Обзор российского законодательства в области информационной безопасности.
Правовые акты общего назначения,
затрагивающие вопросы информационной безопасности
Основным законом Российской Федерации
является Конституция, принятая 12 декабря 1993 года.
В соответствии со статьей 24
Конституции, органы государственной власти и органы местного самоуправления, их
должностные лица обязаны обеспечить каждому возможность ознакомления с
документами и материалами, непосредственно затрагивающими его права и свободы,
если иное не предусмотрено законом.
Статья 41 гарантирует право на знание
фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42
- право на знание достоверной информации о состоянии окружающей среды.
В принципе, право на информацию может
реализовываться средствами бумажных технологий, но в современных условиях
наиболее практичным и удобным для граждан является создание соответствующими
законодательными, исполнительными и судебными органами информационных серверов
и поддержание доступности и целостности представленных на них сведений, то есть
обеспечение их (серверов) информационной безопасности.
Статья 23 Конституции гарантирует
право на личную и семейную тайну, на тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать,
получать, передавать, производить и распространять информацию любым законным
способом. Современная интерпретация этих положений включает обеспечение
конфиденциальности данных, в том числе в процессе их передачи по компьютерным
сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской
Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года)
фигурируют такие понятия, как банковская, коммерческая и служебная тайна.
Согласно статье 139, информация составляет служебную или коммерческую тайну в
случае, когда информация имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на
законном основании, и обладатель информации принимает меры к охране ее
конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах
ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Весьма продвинутым в плане
информационной безопасности является Уголовный кодекс Российской Федерации
(редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере
компьютерной информации" - содержит три статьи:
·
статья
272. Неправомерный доступ к компьютерной информации;
·
статья
273. Создание, использование и распространение вредоносных программ для ЭВМ;
·
статья
274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Первая имеет дело с посягательствами на
конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями
доступности и целостности, повлекшими за собой уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ
вопросов доступности информационных сервисов представляется нам очень
своевременным.
Статья 138 УК РФ, защищая
конфиденциальность персональных данных, предусматривает наказание за нарушение
тайны переписки, телефонных переговоров, почтовых, телеграфных или иных
сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья
183 УК РФ.
Интересы государства в плане
обеспечения конфиденциальности информации нашли наиболее полное выражение в
Законе "О государственной тайне" (с изменениями и дополнениями от 6
октября 1997 года). В нем гостайна определена как защищаемые государством
сведения в области его военной, внешнеполитической, экономической,
разведывательной, контрразведывательной и оперативно-розыскной деятельности,
распространение которых может нанести ущерб безопасности Российской Федерации.
Там же дается определение средств защиты информации. Согласно данному Закону,
это технические, криптографические, программные и другие средства,
предназначенные для защиты сведений, составляющих государственную тайну;
средства, в которых они реализованы, а также средства контроля эффективности
защиты информации. Подчеркнем важность последней части определения.
Закон
"Об информации, информационных технологиях и о защите информации"
Основополагающим среди российских
законов, посвященных вопросам информационной безопасности, следует считать
закон "Об информации, информационных технологиях и о
защите информации" от 27 июля 2006 г. № 149-ФЗ (принят Государственной Думой 8 июля 2006 года). В нем даются основные определения и
намечаются направления развития законодательства в данной области.
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон
регулирует отношения, возникающие при:
1) осуществлении права на поиск,
получение, передачу, производство и распространение информации;
2) применении информационных
технологий;
3) обеспечении защиты информации.
2. Положения настоящего Федерального
закона не распространяются на отношения, возникающие при правовой охране
результатов интеллектуальной деятельности и приравненных к ним средств
индивидуализации.
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе
используются следующие основные понятия:
1) информация - сведения (сообщения, данные) независимо от формы их
представления;
2) информационные технологии - процессы, методы поиска, сбора,
хранения, обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных технологий и
технических средств;
4) информационно-телекоммуникационная сеть - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее
использования;
7) конфиденциальность информации - обязательное для выполнения лицом,
получившим доступ к определенной информации, требование не передавать такую
информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение
информации определенным кругом лиц или передачу информации определенному кругу
лиц;
9) распространение информации - действия, направленные на получение
информации неопределенным кругом лиц или передачу информации неопределенному
кругу лиц;
10) электронное сообщение - информация, переданная или полученная
пользователем информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном
носителе путем документирования информация с реквизитами, позволяющими
определить такую информацию или в установленных законодательством Российской
Федерации случаях ее материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том числе
по обработке информации, содержащейся в ее базах данных.
Статья 3. Принципы правового регулирования отношений в сфере информации,
информационных технологий и защиты информации
Правовое регулирование отношений,
возникающих в сфере информации, информационных технологий и защиты информации,
основывается на следующих принципах:
1) свобода поиска, получения,
передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к
информации только федеральными законами;
3) открытость информации о
деятельности государственных органов и органов местного самоуправления и
свободный доступ к такой информации, кроме случаев, установленных федеральными
законами;
4) равноправие языков народов
Российской Федерации при создании информационных систем и их эксплуатации;
5) обеспечение безопасности Российской
Федерации при создании информационных систем, их эксплуатации и защите
содержащейся в них информации;
6) достоверность информации и
своевременность ее предоставления;
7) неприкосновенность частной жизни,
недопустимость сбора, хранения, использования и распространения информации о
частной жизни лица без его согласия;
8) недопустимость установления
нормативными правовыми актами каких-либо преимуществ применения одних
информационных технологий перед другими, если только обязательность применения
определенных информационных технологий для создания и эксплуатации
государственных информационных систем не установлена федеральными законами.
Статья 4. Законодательство Российской Федерации об информации, информационных
технологиях и о защите информации
1. Законодательство Российской
Федерации об информации, информационных технологиях и о защите информации основывается
на Конституции Российской Федерации, международных договорах Российской
Федерации и состоит из настоящего Федерального закона и других регулирующих
отношения по использованию информации федеральных законов.
2. Правовое регулирование отношений, связанных
с организацией и деятельностью средств массовой информации, осуществляется в
соответствии с законодательством Российской Федерации о средствах массовой
информации.
3. Порядок хранения и использования
включенной в состав архивных фондов документированной информации
устанавливается законодательством об архивном деле в Российской Федерации.
Статья 5. Информация как объект правовых отношений
1. Информация может являться объектом
публичных, гражданских и иных правовых отношений. Информация может свободно
использоваться любым лицом и передаваться одним лицом другому лицу, если
федеральными законами не установлены ограничения доступа к информации либо иные
требования к порядку ее предоставления или распространения.
2. Информация в зависимости от
категории доступа к ней подразделяется на общедоступную информацию, а также на
информацию, доступ к которой ограничен федеральными законами (информация
ограниченного доступа).
3. Информация в зависимости от порядка
ее предоставления или распространения подразделяется на:
1) информацию, свободно
распространяемую;
2) информацию, предоставляемую по
соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии
с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой
в Российской Федерации ограничивается или запрещается.
4. Законодательством Российской
Федерации могут быть установлены виды информации в зависимости от ее содержания
или обладателя.
Статья 6. Обладатель информации
1. Обладателем информации может быть
гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект
Российской Федерации, муниципальное образование.
2. От имени Российской Федерации,
субъекта Российской Федерации, муниципального образования правомочия обладателя
информации осуществляются соответственно государственными органами и органами
местного самоуправления в пределах их полномочий, установленных
соответствующими нормативными правовыми актами.
3. Обладатель информации, если иное не
предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к
информации, определять порядок и условия такого доступа;
2) использовать информацию, в том
числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам
по договору или на ином установленном законом основании;
4) защищать установленными законом
способами свои права в случае незаконного получения информации или ее
незаконного использования иными лицами;
5) осуществлять иные действия с
информацией или разрешать осуществление таких действий.
4. Обладатель информации при
осуществлении своих прав обязан:
1) соблюдать права и законные интересы
иных лиц;
2) принимать меры по защите
информации;
3) ограничивать доступ к информации,
если такая обязанность установлена федеральными законами.
Статья 7. Общедоступная информация
1. К общедоступной информации
относятся общеизвестные сведения и иная информация, доступ к которой не
ограничен.
2. Общедоступная информация может
использоваться любыми лицами по их усмотрению при соблюдении установленных
федеральными законами ограничений в отношении распространения такой информации.
3. Обладатель информации, ставшей
общедоступной по его решению, вправе требовать от лиц, распространяющих такую
информацию, указывать себя в качестве источника такой информации.
Статья 8. Право на доступ к информации
1. Граждане (физические лица) и
организации (юридические лица) (далее - организации) вправе осуществлять поиск
и получение любой информации в любых формах и из любых источников при условии
соблюдения требований, установленных настоящим Федеральным законом и другими
федеральными законами.
2. Гражданин (физическое лицо) имеет
право на получение от государственных органов, органов местного самоуправления,
их должностных лиц в порядке, установленном законодательством Российской
Федерации, информации, непосредственно затрагивающей его права и свободы.
3. Организация имеет право на
получение от государственных органов, органов местного самоуправления
информации, непосредственно касающейся прав и обязанностей этой организации, а
также информации, необходимой в связи с взаимодействием с указанными органами
при осуществлении этой организацией своей уставной деятельности.
4. Не может быть ограничен доступ к:
1) нормативным правовым актам,
затрагивающим права, свободы и обязанности человека и гражданина, а также
устанавливающим правовое положение организаций и полномочия государственных
органов, органов местного самоуправления;
2) информации о состоянии окружающей
среды;
3) информации о деятельности государственных
органов и органов местного самоуправления, а также об использовании бюджетных
средств (за исключением сведений, составляющих государственную или служебную
тайну);
4) информации, накапливаемой в
открытых фондах библиотек, музеев и архивов, а также в государственных,
муниципальных и иных информационных системах, созданных или предназначенных для
обеспечения граждан (физических лиц) и организаций такой информацией;
5) иной информации, недопустимость
ограничения доступа к которой установлена федеральными законами.
5. Государственные органы и органы
местного самоуправления обязаны обеспечивать доступ к информации о своей
деятельности на русском языке и государственном языке соответствующей
республики в составе Российской Федерации в соответствии с федеральными
законами, законами субъектов Российской Федерации и нормативными правовыми
актами органов местного самоуправления. Лицо, желающее получить доступ к такой
информации, не обязано обосновывать необходимость ее получения.
6. Решения и действия (бездействие)
государственных органов и органов местного самоуправления, общественных
объединений, должностных лиц, нарушающие право на доступ к информации, могут
быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в
суд.
7. В случае, если в результате
неправомерного отказа в доступе к информации, несвоевременного ее
предоставления, предоставления заведомо недостоверной или не соответствующей
содержанию запроса информации были причинены убытки, такие убытки подлежат
возмещению в соответствии с гражданским законодательством.
8. Предоставляется бесплатно
информация:
1) о деятельности государственных
органов и органов местного самоуправления, размещенная такими органами в
информационно-телекоммуникационных сетях;
2) затрагивающая права и установленные
законодательством Российской Федерации обязанности заинтересованного лица;
3) иная установленная законом
информация.
9. Установление платы за
предоставление государственным органом или органом местного самоуправления информации
о своей деятельности возможно только в случаях и на условиях, которые
установлены федеральными законами.
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации
устанавливается федеральными законами в целях защиты основ конституционного
строя, нравственности, здоровья, прав и законных интересов других лиц,
обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение
конфиденциальности информации, доступ к которой ограничен федеральными
законами.
3. Защита информации, составляющей
государственную тайну, осуществляется в соответствии с законодательством
Российской Федерации о государственной тайне.
4. Федеральными законами
устанавливаются условия отнесения информации к сведениям, составляющим коммерческую
тайну, служебную тайну и иную тайну, обязательность соблюдения
конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами
(физическими лицами) при исполнении ими профессиональных обязанностей или
организациями при осуществлении ими определенных видов деятельности
(профессиональная тайна), подлежит защите в случаях, если на эти лица
федеральными законами возложены обязанности по соблюдению конфиденциальности
такой информации.
6. Информация, составляющая
профессиональную тайну, может быть предоставлена третьим лицам в соответствии с
федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по
соблюдению конфиденциальности информации, составляющей профессиональную тайну,
может быть ограничен только с согласия гражданина (физического лица),
предоставившего такую информацию о себе.
8. Запрещается требовать от гражданина
(физического лица) предоставления информации о его частной жизни, в том числе
информации, составляющей личную или семейную тайну, и получать такую информацию
помимо воли гражданина (физического лица), если иное не предусмотрено
федеральными законами.
9. Порядок доступа к персональным
данным граждан (физических лиц) устанавливается федеральным законом о
персональных данных.
Статья 10. Распространение информации или предоставление информации
1. В Российской Федерации
распространение информации осуществляется свободно при соблюдении требований,
установленных законодательством Российской Федерации.
2. Информация, распространяемая без
использования средств массовой информации, должна включать в себя достоверные
сведения о ее обладателе или об ином лице, распространяющем информацию, в форме
и в объеме, которые достаточны для идентификации такого лица.
3. При использовании для
распространения информации средств, позволяющих определять получателей
информации, в том числе почтовых отправлений и электронных сообщений, лицо,
распространяющее информацию, обязано обеспечить получателю информации
возможность отказа от такой информации.
4. Предоставление информации
осуществляется в порядке, который устанавливается соглашением лиц, участвующих
в обмене информацией.
5. Случаи и условия обязательного
распространения информации или предоставления информации, в том числе
предоставление обязательных экземпляров документов, устанавливаются
федеральными законами.
6. Запрещается распространение
информации, которая направлена на пропаганду войны, разжигание национальной,
расовой или религиозной ненависти и вражды, а также иной информации, за распространение
которой предусмотрена уголовная или административная ответственность.
Статья 11. Документирование информации
1. Законодательством Российской
Федерации или соглашением сторон могут быть установлены требования к
документированию информации.
2. В федеральных органах
исполнительной власти документирование информации осуществляется в порядке,
устанавливаемом Правительством Российской Федерации. Правила делопроизводства и
документооборота, установленные иными государственными органами, органами местного
самоуправления в пределах их компетенции, должны соответствовать требованиям,
установленным Правительством Российской Федерации в части делопроизводства и
документооборота для федеральных органов исполнительной власти.
3. Электронное сообщение, подписанное
электронной цифровой подписью или иным аналогом собственноручной подписи,
признается электронным документом, равнозначным документу, подписанному
собственноручной подписью, в случаях, если федеральными законами или иными
нормативными правовыми актами не устанавливается или не подразумевается
требование о составлении такого документа на бумажном носителе.
4. В целях заключения
гражданско-правовых договоров или оформления иных правоотношений, в которых
участвуют лица, обменивающиеся электронными сообщениями, обмен электронными
сообщениями, каждое из которых подписано электронной цифровой подписью или иным
аналогом собственноручной подписи отправителя такого сообщения, в порядке,
установленном федеральными законами, иными нормативными правовыми актами или
соглашением сторон, рассматривается как обмен документами.
5. Право собственности и иные вещные
права на материальные носители, содержащие документированную информацию,
устанавливаются гражданским законодательством.
Статья 12. Государственное регулирование в сфере применения информационных
технологий
1. Государственное регулирование в
сфере применения информационных технологий предусматривает:
1) регулирование отношений, связанных с
поиском, получением, передачей, производством и распространением информации с
применением информационных технологий (информатизации), на основании принципов,
установленных настоящим Федеральным законом;
2) развитие информационных систем
различного назначения для обеспечения граждан (физических лиц), организаций,
государственных органов и органов местного самоуправления информацией, а также
обеспечение взаимодействия таких систем;
3) создание условий для эффективного
использования в Российской Федерации информационно-телекоммуникационных сетей,
в том числе сети "Интернет" и иных подобных
информационно-телекоммуникационных сетей.
2. Государственные органы, органы
местного самоуправления в соответствии со своими полномочиями:
1) участвуют в разработке и реализации
целевых программ применения информационных технологий;
2) создают информационные системы и
обеспечивают доступ к содержащейся в них информации на русском языке и
государственном языке соответствующей республики в составе Российской
Федерации.
Статья 13. Информационные системы
1. Информационные системы включают в
себя:
1) государственные информационные
системы - федеральные информационные системы и региональные информационные
системы, созданные на основании соответственно федеральных законов, законов субъектов
Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные
системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
2. Если иное не установлено федеральными
законами, оператором информационной системы является собственник используемых
для обработки содержащейся в базах данных информации технических средств,
который правомерно пользуется такими базами данных, или лицо, с которым этот
собственник заключил договор об эксплуатации информационной системы.
3. Права обладателя информации,
содержащейся в базах данных информационной системы, подлежат охране независимо
от авторских и иных прав на такие базы данных.
4. Установленные настоящим Федеральным
законом требования к государственным информационным системам распространяются
на муниципальные информационные системы, если иное не предусмотрено
законодательством Российской Федерации о местном самоуправлении.
5. Особенности эксплуатации
государственных информационных систем и муниципальных информационных систем
могут устанавливаться в соответствии с техническими регламентами, нормативными
правовыми актами государственных органов, нормативными правовыми актами органов
местного самоуправления, принимающих решения о создании таких информационных
систем.
6. Порядок создания и эксплуатации
информационных систем, не являющихся государственными информационными системами
или муниципальными информационными системами, определяется операторами таких
информационных систем в соответствии с требованиями, установленными настоящим
Федеральным законом или другими федеральными законами.
Статья 14. Государственные информационные системы
1. Государственные информационные
системы создаются в целях реализации полномочий государственных органов и
обеспечения обмена информацией между этими органами, а также в иных
установленных федеральными законами целях.
2. Государственные информационные
системы создаются с учетом требований, предусмотренных Федеральным законом от
21 июля 2005 года N 94-ФЗ "О размещении заказов на поставки товаров,
выполнение работ, оказание услуг для государственных и муниципальных
нужд".
3. Государственные информационные
системы создаются и эксплуатируются на основе статистической и иной
документированной информации, предоставляемой гражданами (физическими лицами),
организациями, государственными органами, органами местного самоуправления.
4. Перечни видов информации,
предоставляемой в обязательном порядке, устанавливаются федеральными законами,
условия ее предоставления - Правительством Российской Федерации или
соответствующими государственными органами, если иное не предусмотрено
федеральными законами.
5. Если иное не установлено решением о
создании государственной информационной системы, функции ее оператора
осуществляются заказчиком, заключившим государственный контракт на создание
такой информационной системы. При этом ввод государственной информационной
системы в эксплуатацию осуществляется в порядке, установленном указанным
заказчиком.
6. Правительство Российской Федерации
вправе устанавливать обязательные требования к порядку ввода в эксплуатацию
отдельных государственных информационных систем.
7. Не допускается эксплуатация
государственной информационной системы без надлежащего оформления прав на
использование ее компонентов, являющихся объектами интеллектуальной
собственности.
8. Технические средства,
предназначенные для обработки информации, содержащейся в государственных
информационных системах, в том числе программно-технические средства и средства
защиты информации, должны соответствовать требованиям законодательства
Российской Федерации о техническом регулировании.
9. Информация, содержащаяся в
государственных информационных системах, а также иные имеющиеся в распоряжении
государственных органов сведения и документы являются государственными
информационными ресурсами.
Статья 15. Использование информационно-телекоммуникационных сетей
1. На территории Российской Федерации
использование информационно-телекоммуникационных сетей осуществляется с
соблюдением требований законодательства Российской Федерации в области связи,
настоящего Федерального закона и иных нормативных правовых актов Российской
Федерации.
2. Регулирование использования
информационно-телекоммуникационных сетей, доступ к которым не ограничен
определенным кругом лиц, осуществляется в Российской Федерации с учетом
общепринятой международной практики деятельности саморегулируемых организаций в
этой области. Порядок использования иных информационно-телекоммуникационных
сетей определяется владельцами таких сетей с учетом требований, установленных
настоящим Федеральным законом.
3. Использование на территории
Российской Федерации информационно-телекоммуникационных сетей в хозяйственной
или иной деятельности не может служить основанием для установления
дополнительных требований или ограничений, касающихся регулирования указанной
деятельности, осуществляемой без использования таких сетей, а также для
несоблюдения требований, установленных федеральными законами.
4. Федеральными законами может быть
предусмотрена обязательная идентификация личности, организаций, использующих
информационно-телекоммуникационную сеть при осуществлении предпринимательской
деятельности. При этом получатель электронного сообщения, находящийся на
территории Российской Федерации, вправе провести проверку, позволяющую
установить отправителя электронного сообщения, а в установленных федеральными
законами или соглашением сторон случаях обязан провести такую проверку.
5. Передача информации посредством
использования информационно-телекоммуникационных сетей осуществляется без
ограничений при условии соблюдения установленных федеральными законами
требований к распространению информации и охране объектов интеллектуальной
собственности. Передача информации может быть ограничена только в порядке и на
условиях, которые установлены федеральными законами.
6. Особенности подключения
государственных информационных систем к информационно-телекоммуникационным
сетям могут быть установлены нормативным правовым актом Президента Российской
Федерации или нормативным правовым актом Правительства Российской Федерации.
Статья 16. Защита информации
1. Защита информации представляет
собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от
неправомерного доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от иных неправомерных
действий в отношении такой информации;
2) соблюдение конфиденциальности
информации ограниченного доступа,
3) реализацию права на доступ к
информации.
2. Государственное регулирование
отношений в сфере защиты информации осуществляется путем установления
требований о защите информации, а также ответственности за нарушение
законодательства Российской Федерации об информации, информационных технологиях
и о защите информации.
3. Требования о защите общедоступной
информации могут устанавливаться только для достижения целей, указанных в
пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор
информационной системы в случаях, установленных законодательством Российской
Федерации, обязаны обеспечить:
1) предотвращение несанкционированного
доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к
информации;
2) своевременное обнаружение фактов
несанкционированного доступа к информации;
3) предупреждение возможности
неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на
технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного
восстановления информации, модифицированной или уничтоженной вследствие
несанкционированного доступа к ней;
6) постоянный контроль за обеспечением
уровня защищенности информации.
5. Требования о защите информации,
содержащейся в государственных информационных системах, устанавливаются
федеральным органом исполнительной власти в области обеспечения безопасности и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации, в
пределах их полномочий. При создании и эксплуатации государственных
информационных систем используемые в целях защиты информации методы и способы
ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть
установлены ограничения использования определенных средств защиты информации и
осуществления отдельных видов деятельности в области защиты информации.
Статья 17. Ответственность за правонарушения в сфере информации, информационных
технологий и защиты информации
1. Нарушение требований настоящего
Федерального закона влечет за собой дисциплинарную, гражданско-правовую,
административную или уголовную ответственность в соответствии с
законодательством Российской Федерации.
2. Лица, права и законные интересы
которых были нарушены в связи с разглашением информации ограниченного доступа
или иным неправомерным использованием такой информации, вправе обратиться в
установленном порядке за судебной защитой своих прав, в том числе с исками о
возмещении убытков, компенсации морального вреда, защите чести, достоинства и
деловой репутации. Требование о возмещении убытков не может быть удовлетворено
в случае предъявления его лицом, не принимавшим мер по соблюдению
конфиденциальности информации или нарушившим установленные законодательством
Российской Федерации требования о защите информации, если принятие этих мер и
соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение
определенной информации ограничивается или запрещается федеральными законами,
гражданско-правовую ответственность за распространение такой информации не
несет лицо, оказывающее услуги:
1) либо по передаче информации,
предоставленной другим лицом, при условии ее передачи без изменений и
исправлений;
2) либо по хранению информации и
обеспечению доступа к ней при условии, что это лицо не могло знать о
незаконности распространения информации.
Другие законы и нормативные акты
Следуя логике Закона "Об
информации, информационных технологиях и о защите информации", мы
продолжим наш обзор Законом "О лицензировании отдельных видов
деятельности" от 8 августа 2001 года номер 128-ФЗ (Принят Государственной
Думой 13 июля 2001 года). Начнем с основных определений.
Лицензия - специальное разрешение на
осуществление конкретного вида деятельности при обязательном соблюдении
лицензионных требований и условий, выданное лицензирующим органом юридическому
лицу или индивидуальному предпринимателю.
Лицензируемый вид деятельности - вид деятельности, на осуществление
которого на территории Российской Федерации требуется получение лицензии в
соответствии с настоящим Федеральным законом.
Лицензирование - мероприятия, связанные с
предоставлением лицензий, переоформлением документов, подтверждающих наличие
лицензий, приостановлением и возобновлением действия лицензий, аннулированием
лицензий и контролем лицензирующих органов за соблюдением лицензиатами при
осуществлении лицензируемых видов деятельности соответствующих лицензионных
требований и условий.
Лицензирующие органы - федеральные органы исполнительной
власти, органы исполнительной власти субъектов Российской Федерации,
осуществляющие лицензирование в соответствии с настоящим Федеральным законом.
Лицензиат - юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на осуществление конкретного вида
деятельности."
Статья 17 Закона устанавливает
перечень видов деятельности, на осуществление которых требуются лицензии. Нас
будут интересовать следующие виды:
·
распространение
шифровальных (криптографических) средств;
·
техническое
обслуживание шифровальных (криптографических) средств;
·
предоставление
услуг в области шифрования информации;
·
разработка
и производство шифровальных (криптографических) средств, защищенных с
использованием шифровальных (криптографических) средств информационных систем,
телекоммуникационных систем;
·
выдача
сертификатов ключей электронных цифровых подписей, регистрация владельцев
электронных цифровых подписей, оказание услуг, связанных с использованием
электронных цифровых подписей и подтверждением подлинности электронных цифровых
подписей;
·
выявление
электронных устройств, предназначенных для негласного получения информации, в
помещениях и технических средствах (за исключением случая, если указанная
деятельность осуществляется для обеспечения собственных нужд юридического лица
или индивидуального предпринимателя);
·
разработка
и (или) производство средств защиты конфиденциальной информации;
·
техническая
защита конфиденциальной информации;
·
разработка,
производство, реализация и приобретение в целях продажи специальных технических
средств, предназначенных для негласного получения информации, индивидуальными
предпринимателями и юридическими лицами, осуществляющими предпринимательскую
деятельность.
Необходимо учитывать, что, согласно
статье 1, действие данного Закона не распространяется на следующие виды
деятельности:
·
деятельность,
связанная с защитой государственной тайны;
·
деятельность
в области связи;
·
образовательная
деятельность.
Основными лицензирующими органами в
области защиты информации являются Федеральное агентство правительственной
связи и информации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что
связано с криптографией, Гостехкомиссия лицензирует деятельность по защите
конфиденциальной информации. Эти же организации возглавляют работы по
сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз
средств криптографической защиты информации (шифровальной техники) и
нормативно-технической документации к ней может осуществляться исключительно на
основании лицензии Министерства внешних экономических связей Российской
Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы
регламентированы соответствующими указами Президента и постановлениями Правительства
РФ, которые мы здесь перечислять не будем.
10 января 2002 года Президентом был
подписан очень важный закон "Об электронной цифровой подписи" номер
1-ФЗ (принят Государственной Думой 13 декабря 2001 года). Его роль поясняется в
статье 1.
1.
Целью
настоящего Федерального закона является обеспечение правовых условий
использования электронной цифровой подписи в электронных документах, при
соблюдении которых электронная цифровая подпись в электронном документе
признается равнозначной собственноручной подписи в документе на бумажном
носителе.
2.
Действие
настоящего Федерального закона распространяется на отношения, возникающие при
совершении гражданско-правовых сделок и в других предусмотренных
законодательством Российской Федерации случаях. Действие настоящего
Федерального закона не распространяется на отношения, возникающие при
использовании иных аналогов собственноручной подписи.
Закон вводит следующие основные
понятия:
Электронный документ - документ, в котором информация
представлена в электронно-цифровой форме.
Электронная цифровая подпись - реквизит электронного документа,
предназначенный для защиты данного электронного документа от подделки,
полученный в результате криптографического преобразования информации с
использованием закрытого ключа электронной цифровой подписи и позволяющий
идентифицировать владельца сертификата ключа подписи, а также установить
отсутствие искажения информации в электронном документе.
Владелец сертификата ключа подписи - физическое лицо, на имя которого
удостоверяющим центром выдан сертификат ключа подписи и которое владеет
соответствующим закрытым ключом электронной цифровой подписи, позволяющим с
помощью средств электронной цифровой подписи создавать свою электронную
цифровую подпись в электронных документах (подписывать электронные документы).
Средства электронной цифровой подписи - аппаратные и (или) программные
средства, обеспечивающие реализацию хотя бы одной из следующих функций:
создание электронной цифровой подписи в электронном документе с использованием
закрытого ключа электронной цифровой подписи, подтверждение с использованием
открытого ключа электронной цифровой подписи подлинности электронной цифровой
подписи в электронном документе, создание закрытых и открытых ключей
электронных цифровых подписей.
Сертификат средств электронной
цифровой подписи -
документ на бумажном носителе, выданный в соответствии с правилами системы
сертификации для подтверждения соответствия средств электронной цифровой
подписи установленным требованиям.
Закрытый ключ электронной цифровой подписи - уникальная последовательность
символов, известная владельцу сертификата ключа подписи и предназначенная для
создания в электронных документах электронной цифровой подписи с использованием
средств электронной цифровой подписи.
Открытый ключ электронной цифровой
подписи - уникальная
последовательность символов, соответствующая закрытому ключу электронной
цифровой подписи, доступная любому пользователю информационной системы и
предназначенная для подтверждения с использованием средств электронной цифровой
подписи подлинности электронной цифровой подписи в электронном документе.
Сертификат ключа подписи - документ на бумажном носителе или
электронный документ с электронной цифровой подписью уполномоченного лица
удостоверяющего центра, которые включают в себя открытый ключ электронной
цифровой подписи и выдаются удостоверяющим центром участнику информационной
системы для подтверждения подлинности электронной цифровой подписи и
идентификации владельца сертификата ключа подписи.
Подтверждение подлинности электронной
цифровой подписи в электронном документе - положительный результат проверки соответствующим
сертифицированным средством электронной цифровой подписи с использованием
сертификата ключа подписи принадлежности электронной цифровой подписи в электронном
документе владельцу сертификата ключа подписи и отсутствия искажений в
подписанном данной электронной цифровой подписью электронном документе.
Пользователь сертификата ключа подписи - физическое лицо, использующее
полученные в удостоверяющем центре сведения о сертификате ключа подписи для
проверки принадлежности электронной цифровой подписи владельцу сертификата
ключа подписи.
Информационная система общего
пользования -
информационная система, которая открыта для использования всеми физическими и
юридическими лицами и в услугах которой этим лицам не может быть отказано.
Корпоративная информационная система - информационная система, участниками
которой может быть ограниченный круг лиц, определенный ее владельцем или
соглашением участников этой информационной системы.
Пересказать такие определения своими
словами невозможно... Обратим внимание на неоднозначное использование термина
"сертификат", которое, впрочем, не должно привести к путанице. Кроме
того, данное здесь определение электронного документа слабее, чем в Законе
"Об информации...", поскольку нет упоминания реквизитов.
Согласно Закону, электронная цифровая
подпись в электронном документе равнозначна собственноручной подписи в
документе на бумажном носителе при одновременном соблюдении следующих условий:
·
сертификат
ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу
(действует) на момент проверки или на момент подписания электронного документа
при наличии доказательств, определяющих момент подписания;
·
подтверждена
подлинность электронной цифровой подписи в электронном документе;
·
электронная
цифровая подпись используется в соответствии со сведениями, указанными в
сертификате ключа подписи.
Закон определяет сведения, которые
должен содержать сертификат ключа подписи:
·
уникальный
регистрационный номер сертификата ключа подписи, даты начала и окончания срока
действия сертификата ключа подписи, находящегося в реестре удостоверяющего
центра;
·
фамилия,
имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В
случае использования псевдонима запись об этом вносится удостоверяющим центром
в сертификат ключа подписи;
·
открытый
ключ электронной цифровой подписи;
·
наименование
средств электронной цифровой подписи, с которыми используется данный открытый
ключ электронной цифровой подписи;
·
наименование
и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;
·
сведения
об отношениях, при осуществлении которых электронный документ с электронной
цифровой подписью будет иметь юридическое значение.
Интересно, много ли Федеральных
законов, содержащих такое количество технической информации и столь зависимых
от конкретной технологии?
На этом мы заканчиваем обзор законов
РФ, относящихся к информационной безопасности.