Правовые основы деятельности по защите информации от несанкционированного доступа

 Ответственность за правонарушения по этому направлению информационной безопасности регулируются нормами статей УК РФ: нарушение неприкосновенности частной жизни (ст. 137), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 138), незаконный экспорт технологий, научно-технической информации и услуг, сырья, материалов и оборудования, используемых при создании оружия массового поражения, вооружения и военной техники (ст. 189), неправомерный доступ к компьютерной информации (ст. 272), создание, использование и распространение вредоносных программ для ЭВМ (ст. 273), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

 Примером нормы об ответственности  в Кодексе РСФСР об административных  правонарушениях является ст. 4014 «Умышленное уничтожение, повреждение  печатных материалов, относящихся  к выборам, референдуму».

 В целом вопросы этого  направления правового обеспечения  информационной безопасности условно  разделяются на защиту открытой  информации и защиту информации  ограниченного доступа. 

 Защита открытой информации  осуществляется нормами института  документированной информации (см. гл. 8).

 Защита информации ограниченного  доступа регулируется нормами:  института государственной тайны  (см. гл. 16), института коммерческой  тайны (см. гл. 17), института персональных  данных (см. гл. 18), а также нормами  защиты других видов тайн.

9. Правовые основы деятельности по защите информации от несанкционированного доступа
1. О категориях информации

 При разработке законодательных  и других правовых и нормативных  документов, а также при организации  защиты информации важно правильно  ориентироваться во всем блоке  действующей законодательной базы  в этой области.  Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации в этой области, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации (далее - защита информации), а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий "служебная тайна" и "конфиденциальная информация".

 Базовым законом в области защиты информации является принятый в начале 1995 года Федеральный Закон "Об информации, информатизации и защите информации" (далее для краткости - "Закон об информации"), который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.

 В соответствие с этим  Законом должны быть приведены  ранее изданные Президентом Российской  Федерации и Правительством Российской  Федерации правовые акты, а также  все законодательство России (статья 25 Закона).

 Закон гласит:

информационные ресурсы делятся  на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ (статья 6, часть 1);

государственные информационные ресурсы  Российской Федерации формируются  в соответствии со сферами ведения  как: федеральные информационные ресурсы; информационные ресурсы, находящиеся  в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы  субъектов Российской Федерации (статья 7, часть 1);

государственные информационные ресурсы  являются ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная  информация, отнесенная законом к  категории ОГРАНИЧЕННОГО ДОСТУПА (статья 10, часть 1);

документированная информация с ограниченного  доступа по условиям ее правового  режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (статья 10, часть 2).

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);

ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных  информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).

 Из этого Закона следует: 

информация из любой области  знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено  ограничение доступа к ней  в установленном порядке;

категория "конфиденциальная информация", в соответствии с понятием, приведенным  выше из статьи 2 "Закона об информации", объединяет все виды защищаемой информации (тайн). Это относится и к государственным  и к негосударственным информационным ресурсам. При этом, исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание - статья 10, часть 2 указанного Закона). Этому положению "Закона об информации" не соответствует статья 8 Федерального закона "Об участии в международном информационном обмене" (1996 год), в которой делается ссылка на государственную тайну "ИЛИ ИНУЮ конфиденциальную информацию" (то есть информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации).

 Отнесение информации к категориям  осуществляется:

к государственной тайне - в соответствии с Законом Российской Федерации "О государственной тайне";

к конфиденциальной информации - в  порядке, установленном законодательством  РФ;

к персональным данным о гражданах - федеральным законом.

2. О режимах защиты информации

 В соответствии с "Законом  об информации" режим защиты  информации устанавливается (статья 21): в отношении сведений, отнесенных  к ГОСУДАРСТВЕННОЙ ТАЙНЕ, - уполномоченными  органами на основании Закона  Российской Федерации "О государственной  тайне";

в отношении конфиденциальной информации - СОБСТВЕННИКОМ информационных ресурсов или уполномоченным лицом на основании "Закона об информации"; в отношении  персональных данных - отдельным федеральным  законом.  Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной  власти или управления, организация, учреждение, предприятие.

3. О категории "служебная тайна"

 Категория "СЛУЖЕБНАЯ ТАЙНА"  ранее применялась для обозначения  сведений ведомственного характера  с грифом "секретно" и за  ее разглашение предусматривалась  уголовная ответственность. В  настоящее время эта категория  из Уголовного кодекса изъята  и в прежнем ее понимании  из правового поля исчезла  в связи с принятием в июле 1993 года Закона "О государственной  тайне" по двум причинам:

во-первых, информация с грифом "секретно" теперь составляет государственную  тайну;

во-вторых, применение грифов секретности  для других категорий информации не допускается в соответствии со статьей 8 указанного Закона.

 Вместе с тем, Гражданским  кодексом Российской Федерации,  введенным в действие с 1995 года, предусмотрена категория "служебная  тайна" в сочетании с категорией "коммерческая тайна". Статья 139 Кодекса гласит:

Информация составляет служебную  или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Информация, составляющая служебную  или коммерческую тайну, защищается способами, предусмотренными настоящим  Кодексом и другими законами.  Из этого следует, что произошло  изменение содержания категории "служебная  тайна": с января 1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в  государственных структурах, имеющая  коммерческую ценность. В отличие  от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому  служебная тайна является составной  частью конфиденциальной информации. В государственных структурах еще  может быть информация, имеющая политическую или иную ценность. Поскольку к  служебной тайне она не относится, ей необходимо присваивать гриф "конфиденциально" или иной гриф (к примеру, "для  служебного пользования", применяемый  в органах исполнительной власти и установленный постановлением Правительства Российской Федерации  от 3 ноября 1994 г. N 1233).

 За разглашение служебной  тайны уголовная ответственность  новым Уголовным кодексом РФ  не предусмотрена, в отличие  от коммерческой тайны (статья 183).

4. О некоторых вопросах организации защиты информации

 Первое. В одном органе государственной  власти (управления), в государственной  или коммерческой организации  могут циркулировать несколько  видов информации, как своей, так  и "чужой", то есть других  собственников информации, которые  передали ее им в установленном  порядке.  К примеру, в Банке  России это государственная тайна,  конфиденциальная информация (в  том числе служебная тайна), банковская  тайна, коммерческая тайна коммерческих  банков.  В коммерческом банке это государственная тайна и конфиденциальная информация, переданные ему государственными органами или организациями в установленном порядке; банковская тайна, коммерческая тайна о его коммерческой деятельности.  Следует уточнить, что охрана в кредитных организациях, в Банке России тайны об операциях, о счетах и вкладах клиентов и корреспондентов (банковская тайна), а также иных сведений, устанавливаемых кредитной организацией, предусмотрено статьей 26 Федерального закона "О банках и банковской деятельности". Под иными сведениями, необходимо понимаются сведения о "производственной" (коммерческой) деятельности соответствующей организации, не подпадающие под понятие банковской тайны, но так же, как и она, не подлежащие, по решению этой организации, широкому распространению.  Очевидно, что организация защиты информации в государственных и коммерческих кредитных организациях имеет свою специфику и требует единого подхода и координации со стороны Банка России.

5. О контроле состояния защиты конфиденциальной информации

 Статьей 21 (часть 3) "Закона  об информации" предусмотрен контроль  со стороны органов государственной  власти за соблюдением требований  к защите информации с ограниченным  доступом, порядок которого определяет  Правительство Российской Федерации. 

 Это означает, что контроль  состояния защиты должен охватывать  все три составляющие информации  с ограниченным доступом, входящей  в государственные информационные  ресурсы: 

информацию, составляющую государственную  тайну;

конфиденциальную информацию;

персональные данные о гражданах.  При этом, контроль в равной степени  должен охватывать и негосударственные  структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.Правовая охрана программ и баз данных. Охрана интеллектуальных прав, а также прав собственности распространяется на все виды программ для компьютера, которые могут быть выражены на любом языке и в любой форме, включая исходный текст на языке программирования и машинный код. Однако правовая охрана не распространяется на идеи и принципы, лежащие в основе программы, в том числе на идеи и принципы организации интерфейса и алгоритма.

Правовая охрана программ для ЭВМ  и баз данных впервые в полном объеме введена в Российской Федерации  Законом "О правовой охране программ для электронных вычислительных машин и баз данных", который  вступил в силу в 1992 году.

Для признания авторского права  на программу для компьютера не требуется  ее регистрации в какой-либо организации. Авторское право на программу  возникает автоматически при  ее создании. Для оповещения о своих  правах разработчик программы может, начиная с первого выпуска  в свет программы, использовать знак охраны авторского права, состоящий  из трех элементов:

- буквы "С" в окружности  © или круглых скобках (с);

- наименования (имени) правообладателя;

- года первого выпуска программы  в свет.

Например, знак охраны авторских прав на текстовый редактор Word выглядит следующим образом: © Корпорация Microsoft, 1983-2003.

Автору программы принадлежит  исключительное право осуществлять воспроизведение и распространение  программы любыми способами, а также  модифицировать программу. Организация  или пользователь, правомерно владеющие  экземпляром программы (купившие лицензию на ее использование), могут осуществлять любые действия, связанные с функционированием  программы, в том числе ее запись и хранение в памяти компьютера.

Необходимо знать и выполнять  существующие законы, запрещающие нелегальное  копирование и использование  лицензионного программного обеспечения. В отношении организаций или  пользователей, которые нарушают авторские  права, разработчик может потребовать  через суд возмещения причиненных  убытков и выплаты нарушителем  компенсации.

 

 

 

 

 

 

 

10.  Заключение

В заключение хотелось бы подчеркнуть и о международном  сотрудничестве Российской Федерации  в области защиты информации. С учетом исторического опыта в качестве основных партнеров для сотрудничества в данной области Российская Федерация рассматривает государства – члены СНГ. Однако нормативная база по вопросам защиты информации в рамках СНГ развита недостаточно. Представляется перспективным осуществлять указанное сотрудничество в направлении гармонизации законодательной базы государств, их национальных систем стандартизации, лицензирования, сертификации и подготовки кадров в области защиты информации. В рамках практической реализации Соглашения о взаимном обеспечении сохранности межгосударственных секретов, подписанного 22 января 1993 года в г. Минске, Правительством Российской Федерации был заключен ряд международных договоров в области защиты информации (с Республикой Казахстан, Республикой Белоруссия и с Украиной).