Правовые основы деятельности по защите информации от несанкционированного доступа

Персональные данные.

Тайна следствия и судопроизводства.

Служебная тайна.

Профессиональные виды тайн (врачебная, нотариальная, адвокатская и т.д.).

Коммерческая тайна.

Сведения о сущности изобретения, полезной модели или промышленного  образца до официальной публикации информации о них.

В настоящее время ни один из перечисленных  институтов не урегулирован на уровне специального закона, что, естественно, не способствует улучшению защиты указанных  сведений.

7. Создание правовых механизмов защиты информации

Основную роль в создании правовых механизмов защиты информации играют органы государственной власти РФ.

Президент РФ является "гарантом" Конституции РФ, прав и свобод (в  том числе информационных) человека и гражданина, руководит деятельностью  федеральных органов исполнительной власти, ведающих вопросами безопасности, издает указы и распоряжения по вопросам, суть которых - информационная безопасность и защита информации.

 

 

Федеральное Собрание – парламент  Российской Федерации, состоящий из двух палат – Совета Федерации  и Государственной Думы, является законодательным органом Российской Федерации, формирующим законодательную  базу в области защиты информации. В структуре Государственной  Думы имеется Комитет по информационной политике, который организует законотворческую деятельность в информационной сфере. Комитетом разработана Концепция  государственной информационной политики, которая содержит раздел, посвященный  информационному законодательству. Концепция одобрена на заседании  Постоянной палаты по государственной  информационной политике Политического  консультативного совета при Президенте Российской Федерации 21 декабря 1998 года. Кроме того, в подготовке законопроектов, направленных на совершенствование  законодательства в области защиты информации, участвуют и другие комитеты Государственной Думы.

Еще одним органом, связанным с  нормативным правовым регулированием в области защиты информации, является формируемый Президентом Российской Федерации Совет Безопасности Российской Федерации.

Указом Президента Российской Федерации  от 19 сентября 1997 года № 1037 в целях  реализации возложенных на Совет  Безопасности Российской Федерации  задач в области обеспечения  информационной безопасности Российской Федерации была создана Межведомственная комиссия Совета Безопасности Российской Федерации по информационной безопасности, одной из задач которой является подготовка предложений по нормативному правовому регулированию вопросов информационной безопасности и защиты информации. Кроме того, аппаратом Совета Безопасности в соответствии с Концепцией национальной безопасности Российской Федерации подготовлен проект Доктрины информационной безопасности Российской Федерации.Особую роль в процессе формирования нормативной правовой базы в области защиты информации играет Межведомственная комиссия по защите государственной тайны, образованная Указом Президента Российской Федерации от 8 ноября 1995 года № 1108 в целях осуществления единой государственной политики в области засекречивания информации, а также координации деятельности органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ и нормативных документов.По решениям Межведомственной комиссии могут разрабатываться проекты указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации.

Решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами государственной власти субъектов  Российской Федерации, органами местного самоуправления, предприятиями, учреждениями, организациями, должностными лицами и  гражданами.

Организационно-техническое обеспечение  деятельности Межведомственной комиссии возложено на центральный аппарат  Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России).

Гостехкомиссия России является одним из основных органов, решающих проблемы защиты информации в Российской Федерации.

Правовой статус Гостехкомиссии России определен в Положении о Гостехкомиссии России, утвержденном Указом Президента Российской Федерации от 19 февраля 1999 года № 212, а также рядом других нормативных правовых актов.

Согласно Положению Гостехкомиссия России является федеральным органом исполнительной власти, осуществляющим межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования и по противодействию техническим средствам разведки на территории Российской Федерации (далее именуется - техническая защита информации).

Кроме того, Гостехкомиссией России подготовлен проект Каталога «Безопасность информационных технологий», в который войдут отечественная нормативная правовая база в области технической защиты информации, анализ зарубежных нормативных документов по информационной безопасности, перечень лицензиатов Гостехкомиссии России, перечень сертифицированных средств защиты информации и множество другой интересной для специалистов информации.

Что касается совершенствования законодательства субъектов Российской Федерации, то оно будет направлено на формирование в рамках единой системы обеспечения информационной безопасности Российской Федерации региональных систем обеспечения информационной безопасности субъектов Российской Федерации.

Таким образом, несмотря на то, что  в Российской Федерации за довольно короткое время сформировалась достаточно обширная нормативная правовая база в области информационной безопасности и защиты информации, в настоящее  время существует острая необходимость  в ее дальнейшем совершенствовании.

8. Правовая защита информации, информационных ресурсов и информационных систем от угроз несанкционированного и неправомерного воздействия посторонних лиц

Правовую основу второго направления  информационной безопасности составляют следующие информационные конституционные  нормы.

 «Статья 29 4. Перечень сведений, составляющих государственную тайну,  определяется федеральным законом».

 Конституция РФ охраняет  личную тайну, информацию о  личности или персональные данные  от вмешательства посторонних  лиц. 

 «Статья 23 1. Каждый имеет  право на неприкосновенность  частной жизни, личную и семейную  тайну, защиту своей чести и  доброго имени. 

2. Каждый имеет право на тайну  переписки, телефонных переговоров,  почтовых, телеграфных и иных  сообщений...». 

 При этом прямо запрещается кому бы то ни было собирать информацию о любом гражданине без его на то согласия.

 «Статья 24 1. Сбор, хранение, использование  и распространение информации  о частной жизни лица без  его согласия не допускаются».

 Конституцией РФ запрещается  также получать иную информацию  от любого гражданина без его  добровольного на то согласия  или убеждать его отказаться  от предоставленной ранее информации.

 Основной системообразующий набор норм, обеспечивающих защиту информации, информационных ресурсов, информационных систем от неправомерного вмешательства третьих лиц, развивающих содержание конституционных норм, содержится в Федеральном законе «Об информации, информатизации и защите информации».

 «Статья 21. Защита информации 1. Защите подлежит любая документированная  информация, неправомерное обращение  с которой может нанести ущерб  ее собственнику, владельцу, пользователю  и иному лицу.

 Режим защиты информации  устанавливается: 

 в отношении сведений, отнесенных  к государственной тайне, -уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

 в отношении конфиденциальной  документированной информации —  собственником информационных ресурсов  или уполномоченным лицом на  основании настоящего Федерального  закона;

 в отношении персональных  данных — федеральным законом».

К конфиденциальной информации относятся :

 сведения о фактах, событиях  и обстоятельствах частной жизни  гражданина, позволяющие идентифицировать  его личность (персональные данные), за исключением сведений, подлежащих  распространению в средствах  массовой информации в установленных  федеральными законами случаях; 

 сведения, составляющие тайну  следствия и судопроизводства;

 служебные сведения, доступ  к которым ограничен органами  государственной власти в соответствии  с Гражданским кодексом РФ  и федеральными законами (служебная  тайна);

 сведения, связанные с профессиональной  деятельностью, доступ к которым  ограничен в соответствии с  Конституцией РФ и федеральными  законами (врачебная, нотариальная, адвокатская тайна, тайна переписки,  телефонных переговоров, почтовых  отправлений, телеграфных или  иных сообщений и т.д.);

 сведения, связанные с коммерческой  деятельностью, доступ к которым  ограничен в соответствии с  Гражданским кодексом РФ и  федеральными законами (коммерческая  тайна);

 сведения о сущности изобретения,  полезной модели или промышленного  образца до официальной публикации  информации о них. 

2. Органы государственной власти  и организации, ответственные  за формирование и использование  информационных ресурсов, подлежащих  защите, а также органы и организации,  разрабатывающие и применяющие  информационные системы и информационные  технологии для формирования  и использования информационных  ресурсов ; ограниченным доступом, руководствуются в своей деятельности законодательством РФ.

3. Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ.

4. Организации, обрабатывающие  информацию с ограниченным доступом, которая является собственностью  государства, создают специальные  службы, обеспечивающие защиту информации.

5. Собственник информационных  ресурсов или уполномоченные  им лица имеют право осуществлять  контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований.

6. Собственник или владелец  документированной информации вправе  обращаться в органы государственной  власти для оценки правильности  выполнения норм и требований  по защите его информации в  информационных системах. Соответствующие органы определяет Правительство РФ. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки».

 Федеральным законом «Об  информации, информатизации и защите  информации» устанавливаются права  и обязанности субъектов в  области защиты информации.

 «Статья 22. Права и обязанности  субъектов в области защиты  информации 1. Собственник документов, массива документов, информационных  систем или уполномоченные им  лица... устанавливают порядок предоставления  пользователю информации с указанием  места, времени, ответственных  должностных лиц, а также необходимых  процедур и обеспечивают условия  доступа пользователей к информации.

2. Владелец документов, массива  документов, информационных систем  обеспечивает уровень защиты  информации в соответствии с  законодательством Российской Федерации. 

3. Риск, связанный с использованием  несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива  документов, информационных систем  может обращаться в организации,  осуществляющие сертификацию средств  защиты информационных систем  и информационных ресурсов, для  проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива  документов, информационных систем  обязан оповещать собственника  информационных ресурсов и (или)  информационных систем о всех фактах нарушения режима защиты информации».

 Законом предусматривается  защита прав субъектов в сфере  информационных процессов и информатизации.

 «Статья 23. Защита прав субъектов  в сфере информационных процессов  и информатизации 

1. Защита прав субъектов в  сфере формирования информационных  ресурсов, пользования информационными  ресурсами, разработки, производства  и применения информационных  систем, технологий и средств  их обеспечения осуществляется  в целях предупреждения правонарушений, пресечения неправомерных действий, восстановления нарушенных прав  и возмещения причиненного ущерба.

2. Защита прав субъектов в  указанной сфере осуществляется  судом, арбитражным судом, третейским  судом с учетом специфики правонарушений  и нанесенного ущерба.

3. За правонарушения при работе  с документированной информацией  органы государственной власти, организации и их должностные  лица несут ответственность в  соответствии с законодательством  РФ и субъектов Российской  Федерации. 

 Для рассмотрения конфликтных  ситуаций и защиты прав участников  в сфере формирования и использования  информационных ресурсов, создания  и использования информационных  систем, технологий и средств  их обеспечения могут создаваться  временные и постоянные третейские  суды.

 Третейский суд рассматривает  конфликты и споры сторон в  порядке, установленном законодательством  о третейских судах. 

4. Ответственность за нарушения международных норм и правил в области формирования и использования информационных ресурсов, создания и использования информационных систем, технологий и средств их обеспечения возлагается на органы государственной власти, организации и граждан в соответствии с договорами, заключенными ими с зарубежными фирмами и другими партнерами с учетом международных договоров, ратифицированных Российской Федерацией».