 |
Международные и отечественные правовые и нормативные акты обеспечения ИБ процессов переработки информации
|
|
|
|
Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц (пользователей и обслуживающего технического персонала) за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.
Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики.
Таким образом, государственная информационная политика должна опираться на следующие базовые принципы:
· открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение);
· равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности);
· системность (реализация процессов обеспечения ИБ через государственную систему);
· приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);
|
|
|
· социальная ориентация (основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов граждан России);
· государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством);
· приоритетность права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);
· сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления);
· интеграция с международными системами обеспечения ИБ.
Организационное регулирование защиты процессов переработки информации
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. При рассмотрении вопросов ИБ такая деятельность относится к организационным методам защиты процессов переработки информации.
Организационные методы защиты процессов переработки информации включают в себя меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня ИБ.
Организационные методы защиты процессов переработки информации тесно связаны с правовым регулированием в области безопасности информации. На организационном уровне решаются следующие задачи обеспечения безопасности функционирования информации в КС:
|
|
|
· организация работ по разработке системы защиты процессов переработки информации;
· ограничение доступа на объект и к ресурсам КС;
· разграничение доступа к ресурсам КС;
· планирование мероприятий;
· разработка документации;
· воспитание и обучение обслуживающего персонала и пользователей;
· сертификация средств защиты процессов переработки информации;
· лицензирование деятельности по защите процессов переработки информации;
· аттестация объектов защиты;
· совершенствование системы защиты процессов переработки информации;
· оценка эффективности функционирования системы защиты процессов переработки информации;
· контроль выполнения установленных правил работы в КС.
Организационные методы являются стержнем комплексной системы защиты процессов переработки информации в КС. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты процессов переработки информации.
Категорирование объектов и защита информационной
Собственности
Основным направлением по защите информационной собственности является охрана государственной, коммерческой, банковской, профессиональной и служебной тайн, персональных данных и интеллектуальной собственности.
Охрана государственной тайны. Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Сведения могут считаться государственной тайной (могут быть засекречены) в следующих случаях:
· они соответствуют перечню сведений, составляющих государственную тайну, входят в перечень сведений, подлежащих засекречиванию, и отвечают законодательству Российской Федерации о государственной тайне (принцип законности);
· целесообразность засекречивания конкретных сведений установлена путем экспертной оценки вероятных экономических и иных последствий, возможности нанесения ущерба безопасности Российской Федерации, исходя из баланса жизненно важных интересовгосударства, общества и личности (принцип обоснованности);
|
|
|
· ограничения на распространение этих сведений и на доступ к ним установлены с момента их получения (разработки) или заблаговременно (принцип своевременности);
· компетентные органы и их должностные лица приняли в отношении конкретных сведений решение об отнесении их к государственной тайне и засекречивании и установили в отношении них соответствующий режим правовой охраны и защиты (принцип обязательной защиты).
Охрана коммерческой тайны.Коммерческая тайна — это информация, которая имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании и к которой принимаются меры по охране конфиденциальности. Она охраняется при содействии государства.
Основными субъектами права на коммерческую тайну являются обладатели коммерческой тайны, их правопреемники.
Обладатели коммерческой тайны — физические (независимо от гражданства) и юридические (коммерческие и некоммерческие организации) лица, занимающиеся предпринимательской деятельностью и имеющие монопольное право на информацию, составляющую для них коммерческую тайну.
Правопреемники — это физические и юридические лица, которым в силу служебного положения, по договору или на ином законном основании (в том числе по наследству) известна информация, составляющая коммерческую тайну другого лица.
В России к коммерческой тайне относилась промысловая тайна, но затем, в начале 1930-х гг., она была ликвидирована как правовой институт и в связи с огосударствлением отраслей экономики защищалась как государственная и служебная тайна.
К коммерческой тайне не может быть отнесена информация, содержащаяся в учредительных документах и в документах, дающих право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии и т.д.), а также сведения о наличии психического расстройства, фактах обращения за психиатрической помощью и лечении в учреждении, оказывающем такую помощь, и другие сведения о состоянии психического здоровья гражданина, сведения в медицинских документах гражданина.
|
|
|
Нотариальная тайна — сведения, доверенные нотариусу в связи с совершением нотариальных действий.
Адвокатская тайна — сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.
Тайна связи — тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Тайна усыновления — сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.
Тайна страхования — сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.
Тайна исповеди — сведения, доверенные гражданином священнослужителю на исповеди.
Охрана служебной тайны. Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.
Служебная тайна является видом конфиденциальной информации, и право на служебную тайну выступает самостоятельным объектом права. Для осуществления ее правовой охраны принят Закон РФ «О тайне» от 21.07.93 № 5485-1.
К основным объектам тайны относятся следующие виды информации:
· служебная информация о деятельности федеральных государственных органов, доступ к которой ограничен федеральным законом в целях защиты государственных интересов: военная тайна; тайна следствия (данные предварительного расследования либо следствия); судебная тайна (тайна совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного суда РФ, материалы закрытого судебного заседания, тайна совещания присяжных заседателей или в силу служебной необходимости, порядок выработки и принятия решения, организация внутренней работы и т.д.);
· охраноспособная конфиденциальная информация, ставшая известной в силу исполнения служебных обязанностей должностным лицом государственных органов и органов местного самоуправления: коммерческая тайна, банковская тайна, профессиональная тайна, а также конфиденциальная информация о частной жизни лица.
|
|
|
Информация служебной тайны должна отвечать критериям охраноспособности права:
· являться собственной служебной тайной, т.е. должна быть отнесена федеральным законом к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости;
· являться охраноспособной конфиденциальной информацией служебного характера (чужой тайной) другого лица (коммерческая тайна, банковская тайна, тайна частной жизни, профессиональная тайна);
· не являться государственной тайной и не входить в перечень сведений, доступ к которым не может быть ограничен;
· быть получена представителем государственного органа и органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и порядке, установленных федеральным законом.
Информация, не отвечающая этим требованиям, не может считаться служебной тайной и не подлежит правовой охране. В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
· сведения из актов законодательства, устанавливающих правовой статус государственных органов, организаций, общественных объединений, информация о правах, свободах и обязанностях граждан, порядке их реализации;
· сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах; экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, производственных объектов, граждан и населения в целом;
· сведения из описаний структур органов исполнительной власти, их функций, направлений и форм деятельности, информация об их адресе и месте расположения;
· информация о порядке рассмотрения и разрешения заявлений физических и юридических лиц;
· сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
· информация из документов открытых фондов библиотек и архивов, информационных систем организаций, необходимая для реализации прав, свобод и обязанностей граждан.
Охрана персональных данных. В Европе для охраны и защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки личных данных о гражданах более 25 лет назад был введен особый институт правовой охраны личности на институт защиты персональных данных. Более чем в 20 европейских государствах приняты национальные законы о персональных данных, в ряде стран введены независимые уполномоченные по защите персональных данных, во всех странах Европейского Союза с 1998 г. создана единая унифицированная система защиты персональных данных, в том числе в секторе телекоммуникаций.
Объектом правоотношений здесь выступает право на персональные данные — информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.
К персональным данным могут быть отнесены сведения, использование которых без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам:
· биографические и опознавательные данные (в том числе об обстоятельствах рождения, усыновления, развода);
· сведения о семейном положении (в том числе о семейных отношениях);
· сведения об имущественном, финансовом положении (кроме случаев, прямо установленных в законе);
· личные характеристики (в том числе о личных привычках и наклонностях);
· сведения о состоянии здоровья.
Субъектами права здесь выступают:
· лица, к которым относятся соответствующие данные, и их наследники;
· держатели персональных данных — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие на законных основаниях сбор, хранение, передачу, уточнение, блокирование, обезличивание, уничтожение персональных данных (баз персональных данных).
Для персональных данных и работы с ними предусмотрены следующие правила:
· персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства;
· данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе;
· персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним; не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации;
· персональные данные, предоставляемые держателем, должны быть точными; в случае необходимости они должны обновляться;
· персональные данные должны храниться не дольше, чем этоготребует цель, и подлежать уничтожению по достижении этой цели или если надобность в них отпадает;
· персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную утрату, а также несанкционированный доступ к данным, их изменение, блокирование или передачу.
· устанавливается специальный правовой режим использования персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности.
Охрана интеллектуальной собственности. К числу основных объектов интеллектуальной собственности относятся:
· произведения науки, литературы и искусства;
· результаты исполнительской деятельности артистов, режиссеров, дирижеров;
· результаты творчества;
· звукозаписи и записи изображения;
· передачи радио- и телевизионных сигналов;
· изобретения;
· промышленные образцы;
· профессиональные секреты (ноу-хау);
· полезные модели;
· селекционные достижения;
· фирменные наименования и коммерческие обозначения правообладателя;
· товарные знаки и знаки обслуживания;
· наименования мест происхождения товаров;
· другие результаты интеллектуальной деятельности и средства индивидуализации, на которые в соответствии с законом могут признаваться или закрепляться исключительные права.
|
|
|
