Правовые аспекты системы безопасности

– "О безопасности";

– "О государственной тайне";

– "Об информации, информатизации и защите информации",

– "О коммерческой тайне";

– "О персональных данных".

Ключевым элементом концепции является отказ от взгляда на необходимость защиты только секретной информации и переход к осознанию необходимости защиты любого информационного ресурса, ценного для его владельца или собственника.

По оценке специалистов в сфере информации около 80 % составляет беспатентная неавторизованная часть, т. е. та информация, которая может быть защищена классическими средствами патентного права. В то же время среди информации этого типа существует такая, которую можно, при определенных условиях, использовать во вред законным интересам граждан, субъектов хозяйственной деятельности, государства и общества.

В зависимости от типа защищаемых информационных ресурсов система обеспечения информационной безопасности должна создаваться на соответствующих правовых и организационных основах (рис. 1.).

Рис. 1. Правовое и организационное обеспечение безопасности

Вопрос 3. Организационно-правовое обеспечение защиты информации

3.1. Правовое регулирование и организация работ по защите информации

Вопросы развития и внедрения безопасных информационных технологий тесным образом связаны не только с решением научно-технических проблем, но и с вопросами правового регулирования общественных отношений в процессе информатизации. При этом их решение в большей степени зависит не только от уровня развития вычислительной техники, но и от признания за информацией статуса товара, продукта общественного производства. Установление в законодательном порядке права собственности на информацию является важнейшим аспектом формирования информационной политики государства.

Первым шагом в направлении создания правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, явилось принятие Закона РФ "Об информации, информатизации и защите информации" (приложение к главе 4). В нем определен правовой режим информации, правила, процедуры и распределение ответственности в области защиты информации в системах ее обработки, установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимоотношений.

В области информатизации закон разработан как базовый для дальнейшего развития законодательства, разработки подзаконных актов и организационных структур в этой области.

Согласно упомянутому Закону "Об информации, информатизации и защите информации" (ст. 2), собственник информационных ресурсов – субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения ими.

Информационные ресурсы (согласно ст. 6 того же Закона) могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности юридических и физических лиц. Отношения по поводу права собственности на информационные ресурсы регулируются в том числе и гражданским законодательством.

Правовой режим информационных ресурсов (ст. 4) определяется:

– порядком документирования информации;

– правами владения, пользования и распоряжения на отдельные документы и массивы документов в информационных системах;

– категорией информации по уровню доступа к ней;

– порядком правовой защиты информации. Собственник информационных ресурсов (в соответствии с п. 7 ст.6 Закона) имеет закрепленное законодательством РФ право:

– назначать лицо, осуществляющее хозяйственное ведение информационными ресурсами или оперативное управление ими;

– устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним;

– определять условия распоряжения документами при их копировании и распространении.

Формирование рыночных экономических отношений в нашей стране совместно с поддержанием на должном уровне деятельности по обеспечению сохранности государственных секретов требует и усиленного внимания к вопросам промышленной и коммерческой тайны, так как институт коммерческой тайны является одновременно с авторским и патентным правом одной из правовых форм защиты интеллектуальной собственности.

В гл. 6 ГК РФ (ст. 128, 138) среди объектов гражданских прав предусмотрена информация, результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность), а также защита информации, составляющей служебную или коммерческую тайну (ст. 139).

Согласно ст. 139 действующего ГК РФ, информация составляет служебную или коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам; к ней нет свободного доступа на законном основании; обладатель информации принимает меры к охране ее конфиденциальности. Эта статья ГК усиливает возможность запрета отнесения к коммерческой тайне тех или иных сведений, поскольку в ней содержится норма, согласно которой "сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом или иными правовыми актами", то есть и подзаконными в том числе.

Согласно этой же статье ГК РФ, лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе по контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Ст. 183 Уголовного кодекса РФ предусматривает уголовную ответственность за "незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну". При этом законодателем предусмотрены два состава преступления:

– собирание сведений, составляющих коммерческую или банковскую тайну;

– разглашение или использование указанных сведений без согласия владельца.

Собирание указанных сведений представляет собой формальный состав, т. е. для наступления уголовной ответственности достаточно самого факта собирания сведений, составляющих коммерческую или банковскую тайну независимо от наступления вредных последствий.

Уголовная ответственность за разглашение или использование подобных сведений без согласия владельца наступает в случае причинения указанными действиями крупного ущерба. Субъектами этого преступления являются лица, обладающие соответствующей информацией в связи со служебной или профессиональной деятельностью.

Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.

Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство. С юридическим закреплением понятия "коммерческая тайна" ко всему действующему массиву секретов в нашей стране, в том числе принадлежащих государству и им защищаемых (государственные секреты), добавился подмассив секретов, принадлежащих предприятию (служебные и коммерческие секреты), которые предприятие имеет право защищать, руководствуясь соображениями экономической безопасности и конкурентной борьбы.

Реализация этого права осуществляется предприятием в соответствии со ст. 139, 421 ГК РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами систем безопасности предприятия и защиты коммерческой информации, включающих в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и иных мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия (см. приложение к главе 5). Введение их в действие на предприятии приказом руководства является необходимым условием функционирования системы защиты коммерческой тайны, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности и защиты его коммерческой тайны на предприятии.

Правовые аспекты защиты информации наиболее тесно связаны с вопросами организации работ и процедурами технологического процесса обработки информации.

Зарубежные исследования показывают, что несмотря на успехи отдельных хакеров в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80 % правонарушений.

Учитывая то обстоятельство, что терминалами автоматизированных систем (АС), узлами сетей и даже отдельными ПЭВМ в нашей действительности пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьезно затрудняется.

Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от несанкционированного доступа (НСД), входят средства контроля и протоколирования действий пользователя и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам:

1) юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми;

2) такие улики и способ их нахождения не зафиксированы законодательно.

Указанными причинами и объясняется рост компьютерной преступности как со стороны хакеров, так и законных пользователей АС. Положение с организацией противодействия компьютерной преступности в настоящее время очень сложное, что обусловлено рядом причин:

– отсутствие опыта применения законодательства, предусматривающего административную, гражданскую, материальную и уголовную ответственность за компьютерные правонарушения;

– отсутствием должной координации деятельности по борьбе с компьютерной преступностью правоохранительных органов, специальных служб, органов суда и прокуратуры;

– отсутствием в системе правоохранительных органов, органах суда и прокуратуры специально подготовленного состава, способного осуществлять выявление, предупреждение и пресечение компьютерных преступлений;

– отсутствием учета правонарушений, совершаемых с использованием средств информатизации;

– отсутствием необходимого технического и методического инструментария и опыта выявления и пресечения данного рода правонарушений;

– низким уровнем информационной и правовой культуры общества.

Любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.