Вопрос №3. Правовое обеспечение информационной безопасности

(Законодательный уровень информационной безопасности. Российской законодательство в области информационной безопасности. Зарубежное законодательство в области информационной безопасности. Классификация и правовая защита информации ограниченного доступа. Правовая защита интеллектуальной собственности. Юридическая ответственность за правонарушения в сфере информационной безопасности)

 

Федеральный закон от 27 июля 2006 г. ФЗ-149 «Об информации, информационных технологиях и о защите информации» классифицирует информацию в зависимости от категории доступа к ней и от порядка ее предоставления или распространения. В соответствии со ст. 5 указанного закона по категориям доступа информация подразделяется на общедоступную информацию и информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральными законами. По порядку предоставления или распространения информация подразделяется:

на свободно распространяемую;

предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

подлежащую предоставлению или распространению в соответствии с федеральными законами (например, сведения об имущественном положении кандидатов в депутаты);

ограничиваемую или запрещаемую к распространению в Российской Федерации (например, разжигающую национальную, расовую или религиозную ненависть и вражду).

Право разрешать или ограничивать доступ к информации и определять условия такого доступа принадлежит обладателю информации. Обладатель информации обязан принимать меры по защите информации и ограничивать доступ к информации, если такая обязанность установлена федеральными законами (ст. 6 Федерального закона «Об информации, информационных технологиях и о защите информации»). Ограничение доступа к информации возможно только в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства и устанавливается федеральными законами. Статья 9 Федерального закона «Об информации, информационных технологиях и о защите информации» устанавливает обязательность соблюдения конфиденциальности информации ограниченного доступа, т.е. «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». Информация ограниченного доступа подразделяется на сведения, представляющие собой:

государственную тайну;

коммерческую тайну;

служебную тайну;

профессиональную тайну — сведения, полученные гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности;

персональные данные граждан (физических лиц).

Помимо прямо указанных в законе существуют и иные виды информации ограниченного доступа.

В Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» предпринята попытка упорядочить состав конфиденциальной информации. Указом утвержден перечень сведений конфиденциального характера, в котором перечислены шесть видов информации:

1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

2) сведения, составляющие тайну следствия и судопроизводства;

3) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

4) сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

6) сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них. Наличие в п. 4 перечня, касающегося профессиональной тайны, слов «и так далее» предполагает его продолжение.

Федеральный закон «Об информации, информационных технологиях и о защите информации» в ч. 4 ст. 8 определяет перечень сведений, доступ к которым не может быть ограничен:

1) нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информацию о состоянии окружающей среды;

3) информацию о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информацию, накапливаемую в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иную информацию, недопустимость ограничения доступа к которой установлена федеральными законами.

Таким образом, анализ законодательства показывает, что:

1) информацией является совокупность предназначенных для передачи формализованных знаний и сведений о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

2) правовой защите подлежит не только документированная информация (Правовое регулирование отношений, связанных с организацией и деятельностью средств массовой информации, осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации;

3) информация может быть конфиденциальной, ознакомление с которой ограничивается ее собственником или в соответствии с законодательством, и массовой, предназначенной для неограниченного круга лиц

Основные концептуальные положения системы защиты информации.Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

• весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

• значительное число фирм, специализирующихся на решении вопросов защиты информации;

• достаточно четко очерченная система взглядов на эту проблему;

• наличие значительного практического опыта и другое.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.

Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

Опыт также показывает, что:

­ обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

­ безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;

­ никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.