Информационная безопасность

В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов.

Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений, но злоупотреблений компьютерами и ошибок еще больше.

Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.

Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.

На практике важнейшими являются три аспекта информационной безопасности:

·          доступность (возможность за разумное время получить требуемую информационную услугу);

·          целостность (ее защищенность от разрушения и несанкционированного изменения);

·          конфиденциальность (защита от несанкционированного прочтения).

Кроме того, использование информационных систем должно производиться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным.

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня:

1.               законодательный (законы, нормативные акты, стандарты и т.п.);

2.       административный (действия общего характера, предпринимаемые руководством организации);

3.       процедурный (конкретные меры безопасности, имеющие дело с людьми);

4.       программно-технический (конкретные технические меры).

 

Информационные технологии и право

Важнейшим аспектом решения проблемы информационной безопасности является правовой. Соответствующее законодательство довольно быстро развивается, стараясь учитывать развитие компьютерной техники и телекоммуникаций, но, естественно, не поспевает в силу разумного консерватизма, предполагающего создание новых правовых механизмов при условии накопления некой «критической массы» правоотношений, требующих урегулирования. В России аналогичное законодательство чаще всего называется «законодательством в сфере информатизации» и охватывает, по разным оценкам, от 70 до 500 нормативно-правовых актов (включая акты, которыми предусматривается создание отраслевых или специализированных автоматизированных систем).

Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий, но создает предпосылки для такого регулирования, закрепляя права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом - ст. 29 ч. 4; на охрану личной тайны - ст. 24 ч. 1 и др.) и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы - ст. 24 ч. 2).

Гражданский кодекс РФ (ГК) в большой степени определяет систему правоотношений в рассматриваемой области. Часть первая ГК устанавливает правовые режимы информации - служебная и коммерческая тайна, а также личная и семейная тайна.

Важно различать «информацию» как термин обыденной жизни и как правовую категорию, в которой она не всегда может выступать в силу указанных выше причин. Например, «утечка информации» означает несанкционированный доступ к конфиденциальной информации, «продажа информации» может осуществляться в форме оказания информационных услуг или передачи исключительных прав на использование базы данных, «собственником информации» на самом деле окажется владелец книги или личной библиотеки, служебная или деловая информация в виде приказов, договоров, уставов и т.д. есть не что иное, как документы, находящиеся в документообороте вне отношений собственности. В государственно-правовых отношениях информация выступает в виде государственной тайны, имеющей определенные идентифицирующие признаки.

На уровне действующих законов России в области компьютерного права можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правооотношений: право граждан на доступ к информации, защита информации (в том числе коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.

 

Доктрина информационной безопасности Российской Федерации

Основой для формирования государственной политики в сфере информации является Доктрина информационной безопасности Российской Федерации, утвержденная 9 сентября 2000 г. Президентом России. Она включает в себя перечень основных видов возможных угроз для информационной безопасности, которые в том числе связаны с телекоммуникационными системами. К числу таких угроз отнесены:

·          закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;

·          вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

·          неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;

·          увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности;

·          нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

·          использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;

·          привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.

В качестве некоторых общих методов обеспечения информационной безопасности Доктриной, в частности, предполагаются:

·          обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь, в области создания специализированной вычислительной техники для образцов вооружения и военной техники;

·          законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи.

В числе первоочередных мер, направленных на обеспечение информационной безопасности, в Доктрине, в частности, названы:

·          принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации;

·          повышение правовой культуры и компьютерной грамотности граждан;

·          развитие инфраструктуры единого информационного пространства России [...];

·          создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства;

·          пресечение компьютерной преступности;

·          создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации;

·          обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения.

В число основных организационно-технических мероприятий по защите информации в общегосударственных информационных и телекоммуникационных системах включены:

·          лицензирование деятельности организаций в области защиты информации;

·          аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;

·          сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи.

 

Основные законы России в области компьютерного права

Кратко рассмотрим основное содержание некоторых законов России в области компьютерного права.

1. Закон «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.92 № 3523-1 с послед, изм. и доп.) продолжает создание механизмов правовой охраны компонентов новых информационных технологий. Впервые предметом правового регулирования стали программы для ЭВМ и базы данных. Последние определены в ст.1 как «объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ».

Согласно ст. 2 «программы для ЭВМ и базы данных относятся настоящим Законом к объектам авторского права. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам».

Закон регулирует исключительные авторские права на программы для ЭВМ и базы данных (как личные, так и имущественные). Причем «авторское право на программу для ЭВМ или базу 1 данных возникает в силу их создания», а для признания и осуществления авторского права на них «не требуется депонирования, (регистрации или соблюдения иных формальностей» (ст. 4).

Статья 11 однозначно определяет механизм передачи имущественных прав на программу для ЭВМ или базу данных - они могут быть переданы полностью или частично другим физическим или юридическим лицам по договору. Договор заключается в письменной форме и должен включать следующие существенные условия: объем и способы использования программы для ЭВМ или базы данных, порядок выплаты и размер вознаграждения, срок действия договора.

2. Закон «Об авторском праве и смежных правах» (от 09.07.93 № 5351-1 с послед, изм. и доп.).  Данный закон наряду с законом «О правовой охране программ г для электронных вычислительных машин и баз данных» составляет законодательство Российской Федерации об авторском праве  и смежных правах, применяемое к программам для ЭВМ и базам  данных.

Среди объектов охраны закон предусматривает (ст. 7) программы для ЭВМ, причем охрана распространяется на все виды программ (в том числе на операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст. В той же статье к объектам охраны (как производные, составные произведения) отнесены базы данных. Базы данных определяются в этом законе аналогично закону «О правовой охране программ для электронных вычислительных машин и баз данных».

Закон исключает из объектов авторского права «идеи, методы, процессы, системы, способы, концепции, принципы, открытия, факты» (ст. 6), а также «официальные документы (законы, судебные решения, иные тексты законодательного, административного и судебного характера); сообщения о событиях и фактах, имеющие информационный характер» (ст. 8).

Закон подчеркивает (ст.6), что авторское право на произведение не связано с правом собственности на материальный объект, в котором произведение выражено. Передача права собственности на материальный объект или права владения материальным объектом сама по себе не влечет передачи каких-либо авторских прав на произведение, выраженное в этом объекте, за исключением случаев продажи произведений изобразительного искусства.

В отношении программ для ЭВМ и баз данных рассматриваемый закон как более поздний вносит ряд уточнений:

·          не допускается воспроизведение программ для ЭВМ в личных целях без согласия автора и без выплаты авторского" вознаграждения (ст. 18);

·          установлены правила свободного воспроизведения программ для ЭВМ и баз данных, декомпилирования программ для ЭВМ (ст. 25).

Примечание. Декомпиляция - процедура восстановления исходной программы из объектного модуля, выполняемого декомпилятором.

В ст. 15 дается исчерпывающий перечень личных неимущественных прав автора в отношении его произведения:

·          право авторства;

·          право на имя;

·          право на обнародование;

·          право на защиту репутации автора.

Личные неимущественные права принадлежат автору независимо от его имущественных прав и сохраняются за ним в случае уступки исключительных прав на использование произведения, которые означают (ст. 16) право осуществлять или разрешать следующие действия:

·          право на воспроизведение;

·          право на распространение;

·          право на импорт;

·          право на публичный показ;

·          право на передачу в эфир;

·          право на сообщение для всеобщего сведения по кабелю;

·          право на перевод;

·          право на переработку.

Передача имущественных прав осуществляется согласно ст. 30 только по авторскому договору (на основе авторского договора о передаче исключительных прав или на основе авторского договора о передаче неисключительных прав).

Размер и порядок исчисления авторского вознаграждения за каждый вид использования произведения устанавливаются в авторском договоре, а также в договорах, заключаемых организациями, управляющими имущественными правами авторов на '-коллективной основе с пользователями.

Закон вводит в ст. 48 понятие «контрафактного экземпляра произведения» (экземпляр, изготовление или распространение которого влечет за собой нарушение авторских и смежных прав) и устанавливает в ст.47 и ст.50 механизм ответственности за подобные действия. В частности, контрафактные экземпляры произведения подлежат конфискации по решению суда.

3. Закон «О государственной тайне» (от 21.07.93 № 5485-1 с послед, изм. и доп.). Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. При этом в качестве носителей сведений, составляющих государственную тайну, рассматриваются «материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов» (ст. 2). В соответствии с этим определением закон применяется и к сведениям, составляющим государственную тайну и хранимым в памяти ЭВМ.

В ст. 10 впервые в отечественном законодательстве было введено понятие «собственник информации» (предприятие, учреждение, организация и граждане). Однако это понятие в рамках закона не нашло своего применения. Информация, составляющая государственную тайну, должна быть выведена за сферу рыночных отношений, поэтому нормы гражданского права к ней неприменимы. В отношении государственной тайны речь может идти не о ее цене, а об оценке «размеров ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, нанесенного собственнику информации в результате ее засекречивания» (ст. 4, ч. 3).

Важно, что хотя в тексте закона используются как равнозначные два термина «информация» и «сведения», целью правового регулирования является все же защита «сведений, составляющих государственную тайну». Причем в ст. 12 определены реквизиты носителей сведений, составляющих государственную тайну (форма), а в ст. 7 установлены сведения, которые нельзя относить к государственной тайне.

4.  Федеральный закон «О связи» (от 16.02.95 № 15-ФЗ с послед, изм. и доп.). Средства связи вместе со средствами вычислительной техники составляют техническую базу обеспечения процесса сбора, обработки, накопления и распространения информации (ст. 1). Сети электросвязи представляют собой технологические системы, обеспечивающие один или несколько видов передач: телефонную, телеграфную, факсимильную передачу данных и других видов документальных сообщений, включая обмен информацией между ЭВМ, телевизионное, звуковое и иные виды радио- и проводного вещания (ст. 2).

Таким образом, закон регулирует обширную область правоотношений, возникающих при передаче информации по каналам связи (при осуществлении удаленного доступа пользователей к базам данных, обмене электронными сообщениями и других ситуациях).

5.  Федеральный закон «Об информации, информатизации и защите информации» (от 20.02.95 № 24-ФЗ).  Данный закон, называемый авторами «базовым», положил начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения.

В ст. 1 определена сфера регулирования правоотношений. Это отношения, возникающие при:

·          формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

·          создании и использовании информационных технологий и средств их обеспечения;

·          защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Среди объектов регулирования центральное место занимают (ст. 2):

·          документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

·          информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

·          средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Относительно этих объектов установлены:

·          основы правового режима информационных ресурсов (ст. 4);

·          состав государственных информационных ресурсов (ст. 7)и порядок их формирования (ст. 8);

·          режимы доступа к информационным ресурсам (ст. 10) и порядок их использования (ст. 12.13);

·          порядок использования информации о гражданах (персональные данные) как части государственных информационных ресурсов (ст. 11, 14);

·          порядок сертификации информационных систем, технологий, средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов (ст. 19);

·          принципы защиты информации и прав субъектов в области информатизации (ст. 20, 21, 22, 23 и 24).

Важнейшим элементом реализуемой в законе концепции является объявление информационных ресурсов объектом права собственности и включение их в состав имущества (ст. 6). Устанавливается право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (ст. 4), а также право собственности на информационные системы, технологии и средства их обеспечения (ст. 17). Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения определяется законом как субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами (ст. 2). Это указывает на то, что закон распространяет на все указанные объекты нормы вещного права.

Таким образом, на уровне действующих законов России можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правоотношений: право граждан на доступ к информации, защита информации (в том числе, коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.