Правовые основы защиты информации

 Правовые основы защиты информации

 

Статья 21 Закона «Об информации, информатизации и защите информации» (№24-ФЗ от 25.01.95г.), гласит, что «защите  подлежит любая документированная  информация, неправомерное обращение  с которой может нанести ущерб  ее собственнику, владельцу, пользователю и иному лицу».

Понятие информации с  правовой точки зрения, как сведений о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления,  дается в ст. 2 данного закона. Важнейшее  условие защиты информации – ее документированность (первая норма ст.4.2.).Документированная информация (документ) – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (ст. 2.).

 Цели защиты информации:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

- обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Защите подлежит любая  документированная информация, неправомерное  обращение с которой может  нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Контроль за соблюдением  требований к защите информации и  эксплуатацией специальных программно-технических  средств защиты, а также обеспечение  организационных мер защиты информационных систем, обрабатывающих информацию с  ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти.

Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

Собственник документа, массива документов, информационных систем или уполномоченные им лица в соответствии с законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документа, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством.

Риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из не сертифицированной системы, лежит на потребителе информации.

Защита прав субъектов  в сфере формирования информационных ресурсов, пользования ими, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав и возмещения причиненного ущерба.

Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и на граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров.

Отказ в доступе к  открытой информации или предоставление пользователям заведомо недостоверной  информации могут быть обжалованы в  судебном порядке.

Руководители и другие служащие органов государственной  власти, организаций, виновные в незаконном ограничении доступа к информации и нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Однако ряд нормативных  положений по защите информации в  автоматизированных системах, разработанных  ранее, не соответствует современным  требованиям и современным информационным технологиям. Работы в этом направлении заметно отстают от потребностей и носят однобокий характер 
(в основном сведены к защите информации от утечки по техническим каналам перехвата).

Пока еще отсутствует  нормативно-правовая и методическая база для построения автоматизированных и вычислительных систем в защищенном исполнении, пригодных для обработки секретной информации в государственных учреждениях и коммерческих структурах.

Круг носителей информации определяется возможными Формами ее существования (представления):

- традиционная текстовая или графическая формы – в виде описаний и чертежей (рисунков),

- вещественная (предметная) форма  – в виде образцов всевозможных  изделий,

- машинная форма – в виде  комбинаций, символов двоичной системы  счисления,

- сигнальные формы – в виде параметра или комбинации параметров колебаний какого-либо физического процесса: электрического тока или напряжения, магнитного, электромагнитного, гравитационного, акустического и др. полей.

Следовательно, материальными  носителями информации могут выступать:

- материалы и вещества (в т.ч. газообразные - запахи),

- физические процессы  и поля (электрическое, магнитное,  гравитационное, электромагнитное  и др.).

Другим важным условием защиты информации является наличие  реквизитов у документа. Реквизиты  служат для обеспечения (подтверждения) подлинности документов, т.е. придают документам юридическую силу. Государственный стандарт РФ ГОСТ Р 6.30-2003 «Унифицированный системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов» определяет состав и порядок применения реквизитов документов. Всего в стандарте описаны 30 реквизитов. Примерами могут быть:Государственный герб РФ; Герб субъекта РФ; Эмблема организации или товарный знак и т.д.

При этом не обязательно, чтобы при документации были использованы все реквизиты. Набор реквизитов в различных документах моет быть различным. Следует иметь в виду, что текст документа – это главный реквизит.

Таким образом, определение  документа, данное в ст. 2 Закона позволяет считать документом информацию в виде текста без каких – либо иных реквизитов типа подписей, дат и т.п. Такой документ (только в виде текста) подлежит защите по закону без проведения каких бы то ни было дополнительных процедур.

В делопроизводстве и архивном деле существует уточняющее для этих сфер деятельности понятие официального документа (по ГОСТ Р 51141-98). Официальным, т.е. имеющим право на использование в организации, считается только документ, «созданный юридическим или физическим лицом, оформленный и удостоверенный в установленном порядке». Для таких документов определены требования к минимальному составу реквизитов стандартами ГОСТ 6.10.4-84 и ГОСТ 6.10.5-87. Оба норматива устанавливают состав реквизитов, придающих документной записи юридическую силу документа с точки зрения делопроизводства и поэтому называемых обязательными. Таковыми являются: наименование организации, наименование документа, дата документа, индекс документа, код организации (ОКПО), код формы документа (ОКУД), подпись, местонахождение организации.

Понятие «реквизит документа» необходимо для определения момента  наступления юридической ответственности  за несанкционированные действия с  документированной информацией.

Важнейшим реквизитом, подтверждающим подлинность электронных документов (ЭД), является электронная цифровая подпись (ЭЦП) – продукт высоких технологий, получаемы в результате криптографического преобразования защищаемого документа с использованием секретного (закрытого) ключа шифрования информации и проставляемы в ЭД. Впервые норма о возможности применения ЭЦП в качестве реквизита подтверждающего подлинность ЭД появилась в ст. 5 Закона №24-ФЗ-95г., впоследствии был принят специальный закон №1-ФЗ-2002 г. «Об электронной цифровой подписи», по которому ЭЦП признается равнозначной собственноручной подписи в документе на бумажном носителе.

Понимание порядка и  правил документирования информации может  уберечь ее собственника от лишних проблем. Одна из них касается информации в электронном виде. В любой  организации для внутреннего использования или на домашнем компьютере частного лица, естественно, ЭЦП не пользуются. Отсюда вытекает, что потенциальный нарушитель может безбоязненно пользоваться такой информацией в электронном виде, не неся за это ответственности.

Право собственности на документы вводится в соответствии со второй нормой ст. 4.2. Закона № 24-ФЗ-95г. Вторая норма касается понятия имущественной собственности на информацию.

Введение понятия информации как материального имущества  важнейшая особенность Закона «Об информации»: «Информационные ресурсы как элемент состава имущества…» - читаем мы в законе. «Информационные ресурсы могут быть товаром за исключением случаев, предусмотренных законодательством РФ» - читаем далее.

Законом «Об информации…» и Гражданским кодексом РФ определено, что информационные ресурсы, системы, технологии и средства их обеспечения могут быть объектами собственности физических, юридических лиц и государства.

Собственник – субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения.

Владелец – субъект, осуществляющий владение и пользование, реализующий полномочия распоряжения.

Пользователь – субъект, обращающийся к информационной системе  или посреднику за получением необходимой  ему информации и пользующийся ею.

Определены так же права и обязанности субъектов.

Собственник информационных ресурсов пользуется всеми правами, предусмотренными законодательством, в том числе:

- устанавливать в пределах  своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

- определять условия  распоряжения документами при  их копировании и распространении.

- устанавливать порядок  предоставления информации пользователю,

- осуществлять контроль  за выполнением требований по  защите информации и запрещать  обработку информации в случае невыполнения этих требований.

Владелец документов, информационных систем:

- обеспечивает пользователей  информацией на основе законодательства, а также договоров на услуги  по информационному обеспечению.

- обеспечивает уровень защиты информации в соответствии с законодательством РФ;

- обеспечивает соблюдение режима  обработки и правил предоставления  информации пользователю, установленных  законодательством или собственником  этих информационных ресурсов.

- несет юридическую ответственность за нарушение правил работы с информацией.

Пользователи обладают равными  правами на доступ к государственным  информационным ресурсам, не обязаны  обосновывать необходимость получения запрашиваемой информации. Исключение составляет информация с ограниченным доступом.

Часто определенную сложность вызывает установление права собственности, т.е. определение собственника информационных ресурсов.

Закон «Об информации…» поясняет:

«Физические и юридические лица являются собственниками тех документов, массивов документов, которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования».

Информационные ресурсы, являющиеся собственностью государства, находятся  в ведении органов государственной  власти и организации в соответствии с компетенцией, подлежат учету и защите в составе государственного имущества.

Информационные ресурсы физических и юридических лиц, созданные  или приобретенные на законных основаниях за счет средств собственных бюджетов, являются их собственностью, учитываются на праве материального имущества и могут быть переданы на возмездной или безвозмездной основе другим физическим и юридическим лицам или государству на праве собственности, владения или пользования.

Информационные ресурсы могут быть товаром, за исключением, случаев, предусмотренных законодательством РФ. Кроме того, статьей 128 Гражданского кодекса (ч.1) введено понятие интеллектуальной собственности как объекта имущественных прав: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность); нематериальные блага». Статья 138 ГК РФ несколько конкретизирует понятие интеллектуальной собственности: «В случаях и в порядке, установленных настоящим Кодексом и другими законами, признается исключительное право (интеллектуальная собственность) гражданина или юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации юридического лица, индивидуализации продукции, выполняемых работ или услуг (фирменное наименование, товарный знак, знак обслуживания и.т.п.)».