Важнейшие законодательные акты в области защиты информации
Рис.3.2. Способы и средства защиты информации
Собственно управление доступом включает в себя следующие функции защиты: 1)идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального идентификатора (имя, код, пароль и т.п.) и опознание (установление подлинности) субъекта или объекта по предъявленному им идентификатору; 2) проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту; 3) разрешение и создание условий работы в пределах (и только в пределах) установленного регламента; 4) регистрацию (протоколирование) обращений к защищаемым ресурсам; 5) реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.
Маскировка – способ защиты информации путем ее криптографического закрытия. Специалисты считают криптографическое закрытие весьма эффективным с точки зрения как собственно защиты, так и наглядности для пользователей. Этот вид защиты широко применяется при обработке и хранении информации. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
Регламентация как способ защиты заключается в разработке и реализации в процессе функционирования систем обработки данных комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения защищаемой информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму. Специалисты утверждают [24, 49, 57], что для эффективной защиты необходимо строго регламентировать структурное построение (архитектура зданий, оборудование помещений, размещение аппаратуры и т.п.), технологические схемы автоматизированной обработки защищаемой информации, организацию и обеспечение работы всего персонала, занятого обработкой информации и т.п.
Принуждение – такой способ защиты, при котором пользователи и персонал систем обмена данными вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – способ защиты информации, заключающийся в создании таких условий, при которых правила обработки и использования защищаемой информации регулируются моральными и нравственными нормами.
Рассмотренные способы защиты информации реализуются применением различных средств защиты.
Все средства защиты делятся на формальные и неформальные. К первым относятся средства, выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые определяются целенаправленной деятельностью людей либо регламентируют эту деятельность.
К формальным относятся технические (физические и аппаратные) и программные средства, а к неформальным – организационные, законодательные и морально-этические (рис.3.2).
Техническими называются средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру систем обработки данных, или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе, – это схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры (например, регистры границ поля запоминающих устройств) и т.п. Физическими называются такие средства, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.).
Программные средства защиты образуют программы, специально предназначенные для выполнения функций, связанных с защитой информации.
Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
К законодательным средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц (организаций). Морально-этические нормы бывают как “неписаные” (например, общепринятые нормы честности, патриотизма и т.п.), так и регламентированные в законодательном порядке, т.е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США [84, 85].
На первом этапе развития концепций защиты информации преимущественное развитие имели программные средства, второй этап характеризовался интенсивным развитием всех основных классов средств, на третьем этапе все определенней вырисовываются следующие тенденции: аппаратная реализация основных функций защиты; создание комплексных средств защиты, выполняющих несколько различных функций защиты; унификация и стандартизация средств.
Часть 2. Законодательно-Правовое
обеспеЧение информационной безопасности
4. Законодательство Российской Федерации
по вопросам обеспеЧениЯ информационной безопасности
4.1. Основы законодательства России
по вопросам защиты информации
Законодательные меры по защите информации предусматривают создание в стране законодательной базы, предусматривающей разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также формирование действенной системы контроля за исполнением указанных документов.
В настоящее время такая законодательная база создается. Она, прежде всего, включает пакет Федеральных законов, указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов, перечень которых по состоянию на начало 1998 года приведен в Приложении 2.
Указом Президента РФ от 17 декабря 1997 года № 1300 утверждена “Концепция национальной безопасности Российской Федерации”, в которой указывается на необходимость защиты государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.
В данном указе в качестве важнейших задач обеспечения национальной безопасности Российской Федерации в информационной сфере определены:
· установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
· совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную структуру;
· разработка соответствующей нормативно-правовой базы и координация, при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности;
· развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
· защита государственного информационного ресурса, прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.
В принятом в 1996 году Уголовном кодексе Российской Федерации, т.е. в основном законодательном акте по предупреждению преступлений и привлечению преступников и нарушителей к уголовной ответственности, вопросам безопасности информации посвящены следующие главы и статьи:
· Глава 19. Преступления против конституционных прав и свобод человека и гражданина (Статья 137. Нарушение неприкосновенности частной жизни; Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений; Статья 139. Нарушение неприкосновенности жилища; Статья 140. Отказ в предоставлении гражданину информации; Статья 144. Воспрепятствование законной профессиональной деятельности журналистов; Статья 146. Нарушение авторских и смежных прав; Статья 147. Нарушение изобретательских и патентных прав);
· Глава 23. Преступления против интересов службы в коммерческих и иных организациях (Статья 201. Злоупотребление полномочиями; Статья 203. Превышение полномочий служащими частных охранных или детективных служб; Глава 22. Преступления в сфере экономической деятельности; Статья 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну; Статья 189. Незаконный экспорт технологий, научно-технической информации и услуг, используемых при создании оружия массового поражения, вооружения и военной техники);
· Глава 25. Преступления против здоровья населения и общественной нравственности (Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей);
· Глава 29. Преступления против основ конституционного строя и безопасности государства (Статья 275. Государственная измена; Статья 276. Шпионаж; Статья 283. Разглашение государственной тайны; Статья 284. Утрата документов, содержащих государственную тайну).
Особо важное значение имеет введение в Уголовный кодекс специальной главы, посвященной компьютерным преступлениям (Глава 28. Преступления в сфере компьютерной информации), включающей следующие статьи:
· Статья 272. Неправомерный доступ к компьютерной информации.
1. Неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или другого дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
· Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
· Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет.
Большое значение имеет и Гражданский кодекс Российской Федерации, принятый Государственной Думой 21 октября 1994 года, в частности, следующие главы и статьи:
· Глава 6. Общие положения.
· Статья 138. Интеллектуальная собственность.
· Статья 139. Служебная и коммерческая тайна.
Информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
· Глава 38. Выполнение научно-исследовательских, опытно-конструкторских и технологических работ.
· Статья 771. Конфиденциальность сведений, составляющих предмет договора.
Объем сведений, признаваемых конфиденциальными определяется
в договоре.
· Глава 45. Банковский счет.
· Статья 857. Банковская тайна.
· Глава 48. Страхование.
· Статья 946. Тайна страхования.
Следует отметить, что процесс законотворчества идет достаточно сложно. Если в вопросах защиты государственной тайны создана более или менее надежная законодательная система, то в вопросах защиты служебной, коммерческой и частной информации существует достаточно много противоречий и “нестыковок”.
При разработке и использовании законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.
Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах, а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий “служебная тайна” и “конфиденциальная информация”.
4.2.1. Закон “О государственной тайне”
Закон Российской Федерации от 21 июля 1993 года № 5485-1 “О государственной тайне” с изменениями и дополнениями, внесенными Федеральным законом
от 6 октября 1997 года № 131-ФЗ “О внесении изменений и дополнений в Закон Российской Федерации “О государственной тайне”, регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
Положения Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами представительной, исполнительной и судебной властей (далее – органы государственной власти), местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне (статья 1).
В Законе используются следующие основные понятия:
· государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;
· носители сведений, составляющих государственную тайну, – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;
· система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;
· допуск к государственной тайне – процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений;
· доступ к сведениям, составляющим государственную тайну, – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;
· гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;
· средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации “О безопасности” и включает настоящий Закон, а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны (статья 3).
В Законе определяются и законодательно закрепляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты (статья 4), а также задается в общем виде перечень сведений, которые могут быть отнесены к государственной тайне (раздел 2 Закона № 5485-1 с изменениями, внесенными статьей 6 Закона № 131-ФЗ).
Засекречивание сведений и их носителей – введение в предусмотренном Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Засекречивание сведений осуществляется в соответствии с принципами законности, обоснованности и своевременности.
Законность засекречивания сведений заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 Закона и законодательству Российской Федерации о государственной тайне.
Обоснованность засекречивания сведений заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта, исходя из баланса жизненно важных интересов государства, общества и граждан.
Своевременность засекречивания сведений заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью.
Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).
Отнесение сведений к государственной тайне осуществляется руководителями органов государственной власти в соответствии с Перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Распоряжением Президента РФ от 30 мая 1997 года № 226-рп. Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.
Закон четко определяет сведения, не подлежащие засекречиванию (статья 7):
· о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
· о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
· о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
· о фактах нарушения прав и свобод человека и гражданина;
· о размерах золотого запаса и государственных валютных резервах Российской Федерации;
· о состоянии здоровья высших должностных лиц Российской Федерации;
· о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.
В Законе устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: “особой важности”, “совершенно секретно”и“секретно”.Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
Статья 12 Закона определяет реквизиты носителей сведений, составляющих государственную тайну. На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
· о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;
· об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;
· о регистрационном номере;
· о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, они указываются в сопроводительной документации на этот носитель.
Статья 20 раздела VI Закона относит к органам, осуществляющим защиту государственной тайны на территории Российской Федерации, следующие органы:
· межведомственную комиссию по защите государственной тайны;
· органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Службу внешней разведки Российской Федерации, Государственную техническую комиссию при Президенте Российской Федерации и их органы на местах;
· органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Допуск должностных лиц и граждан Российской Федерации к государственной тайне осуществляется в добровольном порядке.
Допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне осуществляется в порядке, устанавливаемом Правительством Российской Федерации.
Допуск должностных лиц и граждан к государственной тайне
предусматривает:
· принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;
· согласие на частичные, временные ограничения их прав в соответствии со статьей 24 настоящего Закона;
· письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;
· определение видов, размеров и порядка предоставления льгот, предусмотренных настоящим Законом;
· ознакомление с нормами законодательства Российской Федерации о государственной тайне, предусматривающими ответственность за его нарушение;
· принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.
Объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо.
Закон (статья 27) определяет порядок допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, и порядок сертификации средств защиты информации (статья 28).
Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.
Лицензия на проведение указанных работ выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающих лицензию.
Лицензия на проведение работ с использованием сведений, составляющих государственную тайну, выдается предприятию, учреждению, организации при выполнении ими следующих условий:
· выполнение требований нормативных документов, утверждаемых Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;
· наличие в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственной тайны;
· наличие у них сертифицированных средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается на Государственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации, Федеральную службу безопасности Российской Федерации, Министерство обороны Российской Федерации в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации.
Координация работ по организации сертификации средств защиты информации возлагается на Межведомственную комиссию по защите государственной тайны.
4.2.2. Закон “Об информации, информатизации и защите информации”
Федеральный закон от 20 февраля 1995 года № 24-ФЗ“Об информации, информатизации и защите информации” (далее – “Закон об информации”) является одним из основных законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
В соответствие с этим Законом должны быть приведены ранее изданные Президентом Российской Федерации и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).
Закон гласит:
· информационные ресурсы делятся на государственные и негосударственные (статья 6, часть 1);
· государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации (статья 7, часть 1);
· государственные информационные ресурсы являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа (статья 10, часть 1);
· документированная информация ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (статья 10, часть 2).
· конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);
· персональные данные о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).
Из содержания Закона следует:
· информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;
· категория “конфиденциальная информация”, в соответствии с понятием, приведенным выше из статьи 2 “Закона об информации”, объединяет все виды защищаемой информации (тайн). Причем исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание – статья 10, часть 2 указанного Закона). Этому положению “Закона об информации” не соответствует статья 8 Федерального закона “Об участии в международном информационном обмене” (1996 года.), в которой делается ссылка на государственную тайну “или иную конфиденциальную информацию” (т.е. информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации).
Все категории государственных информационных ресурсов можно представить следующим образом:
· открытая общедоступная информация во всех областях знаний и деятельности;
· информация с ограниченным доступом: информация, отнесенная к государственной тайне; конфиденциальная информация; персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом).
В соответствии с “Законом об информации” режим защиты информации устанавливается (статья 21):
· в отношении сведений, отнесенных к государственной тайне, – уполномоченными органами на основании Закона “О государственной тайне”;
· в отношении конфиденциальной информации – собственником информационных ресурсов или уполномоченным лицом на основании “Закона об информации”;
· в отношении персональных данных – отдельным федеральным законом.
Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, т.е. соответствующий орган государственной власти или управления, организация, учреждение, предприятие.
Категория “служебная тайна” ранее применялась для обозначения сведений ведомственного характера с грифом “секретно”, и за ее разглашение предусматривалась уголовная ответственность. В настоящее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с принятием в июле 1993 года Закона “О государственной тайне” по двум причинам: во-первых, информация с грифом “секретно” теперь составляет государственную тайну; во-вторых, применение грифов секретности для других категорий информации не допускается в соответствии со статьей 8 Закона “О государственной тайне”.
Вместе с тем Гражданским кодексом Российской Федерации, введенным в действие с 1995 года, предусмотрена категория “служебная тайна” в сочетании с категорией “коммерческая тайна”. Статья 139 Кодекса включает два положения.
1. Информация составляет служебную или коммерческую тайну в случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Следовательно, произошло изменение содержания категории “служебная тайна”: с января 1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) следует понимать служебную информацию в государственных структурах, имеющую коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф “конфиденциально” или иной гриф (к примеру, “для служебного пользования”, применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 года № 1233).
Такая трактовка категории “служебная тайна” соответствует проекту Федерального закона “О коммерческой тайне”, где предусмотрено при передаче информации с грифом “коммерческая тайна” в государственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона).
За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом Российской Федерации не предусмотрена, в отличие от коммерческой тайны (статья 183).
Кроме того, Федеральный закон от 6 мая 1998 года № 69-ФЗ “О внесении изменений и дополнений в статью 15 Кодекса законов о труде Российской Федерации”(СЗ РФ № 19-98, ст. 2065) дополнил статью 15 Кодекса частью второй следующего содержания: “В случаях, предусмотренных федеральными законами и иными нормативными правовыми актами Российской Федерации, в трудовом договоре могут содержаться условия неразглашения работником сведений, составляющих служебную или коммерческую тайну, ставших известными работнику в связи с исполнением им своих должностных обязанностей”.
Следует подчеркнуть, что в одном и том же органе государственной власти (управления), в государственной или коммерческой организации могут циркулировать несколько видов информации как своей, так и “чужой”, т.е. других собственников информации, которые передали ее им в установленном порядке.
К примеру, в Центральном банке России это государственная тайна, конфиденциальная информация (в том числе служебная тайна), банковская тайна, коммерческая тайна коммерческих банков.
В коммерческом банке это государственная тайна и конфиденциальная информация, переданные ему государственными органами или организациями в установленном порядке; банковская тайна, коммерческая тайна о его коммерческой деятельности.
Причем следует подчеркнуть, что охрана в кредитных организациях, в Центральном банке России тайны об операциях, о счетах и вкладах клиентов и корреспондентов (банковская тайна), а также иных сведений, устанавливаемых кредитной организацией, предусмотрена статьей 26 Федерального закона “О банках и банковской деятельности”. Под иными сведениями понимаются сведения о “производственной” (коммерческой) деятельности соответствующей организации, не подпадающие под понятие банковской тайны, но так же, как и она, не подлежащие, по решению этой организации, широкому распространению.
Очевидно, что организация защиты информации в государственных и коммерческих кредитных организациях имеет свою специфику и требует единого подхода и координации со стороны Центрального банка России.
Основными задачами системы защиты информации, нашедшими отражение в Законе “Об информации, информатизации и защите информации”, являются:
· предотвращение утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации, вмешательства в информацию и информационные системы;
· сохранение полноты, достоверности, целостности информации, ее массивов и программ обработки данных, установленных собственником или уполномоченным им лицом;
· сохранение возможности управления процессом обработки, пользования информацией в соответствии с условиями, установленными собственником или владельцем информации;
· обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальности персональной информации, накапливаемой в банках данных;
· сохранение секретности или конфиденциальности информации в соответствии с правилами, установленными действующим законодательством и другими законодательными или нормативными актами;
· соблюдение прав авторов программно-информационной продукции, используемой в информационных системах.
Статья 19 Закона устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания граждан и организаций, а также обязательность получения лицензий для организаций, осуществляющих проектирование и производство средств защиты информации.
Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: предотвращение утечки, хищения, утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; защита конституционных прав на сохранение личной тайны и конфиденциальности персональных сведений; сохранение государственной тайны и конфиденциальности информации.
Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также за обеспечением организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, на органы государственной власти.
Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы: 1) информацию, составляющую государственную тайну;
2) конфиденциальную информацию; 3) персональные данные о гражданах.
Причем контроль в равной степени должен охватывать и негосударственные структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.
Очень важна статья 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации. Пунктом 3 риск, связанный с использованием не сертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (владельца) систем и средств. Риск, связанный с использованием информации, полученной из таких систем, возлагается на потребителя информации. Пункт 4 устанавливает право собственника документов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
Статья 23 Закона посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.