Тема: Работа со справочной правовой системой “Консультант +” и нормативной правовой базой Российской Федерации, касающейся информационной безопасности
Цель работы: приобретение практических навыков работы со справочной правовой системой и нормативной правовой базой Российской Федерации, касающейся информационной безопасности
Теоретические сведения
В Концепции национальной безопасности Российской Федерации определены важнейшие задачи в информационной сфере, в том числе и в правовой области:
- установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;
- разработка нормативной правовой базы и координация деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности при ведущей роли Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
Законодательство России в области информатизации начало формироваться с 1991 года.
Основополагающим понятием в области правового обеспечения является информация.
Закон РФ “Об информации, информатизации и защите информации” определяет понятие информация как “сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления”.
При решении организационно – правовых вопросов обеспечения информационной безопасности исходят из того, что информация подпадает под нормы вещного права, что дает возможность применять к информации нормы Уголовного и Гражданского права в полном объеме.
Впервые в правовой практике России информация как объект права была определена в ст. 128, ч. 1, принятого в ноябре 1994 г. ГК РФ,где говориться: “К объектам гражданских прав относятся …информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность)…”. Данная статья дает возможность квалифицировать посягательства на сохранность и целостность информации, как преступления против собственности.
Этим же Законом определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст.4.1, ст.6.1.). При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним (ст.6.7).
Законодательные меры
Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры по разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ таким системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ «Преступления в сфере компьютерной информации», содержащей три статьи.
- Ст. 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями).
Отметим, что при решении вопроса о санкционированное доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
- Ст. 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа -специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
- Ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.
Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 «Нарушение авторских и смежных прав» и 147 «Нарушение изобретательских и патентных прав» гл. 19 «Преступления против конституционных прав и свобод человека и гражданина» Уголовного кодекса РФ.
Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.
В существующей практике можно выделить следующие основные аспекты решения проблемы защиты информации:
- анализ правового обеспечения;
- реализация организационно-правовых мероприятий защиты;
- реализация технических мероприятий по защите информации.
Комплексное изучение установленных норм и правил в конкретной прикладной области всегда является обязательным элементом культуры работающего в этой области специалиста.
Анализ правового обеспечения планируемых к осуществлению мероприятий в области организации защиты информации всегда должен предшествовать принятию окончательного решения о реализации этих мероприятий.
К организационно-правовым мероприятиям по защите конфиденциальной информации относятся мероприятия по разработке и принятию определенных документов предприятий и организаций, регламентирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информационным ресурсам.
Организационно – правовая защита информации реализуется путем установления на предприятии режима конфиденциальности. Можно выделить три формы конфиденциальных отношений:
Между сотрудником предприятия и самим предприятием как юридическим лицом. Реализуется на практике путем составления соответствующего трудового договора или контракта, заключаемого с сотрудником предприятия.
Складывающиеся между конкретным сотрудником и другими сотрудниками этого предприятия. Эти отношения развиваются как по вертикали, так и по горизонтали. Указанные отношения называются конфиденциальными отношениями по служебным функциям. Юридически эти отношения закрепляются многообразными административно-правовыми решениями, например, приказами о выполнении определенных работ, и регламентируются “Должностными инструкциями”.
Складывающиеся в рамках хоздоговорных работ и базирующиеся на договоре между партнерами. Юридически конфиденциальные отношения закрепляется в виде четко сформулированных требований и обязательств, которые выдвигают договаривающиеся стороны, и фиксируют в договоре.
В вопросах реализации технических мероприятий обеспечения информационной безопасности с точки зрения правового обеспечения основное внимание следует уделять выполнению требований лицензирования исполнителей работ и использования сертифицированных средств защиты, а также действующим ограничениям на применение специальных технических средств.
Основными проблемы правового обеспечения информационной безопасности являются:
Защита прав на получение информации – предполагает обеспечение условий, препятствующих преднамеренному сокрытию или искажению информации при отсутствии для этого законных оснований. В соответствии со ст.29 Конституции РФ, “Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом”.
Для обеспечения четкой правовой базы применения к информации норм вещного права в Законе “Об информации…” (ст.5,ч.1) вводится понятие “документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать”. Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для документированной информации.
В ст. 2 Закона “Об информации…” определены три главных понятия имущественных прав в информационной области:
- собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
- владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование объектами и реализующий полномочия распоряжения в пределах, установленных Законом;
- пользователь (потребитель) информации – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
С правом собственности, владения и распоряжения информацией тесно связано понятие авторского права и сопутствующее этому понятию нарушение в форме “пиратства”.
- Степень открытости информации (необходимость или возможность ее отнесения к категории ограниченного доступа); правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб собственнику этой информации.
“Закон об информации…” гласит:
- документированная информация ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную (ст.10, ч. 2).
- конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст. 2);
- Персональные данные о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (ст. 11, ч. 1);
- не допускаются сбор, хранение, использование и распространение информации о ЧАСТНОЙ ЖИЗНИ, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, телеграфных, почтовых и иных сообщений, физического лица без его согласия, кроме как на основании судебного решения (ст. 11, ч. 1).
Нормативные акты и судебная практика
- Государственная программа Российской Федерации «Информационное общество (2011–2020 годы)», утв. Распоряжением Правительства России от 20.10.2010 №1815-р.
- Указ Президента РФ от 05.12.2016 N 646 “Об утверждении Доктрины информационной безопасности Российской Федерации”
- Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895) // Российская газета. № 187. 28.09.2000
- Конституция Российской Федерации [Текст]. – Москва: Приор, 2001. – 32 с. – ISBN 585572-122-3.
- О безопасности: федер. закон Рос. Федерации от 28 декабря 2010 г. N 390-ФЗ // Собр. законодательства Рос. Федерации. – 2011 г. – №1 – Ст. 2.
- Об информации, информационных технологиях и о защите информации:федер. закон Рос. Федерации от 27.07.2006 г. № 149-ФЗ // Собр. законодательства Рос. Федерации. – 2006. – Ст. 3448.
- О государственной тайне: закон Рос. Федерации от 21 июля 1993 г. № 5485-I // Собр. законодательства Рос. Федерации. – № 41. – Ст. 4673.
- Уголовный кодекс Российской Федерации от 13 июня 1996 г. // Собр. законодательства Рос. Федерации. – 1996. – № 25. – Ст. 2954.
Задание
- В Государственной программе Российской Федерации «Информационное общество (2011–2020 годы)» найти угрозы и направления обеспечения безопасности в информационном обществе.
- Проанализируйте подходы к классификации преступлений в сфере компьютерной информации в Конвенции по борьбе с киберпреступностью и в УК РФ.
- С использованием научной литературы, источников в сети Интернет проанализируйте содержание понятий «киберпространство», «виртуальное пространство», «информационное пространство», «информационная среда», «виртуальная среда».
- На сайте Государственной Думы найти законопроекты, касающиеся регулирования отношений в сети Интернет.
- Составить перечень действующих нормативных актов:
- Международное законодательство по интеллектуальной собственности
- Законодательство РФ по интеллектуальной собственности
- Найти пример социальной рекламы.
- Найти рекламу, выходящую за рамки требований федерального закона Рос. Федерации «О рекламе» от 13.03.2006 № 38-ФЗ, т.е. недобросовестную и недостоверную.
Содержание отчета:
- Название, цель и задание к лабораторной работе.
- Выполнение практического задания.
- Ответы на контрольные вопросы.
Вопросы:
- Дайте определение термину информационная безопасность?
- Что означает слово конфиденциальность?
- Что является несанкционированным доступом к информации?
- Перечислите классы угроз информации и дайте им краткую характеристику?
- Перечислите меры по защите информации?
Комментарии: