Понятие защиты информации следует отличать от понятия охраны информации. Охрана информации включает в себя любые средства, направленные на обеспечение интересов субъекта информационных правоотношений. Защита информация используется в тех случаях, когда информационные права уже нарушены или существует реальная угроза их нарушения.
Целями защиты информации являются:
– предотвращение утечки, хищения, утраты, искажения, подделки информации;
– предотвращение угроз безопасности личности, общества, государства;
– предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
– защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
– сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
– обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Защита информации осуществляется как организационными, так и правовыми способами.
В основе организационного аспекта защиты информации лежит принцип правильной организации движения информации, учитывающей методы обработки информации, организационно-управленческие концепции ее формирования и потребления. Информация, подлежащая защите, должна быть четко выделена из всей остальной, и для нее должны быть установлены особые правила обращения.
В частности, создание системы защиты информации предусматривает выявление возможных каналов утечки информации; оценка возможностей их перекрытия; установление ограничений на доступ к защищаемой информации; инструктирование персонала по работе с защищаемой информацией; использование криптографических и иных технических средств защиты информации и т. п.
Правовые способы защиты информации предусматривают прежде всего создание юридической базы такой защиты как в общегосударственном масштабе, так и в рамках одной организации. Правовую защиту обеспечивают также некоторые государственные органы, в первую очередь суд и прокуратура.
В соответствии с действующим законодательством РФ собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
Собственник документов, массива документов, информационных систем или уполномоченные им лица устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
К правовым способам защиты информации относится и установление особых правовых режимов информации, таких, как режим государственной тайны, коммерческой тайны и т. п. Вместе с тем следует иметь в виду, что установление особых правовых режимов информации должно сопровождаться использованием иных правовых и организационно-технических способов.
Наконец, защита информации также осуществляется путем установления мер ответственности за информационные правонарушения.
Информационным правонарушением признается противоправное, общественно опасное, виновное деяние, за которое законодательством предусмотрена юридическая ответственность. Все информационные правонарушения в зависимости от степени общественной опасности можно подразделить на информационные проступки и информационные преступления.
За совершение информационного проступка к нарушителю могут быть применены меры дисциплинарной, материальной, административной или гражданско-правовой ответственности. Дисциплинарные проступки могут совершаться в процессе трудовой деятельности и связаны с неисполнением или ненадлежащее исполнением работником по его вине возложенных на него трудовых обязанностей. Примером дисциплинарного проступка в сфере защиты информации может служить ненадлежащее исполнение работником обязанности по использованию средств технической защиты компьютерной информации (например, игнорирование необходимости установления пароля), в результате чего была допущена утечка ценной информации.
За совершение дисциплинарного проступка работодатель имеет право применить следующие дисциплинарные взыскания: замечание; выговор; увольнение по соответствующим основаниям.
Материальная ответственность также наступает, когда вред причинен организации ее работником при исполнении трудовых обязанностей, и связана с непосредственным причинением материального ущерба. Так, например, в случае разглашения работником информации, составляющей коммерческую тайну, материальная ответственность обычно наступает в пределах месячного среднего заработка работника, а в некоторых случаях (в том числе при разглашении коммерческой тайны) – в полном размере причиненного ущерба.
Административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое КоАП РФ или законами субъектов РФ об административных правонарушениях установлена административная ответственность.
КоАП предусматривает, в частности, такие составы административных правонарушений в области защиты информации, как: ст. 13.12 «Нарушение правил защиты информации»; ст. 13.13 «Незаконная деятельность в области защиты информации»; ст. 13.14 «Разглашение информации с ограниченным доступом» и др.
Гражданская ответственность за информационные правонарушения наступает в случаях, когда из-за неправомерного доступа к информации заинтересованные лица понесли имущественный ущерб. В первую очередь это касается возмещения ущерба в случае разглашения коммерческой тайны. В случае если посредством неправомерного доступа к информации гражданину причинены физические или нравственные страдания, суд может также возложить на нарушителя обязанность денежной компенсации морального вреда.
Информационные правонарушения, представляющие наибольшую общественную опасность, являются уголовными преступлениями. Уголовный кодекс РФ содержит достаточно много составов преступлений, связанных с неправомерным доступом или воздействием на информацию. Прежде всего можно выделить гл. 28 «Преступления в сфере компьютерной информации», которая содержит: ст. 272 «Неправомерный доступ к компьютерной информации»; ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»; ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Кроме того, к этой же сфере относятся ст. 137 «Нарушение неприкосновенности частной жизни»; ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»; ст. 155 «Разглашение тайны усыновления (удочерения)» и т. д.