Правовые вопросы защиты информации по современному законодательству

Введение
Правовая защита информации
Механизм правового регулирования в информационной сфере
Основные законодательные акты федерального уровня в области ИКТ
Нормативная база информатизации на предприятиях и в регионах
Правовая модель отношений субъектов в сети Интернет
Классификация информационных ресурсов
Персональные данные как информация ограниченного доступа: проблемы правового регулирования
Заключение
Литература

Правовые вопросы защиты информации по современному законодательству

Активное развитие информационных отношений и процессов, увеличение законодательной базы, направленной на их регламентацию, обуславливает становление и развитие такой комплексной отрасли права, как информационное.
Следует отметить, что в работах, посвященным тем или иным аспектам информационного права, в основном сделан акцент на проблемы правовой информатизации, правого и технического обеспечения информационных процессов. При этом в недостаточной степени проанализированы основополагающие, методологические вопросы информационного права, в частности, такие вопросы, как сущность и специфика информационно-правовых норм и отношений, их классификация, субъекты информационно-правовых отношений, правовой механизм получения, передачи, хранения и использования информации, юридические режимы информации, пользования банками данных, формы и методы информационно-правового воздействия, институт авторского права и интеллектуальной собственности, информационные правонарушения и институт ответственности за их совершение и др.
Информационное право следует рассматривать как комплексную отрасль права, состоящую из различных информационно-правовых институтов, включающих нормы разных отраслей права, и направленных на регламентацию сложного и многообразного комплекса общественных отношений в информационной сфере - сфере деятельности субъектов, связанной с производством, преобразованием и потреблением информации.
Комплексный характер информационного права обусловлен тем, что информационные отношения регулируются нормами разных отраслей права. Большой объем общественных отношений в информационной сфере регламентируется административно-правовыми актами. Например, к ним следует отнести акты, определяющие статус органов государственной власти, должностных лиц и их полномочия в информационной сфере; акты, определяющие правовые режимы информации и ее защиты, составы административных правонарушений в информационной сфере и ответственность за их совершение и др.
Уголовное право устанавливает, какие информационные правонарушения являются преступлениями и виды наказания за их совершение. Институты авторского права и интеллектуальной собственности являются прерогативой гражданско-правового регулирования.
Составными частями информационного права являются информационно-правовые институты - группы, совокупности информационно-правовых норм, регулирующих однородные общественные отношения в информационной сфере. В частности, в их составе следует выделить институты: информационных ресурсов, государственной тайны, конфиденциальной информации, защиты информации, ответственности за совершение информационных правонарушений и др.
В качестве основополагающих начал, положений, идей, требований, выражающих и характеризующих сущность информационного права, выступают его принципы. Например, к ним относятся принципы законодательного закрепления прав граждан, организаций и государства в информационной сфере, защиты авторских прав, обеспечения доступности информации, не отнесенной законом к информации с ограниченным доступом и др. Вопрос о принципах информационного права нуждается в самостоятельном исследовании. Эти принципы должны быть четко сформулированы и законодательно закреплены. Они должны оказывать концептуальное влияние на всю информационно-правовую материю, на всю иерархию нормативных правовых актов информационного законодательства при их принятии и на законопроектную работу в этой области в целом.
Таким образом, к числу первоочередных вопросов, требующих подробного исследования и развернутой характеристики, относятся, на мой взгляд, следующие:
предмет информационного права и его принципы;
источники информационного права;
информационно-правовые нормы и информационно-правовые отношения (их сущность, структура и разновидности);
субъекты информационного права;
формы и методы информационного права;
сущность и разновидности информационных правонарушений и ответственность за их совершение.
Исследование этих вопросов, систематизация знаний по ним, безусловно, будет способствовать эффективному осуществлению правотворческой и правоприменительной деятельности в информационной сфере.
Основные законодательные акты федерального уровня в области ИКТ
В данном разделе представлен анализ основных положений Федеральных Законов РФ, касающихся ИКТ с учетом изменений на начало 2008 года. Конституция Российской Федерации определяет базовые принципы общественных отношений в информационной сфере. Правовым фундаментом, регулирующим отношения в области информации, являются статьи Конституции 15,23, 24, 29, 44. Конституция провозглашает право на неприкосновенность частной жизни, личную и семейную тайну. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Стратегия развития информационного общества в России является ответом
России на новые вызовы, связанные с развитием постиндустриальной информационной инфраструктуры и устанавливает общие стратегические ориентиры развития до 2015 года. При подготовке Стратегии учтены основные положения Окинавской хартии глобального информационного общества, а также ряд других международных документов. В ней дается анализ состояния развития информационного общества в России определяются цели и принципы развития, направления международного сотрудничества, в том числе и в выработке международных норм и механизмов, регулирующих отношения в области использования ИКТ.
Федеральный Закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27 июля 2006 года. В связи с его принятием утратил силу предыдущий базовый закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ потому что он уже не отвечал современному состоянию общественных отношений и реалиям использования ИКТ, по отдельным вопросам вступал в противоречие с более поздними актами и не соответствовал международной практике регулирования информационных отношений.
Старый закон понятие "конфиденциальная информация" рассматривал как документированную информацию, доступ к которой ограничивается в соответствии с законодательством. В новом законе установлено, что конфиденциальность является обязательным для выполнения лицом, получившим доступ к информации, требованием не передавать эту информацию третьим лицам без согласия ее обладателя.
Законом 149-ФЗ вводится ряд новых определений: «информационные
технологии», «информационно-телекоммуникационная сеть», «предоставление информации», «распространение информации», «оператор информационной системы», «электронное сообщение». Вместо ранее используемых понятий «собственник» и «владелец».
Однако в новом законе исключены некоторые понятия, используемые в ранее действовавшем законе: "информатизация", "информационные процессы", "информационные ресурсы". Из закона исключено также понятие «персональные данные» потому что оно в более развернутом виде дано в законе «О персональных данных».
В Кодексе об административных правонарушениях глава 13 посвящена
административным нарушениям в области связи и информации. Статьи 13.5-13.9 устанавливают ответственность за нарушения в области строительства и эксплуатации сетей связи, статьи 13.12 и 13.13 за нарушение правил защиты информации и за незаконную деятельность в области защиты
информации статья 13.14. распространяется на сферу ИКТ в случае незаконного использования программных средств и технологий. Законом 42-ФЗ от 9.04.2007 в статью введена поправка, предусматривающая наказание лишением свободы на срок до шести лет (вместо пяти).
В настоящее время данная статья является наиболее работающей в сфере ИКТ в связи с ужесточением требований к использования лицензионного программного обеспечения.
Глава 28 Кодекса полностью посвящена преступлениям в сфере компьютерной информации. Статья 272 определяет наказания за неправомерный доступ к преступлением, было рассмотрено в 1983 году. На одном из автомобильных заводов был изобличен программист, который умышленно разработал и внес в программу, управляющую подачей деталей на главный сборочный конвейер, процедуру, которая при наступлении определенной даты блокировала работу основной программы.
Срабатывание процедуры повлекло за собой остановку конвейера, в результате чего заводу был нанесен существенный материальный ущерб. После обнаружения процедуры программист был привлечен к уголовной ответственности. Однако в то время в уголовном законодательстве не было статьи, связанной с компьютерными преступлениями и его действия не подпадали ни под одну статью законодательства.
В соответствии со статьей 1225 Кодекса к результатам интеллектуальной деятельности, которым предоставляется правовая охрана, отнесены программы для ЭВМ и базы данных. Согласно статье 1259 программы для ЭВМ относятся к объектам авторских прав, которые охраняются как литературные произведения. Эти положения перенесены из предыдущих законов 3523-1 и 5351-1.
Кодекс вводит новый вид объекта авторского права (ст. 1297) - программы для ЭВМ и базы данных, созданные при выполнении работ по договору.
Информация, размещаемая в компьютерных сетях и обрабатываемая с помощью информационных технологий, кроме программ для ЭВМ и баз данных может содержать и иные объекты авторского права, например фонограммы, электронные версии литературных произведений, учебные пособия.
Во исполнение закона было издано несколько Указов Президента и Постановлений Правительства. Указом от 30.11.1995 1203 (с последними изменениями от 11.02.2006 90) утвержден перечень сведений, отнесенных к государственной тайне. Указом от 6.03.1997 (с изменениями от 23.09.2005 1111) утвержден перечень сведений конфиденциального характера.
Указом от 8.11.1995 года 1108 создана Межведомственная комиссия по защите государственной тайны, функции которой были уточнены указом от 6.10.2004 1286. Постановлением Правительства от 3.12.2004 728 утвержден ее персональный состав.
У закона есть цель - создавать двухуровневые системы нормативных документов:
технических регламентов, в которых будут содержать обязательные требования безопасности, и добровольных стандартов, содержащих требования к качеству. До принятия Закона все действующие в нашей стране ГОСТы были обязательны для исполнения. Закон меняет правовой статус стандартов. Из обязательных, они переводятся в категорию добровольно применяемых норм, что явилось своего рода революцией в сложившемся процессе технического регулирования. Закон кардинально изменил всю систему технических требований, порядок их разработки и утверждения, порядок осуществления государственного контроля и подтверждения соответствия требованиям обязательных и добровольных норм. Сам термин "государственный стандарт" выходит из обращения. Вместо него введены новые понятия: "национальный стандарт", "международный стандарт".
Изменение правового статуса документов по стандартизации и самого понятия "стандартизация" обусловлены ориентацией российского законодательства на международную практику и сложившийся практический международный опыт в этой сфере деятельности. Закон вводит несколько понятий в области технического регулирования: «техническое регулирование», «технический регламент».
Федеральным органом исполнительной власти в области технического
регулирования является Федеральное агентство по техническому регулированию и метрологии, созданное Постановлением Правительства от 17.06.2004 294. В соответствии со статьей 44 Закона Постановлением от 15.08.2003 500 утверждено.
Распоряжением Правительства от 6.11.2004 1421-р утверждена Программа разработки технических регламентов. Распоряжением от 8.11.2005 1889-р она дополнена и в настоящее время включает 84 регламента. В нее, в частности, включены технические регламенты «Безопасность информационных технологий», «О требованиях к средствам обеспечения безопасности информационных технологий», разработка которых поручена Мининформсвязи, ФСБ, ФСТЭК, Минобороны, МВД. Постановлением от 1.03.2005 97 образована Правительственная комиссия по техническому регулированию, утверждено соответствующее Положение, в которое были внесены изменения Постановлением 54 от 7.02.2008. Новый закон «О связи» 126-ФЗ от 7.07.2003 (с последними поправками от 09.02.2007 14-ФЗ) заменил ранее действующий от 16.02.1995 15-ФЗ. Он является базовым в области связи и по сравнению с ранее действовавшим Законом о связи он содержит ряд новых понятий, а часть старых претерпела принципиальные изменения в
соответствии с современным состоянием сферы связи. Функции по надзору возложены на Федеральную службу по надзору в сфере связи, которая осуществляет и лицензирование деятельности в области оказания услуг связи (Положение о службе утверждено Постановлением Правительства от 30.06.2004 318). Указом Президента от 12.03.2007 320. Статья 68 Закона содержит общие положения об ответственности в сфере связи, определяет виды ответственности за нарушение законодательства в области связи (уголовная, административная, гражданско-правовая, материальная).
Уголовный Кодекс РФ содержит две статьи, устанавливающие уголовную ответственность в сфере связи (138 и 215.2). Кодекс РФ об административных правонарушениях содержит специальную главу 13 "Административные правонарушения в области связи и информации".
Нормативная база информатизации на предприятиях и в регионах
На уровне субъектов Российской Федерации также существует региональная нормативная правовая база в области ИКТ, а также соответствующие организационные структуры. Федеральным агентством по информационным технологиям создан Совет главных конструкторов информатизации регионов Российской Федерации. Данный Совет осуществляет свою деятельность в соответствии с Положением, утвержденным приказом агентства от 25.03.2005 № 11. В состав Совета входят представители органов исполнительной власти субъектов Российской Федерации, в должностные обязанности которых входят вопросы информатизации и обеспечения информационной безопасности регионов.
В качестве примера можно привести Ульяновскую область, которая стала лауреатом всероссийского конкурса «Лучший регион в сфере ИКТ 2005». Распоряжением Правительства области № 178-пр от 13.12.2005 создан уполномоченный орган по информатизации – департамент информационных технологий. Законодательная база Ульяновской области в сфере ИКТ содержит
несколько документов:
- концепция информатизации Ульяновской области «Электронный Ульяновск» на 2004-2010 годы (Постановление Главы администрации Ульяновской области № 42 от 09.04.2004г.);
- Закон Ульяновской области №087-ЗО от 04.10.05 «Об информационных ресурсах и информатизации Ульяновской области»;
- Постановление Губернатора Ульяновской области от 9.03.2006г. «О реестре информационных ресурсов и систем Ульяновской области и порядке организации информационного взаимодействия (обмена) органов государственной власти Ульяновской области;
- Постановление Губернатора Ульяновской области № 60 от 15.05.06 «Об утверждении форм документов для формирования реестра информационных ресурсов области»;
- Распоряжение Губернатора Ульяновской области № 497-р от 3.08.2006г. «О координационном Совете по информатизации Ульяновской области»;
Известно, что в России в соответствии с законодательством выделяют следующие виды защищаемой информации – государственную и конфиденциальную тайны [1].
Исходя из классификации информации по режиму доступа на предприятиях, можно выделить два вида типовых АСОД:
1 вид – для обработки секретной информации;
2 вид – для обработки информации конфиденциального характера.
Учитывая, что методы, способы и средства, применяемые для построения КСЗИ автоматизированных систем обработки секретной информации жестко регламентированы Законом РФ “О государственной тайне” и другими документами, утвержденными в соответствии с этим законом, защитой секретной информации занимаются ФСБ, ФСО и ряд других спецслужб острой необходимости в разработке специализированных САПР комплексных систем защиты секретной информации нет. В тоже время задача автоматизации проектирования КСЗИ систем обработки данных конфиденциального характера является актуальной. Методы, подходы и средства, применяемые для разработки КСЗИ подобных систем нормативно-правовыми документами четко не определяются и у разработчиков есть возможность выбора тех или иных методов и средств защиты конфиденциальной информации. Для выбора эффективных решений из многочисленных возможных вариантов КСЗИ при проектировании следует применять САПР КСЗИ.
Комплексная система защиты информации (система защиты с полным перекрытием) – это система, в которой действуют в единой совокупности правовые, организационные, технические, программно – аппаратные и другие нормы, методы, способы и средства, обеспечивающие защиту информации от всех потенциально возможных и выявленных угроз и каналов утечки.
Составными элементами КСЗИ являются [3]:
Правовая защита информации – защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно – правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально – этических норм в области защиты информации.
Организационная защита информации – это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации.
Инженерно – техническая защита информации – защита информации при её обработке техническими средствами, осуществляемая с использованием технических средств и способов защиты. К техническим средствам и способам защиты в общем случае относят, технические, инженерные и аппаратные средства, а также способы их использования.
Программная защита информации – защита информации с использованием специального программного обеспечения.
Аппаратная защита информации – защита информации, предусматривающая использование аппаратных средств для защиты данных в АСОД.
Криптографическая защита информации – защита информации путем её криптографического преобразования.
Применительно к АСОД понятие комплексной системы защиты информации можно определить как единый комплекс правовых норм, организационных мер и технических, программных и криптографических средств, обеспечивающих защищенность информации в соответствии с принятой политикой безопасности [3].
Необходимость проектирования КСЗИ системы обработки данных для конкретного предприятия следует согласовать с должностными лицами, отвечающими за функционирование АСОД, и получить соответствующие полномочия - разрешение доступа к ресурсам АСОД, форму допуска к конфиденциальной информации.
При проектировании КСЗИ на начальных этапах происходит получение модели объекта защиты - выполняется структурирование информации, обрабатываемой в АСОД и определяются характеристики процесса проектирования ( с “нуля” или модифицировать существующую систему защиты), определяют категорию АСОД и виды обрабатываемой информации, возможные людские, материальные и финансовые ограничения КСЗИ. Далее выполняется моделирование возможных угроз информации в АСОД и ранжирование их.
На следующем этапе осуществляется аудит информационной безопасности АСОД. В ходе проведения аудита проводится анализ используемой на защищаемом объекте информации, определяются её виды, степень конфиденциальности, ценность, актуальность и важность и выявляются все виды угроз, которым может быть подвергнута защищаемая АСОД и все возможные каналы утечки информации.
В результате проведения аудита безопасности АСОД происходит оценка эффективности действующей системы защиты информации и принимается решение о направлениях её модернизации или разработки принципиально новой модели КСЗИ. Результатом этого этапа является техническое задание (ТЗ) на проектирование КСЗИ для системы обработки данных.