Основы информационной безопасности

9) осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов РФ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ, органах местного самоуправления и организациях;

10) осуществление центральным аппаратом ФСТЭК России организационно-технического обеспечения деятельности Межведомственной комиссии по защите государственной тайны.

ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, нормативными актами Президента РФ и Правительства РФ, международными договорами РФ, приказами и директивами Министра обороны РФ в части, касающейся ФСТЭК России, положением о ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России.

Обеспечение информационной безопасности является одним из основных направлений деятельности органов Федеральной службы безопасности (ФСБ) России. Обеспечение информационной безопасности осуществляется ими в пределах своих полномочий:

* при формировании и реализации государственной и научно-технической политики в области обеспечения информационной безопасности, в том числе с использованием инженерно-технических и криптографических средств;

* при обеспечении криптографическими и инженерно-техническими методами безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в РФ и ее учреждениях, находящихся за пределами РФ.

Служба внешней разведки РФ для осуществления своей деятельности может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.

Министерство обороны РФ организует деятельность по обеспечению информационной безопасности, защите государственной тайны в Вооруженных силах, а также в установленном порядке в пределах своей компетенции работы по сертификации средств защиты информации.

Другие органы государственного управления (министерства, ведомства) в пределах своей компетенции:

* определяют перечень охраняемых сведений;

* обеспечивают разработку и осуществление технически и экономически обоснованных мер по защите информации на подведомственных предприятиях;

* организуют и координируют проведение НИОКР в области защиты информации в соответствии с государственными (отраслевыми) программами;

* разрабатывают отраслевые документы по защите информации;

* контролируют выполнение на предприятиях отрасли установленных норм и требований по защите информации;

* создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

* организуют подготовку и повышение квалификации специалистов по защите информации.

На предприятиях, выполняющих оборонные и иные секретные работы, функционируют научно-технические подразделения защиты информации и контроля, координирующие деятельность в этом направлении научных и производственных структурных подразделений предприятия, участвующие в разработке и реализации мер по защите информации, осуществляющие контроль эффективности этих мер.

Кроме того, в отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие организацию и контроль за лицензионной деятельностью в области оказания услуг по защите информации, органы по сертификации средств вычислительной техники и средств связи, испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации, органы по аттестации объектов информатики.

Государственная система обеспечения информационной безопасности создается для решения следующих проблем, требующих законодательной поддержки:

* защита персональных данных;

* борьба с компьютерной преступностью, в первую очередь в финансовой сфере;

* защита коммерческой тайны и обеспечение благоприятных условий для предпринимательской деятельности;

* защита государственных секретов;

* создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;

* обеспечение безопасности АСУ потенциально опасных производств;

* страхование информации и информационных систем;

* сертификация и лицензирование в области безопасности, контроль безопасности информационных систем;

* организация взаимодействия в сфере защиты данных со странами - членами СНГ и другими государствами.

Ключевыми проблемами также являются:

1. Формирование законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработка реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.

2. Разработка механизмов реализации прав граждан на информацию.

3. Формирование системы информационной безопасности, обеспечивающей реализацию государственной политики в этой области.

4. Совершенствование методов и технических средств, обеспечивающих комплексное решение задач защиты информации.

5. Разработка критериев и методов оценки эффективности систем и средств информационной безопасности.

6. Исследование форм и способов цивилизованного воздействия государства на формирование общественного сознания.

7. Комплексное исследование деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией.

Огромную роль в информационной сфере в России в настоящее время также играют Мининформсвязи и ФАИТ. Большую работу для обеспечения информационной безопасности кредитно-финансовой сферы РФ проводит Центральный банк.

Государственная политика обеспечения информационной безопасности РФ основывается на следующих основных принципах [Доктрина ИБ РФ 2000]:

* соблюдении Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности РФ;

* открытости в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающей информирование общества об их деятельности с учетом ограничений, установленных законодательством РФ;

* правовом равенстве всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающемся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;

* приоритетном развитии отечественных современных информационных и телекоммуникационных технологий, производстве технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов РФ.

Первоочередными мероприятиями по реализации государственной политики обеспечения информационной безопасности РФ являются:

* разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере, а также подготовка концепции правового обеспечения информационной безопасности РФ;

* разработка и реализация механизмов повышения эффективности государственного руководства деятельностью государственных средств массовой информации, осуществления государственной информационной политики;

* принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов РФ, повышение правовой культуры и компьютерной грамотности граждан, развитие инфраструктуры единого информационного пространства России, комплексное противодействие угрозам информационной войны, создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства, пресечение компьютерной преступности, создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов РФ, обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения;

* развитие системы подготовки кадров, используемых в области обеспечения информационной безопасности РФ;

* гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизированных систем управления, информационных и телекоммуникационных систем общего и специального назначения.

ЛЕКЦИЯ 3. МЕЖДУНАРОДНАЯ, НАЦИОНАЛЬНАЯ И ВЕДОМСТВЕННАЯ НОРМАТИВНАЯ ПРАВОВАЯ БАЗА В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, руководителей, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к техническим средствам и информации.

Целью законодательных мер по защите информации являются предупреждение и сдерживание потенциальных нарушителей.

Всякий акт (документ), принятый уполномоченным законом органом или лицом в пределах своей компетенции, является правовым, поскольку он регулирует соответствующие отношения. Правовые акты могут быть обязательными для неопределенного круга лиц, иметь персональный или рекомендательный характер. Акты обязательные называют нормативными правовыми актами, все другие - ненормативными правовыми актами. Географические границы действия нормативных правовых актов определяются статусом принимающего их органа или должностного лица (федеральный, субъекта Российской Федерации, муниципальный). Нормативные правовые акты, принимаемые организациями, называются локальными.

Нормативный правовой акт - письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. Под правовой нормой понимается общеобязательное правило поведения, установленное уполномоченным государственным органом и предназначенное для неоднократного применения.

Пленум Верховного Суда Российской Федерации в Постановлении от 25 мая 2000 г. № 19 разъяснил, что под нормативным правовым актом понимается изданный в установленном порядке акт уполномоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение, действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом. Приведенное определение повторено в Постановлении Пленума Верховного Суда Российской Федерации от 20 января 2003 г. № 2 (п. 12).

В отличие от нормативного правового акта акт, устанавливающий, изменяющий или отменяющий права и обязанности конкретных лиц, именуется правовым актом индивидуального характера, или ненормативным правовым актом. К таким актам относятся, в частности, документы, используемые в правоприменительной деятельности.

Таким образом, нормативными правовым актами являются соответствующие законы Российской Федерации и субъектов Российской Федерации, указы Президента Российской Федерации, постановления Правительства Российской Федерации, акты федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, муниципальных органов, руководящих органов организаций.

Согласно Указу Президента Российской Федерации от 9 марта 2004 г. № 314 «О системе и структуре федеральных органов исполнительной власти» право принимать нормативные акты имеют не все федеральные органы исполнительной власти, а только федеральные министерства. Но эти министерства в соответствии с Федеральным законом «О техническом регулировании» лишены такого права в сфере технического регулирования, где могут издавать только акты рекомендательного характера. Исключение из данного правила установлено в ст. 5 данного Закона в отношении специальной продукции, работ и услуг.

С учетом сказанного информацию в правовой системе по ее роли можно разделить на правовую и неправовую.

Нормативная правовая информация создается в порядке правотворческой деятельности и содержится в нормативных правовых актах. Классификация такой информации может быть проведена по уровню принятия актов или по видам актов.

Ненормативная правовая информация создается, как правило, в порядке правоприменительной и правоохранительной деятельности. С помощью такой информации реализуются предписания правовых норм.

Обобщенная схема нормативно-правового и справочного обеспечения информационной безопасности (ИБ) информационных технологий (ИТ) может быть представлена следующим образом:

Нормативно-справочное обеспечение безопасности информационных технологий

1. Нормативно-правовые документы: международные нормативные документы; федеральные законы; законы субъектов РФ.

2. Подзаконные нормативные акты: указы Президента России; постановления Правительства.

3. Ведомственные документы

4. Организационно-технические документы

5. Стандарты, регламенты, федеральные классификаторы и т.п.

В соответствии с Конституцией России международные документы, подписанные от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня. Документы, не подписанные от имени России, могут использоваться, если они не противоречат законодательству страны.

Закон - это нормативно-правовой акт, принимаемый высшим представительным органом государственной власти в особом законодательном порядке, обладающий высшей юридической силой и регулирующий наиболее важные общественные отношения с точки зрения интересов и потребностей населения страны.

Подзаконные нормативно-правовые акты - это правотворческие акты компетентных органов, которые основаны на законе и не противоречат ему. По своему содержанию подзаконные акты, как правило, являются актами различных органов исполнительной власти. По субъектам издания и кругу распространения они подразделяются на общие, местные, ведомственные и внутриорганизационные акты.

Общие подзаконные акты - это нормативно-правовые акты общей компетенции, действие которых распространяется на всех лиц в пределах территории страны. По своей юридической силе и значению - следуют за законами. Они исходят от президента страны или главы правительства.

Указы Президента - в системе подзаконных актов обладают высшей юридической силой и издаются на основе и в развитии законов.

Постановления Правительства - это подзаконные нормативные акты, принимаемые в контексте с указами президента и призванные урегулировать более мелкие вопросы государственного управления экономикой, образованием и т.д.

Местные подзаконные акты - это нормативно-правовые акты органов представительной власти на местах. Действие этих актов ограничено подвластной им территорией.

Ведомственные нормативно-правовые акты (приказы, инструкции) - это нормативно-правовые акты общего действия, однако они распространяются лишь на ограниченную область общественных отношений (таможенные, банковские, транспортные и др.

Внутриорганизационные подзаконные акты - это такие нормативно- правовые акты, которые издаются различными организациями для регламентации своих внутренних вопросов и распространяются на членов этих организаций.

К числу международных актов относят: декларации; конвенции; рекомендации; соглашения; стандарты. Разработкой этих документов занимаются различные структурные подразделения международных организаций, такие как: Организация Объединенных Наций; Совет Европы (комитет министров); Европейский комитет по проблемам преступности; Комитет экспертов по преступности в киберпространстве (КЭ-ПК); Международная электротехническая комиссия (МЭК/IEC); Международная организация по стандартизации (ИСО/ISO); Британский институт стандартов (BSI); Американский институт AICPA и др.

Россия неоднократно выступала с инициативами в области международной информационной безопасности (резолюции Генеральной ассамблеи ООН A/RES/56/19 - ноябрь 2001 г., A/RES/57/53 - ноябрь 2002 г., A/RES/58/32 - декабрь 2003 г.). В соответствии с принятыми резолюциями с 2002 г. проходят Всемирные встречи на высшем уровне по вопросам информационного общества.

Среди всех международных нормативных актов в области информационной безопасности в РФ чаще всего применяются организационно-технические документы, в частности стандарты. Большая часть из них принята в качестве национальных стандартов в сфере защиты информации.

Отечественная федеральная и ведомственная нормативная база по защите информации к настоящему времени включает более ста нормативных документов, относящихся к вопросам информационной безопасности на государственном, региональном, местном, ведомственном уровнях. По своему назначению и содержанию их можно разделить на три группы:

1. Концептуальные документы, определяющие основу защиты информации в России.

2. Федеральные законы, определяющие систему защиты информации в России.

3. Вспомогательные нормативные акты в виде указов Президента РФ, постановлений Правительства РФ, межведомственных и ведомственных руководящих документов и стандартов, регулирующих процесс и механизмы исполнения положений и требований к системе обеспечения информационной безопасности государства.

Конституция Российской Федерации определяет базовые принципы отношений в информационной сфере. Этого вопроса касаются, в частности, следующие статьи.

Ст. 15 (из п. 3). Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.

Ст. 23. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права осуществляется только на основании судебного решения.

Ст. 24. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Ст. 29. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Гарантируется свобода массовой информации. Цензура запрещается.

Ст. 42. Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением.

Ст. 44. Интеллектуальная собственность охраняется законом.

Пока в Российской Федерации не существует ни отдельного органа исполнительной власти, создающего и проводящего информационную политику, ни, тем более, единого властного органа (по примеру США или Германии), который мог бы объединить все функции, связанные с обеспечением информационной безопасности. Реализация функций в настоящее время рассредоточена между Федеральной службой безопасности (ФСБ), Федеральной службой охраны (ФСО), Федеральной службой по техническому и экспортному контролю (ФСТЭК), Министерством обороны, Министерством информационных технологий и связи.

Основы государственной политики Российской Федерации в области информатизации и обеспечения информационной безопасности сформулированы в Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 17 декабря 1997 г. № 1300 (в редакции Указа Президента Российской Федерации от 10 января 2000 г. № 24), и Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г.

Концепция национальной безопасности Российской Федерации

Концепция национальной безопасности Российской Федерации отражает систему взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В ней сформулировано понятие национальных интересов России в информационной сфере. В Концепции отмечается усиление угроз национальной безопасности Российской Федерации в информационной сфере.

Доктрина информационной безопасности Российской Федерации

Под информационной безопасностью РФ в Доктрине понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В Доктрине подчеркивается, что обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Утверждается, что воздействию угроз информационной безопасности Российской Федерации в сфере экономики наиболее подвержены:

- система государственной статистики;

- кредитно-финансовая система;

- информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;

- системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;

- системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.

В качестве основных мер по обеспечению информационной безопасности Российской Федерации в сфере экономики Доктриной провозглашаются:

- организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

- коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;

- разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;

- разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;

- совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;

- совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.

Концепция использования информационных технологий

Концепция использования ИТ в деятельности федеральных органов государственной власти России до 2010 г. Разработана Министерством информационных технологий и связи. В результате реализации Концепции ожидается формирование эффективной системы предоставления государственных услуг на основе использования ИТ. В Концепции поставлен ряд задач, решение которых позволит повысить эффективность использования ИТ. Среди этих задач имеются и связанные с защитой информации:

1. Обеспечение информационной безопасности деятельности федеральных органов государственной власти (ОГВ) и элементов информационно-технологической инфраструктуры.

2. Развитие единой защищенной телекоммуникационной инфраструктуры для государственных нужд, системы удостоверяющих центров в области электронной цифровой подписи (ЭЦП) и электронной среды взаимодействия, обеспечивающей эффективный межведомственный информационный обмен.

3. Разработка стандартов в сфере использования ИТ в деятельности федеральных органов государственной власти, создание государственных ИС, их интеграции и совместного использования в рамках создания общего информационного пространства федеральных органов власти.

4. Защита интеллектуальной собственности, недопущение использования в деятельности федеральных органов власти ПО, не имеющего соответствующей лицензионной поддержки.

Концепция определяет основные приоритеты в следующих областях:

- социально-экономического развития;

- государственного управления;

- обеспечения информационной открытости;

- информационной безопасности;

- формирования информационного пространства и защищенной информационной среды федеральных органов власти;

- разработки единых требований к основным элементам информационно-технологического обеспечения;

- создания общегосударственных информационных ресурсов;

- совершенствования нормативной правовой базы в области ИТ и др.

В сфере информационной безопасности должны быть развиты основные положения Доктрины информационной безопасности Российской Федерации. Предлагается применить единые требования защиты информации от несанкционированного доступа (НСД) или изменений, воздействия компьютерных атак и вирусов, а также требования использования сертифицированных отечественных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии. Для ИС и ресурсов, содержащих сведения, составляющие государственную тайну, считать обязательным применение криптографических средств защиты информации. Контроль использования и защита государственных информационных ресурсов и систем от НСД должны обеспечиваться на основе создания комплексной системы мониторинга и учета операций при работе с государственными ИС и ресурсами.

В качестве основных направлений повышения уровня защищенности объектов общей информационно-технологической инфраструктуры выделяются следующие:

1. Обеспечение комплексного подхода к решению задач ИБ с учетом необходимости ее дифференцирования на разных уровнях власти.

2. Разработка модели угроз ИБ.

3. Определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований.

4. Обеспечение эффективного мониторинга состояния ИБ.

5. Совершенствование нормативной правовой и методической базы в области защиты государственных ИС и ресурсов, формирование единого порядка согласования ТЗ на обеспечение ИБ.

6. Проведение уполномоченными федеральными органами власти аттестации государственных ИС и ресурсов, используемых в органах власти, и контроль их соответствия требованиям ИБ.

7. Создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, ограниченным кругом органов власти.

8. Развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий госслужащих при работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, а также систем их сертификации и аудита.

Определены девять основополагающих принципов государственной политики в области использования ИТ. Среди них отметим такие, как:

- подчинение процессов использования ИТ решению задач обеспечения обороноспособности и национальной безопасности страны;

- согласованность нормативной правовой и методической базы в сфере ИТ на всех уровнях;

- унификация элементов информационно-технологической инфраструктуры, использование типовых решений при создании ИС.

В сфере формирования общего информационного пространства и защищенной информационной среды предполагается, в частности, развитие:

- единой защищенной телекоммуникационной инфраструктуры для государственных нужд;

- электронной среды взаимодействия органов власти.

В области разработки единых требований к основным элементам информационно-технологического обеспечения предполагается формирование общих стандартов создания, интеграции и совместного использования типовых элементов информационно-технологической инфраструктуры. Общие стандарты определяют общие требования и порядок выполнения работ по проектированию, реализации, внедрению,

эксплуатации и развитию типовых элементов информационно-технологической инфраструктуры.

Стандарты утверждаются для следующих типовых элементов информационно-технологической инфраструктуры органов власти:

- системы взаимодействия с гражданами и организациями, обеспечивающими предоставление им справочной информации, в том числе и через Интернет;

- учетные системы;

- системы межведомственного взаимодействия и обмена информацией;

- системы управления государственными ресурсами;

- офисные системы, используемые сотрудниками органов власти для подготовки документов и обмена информацией;

- информационно-аналитические системы, обеспечивающие сбор, обработку, хранение и анализ данных о состоянии закрепленных за органами власти сфер государственного регулирования и результатах выполнения ими основных задач и функций;

- системы управления электронными архивами документов;

- системы управления проектами;

- системы ИБ;

- системы управления эксплуатацией.

В целях интеграции, совместного использования с информационного взаимодействия государственных ИС на межведомственном уровне утверждаются:

- стандарты метаданных информационных объектов;

- стандарты описания государственных ИС и ресурсов;

- стандарты предоставления информационных сервисов;

- стандарты информационного электронного обмена и сетевого взаимодействия.

Для координации и согласования действий органов власти в этой сфере предлагается создать межведомственный координационный (совещательный) орган при Министерстве информационных технологий и связи.

В сфере создания общегосударственных ресурсов предлагается в их состав включать: регистры, кадастры, классификаторы.

Основным механизмом реализации единой согласованной государственной политики в сфере ИТ является федеральная целевая программа «Электронная Россия».

В сфере обеспечения защиты интеллектуальной собственности в области ИТ ответственность за соблюдение соответствующих нормативных актов возлагается на федеральные органы власти.

Нормативно-правовая база: Гражданский кодекс Российской Федерации (Часть первая от 30 ноября 1994 г. № 51-ФЗ, Часть вторая от 26 января 1996 г. № 14-ФЗ, Часть третья от 26 ноября 2001 г. № 146-ФЗ, с изменениями и дополнениями, Часть четвертая от 18.12.2006 г. № 230-ФЗ).

Впервые в правовой практике России информация как один из объектов права определяется в Гражданском кодексе Российской Федерации. Ст. 128 (Виды объектов гражданских прав) гласит: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе

исключительные права на них (интеллектуальная собственность)…».

Статья 139. Служебная и коммерческая тайна

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами. Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Данная статья предусматривает защиту прав обладателя сведений, для определения которых применено широкое понятие «информация», не подпадающих под охрану норм патентного, авторско-правового или иного специального законодательства.

Нормы о коммерческой тайне содержатся и в ряде других российских законов, в частности в законе РФ «О коммерческой тайне».

Сохранение в тайне служебной информации, как правило, не обусловлено ее коммерческой ценностью (хотя такая информация и может содержать сведения коммерческого характера). Запрет ее разглашения основывается на законодательстве, регламентирующем отдельные сферы деятельности (например, Законы РФ «О страховании», «О связи» и др.). Определенные категории работников такой сферы деятельности обязаны сохранять в тайне сведения, к которым они имеют доступ в связи с выполняемой работой (банковские служащие, работники связи, налоговые инспекторы, страховые агенты, врачи и др.).

Налоговый кодекс Российской Федерации (Часть первая от 31 июля 1998 г. № 146-ФЗ, Часть вторая от 5 августа 2000 г. № 117-ФЗ, с изменениями и дополнениями).

Статья 102 Кодекса устанавливает понятие налоговой тайны. Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, за исключением сведений:

- разглашенных налогоплательщиком самостоятельно или с его согласия;

- об идентификационном номере налогоплательщика;

- о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;

- предоставляемых налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация.

Трудовой кодекс Российской Федерации (от 30 декабря 2001 г. № 197-ФЗ, с изменениями и дополнениями).

Глава 14 Кодекса регулирует вопросы, связанные с защитой персональных данных работника.

Семейный кодекс Российской Федерации (от 29 декабря 1995 г. № 223-ФЗ, с изменениями и дополнениями).

Статья 139 СК РФ определяет тайну усыновления ребенка.

Кодекс Российской Федерации об административных правонарушениях (от 30 декабря 2001 г. № 195-ФЗ, с изменениями и дополнениями).

Статья 5.39. Отказ в предоставлении гражданину информации. Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации.

Статья 8.5. Сокрытие или искажение экологической информации. Сокрытие, умышленное искажение или несвоевременное сообщение полной и достоверной информации о состоянии окружающей природной среды и природных ресурсов, об источниках загрязнения окружающей природной среды и природных ресурсов или иного вредного воздействия на окружающую природную среду и природные ресурсы, о радиационной обстановке, а равно искажение сведений о состоянии земель, водных объектов и других объектов окружающей природной среды лицами, обязанными сообщать такую информацию.

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Статья 13.12. Нарушение правил защиты информации

Статья 13.13. Незаконная деятельность в области защиты информации

Статья 13.14. Разглашение информации с ограниченным доступом

Статья 13.16. Воспрепятствование распространению продукции средства массовой информации

Статья 13.17. Нарушение правил распространения обязательных сообщений

Статья 23.45. Органы, осуществляющие контроль за обеспечением защиты государственной тайны

Уголовный кодекс Российской Федерации (от 13 июня 1996 г. № 63-ФЗ, с изменениями и дополнениями).

Статья 137. Нарушение неприкосновенности частной жизни

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

Статья 140. Отказ в предоставлении гражданину информации

Статья 144. Воспрепятствование законной профессиональной деятельности журналистов

Статья 146. Нарушение авторских и смежных прав

Статья 147. Нарушение изобретательских и патентных прав

Статья 155. Разглашение тайны усыновления (удочерения)

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

В настоящее время в Государственной Думе РФ за информационную безопасность отвечают три Комитета:

1. Комитет по информационной политике;

2. Комитет по безопасности;

3. Комитет по энергетике, транспорту и связи.

Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (в ред. Федеральных законов от 02.02.2006 № 19-ФЗ, от 18.12.2006 № 231-ФЗ, от 24.07.2007 № 214-ФЗ) регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау) (…с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

В Законе используются следующие основные понятия:

Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны (п. 2 в ред. Федерального закона от 18.12.2006 N 231-ФЗ).

Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайне.

Доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

Передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.

Предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, или иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

В Законе однозначно определен перечень сведений, которые не могут составлять коммерческую тайну:

1. Содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры.

2. Содержащиеся в документах, дающих право на осуществление предпринимательской деятельности.

3. О составе имущества государственного или муниципального унитарного предприятия и об использовании ими средств соответствующих бюджетов.

4. О загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом.

5. О численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест.

6. О задолженности работодателей по выплате заработной платы и по иным социальным выплатам.

7. О нарушении законодательства и фактах привлечения к ответственности за совершение этих нарушений.

8. Об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности.

9. О размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации.

10. О перечне лиц, имеющих право действовать без доверенности от имени юридического лица.

11. Обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами (п. 4 ст.8 ФЗ № 149-ФЗ, ст. 7 ФЗ № 5485-1, ст. 26 ФЗ «О банках …).

Закон однозначно определяет круг лиц и организаций, кому необходимо предоставлять информацию, составляющую коммерческую тайну.

Такую информацию по мотивированному требованию необходимо предоставлять органу государственной власти, иного государственного органа, органа местного самоуправления. Информация предоставляется безвозмездно. Само мотивированное требование должно быть подписано уполномоченным лицом и содержать указание цели и правового основания затребования информации, срок предоставления информации. Если обладатель информации, составляющей коммерческую тайну, отказывается ее предоставлять, то соответствующие органы вправе потребовать ее предоставление по суду.

На всех документах, предоставляемых по требованию соответствующих органов, должен быть нанесен гриф «коммерческая тайна» с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество и место жительства).

Обладатель информации, имеющей гриф «коммерческая тайна», должен принимать меры по ее охране. Эти меры должны включать:

- перечень информации, составляющей коммерческую тайну;

- установление порядка доступа и порядка обращения с такой информацией, а также способы контроля за установленным порядком;

- учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «коммерческая тайна» с указанием обладателя этой информации.

Кроме этих мер обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству меры.

Для осуществления принимаемых мер работодатель обязан:

- ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения своих обязанностей, с перечнем такой информации;

- ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушения;

- создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями. Работник обязан выполнять установленный работодателем режим коммерческой тайны и не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях. Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности. При увольнении работник обязан передать работодателю все имеющиеся в его распоряжении материальные носители с информацией, содержащей коммерческую тайну.

Лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не может в соответствии с настоящим Федеральным законом быть привлечено к ответственности.

Закон Российской Федерации от 21 июля 1993 г. № 5485-1«О государственной тайне» (с изменениями и дополнениями) определяет основные понятия, полномочия органов государственной власти и должностных лиц в области отнесения сведений к

государственной тайне и их защиты, дает перечень сведений, которые могут быть отнесены к государственной тайне, указывает принципы засекречивания сведений, перечисляет сведения, не подлежащие засекречиванию, устанавливает степени секретности сведений и грифы секретности носителей этих сведений, описывает порядок отнесения сведений к государственной тайне, порядок рассекречивания сведений.

Правовой институт государственной тайны самый разработанный из числа правовых систем ограничения в доступе к информации. Однако развитие компьютерных систем создало для традиционной системы обеспечения режима секретности, в основном ориентированной на оборот документированной информации на бумажных носителях, много проблем. Положения Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной властей, местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне (статья 1).

В Законе используются следующие основные понятия:

- государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

- носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

- система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях;

- допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений;

- доступ к сведениям, составляющим государственную тайну, - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;

- гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него;

- средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;

- перечень сведений, составляющих государственную тайну, - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

- засекречивание сведений и их носителей - введение в предусмотренном Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и на доступ к их носителям. Засекречивание сведений осуществляется в соответствии с принципами законности, обоснованности и своевременности.

Законность засекречивания сведений заключается в соответствии засекречиваемых сведений положениям статей 5 и 7 Закона и законодательству Российской Федерации о государственной тайне.