книги / Правовое обеспечение информационной безопасности

средств защиты прежде всего проверяются научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности.

Что касается организаций, оказывающих услуги в области защиты информации, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, о проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.

Сертификация – это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.

Сертификат на средство защиты информации – документ,

подтверждающий соответствие данного средства требованиям по безопасности информации.

Положение о сертификации средств защиты информации

устанавливает порядок сертификации средств защиты информации в РФ и ее учреждениях за рубежом.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ РФ.

231

Система сертификации средств защиты информации пред-

ставляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.

Системы сертификации создаются ФСТЭК, ФСБ РФ, МО РФ, СВР РФ, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами.

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации.

Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны.

В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положения об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, итребования, которым эти средства должны удовлетворять.

Основными целями сертификации являются:

♦создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли;

♦содействие потребителям в компетентном выборе продукции;

♦содействие экспорту и повышение конкурентоспособности продукции;

♦защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

♦контроль безопасности продукции для окружающей среды, жизни и имущества;

♦подтверждение показателей качества продукции, заявленных изготовителями.

232

10.5. Нормы ответственности за правонарушения

винформационной сфере

Взаконодательных актах определены информационно-правовые нормы в отношении прав, обязанностей и ответственности субъектов, участвующих в информационном обмене.

Предметом правового регулирования в информационной сфере являются:

♦создание и распространение информации;

♦формирование и использование информационных ресурсов;

♦реализация права на поиск, получение, передачу и потребление информации;

♦созданиеиприменение информационных систем итехнологий;

♦создание и применение средств информационной безопасности.

Ответственность, возлагаемая в случаях правонарушений в информационной сфере, формулируется в различных нормативных правовых актах. Конкретные нормы, устанавливающие ответственность за нарушения, сосредоточены в основном в Уголовном кодексе РФ и Кодексе об административных правонарушениях (приложения). В состав норм названных кодексов включены около двадцати видов ответственности за противоправные действия в информационной сфере. Например, ответственность за нарушения прав интеллектуальной собственности на информацию, за недостоверность и ложность информации, создаваемой и распространяемой СМИ, за нарушение правил предоставления, получения и потребления информации, и.т.д.

Федеральный закон РФ «Об оперативно-розыскной деятель-

ности» [6] определяет содержание оперативно-розыскной деятельности, осуществляемой на территории РФ, и закрепляет систему гарантий законности в случае проведения таких мероприятий.

233

Оперативно-розыскная деятельность (ОРД) – вид деятельно-

сти, осуществляемой гласно и негласно оперативными подразделениями уполномоченных государственных органов в целях защиты жизни, здоровья, прав и свобод человека и гражданина, собственности, обеспечения безопасности общества и государства от преступных посягательств.

Задачи ОРД – выявление, предупреждение, пресечение и раскрытие преступлений (в том числе установление лиц, их совершающих, розыск уклоняющихся от уголовного наказания лиц и т.д.).

Принципы ОРД – законность, уважение и соблюдение прав и свобод личности, конспирация, сочетание гласности и негласных действий. Полученные в результате ОРД материалы в отношении лиц, виновность которых не доказана, хранятся 1 год, а затем уничтожаются. Органам, осуществляющим ОРД, запрещается действовать в интересах какой-либо политической партии, оказывать влияние на деятельность общественных и религиозных организаций (ст. 5).

Оперативно-розыскными мероприятиями (ОРМ) предусматривается:

♦прослушивание телефонных и иных переговоров;

♦снятие информации с технических каналов связи.

При этом используются: информационные системы, видео- и аудиозапись, кино- и фотосъемка и другие технические средства. Организация и тактика проведения ОРМ составляют государственную тайну.

Основания для проведения ОРМ:

1.Наличие возбужденного уголовного дела;

2.Ставшие известными органам, осуществляющим ОРД, сведения о подготавливаемых, совершаемых или совершенных противо-

234

правных действиях, лицах их совершающих, если нет достаточных данных для возбуждения уголовного дела; лицах, скрывающихся от уголовного наказания; безвестном отсутствии граждан и обнаружении неопознанных трупов; событиях или действиях, создающих угрозу безопасности РФ;

3.Поручения следователя, указания прокурора или определения суда по уголовным делам, находящимся в их производстве;

4.Запросы других органов, осуществляющих оперативнорозыскную деятельность, по основаниям, указанным в настоящей статье;

5.Постановление о применении мер безопасности в отношении защищаемых лиц;

6.Запросы международных правоохранительных организаций

иправоохранительных органов иностранных государств в соответствии с международными договорами РФ.

Органы, осуществляющие оперативно-розыскную деятельность, в пределах своей компетенции вправе также собирать данные, характеризующие личность граждан, необходимые для принятия решений:

♦о допуске к сведениям, составляющим государственную тайну, или к работам, связанным с эксплуатацией объектов, представляющих повышенную экологическую опасность;

♦о допуске к участию в оперативно-розыскной деятельности

или материалам, полученным в результате ее осуществления. Данное положение не распространяется на судей

и прокуроров;

♦в связи с оказанием ими содействия в подготовке и проведении ОРМ;

♦пообеспечению безопасности органов, осуществляющих ОРД;

♦о выдаче разрешений на частную детективную и охранную деятельность.

235

Проведение ОРМ, затрагивающих тайны переписки, телефонных и иных переговоров, допускается лишь для сбора информации о лицах, подозреваемых в преступлениях, уклоняющихся от уплаты налогов и т.д., на основании судебного решения, или (в экстренных случаях) с разрешения руководителя соответствующего органа с последующим получением судебного решения в течение 48 часов, либо прекращением проведения ОРМ.

Деятельность ФСБ регулируется законом «О Федеральной службе безопасности» от 3.04.95 г. № 40-ФЗ. На данную службу возложены функции по организации системы защиты государственных секретов и ее методического обеспечения, а также оказание содействия негосударственным учреждениям, организациям и предприятиям в вопросах защиты коммерческой тайны и другой приоритетной информации. Это дает основания всем заинтересованным субъектам соответствующих правовых отношений обращаться к органам ФСБ за содействием в обеспечении защиты коммерческой информации. Такое содействие может выражаться в консультировании, оказании технической и организационной помощи. В ст. 6 закона говорится о соблюдении прав и свобод человека при деятельности органов ФСБ. Так, в случае нарушения сотрудниками органов ФСБ прав и свобод прокурор или судья принимает меры по восстановлении этих прав и возмещению причиненного ущерба

Законодательной базой, регулирующей правовые отношения с контролирующими и правоохранительными органами, являются следующие документы:

1.Федеральный закон РФ «О защите конкуренции» № 135-ФЗ от 26.07 2006 г.

2.Закон РФ «О конкуренции и ограничении монополистической деятельности на товарных рынках», № 948-1 от 22.03.1991 г.

236

3.Закон РФ «О милиции», № 1026-1 от 18.04.1991 г.

4.Закон РФ «О банках и банковской деятельности», от 3.02.96 г.

№17-ФЗ.

Одной из форм недобросовестной конкуренции является полу-

чение, использование, разглашение научно-технической, производственной или торговой информации, в том числе коммерческой тайны без согласия ее законного владельца.

Ущерб, причиненный неправомерными действиями, например Федеральной налоговой службы, подлежит возмещению в установленном законом порядке за счет средств соответствующих бюджетов. К такому ущербу относится ущерб, связанный с незаконным использованием сведений, составляющих коммерческую тайну предприятия, доступ к которым должностного лица налоговой инспекции стал возможен в связи с исполнением им своих должностных обязанностей на данном предприятии.

В современных деловых отношениях основной формой проверки и подтверждения верности финансовой отчетности предприятий является внешний аудит. Он осуществляется на основе договора со специальной организацией, имеющей соответствующую лицензию на право проведения аудита. Аудиторы – независимые ревизоры, осуществляющие по заказам предприятий или банков проверки их платежеспособности, финансовой состоятельности, рентабельности.

Деятельность аудитора неизбежно связана с его доступом к материалам и данным, связанным с коммерческой и иной предпринимательской тайной. Поэтому предусмотрена имущественная ответственность аудитора за ненадлежащее исполнение своих обязанностей, которая распространяется и на случаи разглашения им коммерческой тайны, ставшей известной ему в результате проверки.

237

За разглашение банковской тайны Банк России, кредитные, аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном законом.

Санкции за нарушения прав владельца информации контролирующими и правоохранительными органами представлены в УК РФ.

Вопросы, связанные с полномочиями органов МВД, отражены в законе РФ «О милиции».

Законом определено, что милиция вправе беспрепятственно входить в помещения, занимаемые предприятиями, учреждениями, организациями, независимо от подчиненности и форм собственности (кроме иностранных дипломатических представительств), а также в производственные помещения, используемые гражданами для занятия индивидуальной или иной трудовой деятельностью и другими видами предпринимательства, только при наличии данных о влекущем уголовную или административную ответственность нарушении законодательства, регулирующего финансовую, хозяйственную, предпринимательскую и трудовую деятельность.

Ввиду этого собственник или его представитель вправе потребовать от работника милиции сведений, объясняющих необходимость вхождения на предприятие или иной объект, например, факт возбуждения уголовного дела либо получения сведений при расследовании иного дела, его номер и орган, осуществляющий расследование. Осмотр производственных, складских, торговых и иных служебных помещений, транспортных средств, других мест хранения и использования имущества производится только с участием собственника либо его представителей, или уполномоченных им лиц. Вред, причиненный гражданам, предприятиям, учреждениям и орга-

238

низациям сотрудником милиции, подлежит возмещению в порядке, предусмотренном гражданским законодательством.

Значительными полномочиями по проверке соблюдения на предприятиях санитарных правил, норм и гигиенических нормативов обладают должностные лица и специалисты Государственной санитарно-эпидемиологической службы РФ в соответствии с законом «О санитарно-эпидемиологическом благополучии населения». Осуществляя санитарно-эпидемиологический надзор, должностные лица и специалисты обязаны сохранять государственную и коммерческую тайну в отношении информации, которая может стать им известна при выполнении своих функциональных обязанностей. На них в полной мере распространяется общеправовой принцип наступления ответственности за причиненный ущерб как в порядке подчиненности, так и через суд. Санкции за нарушения прав владельца конфиденциальной информации представлены в ст. 183 УК РФ.

Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну, независимо от того, какими намерениями сопровождалась подобного рода деятельность, также влечет за собой уголовную ответственность.

Согласно УК РФ субъектом преступления могут быть также любые лица, включая должностных лиц, имевших доступ к сведениям, составляющим коммерческую или банковскую тайну.

10.6. Регулирование процессов защиты информации на предприятиях

Механизм защиты коммерческой тайны предприятия, как правило, предусматривает наличие нескольких составляющих:

♦нормы права, направленные на защиту интересов ее владельцев;

239

♦нормы, установленные руководством предприятия, (приказы, распоряжения, инструкции и т.д.);

♦специальные структурные подразделения, обеспечивающие соблюдение этих норм (подразделения режима, службы

безопасности и т.п.).

Кроме того, мировой и отечественный опыт в области защиты информации показывает, что предприниматели должны активно привлекать к процессу защиты конфиденциальной информации всех сотрудников организации. По данным статистики информационная безопасность на 80 % зависит от правильного выбора, расстановки и воспитания кадров.

Правовое регулирование отношений по защите конфиденциальной информации на предприятии реализуется определенными правовыми обязательствами, а также принятием необходимых регламентирующих документов.

Для этого необходимо, кроме прочего, дополнить основные внутрифирменные нормативные документы следующими требованиями:

1. Ввести в Устав предприятия в раздел «Права и обязанно-

сти предприятия» следующее: «Предприятие имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну», требовать от сотрудников предприятия обеспечения ее сохранности». «Предприятие обязано обеспечить сохранность коммерческой тайны»

Внесение этих требований дает право администрации предприятия:

♦создавать организационные структуры по защите коммерческой тайны;

♦издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы ее защиты;

240