2.1. Правовая защита

К оглавлению
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 
34 35 36 37 

Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности).

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 11).

В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур (рис. 12).

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.

Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации.

Первый блок — конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Второй блок — общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности. Третий блок — законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы

по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.

Четвертый б лок — специальные законы, полнос тью относящиеся к конкретным сферам отношений,

Рис. 12 СТРУКТУРА ЗАКОНОДАТЕЛЬСТВА РОССИИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.

Пятый блок — законодательство субъектов Российской Федерации, касающееся защиты информации.

Шестой блок — подзаконные нормативные акты по защите информации.

Седьмой блок — это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:

информации и информационных систем;

субъектов — участников информационных процессов;

правоотношений производителей — потребителей информационной продукции;

владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

В дополнение к базовому закону в мае 1992 г. Были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с

традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

Информация, составляющая служебную или ком -мерческую тайну, защищается способами, предус­мотренными настоящим кодексом и другими зако нами.

Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так:

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско -правовому договору».

Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (см. таблицу 1)

Таким образом, правовая защита информации
обеспечивается          нормативно-законодательными актами,

представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.

Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы: с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации.

Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступ -лении страхового события.

В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.

Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов».

Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

1.         ГОСТ 29339-92 «Информационная технология. Защита
информации от утечки за счет ПЭМИН при ее обработке
СВТ». (ПЭМИН — побочные электромагнитные излучения
и наводки.).

2.         ГОСТ Р 50752 «Информационная технология. Защита

информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».

Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.

Специальные требования и рекомендации по защите объектов ЭВТ11 и III категории от утечки информации за счет ПЭМИН.

Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ « О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно -телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р. 34.11 -94 «Функция хэширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно -правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

Положение о сохранении конфиденциальной информации;

Перечень сведений, составляющих конфиденциальную информацию;

Инструкция о порядке допуска сотрудников к сведениям,

составляющим конфиденциальную информацию;

Положение о специальном делопроизводстве и документообороте;

Перечень сведений, разрешенных к опубликованию в открытой печати;

Положение о работе с иностранными фирмами и их представителями;

Обязательство сотрудника о сохранении конфи­денциальной информации;

■          Памятка сотруднику о сохранении коммерческой тайны. Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.

В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации:

патентование;

авторское право;

признание сведений конфиденциальными;

товарные знаки;

применение норм обязательственного права.

В таб лице 2а приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 26 приведены определения и основные параметры коммерческой тайны.

Существуют определенные различия между авторским правом и коммерческой тайной. Авторское право

Взаимосвязь патентов и коммерческой таймы

быть общеизвестной, не обязательно должна быть новой и неочевидной

Степень определенности

Четко определена в заявке

Часто трудно четко
определить

Необходимость опубликования

Строго необходима.

Публикуется

обязательно.

Любое обнародование должно быть под контролем и ограничено в неизвестной степени (храниться в тайне)

Порядок защиты

Определяется узким, но четким статусом Предо ставляется монополия

Определяется в
зависимости от
обстоятельств.
Реализуется только от
недобросовестной
конкуренции

Продолжительность защиты 15 - 20 лет с

момента

опубликования

Практически не ограничена

Стоимость

По получению патента

Защита от утечки и использования информации другими лицами

Стоимость риска

Недействительность по истечении срока

Независимое открытие
другими лицами

защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.

Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия — это разрешение, выдаваемое государством на

проведение некоторых видов хозяйственной деятельности, вклю чая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики. Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.

Таблица 2б

Коммерческая тайна Коммерческая тайна — не являющиеся госу­дарственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.

 

Определения

Содержание

СУБЪЕКТ

Предприятия, организации, коллективы, граждане

ОБЪЕКТ

Понятие применимо к широкому спектру интеллектуальной и промышленной собственности

ХАРАКТЕРИСТИКИ

1.         Активный ресурс

2.         Конфиденциальная информация

3.         Особая форма собственности

4.         Товар рыночной новизны

ЦЕННОСТЬ

Реально (потенциально) создает преимущества в конкурентной борьбе

ТРЕБОВАНИЯ

1.         Потенциально полезная

2.         Не общеизвестная

СРОК ДЕЙСТВИЯ

Определяется жизненным циклом товара

ЗАШИТА

1.         Правовая

2.         Организационная

3.         Инженерно-техническая

К коммерческой тайне не относятся:

охраняемые государством сведения;

общеизвестные на законных основаниях сведения;

общедоступные сведения, патенты, товарные знаки;

сведения о негативной стороне деятельности;

■ учредительные документы и сведения о хозяй -ственной деятельности. На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ — закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и другие.

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты: информации любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными.

Если перечень сведений конфиденциального ха рактера не доведен своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установ­ленного порядка работы: с ней, скорее всего разведет руками: мол, откуда мне это знать! В этом случае никакие инстанции, вплоть до судебных, не смогут Вам помочь.

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

предприятие обязано обеспечить сохранность конфиденциальной информации.

Такие требования дают право администрации предприятия:

создавать организационные структуры по защите конфиденциальной информации;

издавать нормативные и распорядительные доку менты:, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;

включать требования по защите информации в договоры по всем видам хозяйственной деятельности;

требовать защиты интересов предприятия со стороны

государственных и судебных инстанций;

распоряжаться информацией, являющейся соб­ственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;

разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации.

Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации.

Администрация обязана учесть требования защиты: конфиденциальной информации в правилах внутреннего распорядка.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством.

Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.

Раздел «Порядок приема и увольнения рабочих и служащих»

■ При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее

неразглашении.

Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.

Раздел «Основные обязанности администрации»

Администрация предприятия, руководители подразделений обязаны:

обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;

включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;

неуклонно выполнять требования Устава, коллек­тивного договора, трудовых договоров, правил внутреннего трудового распорядка и других орга­низационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл. III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18).

Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из

нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.

Использование договоров о неразглашении тайны — вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и 'правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача — не допустить утраты коммерческих секретов.

Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно -правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права.

Конфиденциальность — это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями.

Договоры — это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.

Обязательство — гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис. 13).

Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.

Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.

Правовые меры обеспечения безопасности и защиты информации являются основой по -рядка деятельности и поведения сотрудников предприятия и определяют меры их от­ветственности за нарушение установленных норм.