Конспект лекции № 10
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, в ведомствах, учреждениях и организациях. При рассмотрении вопросов ИБ такая деятельность относится к организационным методам защиты процессов переработки информации.
Организационные методы защиты процессов переработки информации включают в себя меры, мероприятия и действия, которые
должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня ИБ. Эти меры
тесно связаны с правовым регулированием в области безопасности
информации.
В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности для защиты процессов переработки информации создаются специальные службы безопасности (на практике они могут называться иначе). Эти службы подчиняются, как правило, руководителю учреждения. Руководители служб организуют создание и функционирование систем защиты процессов переработки информации. На организационном уровне решаются следующие задачи обеспечен безопасности функционирования информации в КС:
организация работ по разработке системы защиты программ переработки информации;
ограничение доступа на объект и к ресурсам КС;
разграничение доступа к ресурсам КС;
планирование мероприятий;
разработка документации;
воспитание и обучение обслуживающего персонала и пользователей;
сертификация средств защиты процессов переработки информации;
лицензирование деятельности по защите процессов переработки информации;
аттестация объектов защиты;
совершенствование системы защиты процессов переработки информации;
оценка эффективности функционирования системы защиты процессов переработки информации;
контроль выполнения установленных правил работы в КС. Организационные методы являются стержнем комплексной системы защиты процессов переработки информации в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты процессов переработки информации в единую комплексную систему. Конкретные организационные методы защиты будут приводиться при рассмотрении методов и средств технологий защиты от угроз ИБ. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты процессов переработки информации.
Основными направлениями защиты информационной собственности является охрана государственной, коммерческой, служебной, банковской и интеллектуальной собственности, а также профессиональных тайн и данных
Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Сведения могут считаться государственной тайной (могут быть засекречены) в следующих случаях:
они соответствуют перечню сведений, составляющих государственную тайну, входят в перечень сведений, подлежащих засекречиванию, и отвечают законодательству Российской Федерации о государственной тайне (принцип законности);
целесообразность засекречивания конкретных сведений установлена путем экспертной оценки вероятных экономических и иных последствий, возможности нанесения ущерба безопасности Российской Федерации исходя из баланса жизненно важных интересов государства, общества и личности (принцип обоснованности);
ограничения на распространение этих сведений и доступ к ним установлены с момента их получения (разработки) или заблаговременно (принцип своевременности);
компетентные органы и их должностные лица приняли в отношении конкретных сведений решение об отнесении их к государственной тайне и засекречивании и установили соответствующий режим правовой охраны и защиты (принцип обязательной зашиты).
Коммерческая тайна — это информация, которая имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании и к которой принимаются меры по охране конфиденциальности. Она охраняется при содействии государства.
Основными субъектами права на коммерческую тайну являются обладатели коммерческой тайны и их правопреемники.
Обладатели коммерческой тайны — физические (независимо от гражданства) и юридические (коммерческие и некоммерческих организации) лица, занимающиеся предпринимательской деятельностью и имеющие монопольное право на информацию, составляющую для них коммерческую тайну.
Правопреемники — это физические и юридические лица, которым в силу служебного положения, по договору или на ином законном основании (в том числе по наследству) известна информация, составляющая коммерческую тайную другого лица.
В России к коммерческой тайне относили промысловую тайну, но затем она была ликвидирована как правовой институт. В начале 1930-х гг. в связи с огосударствлением отраслей экономики он стала защищаться как государственная и служебная тайна.
К коммерческой тайне не может быть отнесена информация:
содержащаяся в учредительных документах;
содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (регистрационные удостоверения лицензии и т.д.);
содержащаяся в годовых отчетах, бухгалтерских балансах, формах государственных статистических наблюдений и других форма годовой бухгалтерской отчетности, включая аудиторские заключения, а также в иных, связанных с исчислением и уплатой налогов, других обязательных платежей;
содержащая сведения об оплачиваемой деятельности государственных служащих, о задолженности работодателей по выплате заработной платы и другим выплатам социального характера, численности и кадровом составе работающих;
содержащаяся в годовых отчетах фондов об использовании имущества;
о реализации государственной программы приватизации и об условиях приватизации конкретных объектов;
о размерах имущества и вложенных средствах при приватизации;
подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах;
связанная с соблюдением экологического и антимонопольного законодательства, обеспечением безопасных условий труда, реализацией продукции, причиняющей вред здоровью населения, другими нарушениями законодательства Российской Федерации, субъектов Российской Федерации, а также содержащая данные о размерах причиненных при этом убытков;
о деятельности благотворительных организаций и иных некоммерческих организаций, не связанной с предпринимательской деятельностью;
о наличии свободных рабочих мест;
о хранении, использовании или перемещении материалов и использовании технологий, представляющих опасность для жизни и здоровья граждан или окружающей среды;
о ликвидации юридического лица и порядке и сроке подачи заявлений или требований его кредиторами;
для которой определены ограничения по установлению режима коммерческой тайны в соответствии с федеральными законами и принятыми в целях их реализации подзаконными актами.
Банковская тайна — это сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни.
К основным объектам банковской тайны относятся следующие:
тайна банковского вклада — сведения обо всех видах вкладов клиента в кредитной организации;
тайна частной жизни клиента или корреспондента — сведения, составляющие личную, семейную тайну и охраняемые законом как персональные данные этого клиента или корреспондента;
тайна банковского счета — сведения о счетах клиентов и корреспондентов и действиях с ними в кредитной организации (о расчетном, текущем, бюджетном, депозитном, валютном, корреспондентском и тому подобных счетах, об открытии, закрытии, переводе, переоформлении счетов и т.д.);
тайна операций по банковскому счету — сведения о принятии и зачислении поступающих на счет клиента денежных средств, о выполнении его распоряжений по перечислению и выдаче соответствующих сумм со счета, а также о проведении других операций и сделок по банковскому счету, предусмотренных договором банковского счета или законом.
К числу основных объектов интеллектуальной собственности относятся:
произведения науки, литературы и искусства;
результаты исполнительской деятельности артистов, режиссеров, дирижеров;
результаты творчества;
звукозаписи и записи изображения;
передача радио- и телевизионных сигналов;
изобретения;
промышленные образцы;
профессиональные секреты (ноу-хау);
полезные модели;
селекционные достижения;
фирменные наименования и коммерческие обозначения правообладателя;
товарные знаки и знаки обслуживания;
наименования мест происхождения товаров;
другие результаты интеллектуальной деятельности и средства индивидуализации, на которые в соответствии с законом могут признаваться или закрепляться исключительные права.
Профессиональная тайна - защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам держателя или другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.
Информация профессиональной тайны по критериям охраноспособности права может соответствовать следующим условиям:
информация не относится к сведениям, составляющим государственную и коммерческую тайну;
информация стала известной или была доверена лицу лишь в силу исполнения им своих профессиональных обязанностей;
информация стала известной или была доверена лицу, не состоящему на государственной или муниципальной службе (в противном случае информация считается служебной тайной);
по федеральному закону имеется запрет на распространение доверенной или ставшей известной информации, которое может нанести ущерб правам и законным интересам доверителя.
В соответствии с этими критериями можно выделить следующие объекты профессиональной тайны:
врачебная тайна — информация, содержащая:
сведения о факте обращения за медицинской помощью, состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина;
сведения о проведенных искусственном оплодотворении и имплантации эмбриона, а также о личности донора;
результаты обследования лица, вступающего в брак;
сведения о доноре и реципиенте при трансплантации органов и (или) тканей человека;
сведения о наличии психического расстройства, фактах обращения за психиатрической помощью и лечении в учреждении, оказывающем такую помощь, а также иные сведения о состоянии психического здоровья гражданина;
иные сведения в медицинских документах гражданина;
нотариальная тайна — сведения, доверенные нотариусу в связи с совершением нотариальных действий;
адвокатская тайна — сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи;
тайна связи — тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений;
тайна усыновления — сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления;
тайна страхования — сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности;
тайна исповеди — сведения, доверенные гражданином священнослужителю на исповеди.
Служебная тайна — это защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.
Служебная тайна является видом конфиденциальной информации, и право на служебную тайну выступает самостоятельным объектом права. Для осуществления ее правовой охраны и защиты необходим Закон РФ «О тайне» от 21.07.93 № 5485-1.
К основным объектам служебной тайны можно отнести следующие виды информации:
служебная информация о деятельности федеральных государственных органов, доступ к которой ограничен федеральным законом в целях защиты государственных интересов: военная тайна, тайна следствия (данные предварительного расследования либо следствия), судебная тайна (тайна совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного суда Российской Федерации, материалы закрытого судебного заседания, тайна совещания присяжных заседателей или в силу служебной необходимости, порядок
выработки и принятия решения, организация внутренней работы и т.д.);
охраноспособная конфиденциальная информация, ставшая известной в силу исполнения служебных обязанностей должностным лицам государственных органов и органов местного самоуправления: коммерческая тайна, банковская тайна, профессиональная тайна, а также конфиденциальная информация о частной жизни лица.
Информация служебной тайны должна отвечать критериям охраноспособности права:
являться собственной служебной тайной, т. е. должна быть отнесена федеральным законом к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости;
являться охраноспособной конфиденциальной информацией служебного характера («чужой тайной») другого лица (коммерческая тайна, банковская тайна, тайна частной жизни, профессиональная тайна);
не являться государственной тайной и не подпадать под перечень сведений, доступ к которым не может быть ограничен.
Сюда же относится информация, полученная представителем государственного органа и органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и порядке, установленных федеральным законом.
Информация, не отвечающая этим требованиям, не может считаться служебной тайной и не подлежит правовой охране. В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
сведения из актов законодательства, устанавливающих правовой статус государственных органов, организаций, общественных объединений; информация о правах, свободах и обязанностях граждан, порядке их реализации;
сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах; экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, производственных объектов, граждан и населения в целом;
сведения из описаний структур органов исполнительной власти, их функций, направлений и форм деятельности; информация об адресе и месте расположения;
информация о порядке рассмотрения и разрешения заявлений физических и юридических лиц;
сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
информация из документов открытых фондов библиотек и архивов, информационных систем организаций, необходимая для реализации прав, свобод и обязанностей граждан.
В Европе для охраны и защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки личных данных о гражданах более 25 лет назад был введен особый институт правовой охраны личности — институт защиты персональных данных.
Более чем в 20 европейских государствах приняты национальные законы о персональных данных, в ряде стран введены независимые уполномоченные по защите персональных данных, во всех странах Европейского Союза с 1998 г. создана единая унифицированная система защиты персональных данных, в том числе в секторе телекоммуникаций.
Федеральный закон «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ вводит понятие «персональные данные» (ст. 2), относит их к конфиденциальной информации и устанавливает, что перечни персональных данных должны быть закреплены федеральным законом (ст. 11). Он требует, чтобы деятельность негосударственных организаций и частных лиц по обработке и предоставлению персональных данных, равно как и по проектированию, производству средств защиты информации и обработки персональных данных, обязательно лицензировалась в порядке, установленном Правительством Российской Федерации (ст. 11, 19); декларирует, что персональные данные должны защищаться, а режим защиты в отношении персональных данных устанавливается федеральным законом (ст. 21). Статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП) устанавливает ответственность за нарушение порядка сбора, хранения и распространение информации о гражданах.
Объектом правоотношений здесь выступает право на персональные данные — информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.
К персональным данным могут быть отнесены сведения, использование которых без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам:
биографические и опознавательные данные (в том числе об обстоятельствах рождения, усыновления, развода);
сведения о семейном положении (в том числе о семейных отношениях);
сведения об имущественном, финансовом положении (кроме случаев, прямо установленных в законе);