государственный орган, уполномоченный Правительством Республики Таджикистан, осуществляет лицензирование деятельности юридических и физических лиц в области защиты информации в пределах своей компетенции, установленной законодательством Республики Таджикистан по следующим видам деятельности:

- сертификация, сертифицированные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации;

- аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях;

- разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных технических средств обработки информации, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации;

- проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

- проектирование объектов в защищенном исполнении;

- подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.

Лицензия на право деятельности по защите информации выдается на конкретные виды деятельности на срок до трех лет, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается подавшему заявку на ее получение заявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности заявителя по заявленному направлению работ. Государственный орган, осуществляющий лицензирование деятельности в области защиты информации, в пределах своей компетенции обеспечивает выполнение следующих функций: организацию обязательного государственного лицензирования деятельности в области защиты информации; выдачу государственных лицензий; обеспечение научно-методического руководства лицензионной деятельностью; формирование и утверждение состава экспертных комиссий по направлениям деятельности в области защиты информации; осуществление контроля и надзора за полнотой и качеством проводимых лицензиатами работ в области защиты информации; обеспечение публикаций необходимых сведений о лицензионной деятельности; рассмотрение спорных вопросов, возникающих в ходе экспертизы заявителя. Государственный орган, осуществляющий лицензирование, имеет право приостановить или прекратить действие лицензии в установленном Законом порядке. Действия государственного органа, осуществляющего лицензирование в области защиты информации, могут быть обжалованы в судебных органах в установленном порядке.

Статья 11. Службы защиты информации

В государственных учреждениях и организациях могут создаваться подразделения, службы, которые организуют работу, связанную с защитой информации, поддержкой уровня защиты информации и несут ответственность за эффективность защиты информации в соответствии с требованиями настоящего Закона.

Статья 12. Финансирование работ

Работы, связанные с выполнением дополнительных требований по защите информации, отличной от сертификационной, финансируются физическим либо юридическим лицом, определившим их или на договорной основе.

Глава III. Общие требования к защите информации

Статья 13. Обеспечение защиты информации


Защита информации обеспечивается путем:

- соблюдения субъектами правовых отношений норм, требований и правил организационного и технического характера по защите информации;

- использования средств вычислительной техники, программного и аппаратного обеспечения и в целом средств защиты, отвечающих установленным требованиям по защите информации; осуществления контроля по защите информации.

Статья 14. Установление требований, правил и условий по защите информации

Требования и правила по защите информации, являющейся собственностью государства или информации, защита которой гарантируется государством, устанавливаются государственными органами, уполномоченными Правительством Республики Таджикистан.

Условия защиты информации в технических средствах обработки информации осуществляются в порядке, установленном соответствующим положением, утверждаемым Правительством Республики Таджикистан.

Эти требования, правила и условия по защите информации являются обязательными для субъектов этих отношений.

Статья 15. Функции Государственного органа по сертификации средств защиты информации

Средства защиты информации должны иметь сертификат государственного органа, уполномоченного Правительством Республики Таджикистан. В процессе сертификации средств защиты осуществляется также их проверка (аттестация). Собственник информации вправе обратиться в органы сертификации с ходатайством о проведении проверки средств защиты и получить соответствующее заключение. Создание и координация системы сертификации средств защиты информации по требованиям безопасности информации осуществляется уполномоченным Правительством Республики Таджикистан государственным органом, который осуществляет свою деятельность на основании законодательства Республики Таджикистан и положения о сертификации средств защиты информации по требованиям безопасности информации, утверждаемого Правительством Республики Таджикистан. Государственный орган, осуществляющий сертификацию средств защиты информации, обеспечивает выполнение следующих функций:

- создание и координация системы сертификации средств защиты информации по требованиям безопасности информации;

- создание и функционирование системы сертификации средств защиты информации; определение перечня средств защиты подлежащих обязательной сертификации;

- установление правил аккредитации и выдачи лицензий на проведение работ по сертификации;

- разработку и утверждение нормативных и методических документов системы сертификации средств защиты информации;

- ведение государственного реестра участников и объектов сертификации; осуществление государственного контроля и надзора (в том числе инспекционного) за соблюдением правил сертификации и за сертифицированными средствами защиты информации;

- рассмотрение апелляций по вопросам сертификации; организация периодической публикации сведений о системе сертификации, ее требованиях и правилах, с указанием перечня средств защиты информации подлежащих сертификации с их сертификационными параметрами, перечня органов по сертификации конкретных видов средств защиты информации, перечня испытательных центров (лабораторий), перечня нормативных документов на соответствие требованиям, по которым проводится сертификация средств защиты информации и методических документов по проведению сертификационных испытаний; координация деятельности органов по сертификации и испытательных органов (лабораторий), входящих в систему сертификации средств защиты информации.

Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации, и подлежат государственной регистрации в порядке, установленном Правительством Республики Таджикистан.

Статья 16. Сертификация средств защиты информации

Под объектами информатизации, аттестуемыми требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается и утверждается государственным органом, координирующим деятельность системы сертификации средств защиты информации. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.

Испытания средств защиты информации проводятся аккредитованными испытательными центрами (лабораториями) на их материально-технической базе, или по согласованию с государственным органом, осуществляющим координацию системы сертификации средств защиты информации на базе заявителя. Основанием проведения работ по сертификации является договор между участниками сертификации. Расходы по проведению сертификации средств защиты информации относятся на ее себестоимость. Решения о приостановлении или отмене действия сертификата и аттестата аккредитации принимает государственный орган, координирующий деятельность системы сертификации средств защиты информации.

Органы, осуществляющие деятельность по сертификации средств защиты информации, и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, других конфиденциальных сведений, а также за соблюдение авторских прав заявителей при испытаниях его средств защиты информации.

Неправомерные действия органов по сертификации могут быть обжалованы в судебном порядке.

Глава IV. Международная деятельность в области защиты информации

Статья 17. Взаимодействие по вопросам защиты информации


В целях обеспечения межгосударственного взаимодействия государственные органы, уполномоченные Правительством Республики Таджикистан, координируют в соответствии с международно-правовыми актами, признанными Республикой Таджикистан, свою работу по защите информации с органами защиты информации других государств.

Глава V. Заключительные положения

Статья 18. Ответственность за нарушение настоящего Закона

За нарушение требований настоящего Закона ответственность наступает в соответствии с законодательством Республики Таджикистан.

Нанесенный ущерб возмещается в полном объеме в добровольном или судебном порядке.

Статья 19. Введение в действие настоящего Закона

Настоящий Закон Республики Таджикистан ввести в действие после его официального опубликования.

Президент Республики Таджикистан

Э. Рахмонов


г. Душанбе, 2 декабря 2002 года, № 71

Опубликовано: Ахбори Маджлиси Оли Республики Таджикистан. 2002 г., № 11, ст. 696