Анализ правовых аспектов защиты информации
Поскольку соответствующие требования безопасности относятся ко всем элементам, процессам и отношениям системы информатизации и информационной среды, то система информационной безопасности пересекается практически со всеми остальными информационными подсистемами и тесно связана с решением их задач. Так, в частности, в сферу системы информационной безопасности попадают следующие проблемы… Читать ещё >
Анализ правовых аспектов защиты информации (реферат, курсовая, диплом, контрольная)
- Содержание
- Введение
- 1 Общие вопросы защиты информации. Обеспечение информационной безопасности
- 1.1 Процессы обеспечения информационной безопасности
- 1.2 Правовая основа защиты информации
- 2. Правовая защита информации
- 2.1 Структура правовой защиты информации. Назначение и аспекты правовой защиты информации.
- 2.2 Нормативно-правовая база защиты данных
- 2.3 Осуществление правовой защиты информации
- Заключение
- Список использованной литературы
Актуальность исследования. В настоящее время принято говорить о новом витке в развитии общественной формации — информационном обществе. Информация становится сегодня главным ресурсом мирового сообщества. Практически любая деятельность человека тесно связана с получением, хранением, обработкой и использованием разнообразной информации. Современное общество широко пользуется благами компьютеризации и информатизации. Но пользователям компьютеров и компьютерных сетей следует учитывать, что компьютер может использоваться не только как мощное средство оптимизации и повышения эффективности всех видов юридической деятельности, но и как средство совершения противоправных действий и уголовных преступлений.
При работе с информацией многие просто не подозревают о возможных потерях, модификации, краже информации, а также о том, какой вред все это может принести. Информация во все времена имела свою цену (зачастую весьма высокую). Сбор информации, ее удаление, внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов, может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач, принятию ошибочных решений. Вероятно, не зря бытует выражение, кто владеет информацией, тот владеет миром. Шалости программистов с компьютерными вирусами — это лишь часть айсберга компьютерных преступлений. Чрезвычайно высокую опасность для общества и дополнительные проблемы для правоохранительных органов создают усиливающийся криминальный контроль над глобальными компьютерными сетями, телекоммуникациями и использование информационных технологий как для скрытого получения информации, подготовки и осуществления неправомерных действий в отношении организаций и частных лиц, так и для противодействия правоохранительным органам.
Исходя из сказанного выше, следует, что комплексное обеспечение защиты компьютерной информации, а в более широком смысле обеспечение информационной безопасности объектов и субъектов, связанных с информатизацией и использованием информации, является насущной необходимостью.
Целью данной работы является анализ правовых аспектов защиты информации.
В соответствии с целью в работе поставлены и решены следующие задачи:
1. Рассмотреть общие вопросы защиты информации
2. Изучить обеспечение информационной безопасности
3. Проанализировать структуру правовой защиты информации
4. Рассмотреть назначение и аспекты правовой защиты информации.
Предмет исследованиязащита информации правовыми средствами.
Объект исследования — информация.
Работа состоит из введения, двух глав, заключения, библиографического списка.
1. Общие вопросы защиты информации. Обеспечение информационной безопасности
1.1 Процессы обеспечения информационной безопасности
Поскольку информатизация связана с осуществлением информационных процессов и реализацией множества информационных отношений, то это означает, что информационная безопасность должна предусматривать безопасность всех процессов информатизации и информационных отношений, а с другой стороны, именно процессы информатизации и соответствующие информационные отношения обязаны обеспечивать информационную безопасность.
Процессы обеспечения информационной безопасности и их материальное обеспечение образуют подсистему безопасности в соответствующей системе информатизации (страны, ведомства, корпорации). Ее формирование и развитие, как и любой другой системы с множеством информационных отношений, регламентируются множеством правовых актов России и регулируются на основе информационного законодательства страны.
Поскольку соответствующие требования безопасности относятся ко всем элементам, процессам и отношениям системы информатизации и информационной среды, то система информационной безопасности пересекается практически со всеми остальными информационными подсистемами и тесно связана с решением их задач. Так, в частности, в сферу системы информационной безопасности попадают следующие проблемы: обеспечение безопасности информационной деятельности субъектов информатизации и защита их прав, обеспечение безопасности потребителя информационной продукции, защита информационной собственности, защита содержания и объективной формы информационных объектов, создание объективных форм информации, наилучшим образом обеспечивающих ее сохранение, защита конфиденциальности и коммерческой ценности информации.
Очевидно, первые три проблемы имеют непосредственное отношение к таким системам, как: 1) регулирование отношений изготовителей и потребителей, сертификация; 2) защита интеллектуальной собственности, защита авторских прав; 3) соответствующее множество функциональных систем, осуществляющее информационные процессы и решающее текущие задачи информатизации.
Последние три проблемы целиком относятся к защите информации.
1.2 Правовая основа защиты информации
Система информационной безопасности и защиты информации опирается на правовую основу.
Защиту информации следует рассматривать как систему мер по созданию, обеспечению или способствованию обеспечению создания оптимальных условий прохождения всех информационных процессов (хранения, обработки, распространения), связанных с этой информацией. Создание оптимальных условий — это соответствующее совершенствование не только самих информационных процессов, но и других процессов, связанных с производством и использованием информации, т. е. проведением работ по оптимизации окружающей информационной среды в соответствии с требованиями информационной безопасности. Система защиты информации является центральным звеном в решении этой задачи.
Защита информации и данных, хранимых и обрабатываемых на компьютере, предполагает решение следующих задач.
1) Защиту данных от уничтожения, потери и порчи. Эта задача защиты данных заключается в проведении мероприятий по физическому хранению данных в компьютерах и других носителях.
2) Защиту данных от искажений при их обработке, хранении и коммуникации. Эта задача связана с предыдущей, однако имеет свои способы, методы и средства решения.
3) Защиту данных от случайного уничтожения или порчи при ее программной обработке, отображении или коммуникации. Задача заключается в обеспечении наличия в программных средствах обработки данных соответствующих функций.
4) Защиту данных от неправомерного удержания и ограничения доступа к ним. Задача заключается в организации беспрепятственного доступа к информации всем субъектам, имеющим на это право.
5) Защиту информации от несанкционированного доступа к ней. Данная задача заключается в ограждении конфиденциальной, коммерческой и другой информации от лиц, не имеющих права ею пользоваться.
6) Защиту информации от несанкционированной корректировки, изменения, дополнения, уничтожения. Защита предусматривает комплекс мер против попыток пользователей, имеющих право извлекать и использовать эту информацию, но не имеющих право изменения ее.
7) Защиту авторских и имущественных прав на информацию, программы, базы данных, на информационные системы. Поскольку нарушение этих прав влечет незаконное использование информации, то рассмотрение данной защиты в качестве формы правовой защиты данных вполне правомерно. Такая защита решается на основе правовых актов и нормативных документов России и осуществляется процедурами авторской регистрации, сертификации, патентоведения и пр. Правовая защита интеллектуальной собственности должна также быть поддержана средствами программной защиты информации.
8) Защиту содержательной сущности информации, информативности данных. Этот пункт занимает особое место в защите информации. Если все предыдущие относятся в основном к физическому состоянию информации, к проблемам безопасности ее использования, то он — к ее качественному использованию, работе, распространению, развитию. Информация — это живой, развивающийся организм, предполагающий ее активное участие в информатизации, постоянное дополнение и модификацию. Поэтому создание благоприятной среды (производственной, правовой, социальной) по ее максимально эффективному использованию является важнейшей задачей защиты информации. Данная защита выражается в совершенствовании и применении форм представления информации, документирования и правового оформления; в совершенствовании форм распространения информации.
Как и всякая другая подсистема информатизации, система защиты данных действует в интересах субъектов информационной сферы, защиты их прав. Однако эта защита прав действует опосредованно, а непосредственными объектами защиты являются информация, ее объективные формы выражения в виде данных, содержащихся на материальных носителях, а следовательно, и сами эти носители.
Объектами защиты являются:
* информационные ресурсы, хранящиеся в файлах, базах данных и знаний, текстовых и статистических справочниках, сборниках нормативно-правовой документации, переписки;
* системно-управляющее обеспечение компьютера, стандартные и инструментальные средства взаимодействия с ним, подготовки, обработки и передачи данных;
* прикладное программно-информационное обеспечение компьютера, информационные системы и технологии;
* материальные носители информации, все технические средства, на которых хранится, обрабатывается и передается информация, представленная в виде текстовых, табличных, двоично-шестнадцатеричных, графических или иных форм данных.
Для обеспечения защиты информации необходимы специальные организационно-технические системы, создаваемые на уровне страны, государственного органа, предприятия, отрасли и др. Роль этих систем возрастает по мере становления рынка информации и ее коммерциализации, с одной стороны, и развития автоматизации процессов обработки и хранения информации с помощью средств компьютерной техники, с другой стороны, и особенно при коммуникации данных по каналам компьютерных сетей.
По тематике решаемых задач, привлекаемым средствам и ресурсам, а также по множеству исполнителей защита информации подразделяется на несколько типов:
* правовую защиту данных, действующую на уровне научно-производственных структур, разработчиков систем, юридических и нормативных служб, органов и (или) лиц по документированию и правовому описанию информации, сертификации, патентоведению и выполнению других задач, направленных на защиту авторских и имущественных прав собственников, владельцев и пользователей данных;
* административную защиту данных, действующую на уровне управления организации, отрасли, корпорации и т. д. и направленную на организацию и координацию процессов защиты;
* программную защиту данных, действующую на уровне разработчиков системного, прикладного, общего и личного программно-инфор-мационного обеспечения, пользователей компьютерных систем и направленную на обеспечение хранения данных и пресечения попыток несанкционированного доступа к ним и/или их корректировки;
* физико-техническую (физическую) защиту данных, действующую на уровне производственных, технических, хозяйственных и других служб и направленную на обеспечение надежного хранения и коммуникации данных.
Все вышеуказанные типы защиты информации и их элементы тесно взаимосвязаны друг с другом, пересекаются и объединяются, интегрируясь, в единую систему. Только сочетание различных форм и содержащихся в них задач может обеспечить надежность защиты данных. Каждый из этих элементов, составляющих соответствующие подсистемы защиты информации, важен и неотъемлем от всей системы. Однако на современном этапе развития средств и ресурсов информатизации на центральное место в ней выходят правовая и программная системы защиты информации, оставляя за административной и физической системами роль организационного и технического обеспечения защиты. Тип защиты данных определяется объектом защиты и характером взаимодействия с ним:
* содержанием и формой защиты;
* подходом к защите, обязательным или добровольным;
* целью и назначением защиты;
* уровнем защиты информации.
Содержание и форма защиты определяют ее вид — правовой, административный, программный и физико-технический.
Подход к защите определяется характером средства или продукта информатизации, его свойствами и назначением. Обязательной, как правило, централизованной защите подлежат средства, имеющие важное значение, отношение к вопросам безопасности, государственной тайне. Это относится не только к информационным ресурсам или технологиям, но и к самим средствам обязательной защиты.
Обязательная защита предполагает интеграцию всех форм защиты, однако, особую роль здесь играет программная защита от несанкционированного доступа.
Добровольной защите могут подлежать продукты информатизации ведомств, организаций или личные, если возникает необходимость в их сохранении, защите от неконтролируемого доступа, охране авторского или имущественного права. Организации, разработчики или пользователи са;
ми выбирают объекты и типы защиты, выбирают или создают средства защиты, при необходимости обращаются в специализированные учреждения. Цели и назначение защиты соответствуют решаемым ею задачам. Здесь можно выделить следующие типы:
* хранение данных, их носителей;
* хранение средств обработки и коммуникации;
* восстановление данных;
* защита от несанкционированного доступа;
* защита авторского и имущественного права.
Уровень защиты информации определяется соответствующей системой информатизации, ее областью и информационной средой. Здесь следует выделить два основных типа — защита на общегосударственном уровне и уровне предприятия, корпорации, ведомства.
На государственном уровне защиты информации решаются задачи:
* правового регулирования защиты в контексте обеспечения информационной безопасности;
* определения стратегии защиты информации, основных направлений и форм защиты;
* определения организационных форм и структур защиты;
* обеспечения защиты информации, имеющей общегосударственное значение;
* создания стандартов документирования информации;
* создания стандартных и других необходимых средств защиты.
На корпоративном уровне, являющемся основным уровнем защиты, решаются текущие, тактические задачи в рамках обеспечения информационной безопасности страны и данной корпорации (предприятия, ведомства). На этом уровне основная роль отводится административной, программной и физической формам защиты информации. Однако на современном этапе развития информатизации здесь также большое значение придается правовой защите информации.
Нормативно-правовая база регулирования отношений пользователей, собственников и других держателей информации основана на законодательных актах России: законах РФ «Об информации и защите информации», «О государственной тайне», «Об авторском праве и смежных правах», «Об участии в международном информационном обмене» и др., указах Президента, постановлениях Правительства и других уполномоченных органов. Отношения, связанные с информационными ресурсами и средствами внутри отрасли, региона и пр., определяются их характером, назначением, свойствами, внутренними правилами и нормами работы с ними.
2. Правовая защита информации
2.1 Структура правовой защиты информации. Назначение и аспекты правовой защиты информации.
Правовая защита информации (данных) предполагает наличие регламентации прав на информацию; реализации их; контроля за процедурами реализации прав.
Регламентация прав на информацию предусматривает регулирование взаимоотношений держателей массивов данных на основе законодательных актов Российской Федерации. На правовой базе информатизации страны создается система норм, определяющих правила пользования информацией, требования к производителям и владельцам, порядок и стандарты документирования, структуру правового оформления (регистрации, депонирования, печати) информации. Реализация прав на информацию предполагает создание системы, осуществляющей практическую сторону соответствующих правовых взаимоотношений. Множество прав на информацию подразделяется на два основных подмножества: прав авторов, изготовителей, правообладателей; прав пользователей, потребителей информации.
Поскольку права одних из них влекут, как правило, обязанности других, то правильнее говорить о системе реализации прав и обязанностей различных держателей информации. Данная система предполагает наличие:
* множества организационных структур, производящих учет и документирование, правовое оформление информации;
* соответствующих процедур и мероприятий;
* специальных служб, ответственных за ее осуществление в пределах учреждения, ведомства или отрасли.
Контроль за правильностью и соответствием установленным нормам реализации прав на информацию осуществляется уполномоченными органами и организациями, ответственными за ее проведение.
Правовой базой контроля являются правовые документы по информатизации, а также положения уголовного и процессуального права.
Контроль на корпоративном уровне предполагает также:
— защиту своих авторов, собственников, правообладателей информации от посягательств или ущемления их прав;
— защиту прав и проверку соблюдения обязанностей своих потребителей, пользователей информационных продуктов.
Патент или заменяющий его документ обеспечивает защиту авторских и других прав заявителей с обнародованием (выпуском в свет, опубликованием) соответствующего описания разработки, в том числе, идеи разработки и пути решения задачи.
В качестве разработок, которые могут быть запатентованы, в «Патентном Законе Российской Федерации» указаны «объекты промышленной собственности» — изобретения, полезные вещи и промышленные образцы.
Право на производство информационных работ или услуг, необходимость получения разрешения на которые предусмотрена правовыми актами России, дает соответствующая лицензия, выдаваемая уполномоченными на это органами.
Если документирование информации является обязательным условием ее правовой охраны, то официальное правовое оформление обычно является добровольным (кроме информационных продуктов, требующих обязательной сертификации или другой процедуры).
Официальное правовое оформление не влияет на права автора или собственника информации, однако, дает им дополнительные возможности для реализации и защиты этих прав, а также обеспечивает соответствующие гласность и распространение информационной (программной) продукции.
2.2 Нормативно-правовая база защиты данных
Базой для построения системы защиты данных в целом и правовой защиты данных в частности являются информационные законы Российской Федерации. Основным из них является закон РФ «Об информации, информатизации и защите информации», большое значение которого состоит в том, что он ставит защиту данных в область юридического права и относит ее к приоритетным сферам заботы и ответственности государства. С принятием этого правового акта вся защита данных становится правовой, а все остальные формы защиты информации становятся лишь средствами реализации правовой защиты. В то же время любая форма и вид защиты данных должны соответствовать правовой, находиться в рамках закона и не противоречить установленным в ней нормам и стандартам.
Закон отмечает, что правовой (юридической) защите подлежит только документированная информация, оформленная в соответствии с требованиями законодательства РФ. Естественно, недокументированную информацию также можно и нужно защищать всеми доступными средствами, если эта защита не противоречит нормам и правилам ее использования. Правила защиты данных определяются в соответствии с законодательством и разграничением компетенции между различными государственными органами или собственниками этих данных.
Основными целями и направлениями защиты данных провозглашаются предотвращение потери и искажения данных, несанкционированного использования, угрозы безопасности человеку и государству, защита прав субъектов информатизации. Защита должна производиться как в интересах держателей информации (собственников, владельцев, пользователей), так и людей, имеющих непосредственное отношение к ним (авторов, пациентов медицинских учреждений, коммерсантов).
Закон регламентирует отношения различных держателей информации (собственников, владельцев, пользователей), их права и взаимные обязанности по предоставлению и использованию информации.
Закон устанавливает ответственность за нарушение требований и правил защиты информации: административную (наказание, возмещение ущерба), судебную (на уровне арбитражного или третейского суда), уголовную.
Законы РФ «Об авторском праве и смежных правах» и «О правовой охране программ для электронных вычислительных машин и баз данных» определяют:
* субъекты и объекты авторского, имущественного права, а также другого (смежного) права, в том числе, программу, базу данных, авторское право;
* основные положения авторского и смежного с ним права, в том числе, их защиты;
* правила распространения, использования, правовой (официальной) регистрации программ, баз данных.
Данные законы создают правовую базу для официального удостоверения и защиты авторских и имущественных прав на информационные продукты, рассматриваемые как произведения, прав на неприкосновенность программы и базы данных или их частей, защиты «чести и достоинства автора».
Правовая база процессов патентоведения основана в «Патентном Законе Российской Федерации», указах и постановлениях по вопросам патентоведения.
Вопросы лицензирования работ и услуг регламентируются в соответствующих законах, указах президента и постановлениях правительства.
Правовую базу защиты информации составляют также международные документы и соглашения, признаваемые или подписанные Россией. Это, в частности, Всемирная конвенция «Об авторском праве», ратифицированная СССР в 1973 г. (действительная для РФ как правопреемнице СССР), а также Бернская конвенция о защите интеллектуальной собственности зарубежных физических и юридических лиц, ратифицированная нашей страной в 1995 г.
К нормативно-правовым основам информационной безопасности и защиты информации относятся также «Руководящие документы» по защите от несанкционированного доступа, подготовленные Го с т е хкомиссией при Президенте РФ, а также гармонизированные ею «Критерии оценки безопасности информационных технологий» ITSEC, или «Европейские критерии». Данные документы имеют отношение, в основном, к программной и физической формам защиты, занятым практическим формированием ее систем.
Для организации и создания действенной системы информационной безопасности, как на национальном, так и международном уровнях, необходимы единые системы критериев и оценок. В «Европейских критериях» сформулированы общие требования информационной безопасности и критерии ее оценки. Эти требования и система оценок служат ориентиром при построении эффективной системы защиты данных.
Основу системы оценок и критериев составляют следующие понятия.
Гарантированность информационной безопасности — эффективность и корректность средств безопасности. Гарантированность определяется степенью уверенности в безопасности и защите.
Эффективность безопасности — это степень достоинства и пригодности средств защиты. Эффективность определяется мощностью (качеством и надежностью) механизмов защиты. Выделяются базовая, средняя и высокая мощности.
8 перечень основных функций включены:
* идентификация и аутентификация;
* безопасность обмена данными;
* управление доступом, подотчетность;
* обеспечение точности (целостности) информации;
* надежность обслуживания. Определяются 10 классов функциональности — от низких потребностей защиты и безопасности до высоких.
В «Руководящих документах Гостехкомиссиии» дается правовое описание защиты от несанкционированного доступа (НСД) к данным, обрабатываемым средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Стратегия и задачи защиты формулируются в «Концепции защиты СВТ и АС от НСД к информации».
Автоматизированная система рассматривается как интеграция самой АС, операционной среды функционирования и соответствующего программно-информационного обеспечения, предусматривающая их активное взаимодействие. Поэтому, если защита данных СВТ относится в основном к физической форме защиты (данные статичны и только хранятся), то защита данных АС — это преимущественно программная форма, включающая следующие функции и процедуры:
— проверка полномочий пользователей, регистрация;
— построение модели нарушителя;
— внедрение и создание средств защиты;
— криптография;
— обеспечение целостности данных;
— установление соответствия технологии обработки и системы информационной безопасности.
Данные в АС переменны, взаимосвязаны и взаимодействуют друг с другом при выполнении различных информационных процессов. Основными требованиями защиты данных в АС в «Руководящих документах» являются:
* обеспеченность всеми необходимыми программно-техническими средствами на всех технологических этапах обработки информации и во всех режимах функционирования;
* отсутствие существенного снижения эффективности работы АС, ухудшения ее основных функциональных характеристик.
Построение системы защиты программной и физической защиты данных предусматривает решение следующих задач:
* создание необходимых средств защиты;
* оценку эффективности средств защиты, учитывающей характеристики объектов и средств защиты;
* контроль эффективности средств защиты — периодический, по мере необходимости, контролирующими органами.
Проверка полномочий пользователя, регистрация и защита от НСД должны осуществляться системой разграничения субъектов и объектов доступа и системой учета информации.
В качестве субъекта доступа рассматривается «лицо или процесс, действия которых регламентируются правилами разграничения доступа», объекта доступа — единицы информационного ресурса АС, доступ к которой регламентируется правилами разграничения доступа. Нарушитель — это субъект доступа, осуществляющий несанкционированный доступ к информации.
2.3 Осуществление правовой защиты информации
Документирование информации. Правовая защита информации так же, как и охрана прав лиц, имеющих к ней отношение, требует определенной формализации ее представления. Информационный массив или блок с неопределенными реквизитами назначения, идентификации и принадлежности не может быть предметом правовой защиты. Для осуществления защиты, особенно правовой, необходимо четкое и полное представление о:
* предмете защите (что надо защищать);
* системе защиты (как надо защищать);
* процессах защиты (какие процедуры надо выполнить);
* средствах защиты (с помощью чего надо защищать).
Поэтому в соответствии с законами России защищаемая информация должна быть документирована, что означает:
* указание признаков, однозначно определяющих и выделяющих ее среди других информационных блоков (идентификация информации);
* определение отношений к ней, указание авторов, собственника, других субъектов, а также сведений о них, предусмотренных действующей формой документирования;
* документированное описание, выполняемое в соответствии с требованиями документирования.
Идентификация информационных объектов предполагает не только наличие признаков унификации, индивидуальности и отличия от других объектов, но и их четкую классификацию в соответствии с их назначением, содержанием и формой представления, указание их типов (программы, базы данных, информационные ресурсы или системы и т. д.).
Формализация представления информации предполагает соответствующую формализацию, а значит, и стандартизацию ее документирования, унификацию ее форм и содержания. Эти формы зависят от типа и назначения информации, соответствующих требований, норм и стандартов, устанавливаемых уполномоченными на это государственными и корпоративными органами. Обязательные элементы документирования (правила, порядок, ГОСТы и пр.) определяются государственными или другими органами, ответственными за их разработку или осуществление официального правового оформления. Дополнительно могут указываться другие сведения и реквизиты, устанавливаемые корпоративными органами или администрацией учреждения и требуемые для рационального и эффективного использования и развития (модификации) данной информации.
В соответствии с законодательством Российской Федерации, в частности, с законом «О стандартизации», органом, ответственным за управление стандартизацией технико-информационной документации и координацией работ по ее осуществлению, является Госстандарт РФ. На Госстандарт возложен также контроль за соблюдением обязательных требований государственных стандартов. На основе этих стандартов (ГОСТов) производится документированное описание информационной продукции.
Другие организации и ведомства Российской Федерации, в том числе государственные органы, субъекты хозяйственной деятельности, общественные объединения, организуют и проводят работы по стандартизации информации, в том числе, информационных продуктов в пределах своей компетенции и в соответствии с правовыми актами России.
Как видно из вышесказанного, документирование информации — это не только ее унификация и наделение неким паспортом с некоторым множеством реквизитов. В зависимости от вида информационного продукта требуется подготовка определенных сопроводительных документов, составляющих документированное описание данного продукта, состав которых определяется нормами и порядком этого описания. Документирование информации обеспечивает не только ее однозначное определение, но и, как следствие из этого, длительное хранение в составе соответствующего фонда или банка данных, быстрый поиск, а значит, эффективное и плодотворное использование.
Правовое оформление информации состоит из двух этапов:
1) документирования информации;
2) ее официального оформления.
Документирование является первым и необходимым этапом для дальнейшего правового оформления.
Официальное правовое оформление документированной информации производится в соответствии с законодательством России по информатизации и осуществляется в установленных им формах регистрации и депонирования, лицензирования, патентоведения, сертификации.
Это оформление может быть обязательным по отношению к сертификации (для информации с ограниченным доступом) и лицензированию (на право ведения работ или использования информационного продукта). К обязательной регистрации относится также предоставление обязательного экземпляра документов (программ, отчетов НИОКР и пр.) в государственные информационные фонды. Решение о добровольном официальном оформлении информации, (добровольной сертификации, регистрации и т. д.) принимается ее собственником (правообладателем) в целях лучшей реализации своих прав и возможностей. Однако во многих случаях эта операция является необходимым условием для успешной рекламы и распространения (продажи) продукции, защиты авторских прав.
Для выявления требуемых типов правового оформления необходимо определение правового статуса информации, информационных продуктов в соответствии с их принадлежностью, категориями доступа и распространения, а также с их информационными типами.
В учреждениях, ведомствах, занимающихся созданием, разработкой информационных продуктов, ресурсов, технологий и систем, практическую работу в этом направлении осуществляет корпоративная служба документирования и ведения научно-технической информации. Процедуры правового оформления требуют определенных знаний, в частности:
* содержания прав и обязанностей субъектов информатизации, структуры охраны прав;
* функциональных и организационных структур соответствующих систем;
* порядка оформления и подготовки необходимых документов и представляемых информационных продуктов;
* форм защиты информационных прав и методов борьбы с их нарушениями. Поэтому в этой службе должны быть специалисты с соответствующей информационной и правовой
подготовкой — эксперты-аудиторы, достаточно хорошо знающие вопросы информатизации и информационных процессов, а также их нормативно-правовую базу.
Использование информационного товарного знака. Идентификация информационного продукта осуществляется на уровнях его названия, содержания, отличительных знаков и пр. Одним из таких отличительных знаков может быть товарный знак.
В законе РФ «О товарных знаках, знаках обслуживания и наименованных мест происхождения товаров» товарные знаки определены как «обозначения, способные отличать соответственно товары и услуги одних юридических или физических лиц от однородных товаров и услуг других юридических или физических лиц». На зарегистрированный в официальном порядке (в Патентном ведомстве) товарный знак выдается свидетельство на имя физического или юридического лица. По закону «в качестве товарных знаков могут быть зарегистрированы словесные, изобразительные, объемные и другие обозначения или их комбинации… в любом цвете или цветовом сочетании».
Владелец товарного знака (обладатель свидетельства на него) имеет исключительное право пользоваться и распоряжаться им. Нарушением его прав «признается несанкционированное изготовление, применение, ввоз, предложение к продаже, продажа, иное введение в хозяйственный оборот или хранение с этой целью товарного знака или товара, обозначенного этим знаком, или обозначения, сходного с ним до степени смешения, в отношении однородных товаров».
Применительно к информации (информационным продуктам) товарным знаком может быть название продукта; аудиовизуальное изображение, кадры на экране.
Форма представления товарного знака зависит от типа информационного продукта, в который он включается, и, конечно, от выбора и фантазии его владельца. В частности знак может быть представлен:
* в символьной форме в виде текста;
* в виде рисунка или эмблемы, соответствующих одному кадру на экране;
* в виде множества кадров, выводимых на экран в режиме анимации — программной заставки.
Пожалуй, оптимальным выбором товарного знака является создание индивидуальной (уникальной) достаточно оригинальной заставки для информационных изделий (программ, информационных технологий, систем), которая однозначно определяет и демонстрирует отличительные признаки и характеристики фирмы, организации или физического лица. Эта заставка, имеющая постоянную зарегистрированную форму, может содержать название изделия, атрибуты изготовителя (автора, собственника), идентифицированные графические изображения, выдаваемые на экран в звуковом или музыкальном сопровождении. Заставка как лицо фирмы-изготовителя может переходить, например, из программы в программу. Изменение названия изделия не обязывает перерегистрировать знак, поскольку другим лицам запрещено использование знаков, «сходного до степени смешения» с зарегистрированным. Использование товарного знака не является, конечно, решением всех задач защиты информации. Однако это, во-первых, повышает правовую защищенность информационной продукции, а во-вторых, затрудняет возможность их несанкционированного использования. При наличии легко узнаваемого товарного знака, идентифицирующего его владельца, нарушителя очень просто определить и привлечь к ответственности вплоть до уголовной.
Правовая защита государственных информационных ресурсов. Все государственные информационные ресурсы объявляются законодательством открытыми для свободного доступа, кроме информационных ресурсов, отнесенных к категории ограниченного доступа — конфиденциальной информации или имеющей отношение к государственной тайне (законом РФ «О государственной тайне»). Отнесение информации к категории ограниченного доступа осуществляется уполномоченными на это органами на основании соответствующих нормативных актов.
Статус общероссийского национального достояния, как и правовой режим их хранения и использования, получают информационные ресурсы только в законодательном порядке. К открытым информационным ресурсам относятся, в частности:
* законодательные и другие нормативно-правовые документы, данные, «необходимые для реализации прав, свобод и обязанностей граждан» (согласно Закона о государственной тайне);
* экологические, санитарно-эпидемиологические сведения, информация о чрезвычайных ситуациях и имеющая отношение к обеспечению безопасности людей;
* статистические и справочные данные о состоянии экономики, финансов, деятельности государственных органов.
Открытые информационные ресурсы хранятся в специальных информационных центрах или фондах, библиотеках, архивах или их открытых отделах, предоставляющих возможности их публичного посещения и/или доступа к информации. Вся информация открытого фонда считается открытой.
Фонды из государственных информационных ресурсов формируются специализированными органами, имеющими на это право — лицензию, выдаваемую уполномоченными органами государственной власти.
Открытая информация должна беспрепятственно предоставляться пользователям без объяснения ими целей и назначения работы с ней.
Открытая информация может не только просматриваться, но и использоваться для получения производной информации, в том числе, и в коммерческих целях. Однако при этом обязательны ссылки на источник информации. Согласно Закону РФ «Об информации, информатизации и защите информации» «Источником прибыли в этом случае является
результат вложенных труда и средств при создании производной информации, но не исходная информация, полученная из государственных ресурсов".
Отказ владельца государственных или иных информационных ресурсов в доступе субъекта к информации может быть обжалован в судебном порядке.
Правовая защита персональных данных. Под персональными понимаются данные об отдельных физических лицах. Персональные данные отнесены законодательством России к конфиденциальным.
Некоторые категории персональных данных могут быть включены в состав государственных информационных ресурсов (с обязательным предоставлением их уполномоченным государством органам). Это осуществляется только на основании соответствующего закона РФ. По закону РФ «Об информации, информатизации и защите информации» к вышеуказанным категориям не могут быть отнесены:
* данные о частной жизни граждан;
* данные, составляющие личную или семейную тайну;
* предметы переписки, переговоров и других сообщений.
Государственный сбор, документирование, передача и распространение таких данных, согласно названному выше закону, разрешены только по соответствующему решению суда. Законом запрещено любое использование персональных данных «в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации». Физические (равно как и юридические) лица имеют право знать о целях и употреблении предоставляемой ими информации, а также хранимых данных о них (с правом бесплатного пользования); «ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации».
Негосударственные и частные органы, занимающиеся сбором, хранением и обработкой персональных данных, обязаны иметь лицензию на право этой деятельности. Любые органы и лица, в ведении которых находятся эти данные, обязаны обеспечить их физическую и программную защиту, установленную в соответствии с требованиями соответствующих нормативно-правовых актов Российской Федерации.
Естественно, хранение и защита от несанкционированного доступа к персональным данным, находящимся в личном пользовании соответствующей персоны, возлагается на эту персону.
Правовая защита корпоративных и частных данных. К корпоративным и частным данным относятся все данные, находящиеся в собственности юридических и физических лиц. В качестве собственников информации эти лица обладают в полном объеме (в пределах, определенных законодательством) правами распоряжения и пользования ею. В частности, они отвечают за подготовку, хранение и распространение этих данных, а также за их защиту от несанкционированного доступа. Для того, чтобы указанная информация стала объектом права, она должна быть документирована. Собственник информации (информационных ресурсов, систем, технологий) вместе с уполномоченными им лицами (авторами, исполнителями, владельцами) определяет степень ее конфиденциальности, коммерческой тайны, стоимости, режимы доступа, распространения, определяет меры и средства защиты, осуществляет необходимые мероприятия по их организации и применению. Гражданский Кодекс РФ дает правовое определение коммерческой информации и права на ее защиту от несанкционированного доступа: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности».
Открытой информацией собственник распоряжается по своему усмотрению; информационными ресурсами, отнесенными к государственной тайне, — «только с разрешения соответствующих органов государственной власти». Корпоративная и частная информация либо отдельные экземпляры соответствующих информационных объектов могут причисляться к государственным информационным ресурсам по желанию собственника либо путем обязательного предоставления ее в государственные органы. В этом случае ее собственник не теряет своих прав и может осуществлять владение ею совместно с государством. Государство имеет также право выкупа информации у ее собственника. Перечень документированных данных, предоставляемых в государственные органы, определяется законодательством и Правительством Российской Федерации.
Собственник информации вправе:
* применять различные средства ее защиты и приостанавливать ее распространение в случае нарушения требований защиты;
* требовать соблюдения конфиденциальности своей информации, предоставляемой им в различные государственные органы.
Нормы международного информационного обмена. Под международным информационным обменом понимается передача и получение (ввоз/вывоз) информационных продуктов через Государственную границу Российской Федерации, а также оказание информационных услуг иностранным субъектам или иностранными субъектами.
Правила и нормы международного информационного обмена регулируются законом РФ «Об участии в международном информационном обмене», а также другими законами России и правовыми актами в области информатизации.
Согласно закону «Об участии в международном информационном обмене» объектами международного информационного обмена являются документированная информация, информационные ресурсы, информационные продукты, средства международного информационного обмена, разрешенные к ввозу в страну или вывозу из нее. Указанные объекты «относятся к объектам имущественных прав собственников и включаются в состав их имущества». Понятие ввоза/вывоза распространяется на передачу информации по сетевым каналам. Как один из видов распространения информации, международный обмен информацией, в частности вывоз ее за границу, зависит от ее принадлежности (имущественных прав на нее) и типа доступа к ней.
Законом не ограничен вывоз из страны открытой информации:
* законов, других нормативно-правовых актов, регулирующих права и обязанности граждан и органов государственной власти;
* информации, необходимой для обеспечения безопасности;
* массовой информации;
* документов из открытых фондов библиотек и различных информационных систем. Ограничен вывоз из России документированной информации, относящейся:
* к категории ограниченного доступа;
* к общероссийскому национальному достоянию;
* к архивному фонду.
Вывоз государственных информационных ресурсов и других видов информации, которые находятся в государственной собственности или отнесены к категории информации с ограниченным доступом, возможен только с разрешения соответствующих органов или лицами, уполномоченными ими. Запрещен (без специального разрешения) ввоз в Россию информационных продуктов, которые не имеют сертификата соответствия установленным требованиям или могут быть использованы для совершения противоправных действий. Не разрешается также «распространение недостоверной, ложной иностранной документированной информации, полученной в результате международного обмена».
Конфиденциальная информация, участвующая в международном информационном обмене, охраняется в соответствии с законодательством России. Однако необходимыми условиями защиты являются следующие:
* наличие у работающих с ней физических или юридических лиц лицензии на право этой работы;
* использование сертифицированных средств обмена.
Под средствами международного информационного обмена понимаются все информационные системы, компьютерные сети и сети связи, используемые в этом процессе. Включение последних в состав этих средств осуществляется при наличии международного кода, порядок получения которого устанавливается Правительством РФ. Для использования средств международного информационного обмена необходимо разрешение их собственников.
Ответственность за нарушения защиты данных. Ответственность за нарушения правил и требований правовой защиты данных, нарушения прав субъектов в сфере формирования и пользования информационными продуктами, а также международных норм предусмотрена законодательством России, в частности, законами РФ «Об информации, информатизации и защите информации «и «Об участии в международном информационном обмене». За нарушение действующего законодательства предусмотрена административная и судебная ответственность, которая в зависимости от состава правонарушения может осуществляться судом (при нарушении прав субъектов), арбитражным судом (при невыполнении обязательств договора, купли-продажи), третейским судом (при конфликтных ситуациях). На виновных налагается уголовная ответственность или обязанность возмещения ущерба пострадавшим.
Закон предусматривает наложение штрафа или обязанности возмещения ущерба за незаконное использование либо распространение (продажу, воспроизведение) информационной продукции, не принадлежащей нарушителю.
Новый Уголовный Кодекс (УК) России, действующий с 1 января 1997 г., предусматривает уголовное наказание за совершение компьютерных преступлений, в число которых, в частности, входят:
* несанкционированный доступ к защищаемой информации;
* несанкционированное изменение информации;
* неправомерное использование и владение информацией;
* изготовление и сбыт средств для несанкционированного доступа к информации, использования;
* компьютерный саботаж: уничтожение, блокирование, приведение в негодность программ или информации, выведение из строя компьютерного оборудования.
Уголовный Кодекс содержит специальную главу: «Компьютерные преступления». Основными статьями, квалифицирующими уголовные компьютерные преступления и устанавливающими меру наказания за них, являются следующие.
Статья 238 «Выпуск или продажа, выполнение работ либо оказание услуг, не отвечающих требованиям безопасности». Статья предусматривает наказание лиц, совершивших указанные действия, повлекшие:
* причинение вреда здоровью (до 2 лет лишения свободы);
* отягощающие обстоятельства (до 5 лет лишения свободы);
* особо отягощающие обстоятельства (4 — 10 лет лишения свободы).
Статья 272 «Неправомерный доступ к компьютерной информации». Статья предусматривает наказание за несанкционированный доступ к охраняемой законом информации на машинном носителе или в сети, который повлек что-либо из следующего:
* уничтожение, модификацию или копирование информации;
* нарушение работы ЭВМ или сети.
За такие нарушения физическое лицо может быть подвергнуто (в зависимости от состава преступления) либо штрафу в 200 — 500 минимальных зарплат, либо исправительным работам от 6 до 12 месяцев, либо лишению свободы на 1 — 2 года. За преступление групповое или с использованием служебного положения наказание увеличивается от 500 — 800 минимальных зарплат штрафа до 5 лет лишения свободы. Наказание за несанкционированный доступ к информации и ее использование предусматривают также:
* статья 183 главы 22 «Преступление в сфере экономической деятельности» (коммерческая тайна);
* статья 137 главы 19 «Преступления против конституционных прав и свобод человека и гражданина» (персональные данные);
* статьи 275 и 276 главы 29 «Преступления против основ конституционного строя и безопасности государства» (государственные информационные ресурсы, информационная безопасность);
* статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ». В качестве таких программ имеются ввиду программы-вандалы, «троянские кони», всевозможные вирусы и другие программы, блокирующие ЭВМ, уничтожающие или искажающие информацию. Наказание предусмотрено как за создание, так и за использование или распространение таких программ. В зависимости от тяжести последствий преступления виновный может быть подвергнут штрафу до 500 минимальных зарплат или лишению свободы от 2 месяцев до 7 лет;
* статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Наказанию подлежат лица, причинившие своими действиями существенный вред информационным процессам либо повлекшие потерю или искажение информации. Признанный виновным лишается права занимать соответствующие должности, подвергается штрафу или лишается свободы на срок до 4 лет.
Конечно, слово «существенный» придает по отношению к нарушению оттенок субъективности оценки его меры. Видимо, это неизбежно: только экспертиза экспертов — специалистов по информатике может определить величину ущерба.
Пострадавшие в результате компьютерных нарушений и преступлений имеют право также обратиться в гражданский суд, который может:
* обязать нарушителя компенсировать материальный ущерб, причиненный его действиями;
* обязать нарушителя компенсировать моральный ущерб (в материальном или другом выражении). Причем, суд может обязать нарушителя компенсировать и то, и другое одновременно.
безопасность компьютеризация файл база
Заключение
Защиту информации следует рассматривать как систему мер по созданию, обеспечению или способствованию обеспечению создания оптимальных условий прохождения всех информационных процессов (хранения, обработки, распространения), связанных с этой информацией. Создание оптимальных условий — это соответствующее совершенствование не только самих информационных процессов, но и других процессов, связанных с производством и использованием информации, т. е. проведением работ по оптимизации окружающей информационной среды в соответствии с требованиями информационной безопасности. Система защиты информации является центральным звеном в решении этой задачи.