 |
Осуществление правовой защиты информации
|
|
|
|
Документирование информации. Правовая защита информации так же, как и охрана прав лиц, имеющих к ней отношение, требует определенной формализации ее представления. Информационный массив или блок с неопределенными реквизитами назначения, идентификации и принадлежности не может быть предметом правовой защиты. Для осуществления защиты, особенно правовой, необходимо четкое и полное представление о:
• предмете защите (что надо защищать);
• системе защиты (как надо защищать);
• процессах защиты (какие процедуры надо выполнить);
• средствах защиты (с помощью чего надо защищать).
Поэтому в соответствии с законами России защищаемая информация должна быть документирована, что означает:
• указание признаков, однозначно определяющих и выделяющих ее среди других информационных блоков (идентификация информации);
• определение отношений к ней, указание авторов, собственника, других субъектов, а также сведений о них, предусмотренных действующей формой документирования;
• документированное описание, выполняемое в соответствии с требованиями документирования.
Идентификация информационных объектов предполагает не только наличие признаков унификации, индивидуальности и отличия от других объектов, но и их четкую классификацию в соответствии с их назначением, содержанием и формой представления, указание их типов (программы, базы данных, информационные ресурсы или системы и т.д.).
Формализация представления информации предполагает соответствующую формализацию, а значит, и стандартизацию ее документирования, унификацию ее форм и содержания. Эти формы зависят от типа и назначения информации, соответствующих требований, норм и стандартов, устанавливаемых уполномоченными на это государственными и корпоративными органами. Обязательные элементы документирования (правила, порядок, ГОСТы и пр.) определяются государственными или другими органами, ответственными за их разработку или осуществление официального правового оформления. Дополнительно могут указываться другие сведения и реквизиты, устанавливаемые корпоративными органами или администрацией учреждения и требуемые для рационального и эффективного использования и развития (модификации) данной информации.
|
|
|
В соответствии с законодательством Российской Федерации, в частности, с законом «О стандартизации», органом, ответственным за управление стандартизацией технико-информационной документации и координацией работ по ее осуществлению, является Госстандарт РФ. На Госстандарт возложен также контроль за соблюдением обязательных требований государственных стандартов. На основе этих стандартов (ГОСТов) производится документированное описание информационной продукции.
Другие организации и ведомства Российской Федерации, в том числе государственные органы, субъекты хозяйственной деятельности, общественные объединения, организуют и проводят работы по стандартизации информации, в том числе, информационных продуктов в пределах своей компетенции и в соответствии с правовыми актами России.
Как видно из вышесказанного, документирование информации - это не только ее унификация и наделение неким паспортом с некоторым множеством реквизитов. В зависимости от вида информационного продукта требуется подготовка определенных сопроводительных документов, составляющих документированное описание данного продукта, состав которых определяется нормами и порядком этого описания. Документирование информации обеспечивает не только ее однозначное определение, но и, как следствие из этого, длительное хранение в составе соответствующего фонда или банка данных, быстрый поиск, а значит, эффективное и плодотворное использование.
|
|
|
Правовое оформление информации состоит из двух этапов:
) документирования информации;
) ее официального оформления.
Документирование является первым и необходимым этапом для дальнейшего правового оформления.
Официальное правовое оформление документированной информации производится в соответствии с законодательством России по информатизации и осуществляется в установленных им формах регистрации и депонирования, лицензирования, патентоведения, сертификации.
Это оформление может быть обязательным по отношению к сертификации (для информации с ограниченным доступом) и лицензированию (на право ведения работ или использования информационного продукта). К обязательной регистрации относится также предоставление обязательного экземпляра документов (программ, отчетов НИОКР и пр.) в государственные информационные фонды. Решение о добровольном официальном оформлении информации, (добровольной сертификации, регистрации и т.д.) принимается ее собственником (правообладателем) в целях лучшей реализации своих прав и возможностей. Однако во многих случаях эта операция является необходимым условием для успешной рекламы и распространения (продажи) продукции, защиты авторских прав.
Для выявления требуемых типов правового оформления необходимо определение правового статуса информации, информационных продуктов в соответствии с их принадлежностью, категориями доступа и распространения, а также с их информационными типами.
В учреждениях, ведомствах, занимающихся созданием, разработкой информационных продуктов, ресурсов, технологий и систем, практическую работу в этом направлении осуществляет корпоративная служба документирования и ведения научно-технической информации. Процедуры правового оформления требуют определенных знаний, в частности:
• содержания прав и обязанностей субъектов информатизации, структуры охраны прав;
• функциональных и организационных структур соответствующих систем;
• порядка оформления и подготовки необходимых документов и представляемых информационных продуктов;
|
|
|
• форм защиты информационных прав и методов борьбы с их нарушениями. Поэтому в этой службе должны быть специалисты с соответствующей информационной и правовой
подготовкой - эксперты-аудиторы, достаточно хорошо знающие вопросы информатизации и информационных процессов, а также их нормативно-правовую базу.
Использование информационного товарного знака. Идентификация информационного продукта осуществляется на уровнях его названия, содержания, отличительных знаков и пр. Одним из таких отличительных знаков может быть товарный знак.
В законе РФ «О товарных знаках, знаках обслуживания и наименованных мест происхождения товаров» товарные знаки определены как «обозначения, способные отличать соответственно товары и услуги одних юридических или физических лиц от однородных товаров и услуг других юридических или физических лиц». На зарегистрированный в официальном порядке (в Патентном ведомстве) товарный знак выдается свидетельство на имя физического или юридического лица. По закону «в качестве товарных знаков могут быть зарегистрированы словесные, изобразительные, объемные и другие обозначения или их комбинации... в любом цвете или цветовом сочетании».
Владелец товарного знака (обладатель свидетельства на него) имеет исключительное право пользоваться и распоряжаться им. Нарушением его прав «признается несанкционированное изготовление, применение, ввоз, предложение к продаже, продажа, иное введение в хозяйственный оборот или хранение с этой целью товарного знака или товара, обозначенного этим знаком, или обозначения, сходного с ним до степени смешения, в отношении однородных товаров».
Применительно к информации (информационным продуктам) товарным знаком может быть название продукта; аудиовизуальное изображение, кадры на экране.
Форма представления товарного знака зависит от типа информационного продукта, в который он включается, и, конечно, от выбора и фантазии его владельца. В частности знак может быть представлен:
• в символьной форме в виде текста;
|
|
|
• в виде рисунка или эмблемы, соответствующих одному кадру на экране;
• в виде множества кадров, выводимых на экран в режиме анимации - программной заставки.
Пожалуй, оптимальным выбором товарного знака является создание индивидуальной (уникальной) достаточно оригинальной заставки для информационных изделий (программ, информационных технологий, систем), которая однозначно определяет и демонстрирует отличительные признаки и характеристики фирмы, организации или физического лица. Эта заставка, имеющая постоянную зарегистрированную форму, может содержать название изделия, атрибуты изготовителя (автора, собственника), идентифицированные графические изображения, выдаваемые на экран в звуковом или музыкальном сопровождении. Заставка как лицо фирмы-изготовителя может переходить, например, из программы в программу. Изменение названия изделия не обязывает перерегистрировать знак, поскольку другим лицам запрещено использование знаков, «сходного до степени смешения» с зарегистрированным. Использование товарного знака не является, конечно, решением всех задач защиты информации. Однако это, во-первых, повышает правовую защищенность информационной продукции, а во-вторых, затрудняет возможность их несанкционированного использования. При наличии легко узнаваемого товарного знака, идентифицирующего его владельца, нарушителя очень просто определить и привлечь к ответственности вплоть до уголовной.
Правовая защита государственных информационных ресурсов. Все государственные информационные ресурсы объявляются законодательством открытыми для свободного доступа, кроме информационных ресурсов, отнесенных к категории ограниченного доступа - конфиденциальной информации или имеющей отношение к государственной тайне (законом РФ «О государственной тайне»). Отнесение информации к категории ограниченного доступа осуществляется уполномоченными на это органами на основании соответствующих нормативных актов.
Статус общероссийского национального достояния, как и правовой режим их хранения и использования, получают информационные ресурсы только в законодательном порядке. К открытым информационным ресурсам относятся, в частности:
• законодательные и другие нормативно-правовые документы, данные, «необходимые для реализации прав, свобод и обязанностей граждан» (согласно Закона о государственной тайне);
• экологические, санитарно-эпидемиологические сведения, информация о чрезвычайных ситуациях и имеющая отношение к обеспечению безопасности людей;
• статистические и справочные данные о состоянии экономики, финансов, деятельности государственных органов.
|
|
|
Открытые информационные ресурсы хранятся в специальных информационных центрах или фондах, библиотеках, архивах или их открытых отделах, предоставляющих возможности их публичного посещения и/или доступа к информации. Вся информация открытого фонда считается открытой.
Фонды из государственных информационных ресурсов формируются специализированными органами, имеющими на это право - лицензию, выдаваемую уполномоченными органами государственной власти.
Открытая информация должна беспрепятственно предоставляться пользователям без объяснения ими целей и назначения работы с ней.
Открытая информация может не только просматриваться, но и использоваться для получения производной информации, в том числе, и в коммерческих целях. Однако при этом обязательны ссылки на источник информации. Согласно Закону РФ «Об информации, информатизации и защите информации» «Источником прибыли в этом случае является
результат вложенных труда и средств при создании производной информации, но не исходная информация, полученная из государственных ресурсов».
Отказ владельца государственных или иных информационных ресурсов в доступе субъекта к информации может быть обжалован в судебном порядке.
Правовая защита персональных данных. Под персональными понимаются данные об отдельных физических лицах. Персональные данные отнесены законодательством России к конфиденциальным.
Некоторые категории персональных данных могут быть включены в состав государственных информационных ресурсов (с обязательным предоставлением их уполномоченным государством органам). Это осуществляется только на основании соответствующего закона РФ. По закону РФ «Об информации, информатизации и защите информации» к вышеуказанным категориям не могут быть отнесены:
• данные о частной жизни граждан;
• данные, составляющие личную или семейную тайну;
• предметы переписки, переговоров и других сообщений.
Государственный сбор, документирование, передача и распространение таких данных, согласно названному выше закону, разрешены только по соответствующему решению суда. Законом запрещено любое использование персональных данных «в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации». Физические (равно как и юридические) лица имеют право знать о целях и употреблении предоставляемой ими информации, а также хранимых данных о них (с правом бесплатного пользования); «ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации».
Негосударственные и частные органы, занимающиеся сбором, хранением и обработкой персональных данных, обязаны иметь лицензию на право этой деятельности. Любые органы и лица, в ведении которых находятся эти данные, обязаны обеспечить их физическую и программную защиту, установленную в соответствии с требованиями соответствующих нормативно-правовых актов Российской Федерации.
Естественно, хранение и защита от несанкционированного доступа к персональным данным, находящимся в личном пользовании соответствующей персоны, возлагается на эту персону.
Правовая защита корпоративных и частных данных. К корпоративным и частным данным относятся все данные, находящиеся в собственности юридических и физических лиц. В качестве собственников информации эти лица обладают в полном объеме (в пределах, определенных законодательством) правами распоряжения и пользования ею. В частности, они отвечают за подготовку, хранение и распространение этих данных, а также за их защиту от несанкционированного доступа. Для того, чтобы указанная информация стала объектом права, она должна быть документирована. Собственник информации (информационных ресурсов, систем, технологий) вместе с уполномоченными им лицами (авторами, исполнителями, владельцами) определяет степень ее конфиденциальности, коммерческой тайны, стоимости, режимы доступа, распространения, определяет меры и средства защиты, осуществляет необходимые мероприятия по их организации и применению. Гражданский Кодекс РФ дает правовое определение коммерческой информации и права на ее защиту от несанкционированного доступа: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности».
Открытой информацией собственник распоряжается по своему усмотрению; информационными ресурсами, отнесенными к государственной тайне, - «только с разрешения соответствующих органов государственной власти». Корпоративная и частная информация либо отдельные экземпляры соответствующих информационных объектов могут причисляться к государственным информационным ресурсам по желанию собственника либо путем обязательного предоставления ее в государственные органы. В этом случае ее собственник не теряет своих прав и может осуществлять владение ею совместно с государством. Государство имеет также право выкупа информации у ее собственника. Перечень документированных данных, предоставляемых в государственные органы, определяется законодательством и Правительством Российской Федерации.
Собственник информации вправе:
• применять различные средства ее защиты и приостанавливать ее распространение в случае нарушения требований защиты;
• требовать соблюдения конфиденциальности своей информации, предоставляемой им в различные государственные органы.
Нормы международного информационного обмена. Под международным информационным обменом понимается передача и получение (ввоз/вывоз) информационных продуктов через Государственную границу Российской Федерации, а также оказание информационных услуг иностранным субъектам или иностранными субъектами.
Правила и нормы международного информационного обмена регулируются законом РФ «Об участии в международном информационном обмене», а также другими законами России и правовыми актами в области информатизации.
Согласно закону «Об участии в международном информационном обмене» объектами международного информационного обмена являются документированная информация, информационные ресурсы, информационные продукты, средства международного информационного обмена, разрешенные к ввозу в страну или вывозу из нее. Указанные объекты «относятся к объектам имущественных прав собственников и включаются в состав их имущества». Понятие ввоза/вывоза распространяется на передачу информации по сетевым каналам. Как один из видов распространения информации, международный обмен информацией, в частности вывоз ее за границу, зависит от ее принадлежности (имущественных прав на нее) и типа доступа к ней.
Законом не ограничен вывоз из страны открытой информации:
• законов, других нормативно-правовых актов, регулирующих права и обязанности граждан и органов государственной власти;
• информации, необходимой для обеспечения безопасности;
• массовой информации;
• документов из открытых фондов библиотек и различных информационных систем. Ограничен вывоз из России документированной информации, относящейся:
• к категории ограниченного доступа;
• к общероссийскому национальному достоянию;
• к архивному фонду.
Вывоз государственных информационных ресурсов и других видов информации, которые находятся в государственной собственности или отнесены к категории информации с ограниченным доступом, возможен только с разрешения соответствующих органов или лицами, уполномоченными ими. Запрещен (без специального разрешения) ввоз в Россию информационных продуктов, которые не имеют сертификата соответствия установленным требованиям или могут быть использованы для совершения противоправных действий. Не разрешается также «распространение недостоверной, ложной иностранной документированной информации, полученной в результате международного обмена».
Конфиденциальная информация, участвующая в международном информационном обмене, охраняется в соответствии с законодательством России. Однако необходимыми условиями защиты являются следующие:
• наличие у работающих с ней физических или юридических лиц лицензии на право этой работы;
• использование сертифицированных средств обмена.
Под средствами международного информационного обмена понимаются все информационные системы, компьютерные сети и сети связи, используемые в этом процессе. Включение последних в состав этих средств осуществляется при наличии международного кода, порядок получения которого устанавливается Правительством РФ. Для использования средств международного информационного обмена необходимо разрешение их собственников.
Ответственность за нарушения защиты данных. Ответственность за нарушения правил и требований правовой защиты данных, нарушения прав субъектов в сфере формирования и пользования информационными продуктами, а также международных норм предусмотрена законодательством России, в частности, законами РФ «Об информации, информатизации и защите информации «и «Об участии в международном информационном обмене». За нарушение действующего законодательства предусмотрена административная и судебная ответственность, которая в зависимости от состава правонарушения может осуществляться судом (при нарушении прав субъектов), арбитражным судом (при невыполнении обязательств договора, купли-продажи), третейским судом (при конфликтных ситуациях). На виновных налагается уголовная ответственность или обязанность возмещения ущерба пострадавшим.
Закон предусматривает наложение штрафа или обязанности возмещения ущерба за незаконное использование либо распространение (продажу, воспроизведение) информационной продукции, не принадлежащей нарушителю.
Новый Уголовный Кодекс (УК) России, действующий с 1 января 1997 г., предусматривает уголовное наказание за совершение компьютерных преступлений, в число которых, в частности, входят:
• несанкционированный доступ к защищаемой информации;
• несанкционированное изменение информации;
• неправомерное использование и владение информацией;
• изготовление и сбыт средств для несанкционированного доступа к информации, использования;
• компьютерный саботаж: уничтожение, блокирование, приведение в негодность программ или информации, выведение из строя компьютерного оборудования.
Уголовный Кодекс содержит специальную главу: «Компьютерные преступления». Основными статьями, квалифицирующими уголовные компьютерные преступления и устанавливающими меру наказания за них, являются следующие.
Статья 238 «Выпуск или продажа, выполнение работ либо оказание услуг, не отвечающих требованиям безопасности». Статья предусматривает наказание лиц, совершивших указанные действия, повлекшие:
• причинение вреда здоровью (до 2 лет лишения свободы);
• отягощающие обстоятельства (до 5 лет лишения свободы);
• особо отягощающие обстоятельства (4 - 10 лет лишения свободы).
Статья 272 «Неправомерный доступ к компьютерной информации». Статья предусматривает наказание за несанкционированный доступ к охраняемой законом информации на машинном носителе или в сети, который повлек что-либо из следующего:
• уничтожение, модификацию или копирование информации;
• нарушение работы ЭВМ или сети.
За такие нарушения физическое лицо может быть подвергнуто (в зависимости от состава преступления) либо штрафу в 200 - 500 минимальных зарплат, либо исправительным работам от 6 до 12 месяцев, либо лишению свободы на 1 - 2 года. За преступление групповое или с использованием служебного положения наказание увеличивается от 500 - 800 минимальных зарплат штрафа до 5 лет лишения свободы. Наказание за несанкционированный доступ к информации и ее использование предусматривают также:
• статья 183 главы 22 «Преступление в сфере экономической деятельности» (коммерческая тайна);
• статья 137 главы 19 «Преступления против конституционных прав и свобод человека и гражданина» (персональные данные);
• статьи 275 и 276 главы 29 «Преступления против основ конституционного строя и безопасности государства» (государственные информационные ресурсы, информационная безопасность);
• статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ». В качестве таких программ имеются ввиду программы-вандалы, «троянские кони», всевозможные вирусы и другие программы, блокирующие ЭВМ, уничтожающие или искажающие информацию. Наказание предусмотрено как за создание, так и за использование или распространение таких программ. В зависимости от тяжести последствий преступления виновный может быть подвергнут штрафу до 500 минимальных зарплат или лишению свободы от 2 месяцев до 7 лет;
• статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Наказанию подлежат лица, причинившие своими действиями существенный вред информационным процессам либо повлекшие потерю или искажение информации. Признанный виновным лишается права занимать соответствующие должности, подвергается штрафу или лишается свободы на срок до 4 лет.
Конечно, слово «существенный» придает по отношению к нарушению оттенок субъективности оценки его меры. Видимо, это неизбежно: только экспертиза экспертов - специалистов по информатике может определить величину ущерба.
Пострадавшие в результате компьютерных нарушений и преступлений имеют право также обратиться в гражданский суд, который может:
• обязать нарушителя компенсировать материальный ущерб, причиненный его действиями;
• обязать нарушителя компенсировать моральный ущерб (в материальном или другом выражении). Причем, суд может обязать нарушителя компенсировать и то, и другое одновременно.
безопасность компьютеризация файл база
Заключение
Защиту информации следует рассматривать как систему мер по созданию, обеспечению или способствованию обеспечению создания оптимальных условий прохождения всех информационных процессов (хранения, обработки, распространения), связанных с этой информацией. Создание оптимальных условий - это соответствующее совершенствование не только самих информационных процессов, но и других процессов, связанных с производством и использованием информации, т.е. проведением работ по оптимизации окружающей информационной среды в соответствии с требованиями информационной безопасности. Система защиты информации является центральным звеном в решении этой задачи.
Правовые вопросы защиты информации достаточно разнообразны, как разнообразны и способы использования информации. Информация может выступать в качестве сведений конфиденциального характера (коммерческая, служебная тайна, персональные данные), сведений о деятельности компании, в том числе публично распространяемых (пресс-релизы, обязательная информация, информация для потребителей). Соответственно, могут различаться и задачи по защите информации: в одних случаях требуется защита от несанкционированного доступа, в других - ограничение распространение, в третьих - защита от искажения или потери.
Правильное оформление и документирование информации, четкое определение типа информации и режима ее охраны, а также установление правил использования информации различными субъектами помогут существенно обезопасить ее владельцев и повысить стоимость самой информации при вовлечении в хозяйственный оборот.
Список использованной литературы
1. Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии: Учебное пособие. - М.: Гелиос АРВ, 2008. - 480с.
2. Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. - М.: 2008, 352с.
. Государственная тайна в Российской Федерации. Учебно-методическое пособие. Издание 2-е, перераб. и дополн. /Под ред. М.А. Вуса. - СПб.: Изд-во Санкт-Петербургского университета, 2007. - 409с.
. Гаценко О.Ю. Защита информации. Основы организационного управления. - СПб.: Изд. дом «Сентябрь», 2008. - 226с.
. Герасименко В.А.Основы информационной грамоты. - М.: Энергоатомиздат, 2006. - 320с.
. Грушо А.А.. Тимонина Е.Е.Теоретические основы защиты информации. - М.: «Яхтсмен», - 2006. - 192с.
. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. - М.: Радио и связь, 2007.- 192с.
. Государственная политика информационной безопасности (основные документы). - УрГЮА, Екатеринбург, 2008. -104с.
. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 2006. - 537с.
. Зегжда П.Д., Ивашко А.М. Как построить защищенную информационную систему. - СПб.: «Мир и семья-95», 2006. - 312с.
. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность/ Под ред. М.А. Вуса. - СПб.: Изд-во С.-Петербургского госуниверситета,2004. - 212с.
. Кураков Л.П., Смирнов С.Н.Информация как объект правовой защиты. - М.: «Гелиос»,2006. - 240 с.
. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. - М.: Горячая линия - Телеком, 2008. - 148с.
. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. - М.: ИНФРА-М, 2008. - 304с. - (Серия «Высшее образование»).
. Устинов Г.Н. Основы информационной безопасности систем и сетей передачи данных. Учебное пособие. Серия «Безопасность». - М.: СИНТЕГ, 2007. - 236с.
. Шиверский А.А.Защита информации: проблемы теории и практики. - М.: Юристъ, 2006. - 112с.
. Юсупов Р.М., Заболотский В.П.Научно-методологические основы информатизации. - СПб.: Наука, 2007. - 455с.
. Ярочкин В.И. Информационная безопасность. Учебное пособие для студентов непрофильных вузов. -М.: Междунар.отношения, 2007. - 400с.
|
|
|
