ЗАКОН
РЕСПУБЛИКА ТАДЖИКИСТАН
(Ахбори Маджлиси Оли РТ 2002год, №11, ст. 696; 2005год, №12, ст.646)
Настоящий Закон устанавливает основополагающие принципы обеспечения защиты информации и регулирования правовых отношений возникающих в этой области.
Глава I. Общие положения
Статья 1. Цели защиты информации
К целям защиты информации относятся:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предупреждение санкционированных и несанкционированных действий, которые могут повлечь за собой преднамеренное или непреднамеренное уничтожение, блокирование, искажение (подделку), хищение, копирование, утечку, модифицирование и преобразование информации.
Статья 2. Основные понятия
В настоящем Законе используются следующие понятия:
-техническое обеспечение информационной системы – совокупность технических средств, предназначенных для работы информационной систе-мы, а также соответствующая документация на эти средства и технологические процессы;
-программное обеспечение информационной системы – совокупность программ для реализации целей и задач информационной системы, а также для нормального функционирования комплекса технических средств;
-защита информации -комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования информации;
-эффективность защиты информации -степень соответствия достигнутых результатов действий по защите информации поставленным целям защиты;
-контроль эффективности защиты информации -проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты;
-безопасность информации -состояние защищенности информации, обрабатываемой в информационных системах от внутренних или внешних угроз;
-утечка информации -неконтролируемое распространение защищаемой информации в результате несанкционированного доступа;
-несанкционированный доступ -получение защищаемой информации заинтересо-ванным субъектом с нарушением установленных правовыми документами или собственником (владельцем) информации прав или правил доступа к защищаемой информации;
-разглашение защищаемой информации -несанкционированное доведение защищаемой информации до потребителей, не имеющих прав доступа к этой информации;
-модификация информации -изменения информации, которые требуют разрешения автора или собственника информации;
-преобразование информации -изменения информации в результате операций, предписанных информационной системой или технологией;
-искажение и подделка информации -изменение информации в результате произведенных операций по сокрытию, устранению, замене или внесению каких-либо элементов информации на синтаксическом, семантическом или прагматическом уровнях;
-блокирование информации -действия, следствием которых является прекращение доступа к информации;
-уничтожение информации -умышленное или неосторожное действие, вследствие которого информация перестает существовать для юридических или физических лиц в полном или ограниченном объеме;
-сертификация средств защиты информации -процесс установления соответствия используемых средств защиты информации, требованиям государственных стандартов или иных нормативных документов Республики Таджикистан по защите информации.
Статья 3. Законодательство о защите информации
Законодательство Республики Таджикистан о защите информации основывается на Конституции Республики Таджикистан и состоит из настоящего Закона, других нормативно -правовых актов Республики Таджикистан, а также международных правовых актов, признанных Республикой Таджикистан.
Статья 4. Средства защиты информации
К средствам защиты информации относятся:
-организационные;
-технические;
-программные;
-аппаратные;
-физические;
-криптографические.
Статья 5. Объект защиты
Объектом защиты является документированная информация, по отношению к которой установлены определенные правила и ограничения ее использования законодательством Республики Таджикистан, владельцем или собственником такой информации.
Статья 6. Субъекты правоотношений в области защиты информации
Субъектами правоотношений в области защиты информации выступают государство в лице органов государственного управления, физические и юридические лица, имеющие в соответствии с законодательством Республики Таджикистан право на установление определенных правил и процедур по защите информации, а также ограничений при работе с информацией.
Статья 7. Гарантия юридической защиты
Субъекты правоотношений, при обеспечении защиты информации имеют право на защиту от причиненного ущерба вследствие правомерных или неправомерных действий, повлекших за собой уничтожение, блокирование, искажение (подделку), хищение, копирование, утечку, модифицирование, преобразование информации, а также при нарушении авторских прав, прав владельцев или собственников информации в установленном порядке.
Статья 8. Регулирование отношений между субъектами правоотношений при обеспечении защиты информации
Отношения между субъектами правоотношений при обеспечении защиты информации регулируются законодательством Республики Таджикистан, определяющим категорию информации по уровню доступа к ней, порядка обеспечения защиты информации, а также договорами и соглашениями, заключенными между субъектами правоотношений.
Субъекты правоотношений обязаны информировать друг друга о свойствах, методах и формах обработки информации, ее защиты и получить согласие собственника или владельца информации на ее обработку.
Глава П. Организация защиты информации
Государственный орган, уполномоченный Правительством Республики Таджикистан, осуществляет управление защитой информации путем:
-проведения единой технической политики по защите информации;
-разработки концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации;
-утверждения порядка организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся в собственности физических и юридических лиц;
-организации испытаний и сертификации средств защиты информации;
-создания ведомственных и отраслевых координационных структур для защиты информации;
-проведения аттестации работников сертификационных органов, центров и лабораторий, выдачи лицензий в области защиты информации;
-осуществления контроля за выполнением работ по организации защиты информации;
-определения порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.
Министерства, ведомства и другие органы государственной власти и управления обеспечивают решение вопросов защиты информации в пределах своих полномочий,
Статья 10. Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации осуществляется в соответствии Законом Республики Таджикистан «О лицензировании отдельных видов деятельности».
Статья 11. Службы защиты информации
В государственных учреждениях и организациях могут создаваться подразделения, службы, которые организуют работу, связанную с защитой информации, поддержкой уровня защиты информации и несут ответственность за эффективность защиты информации в соответствии с требованиями настоящего Закона.
Статья 12. Финансирование работ
Работы, связанные с выполнением дополнительных требований по защите информации, отличной от сертификационной, финансируются физическим либо юридическим лицом, определившим их или на договорной основе.
Глава III. Общие требования к защите информации
Защита информации обеспечивается путем:
-соблюдения субъектами правовых отношений норм, требований и правил организационного и технического характера по защите информации;
-использования средств вычислительной техники, программного и аппаратного обеспечения и в целом средств защиты, отвечающих установленным требованиям по защите информации; осуществления контроля по защите информации.
Статья 14. Установление требований, правил и условий по защите информации
Требования и правила по защите информации, являющейся собственностью государства или информации, защита которой гарантируется государством, устанавливаются государственными органами, уполномоченными Правительством Республики Таджикистан.
Условия защиты информации в технических средствах обработки информации осуществляются в порядке, установленном соответствующим положением, утверждаемым Правительством Республики Таджикистан.
Эти требования, правила и условия по защите информации являются обязательными для субъектов этих отношений.
Статья 15. Функции Государственного органа по сертификации средств защиты информации
Средства защиты информации должны иметь сертификат государственного органа уполномоченного Правительством Республики Таджикистан.
В процессе сертификации средств защиты осуществляется также их проверка (аттестация).
Собственник информации вправе обратиться в органы сертификации с ходатайством о проведении проверки средств защиты и получить соответствующее заключение.
Создание и координация системы сертификации средств защиты информации по требованиям безопасности информации осуществляется уполномоченным Правительством Республики Таджикистан государственным органом, который осуществляет свою деятельность на основании законодательства Республики Таджикистан и положения о сертификации средств защиты информации по требованиям безопасности информации, утверждаемого Правительством Республики Таджикистан.
Государственный орган, осуществляющий сертификацию средств защиты информации, обеспечивает выполнение следующих функций:
-создание и координация системы сертификации средств защиты информации по требованиям безопасности информации;
-создание и функционирование системы сертификации средств защиты информации;
-определение перечня средств защиты подлежащих обязательной сертификации;
-установление правил аккредитации на проведение работ по сертификации;
разработку и утверждение нормативных и методических документов системы сертификации средств защиты информации;
ведение государственного реестра участников и объектов сертификации;
осуществление государственного контроля и надзора (в том числе инспекционного) за соблюдением правил сертификации и за сертифицированными средствами защиты информации;
рассмотрение апелляций по вопросам сертификации;
организация периодической публикации сведений о системе сертификации, ее требованиях и правилах, с указанием перечня средств защиты информации подлежащих сертификации с их сертификационными параметрами, перечня органов по сертификации конкретных видов средств защиты информации, перечня испытательных центров (лабораторий), перечня нормативных документов на соответствие требованиям, по которым проводится сертификация средств защиты информации и методических документов по про-ведению сертификационных испытаний;
координация деятельности органов по сертификации и испытательных органов (лабораторий), входящих в систему сертификации средств защиты информации.
Система сертификации средств защиты информации по требованиям безопасности информации включает в себя и аттестацию объектов информатизации по требованиям безопасности информации, и подлежат государственной регистрации в порядке, установленном Правительством Республики Таджикистан.
Статья 16. Сертификация средств защиты информации
Под объектами информатизации, аттестуемыми требованиям безопасности информации, понимаются автоматизированные системы (АС) различного уровня и назначения, системы связи, отображения и размножения документов вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается и утверждается государственным органом, координирующим деятельность системы сертификации средств защиты информации.
В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.
Испытания средств защиты информации проводятся аккредитованными испытатель-ными центрами (лабораториями) на их материально-технической базе, или по согласованию с государственным органом, осуществляющим координацию системы сертификации средств защиты информации на базе заявителя.
Основанием проведения работ по сертификации является договор между участниками сертификации.
Расходы по проведению сертификации средств защиты информации относятся на ее себестоимость.
Решения о приостановлении или отмене действия сертификата и аттестата аккредитации принимает государственный орган, координирующий деятельность системы сертификации средств защиты информации.
Органы, осуществляющие деятельность по сертификации средств защиты информации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственной тайны, других конфиденциальных сведений, а также за соблюдение авторских прав заявителей при испытаниях его средств защиты информации.
Неправомерные действия органов по сертификации могут быть обжалованы в судебном порядке.
Глава IV. Международная деятельность в области защиты информации
В целях обеспечения межгосударственного взаимодействия государственные органы, уполномоченные Правительством Республики Таджикистан, координируют в соответствии с международно-правовыми актами, признанными Республикой Таджикистан, свою работу по защите информации с органами защиты информации других государств.
Глава V. Заключительные положения
Статья 18. Ответственность за нарушение настоящего Закона
За нарушение требований настоящего Закона ответственность наступает в соответствии с законодательством Республики Таджикистан. Нанесенный ущерб возмещается в полном объеме в добровольном или судебном порядке.
Статья 19. Введение в действие настоящего Закона
Настоящий Закон Республики Таджикистан ввести в действие после его официального опубликования.
Президент
Республики Таджикистан Э. Рахмонов
г. Душанбе 2 декабря 2002 года
№71
ПОСТАНОВЛЕНИЕ МАДЖЛИСИ МИЛЛИ МАДЖЛИСИ ОЛИ РЕСПУБЛИКИ ТАДЖИКИСТАН
Рассмотрев Закон Республики Таджикистан "О защите информации", Маджлиси милли Маджлиси Оли Республики Таджикистан постановляет:
Одобрить Закон Республики Таджикистан "О защите информации".
Председатель Маджлиси милли Маджлиси
Оли Республики Таджикистан М. Убайдуллоев
г. Душанбе 12 ноября 2002 года
№ 334
ПОСТАНОВЛЕНИЕ МАДЖЛИСИ НАМОЯНДАГОН МАДЖЛИСИ ОЛИ РЕСПУБЛИКИ ТАДЖИКИСТАН
Маджлиси намояндагон Маджлиси Оли Республики Таджикистан постановляет:
-представить в Маджлиси намояндагон Маджлиси Оли Республики Таджикистан предложения по приведению законов Республики Таджикистан в соответствие с настоящим Законом.
г. Душанбе 15 мая 2002 года
№631