2014-02-09
3609
Как известно, право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).
Правовая ЗИ как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис.4.3.).
|
| Рис.4.3. Правовая защита информации |
В нашей стране такими правилами (актами, номами) являются Конституция, законы РФ, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предпри-
ятиями, действующими в рамках определенных структур (рис.4.5).
|
|
|
КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ЗАКОНЫ РФ
¯
ЗАКОНЫ РФ
по информатизации и защите информации
«Об информации, информатизации и защите информации»
«Об участии в международном информационном обмене»
«О связи»
«О государственной тайне"
«О коммерческой тайне»
«Об органах государственной безопасности»
«О патентах»
«О правовой охране программ ЭВМ и топологии микросхем»
«Об информационном обеспечении экономического и социального развития»
«О страховании»
«Об архивах»
«Об авторском праве и смежных правах»
¯
Кодекс об административных правонарушениях, гражданский и уголовный кодексы РФ
¯
Нормативно-правовые акты и организационно-распорядительные документы
¯
Положения, инструкции, нормативно-технические и методические документы
Рис.4.5. Структура законодательства России в области защиты информации
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по ЗИ, его состава и содержания, соотнесения его со всей системой законов и правовых актов РФ.
Требования ИБ должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации.
Первый блок - конституционное законодательство. Нормы, касающиеся вопросов информатизации и ЗИ, входят в него как составные элементы.
|
|
|
Второй блок - общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и ИБ.
Третий блок - законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам ЗИ. Наряду с общими вопросами информационного обеспечения и ЗИ конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.
Четвертый блок - специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ "Об информации, информатизации и защите информации". Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения ИБ.
Пятый блок - законодательство субъектов РФ, касающееся ЗИ.
Шестой блок - подзаконные нормативные акты по ЗИ.
Седьмой блок - это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.
Специальное законодательство в области ИБ может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону "Об информации, информатизации и защите информации", который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
· информации и ИС;
· субъектов - участников информационных процессов;
· и правоотношений производителей - потребителей информационной продукции;
· владельцев (обладателей, источников) информации - обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Этот закон определяет основы ЗИ в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Он, кроме того, содержит общие нормы по организации и ведению информационных систем (ИС), включая банки данных (БД) государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.
В дополнение к базовому закону в мае 1992 г. были приняты Законы "О правовой охране программ для электронно-вычислительных машин и баз данных" и "О правовой охране топологии интегральных микросхем".
Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 "Служебная и коммерческая тайна".
1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.
|
|
|
Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так:
"Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору".
Указ Президента РФ от 6 марта 1997г. № 188 определяет понятие и содержание конфиденциальной информации (см. таблицу 4.1).
Таблица 4.1. Понятие и содержание конфиденциальной информации
| КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ | Документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ4 | |
| ЛИЧНАЯ | Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке | |
| СУДЕБНО-СЛЕДСТВЕННАЯ | Сведения, составляющие тайну следствия и судопроизводства | |
| СЛУЖЕБНАЯ | Служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна) | |
| ПРОФЕССИОНАЛЬНАЯ | Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен заколами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправления, телеграфных к иных сообщений и др.) | |
| КОММЕРЧЕСКАЯ | Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законами (коммерческая тайна) | |
| ПРОИЗВОДСТВЕННАЯ | Сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них |
Таким образом, правовая ЗИ обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень
|
|
|
сведений, подлежащих охране, и меры ответственности за их разглашение.
Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации.
Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников, путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события.
Таблица 4.1. Понятие и содержание конфиденциальной информации
| КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ | Документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ4 | |
| ЛИЧНАЯ | Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке | |
| СУДЕБНО-СЛЕДСТВЕННАЯ | Сведения, составляющие тайну следствия и судопроизводства | |
| СЛУЖЕБНАЯ | Служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна) | |
| ПРОФЕССИОНАЛЬНАЯ | Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен заколами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправления, телеграфных к иных сообщений и др.) | |
| КОММЕРЧЕСКАЯ | Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен законами (коммерческая тайна) | |
| ПРОИЗВОДСТВЕННАЯ | Сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них |
В основе российского страхового законодательства лежит Закон РФ "О страховании". Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.
Закон "О страховании" дает следующее понятие страхования:
"Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов".
Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:
1. ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ" (ПЭМИН - побочные электромагнитные излучения и наводки.).
2. ГОСТ Р 50752 "Информационная технология. Защита информации от утечки за счет ПЭМИН при обработке средствами вычислительной техники. Методы испытаний".
3. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.
4. Специальные требования и рекомендации по защите объектов ЭВТ II и III категории от утечки информации за счет ПЭМИН.
Действия по ЗИ от несанкционированного доступа (НСД) регламентируют:
- Постановление Правительства РФ от 15.09.93 № 912-51 "Положение о государственной системе защиты информации от иностранной технической разведки и от утечки электрическим каналам)", а также
- Указы Президента:
"О создании государственной технической комиссии при Президенте РФ" (от 05.01.92 № 9);
"О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи" (от 08.05.93 № 644);
"О методах по соблюдению законности в области разработки, производства реализации и эксплуатации
шифровальных средств, а также предоставления услуг в области шифрования информации" (от 03.04.95 № 334);
"Положение о государственной системе защиты информации Российской Федерации".
Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности:
ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации";
ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";
ГОСТ Р.34.10-94 "Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического ключа";
ГОСТ Р.34.11-94 "Функция хеширования";
ГОСТ Р.В 50170-92 "Противодействие ИТР. Термины и определения".
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение ИБ.
К таким документам относятся:
· Положение о сохранении конфиденциальной информации;
· Перечень сведений, составляющих конфиденциальную информацию;
· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
· Положение о специальном делопроизводстве и документообороте;
· Перечень сведений, разрешенных к опубликованию в открытой печати;
· Положение о работе с иностранными фирмами и их представителями;
· Обязательство сотрудника о сохранении конфиденциальной информации;
· Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.
В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы ЗИ:
· патентование;
· авторское право;
· признание сведений конфиденциальными;
· товарные знаки;
· применение норм обязательственного права.
В таблице 4.2 приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 4.3 приведены определения и основные параметры коммерческой тайны.
Таблица 4.2. Взаимосвязь патентов и коммерческой тайны
| Характеристики | Патенты | Коммерческая тайна |
| Объект защиты | Специфический и четко определенный документ | Применима к широкому спектру интеллектуальной собственности и деловой информации |
| Требования к информации | Информация должна быть: полезной, новой, неочевидной | Информация должна быть: потенциально полезной, не должна быть общеизвестной, не обязательно должна быть новой и неочевидной |
| Степень определенности | Четко определена в заявке | Часто трудно четко определить |
| Необходимость опубликования | Строго необходима. Публикуется обязательно | Любое обнародование должно быть под контролем и ограничено в неизвестной степени (храниться в тайне) |
| Порядок защиты | Определяется узким, но четким статусом. Предоставляется монополия | Определяется в зависимости от обстоятельств. Реализуется только от недобросовестной конкуренции |
| Продолжительность защита | Продолжительность 15-20 лет с момента защиты опубликования | Практически не ограничена |
| Стоимость | По получению патента | Защита от утечки и использования информации другими лицами |
| Стоимость риска | Недействительность по истечении срока | Независимое открытие другими лицами |
Существуют определенные различия между авторским правом и коммерческой тайной. Авторское право защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.
Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия - это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.
Таблица 4.3. Определение и основные параметры коммерческой тайны
Коммерческая тайна - не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам
| Определения | Содержание |
| СУБЪЕКТ | Предприятия, организации, коллективы, граждане |
| ОБЪЕКТ | Понятие применимо к широкому спектру интеллектуальной и промышленной собственности |
| ХАРАКТЕРИСТИКИ | 1. Активный ресурс 2. Конфиденциальная информация 3. Особая форма собственности 4. Товар рыночной новизны |
| ЦЕННОСТЬ | Реально (потенциально) создает преимущества в конкурентной борьбе |
| ТРЕБОВАНИЯ | 1. Потенциально полезная 2. Не общеизвестная. |
| СРОК ДЕЙСТВИЯ | Определяется жизненным циклом товара |
| ЗАЩИТА | 1. Правовая 2. Организационная 3. Инженерно-техническая |
К коммерческой тайне не относятся:
· охраняемые государством сведения;
· общеизвестные на законных основаниях сведения;
· общедоступные сведения, патенты, товарные знаки;
· сведения о негативной стороне деятельности;
· учредительные документы и сведения о хозяйственной деятельности.
На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ - закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и другие.
Создавая систему ИБ, необходимо четко понимать, что без правового обеспечения ЗИ любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными.
Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установленного порядка работы с ней, скорее всего, разведет руками: мол, откуда мне это знать! В этом случае никакие инстанции, вплоть до судебных, не помогут Вам.
Правовые нормы обеспечения безопасности и ЗИ на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и ЗИ отражаются в Уставе (учредительном договоре) в виде следующих положений:
· предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
· предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
· создавать организационные структуры по защите конфиденциальной информации;
· издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
· включать требования по ЗИ в договоры по всем видам хозяйственной деятельности;
· требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
· распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;
· разработать "Перечень сведений конфиденциальной информации". Требования правовой обеспеченности ЗИ предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:
Раздел " Предмет договора "
Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации.
Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка.
Раздел " Кадры. Обеспечение дисциплины труда "
Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством.
Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.
Раздел " Порядок приема и увольнения рабочих и служащих "
· При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении.
· Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.
Раздел " Основные обязанности рабочих и служащих "
Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.
Раздел " Основные обязанности администрации "
Администрация предприятия, руководители подразделений обязаны:
· обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;
· включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;
· неуклонно выполнять требования Устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.
Обязательства конкретного сотрудника, рабочего или служащего в части ЗИ обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).
Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по ЗИ, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения ИБ.
Использование договоров о неразглашении тайны - вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по ЗИ, и правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача - не допустить утраты коммерческих секретов.
Реализация правовых норм и актов, ориентированных на ЗИ на организационном уровне, опирается нате или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.
Конфиденциальность - это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.
Договоры - это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.
Обязательство - гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис.4.6).
|
| Рис.4.6. Организационно-правовые формы защиты коммерческой тайны |
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере ИБ, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.
Правовые меры обеспечения безопасности и ЗИ являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
