- •Уварова и.В. Правовые аспекты охраны информации
- •Часть 1
- •080801 - «Прикладная информатика (в сфере сервиса)»
- •Содержание
- •I. Введение
- •II. Информационная сфера как объект правового регулирования
- •Состав и содержание информационной сферы
- •Предметная область создания и распространения исходной и производной информации
- •Предметная область формирования информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг
- •Предметная область реализации права на поиск, получение, передачу и потреблении информации
- •Предметная область создания и применения информационных систем, информационных технологий и средств их обеспечения
- •Предметная область создания и применения средств и механизмов информационной безопасности
- •Контрольные вопросы
- •III. Информация с ограниченным доступом
- •Состав информационных ресурсов по доступности
- •Право на доступ к информации
- •Цели и задачи защиты информации
- •Права и обязанности субъектов в области защиты информации
- •Защита прав субъектов в сфере информационных процессов и на доступ к информации
- •Контрольные вопросы
- •IV. Обеспечение информационной безопасности
- •Обеспечение безопасности в информационной сфере Понимание значения обеспечения безопасности в информационной сфере
- •Содержание деятельности по обеспечению информационной безопасности
- •Безопасность и соблюдение правового режима
- •Угрозы, риски, правонарушения в области информационной безопасности Понятия угроз, рисков, правонарушений
- •Внешние и внутренние угрозы и их источники
- •Правовое оформление гарантий обеспечения информационной безопасности
- •Вертикальное и горизонтальное строение права
- •Вертикальное строение права
- •Горизонтальное строение права
- •Структура и состав информационного законодательства
- •Структура правоотношений и виды юридической ответственности
- •Контрольные вопросы
- •"Патентный закон рф" от 23 сентября 1992 г. № 3517-I с изменениями и дополнениями, внесенными Федеральным законом от 07 февраля 2003.
- •Правовая охрана изобретения
- •Условия патентоспособности изобретения
- •Автор изобретения
- •Патентообладатель
- •Права и обязанности патентообладателя
- •Предоставление права на использование изобретения
- •Нарушение патента
- •Ответственность за нарушение прав авторов
- •Закон рф "о конкуренции и ограничении монополистической деятельности на товарных рынках"
- •Закон рф "о коммерческой тайне" принят 2004г. (ред. 2007г.) часть статей утратили силу с 1 января 2008 г. В связи с принятием в 2006 г. Гк рф
- •Контрольные вопросы
- •VI. Законодательство об информационной безопасности
- •Законодательство об информационной безопасности
- •Защита информации, циркулирующей в телефонных и др. Линиях связи
- •Радиоэлектронные средства связи
- •Специальные технические средства получения информации
- •Контрольные вопросы
- •Список литературы
- •Уварова Ирина Викторовна Прававые аспекты Охраны информации
- •Часть 1
Правовое оформление гарантий обеспечения информационной безопасности
В Законе об информации при закреплении сферы действия этого закона сказано, что закон регулирует отношения по обеспечению «защиты информации». Соответственно, этот Закон содержит специальную ст. 16, которая так и называется: «Защита информации». В ч. 1 этой статьи установлено, что: «Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3)реализацию права на доступ к информации».
Наиболее подробно здесь обозначены угрозы, которые могут вызывать необходимую систему мер правовых, организационных и технических. Они обозначены как неправомерный доступ, неправомерное уничтожение, изменение, блокирование, копирование, передача, распространение и иные неправомерные действия. При этом для того, чтобы возникли отношения по обеспечению информационной безопасности, необходима формальная фиксация состояния условий, о которых сказано выше. Необходимо зафиксировать, по крайней мере, обстоятельства, которые касаются того, какой информационный объект подвергается неправомерному посягательству; со стороны каких субъектов; кто должен обеспечить их безопасность.
Так, при характеристике информационного объекта важно уяснить, представлен ли он в форме документа, совокупности документов — базой данных, либо информационной системой, т.е. совокупностью не только данных, но и программным обеспечением, которое также может быть подвергнуто незаконному доступу и другим незаконным действиям. Важно и то, к какой категории доступа относится информационный объект: является ли он общедоступным или отнесен к объектам ограниченного доступа. Объектом незаконного доступа, очевидно, могут быть и входные и выходные средства информационной системы в сеть. Все эти обстоятельства имеют большое значение для квалификации действий по несанкционированному вмешательству в информационную систему или ее компоненты.
Закон называет три категории субъектов, которые должны сами обеспечить соблюдение определенных требований по обеспечению информационной безопасности.
Это такие субъекты, как: обладатель информации (не сказано, законный или незаконный); оператор, а также распространитель информации, очевидно СМИ.
Попробуем обозначить распределение их ролей относительно принимаемых мер в форме табл. 2.
Таблица 2 Распределение обязанностей участников обеспечения безопасности информационных систем по Закону об информации
|
Меры по обеспечению информационной безопасности |
Обладатель |
Оператор |
Распространитель |
|
Предотвращение несанкционированного доступа |
+ |
+ |
- |
|
Передача лицам без права доступа |
- |
+ |
+ |
|
Обнаружение факта несанкционированного доступа |
+ |
+ |
- |
|
Предупреждение неблагоприятных последствий |
+ |
+ |
+ |
|
Недопущение воздействия на технические средства обработки информации |
+ |
+ |
+ |
|
Возможность незамедлительного восстановления информации, измененной или уничтоженной субъектом несанкционированного доступа |
+ |
+ |
? |
|
Постоянный контроль за обеспечением уровня защищенности информации |
+ |
+ |
? |
Стоит обратить внимание на то, что в составе субъектов не обозначен пользователь, а также что обязанности распространителя в части перечисленных функций остаются неурегулированными. Но и эти три вида субъектов в соответствии со своим правовым статусом будут реализовывать разные меры предотвращения несанкционированного доступа к открытой информации, к информации ограниченного доступа, а также отнесенной к государственной тайне.
В части 2 ст. 16 Закона «Об информации» указано: «Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации».
В части 5 этой же статьи устанавливается, что требования по защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. О требованиях к защите информации и информационных технологий корпоративных информационных систем и частных систем в этом Законе ничего не сказано. Между тем вопросы защиты и обеспечения безопасности таких категорий информации, как коммерческая, профессиональная, персональные данные, нуждаются в урегулировании. И это осуществляется специальными федеральными законами.
Следует уяснить, что проблема обеспечения безопасности касается не только информации ограниченного доступа. Этот институт должен работать и применительно к информации неограниченного доступа и, возможно, еще более основательно, чем в сфере конфиденциальности. Конфиденциальность и режим тайн уже сам по себе сужает круг пользователей. Открытая же информация может подвергаться неправомерному воздействию — искажению, уничтожению, присвоению — более легко. Это можно видеть на примере некоторых ресурсов Интернета. В части 3 ст. 16 Закона об информации определено, что требования к защите общедоступной информации могут устанавливаться для достижения целей, указанных в п. 1 и 3 ч. 1 данной статьи. А именно: для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных деяний и при обеспечении реализации права на доступ.
Но и для информации ограниченного доступа вопросы уяснения, классификации угроз, рисков не остаются простыми и не ограничиваются только установлением мер по их усиленной охране.
Так, для обеспечения безопасности коммерчески значимой информации в соответствии с Федеральным законом «О коммерческой тайне» необходимо учитывать условия, в которых применяется институт коммерческой тайны. Специфика этого института состоит в том, что этот вид тайны действует преимущественно в системе гражданско-правовых отношений. Но как вид информации коммерческая тайна или коммерчески значимая информация подчиняется требованиям работы с ней с учетом правового режима конфиденциальной информации. И, в процессе ее охраны и защиты, реализуются меры информационного права с учетом специфики гражданско-правовых отношений в договорной, обязательственной практике, а также учет особенностей отношений в области интеллектуальной собственности, в процессах использования объектов коммерческой тайны. При этом соблюдаются требования к оформлению документов, содержащих коммерческую тайну, нормы, определяющие порядок работы с этой информацией, которые реализуют организационные меры защиты конфиденциальности, а также технические приемы обеспечения ограниченного доступа к ней. В итоге действуют комплексные меры защиты, вернее сохранности в определенном режиме, а также требования к порядку обращения этой информации по системе коммуникаций. Использование такой информации обеспечивает гражданско-правовой интерес ее владельца — получение определенной прибыли в отношениях, реализующих право собственности, но при условии соблюдения правового режима, установленного законом и действиями владельца в соответствии с Законом об информации.
При обеспечении мер информационной безопасности по каждой из позиций несанкционированного доступа необходимо иметь технические регламенты, позволяющие фиксировать факты и субъектов несанкционированного доступа (внутренних для информационной системы и внешних); иметь шкалу определения вреда, ущерба для системы (информационного объекта и прав и интересов обладателя, оператора, распространителя), мер, которые они должны принять или обеспечить для предотвращения несанкционированного доступа. Эти вопросы должны регулироваться внутренними правовыми актами каждого из обозначенных субъектов: административными и техническими регламентами, инструкциями, стандартами, которые разрабатываются с учетом обозначенных выше требований по защите информации в государственных информационных системах.
В этом процессе немало сложностей. При установлении природы и особенностей информационного объекта приходится встречаться с его неоднозначностью по составу. Например, коммерческая тайна может касаться документов экономического, организационного характера, но может включать и информацию, относимую к ноу-хау — по российским традициям относимую к объектам интеллектуальной собственности, что и подтверждается соответствующими нормами части четвертой ГК РФ. В связи с этим способы правонарушений относительно конфиденциальности и защиты этих подвидов коммерческой тайны будут различными.
В интернет-среде регулирование в направлении обеспечения безопасности осуществляется преимущественно на основе международных стандартов и протоколов, на основе более четкого установления, за что и в каких случаях оператор связи несет ответственность и за что он не должен отвечать (отказ технического оборудования по причинам, не зависящим от оператора; за сбои за пределами его зоны ответственности, за содержание сообщений и т.п.).
В обеспечении безопасности в пространстве Интернета важную роль выполняет национальное законодательство каждой страны. Например, основными документами, регулирующими китайский сегмент Интернета, являются акты Госсовета КНР: Правила защиты безопасности компьютерных систем (действуют с 1994 г.); Временное положение о контроле над электронными изданиями; Временное положение о контроле за международными соединениями информационных компьютерных сетей. Опубликованы также такие документы, как: Временный порядок регистрации названий интернет-страниц, Правила контроля за помещением информации в сети.
Как видим, в области обеспечения информационной безопасности и прав граждан в этой части мобилизуется весь арсенал институтов и средств информационного права. В связи с принятием в феврале 2008 г. Стратегии развития информационного общества в Российской Федерации еще предстоит большая работа по углублению и уточнению мер защиты информации как ограниченного доступа, так и информации общего пользования и всех телекоммуникационных средств ее трансляции.