1. Правовой режим информации: понятие, признаки, содержание.
2. Виды информации ограниченного доступа.
3. Требования, предъявляемые к организации защиты конфиденциальной информации.
1. Правовой режим информации: понятие, признаки, содержание
Слово «режим» весьма богато и многозначно по своему содержанию, употребляется в самых различных смыслах и контекстах. В переводе с французского и латинского оно означает:
1) государственный строй, совокупность средств, методов, способов осуществления власти;
2) строго установленный распорядок жизни (труда, отдыха, питания, лечения, сна);
3) систему обязательных правил, требований, норм, принципов, установленных для какого-либо вида деятельности (например, судоходства, лесо-, водо-, землепользования, охоты, рыболовства и т. д.);
4) определенное состояние, положение, статус кого-либо или чего-либо (отсюда выражения: «режимный завод», «режимный объект», «режимное производство»).
В литературе правовой режим определяется как
- социальный режим некоторого объекта, закрепленный правовыми нормами и обеспеченный совокупностью юридических средств[1];
- порядок регулирования, выраженный в комплексе правовых средств, которые характеризуют особое сочетание взаимодействующих между собой дозволений, запретов, а также позитивных обязываний и создают особую направленность регулирования[2];
- результат регулятивного воздействия на общественные отношения системы (определенного набора) юридических средств, присущих конкретной отрасли права и обеспечивающих нормальное функционирование данного комплекса общественных отношений[3].
Учитывая сказанное, правовой режим - это особый порядок правового регулирования, выражающийся в определенном сочетании юридических средств и создающий желаемое социальное состояние и конкретную степень благоприятности либо неблагоприятности для удовлетворения интересов субъектов права.
Правовой режим информации - это объектный режим, вводимый законодательным актом и позволяющий обеспечить комплексность воздействия в информационной сфере посредством совокупности регулятивных, охранительных, процессуально-процедурных средств, характеризующих особое сочетание дозволений, запретов и обязываний, а также гарантий по его соблюдению.
Правовой режим информации характеризуется следующими признаками:
- информацией как объектом права и ее нематериальной природой;
- устанавливается для достижения желаемого социального эффекта;
- отражается в правилах, которые в своей совокупности призваны обеспечить достижение поставленной цели;
- правила установлены или санкционированы государством, т.е. имеют общеобязательную силу;
- правила представляют собой систему, сочетающую в себе в различном соотношении запреты и обязывания, льготы и дозволения.
Типовыми элементами содержания правового режима информации являются:
1) целевое назначение, заключающееся в установлении прав и обязанностей субъектов по поводу информации, их защите, обеспечении информационной безопасности и баланса интересов личности, общества, государства;
2) объект правового регулирования – информация, обладающая общими свойствами, характерными для любых видов информации, а также свойствами, характерными для отдельных видов информации, может быть объектом прав как в частноправовых, так и в публично-правовых отношениях;
3) правовое положение субъектов правового режима, характеризуемое с точки зрения их равенства: равное и неравное. Круг субъектов правового режима информации чрезвычайно широк: это практически любые субъекты права, от физических и юридических лиц до государственных органов, органов местного самоуправления и самого государства. Правильное определение круга субъектов правового режима исключительно важно, поскольку позволяет установить, на кого возложены обязанности по обеспечению режима, соблюдению режимных требований, кто несет ответственность за нарушение режима;
4) комплекс способов правового регулирования и средств юридического воздействия, включающий основные способы правового регулирования (дозволение, запрещение, позитивное обязывание), направленные на поддержание режима в заданных параметрах и выражены в юридических нормах. Конкретный состав режимных правовых средств и правил, их сочетание различаются в зависимости от установленного правового режима информации и определяют степень его жесткости.
Правовой режим информации включает:
1) право использования информации в качестве объекта правовых отношений;
2) право обладания информацией;
3) право доступа к информации;
4) право собственности и иные вещные права на магнитные носители, содержащие документированную информацию;
5) документирование информации;
6) право распространения и предоставления информации.
1. Право использования информации в качестве объекта правовых отношений заключается в возможности установления публичных, гражданских и иных правовых отношений, объектом которых является информация. Законодательством установлено, что в целях заключения гражданско-правовых договоров или оформления иных правоотношений обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами. Электронное сообщение, подписанное электронной подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.
2. Право обладания информацией заключается в возможности распоряжения ею (разрешение или ограничение доступа; использование, включая распространение; передача другим лицам; правовая защита и иные действия) по усмотрению обладателя.
3. Право доступа к информации заключается в возможности ее свободного получения и использования любым лицом и передачи одним лицом другому лицу, в случае если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
4. Законодательством установлено, что право собственности и иные вещные права на материальные носители, содержащие документированную информацию, устанавливаются гражданским законодательством. Это означает, что такие носители являются объектами гражданских прав наряду с другими вещами.
5. Документирование информации как составляющая правового режима информации заключается в том, что недокументированная информация преобразуется в документированную в соответствии с требованиями, устанавливаемыми законодательством Российской Федерации или соглашением сторон. В федеральных органах исполнительной власти документирование информации осуществляется в порядке, устанавливаемом Правительством Российской Федерации. Правила делопроизводства и документооборота, установленные иными государственными органами, органами местного самоуправления в пределах их компетенции, должны соответствовать требованиям, установленным Правительством Российской Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.
6. Право распространения и предоставления информации заключается в возможности свободного осуществления действий, направленных на получение информации неопределенным кругом лиц или на передачу информации неопределенному кругу лиц (распространение), и действий, направленных на получение информации определенным кругом лиц или на передачу информации определенному кругу лиц (предоставление), при соблюдении требований, установленных законодательством Российской Федерации.
Информацию в зависимости от порядка ее предоставления или распространения подразделяют на свободно распространяемую; предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; подлежащую в соответствии с федеральными законами предоставлению или распространению; распространяемую в Российской Федерации ограниченно или запрещаемую к распространению.
К требованиям, предъявляемым к распространению и предоставлению информации, относят:
- включение в информацию, распространяемую без использования средств массовой информации, достоверных сведений о ее обладателе или об ином лице, распространяющем информацию, в форме и объеме, которые достаточны для идентификации такого лица;
- обеспечение получателю информации лицом, распространяющим информацию, возможности отказа от нее при использовании для распространения средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений;
- установление соглашения, определяющего порядок предоставления информации, между лицами, участвующими в обмене информацией;
- запрет распространения информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.
Случаи и условия обязательного распространения информации или предоставления информации, в том числе обязательных экземпляров документов, устанавливаются федеральными законами.
2. Виды информации ограниченного доступа
Виды информации в зависимости от категории доступа:
- Общедоступная информация - общеизвестные сведения и иная информация, доступ к которой не ограничен. Она может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации (ст.7).
- Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ч.1 ст. 9).
Виды информации ограниченного доступа:
- государственная тайна;
- коммерческая тайна;
- информация о частной жизни лица (персональные данные, личная или семейная тайна);
- профессиональная тайна;
- служебная тайна.
Защита государственной тайны осуществляется на основе Закона РФ от 21 июля 1993 г. № 5485-1 « О государственной тайне» в статье 3 которого указывается: государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Защита коммерческой тайны осуществляется на основе ФЗ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне», в статье 3 которого указывается:
1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Защита персональных данных осуществляется на основе ФЗ от 27 июля 2006 г. N 152-ФЗ «О персональных данных», в статье 3 которого указывается: персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Профессиональная тайна – конфиденциальная информация, защищаемая по закону, не являющаяся государственной тайной и доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения.
К объектам профессиональной тайны относится: врачебная, аудиторская, нотариальная, журналистская (редакционная), адвокатская тайна, тайна связи, усыновления, страхования, исповеди.
Служебная тайна – конфиденциальная информация, защищаемая по закону и не являющаяся государственной тайной, ставшая известной в органах государственной власти и органах местного самоуправления на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом.
К объектам служебной тайны относится: военная, судебная, налоговая, банковская тайна и тайна следствия.
3. Требования, предъявляемые к организации защиты конфиденциальной информации
Можно выделить три уровня системы защиты конфиденциальной информации:
Описание: Уровни защиты информации
o Правовой уровень защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации;
o Организационный защиты информации содержит меры управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы;
o Технический, который состоит из:
§ Инженерно-технический элемент системы защиты информации
§ Программно-аппаратный элемент системы защиты информации
§ Криптографический элемент системы защиты информации
Важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты, а также порядка её использования.
Очень важно отразить в Политике информационной безопасности организации перечень конфиденциальной информации.
В соответствии ФЗ «О коммерческой тайне» меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
· определение перечня данных, составляющих коммерческую тайну;
· ограничение доступа к таким сведениям путем установления порядка обращения с ними и контроля за соблюдением этого порядка;
· организацию учета лиц, получивших доступ к конфиденциальной информации, или лиц, которым она была предоставлена;
· регулирование отношений по использованию данных, составляющих коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
· нанесение на материальные носители и документы, содержащие конфиденциальную информацию грифа «Коммерческая тайна» с указанием владельца такой информации.
В целях охраны конфиденциальности информации руководитель Организации обязан:
· ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
· ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
· создать работнику необходимые условия для соблюдения установленного режима
Обеспечение защиты конфиденциальных документов достигается следующими основными методами:
Описание: Методы обеспечения защиты конфиденциальных документов
1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
3. Организация эффективной системы делопроизводства с конфиденциальными документами.
В соответствии с ГОСТ Р 50922-2006 можно выделить следующие (обобщенные) организационные и технические меры защиты конфиденциальной информации:
Описание: Меры защиты конфиденциальной информации
1. защита конфиденциальной информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение получения защищаемой информации нарушителем;
2. защита конфиденциальной информации от несанкционированного воздействия — защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к защищаемой информации;
3. защита информации от непреднамеренного воздействия — защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к защищаемой информации;
4. защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов, не имеющих права доступа к этой информации;
5. защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами или обладателями информации прав или правил разграничения доступа к защищаемой информации;
6. защита информации от преднамеренного воздействия — защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного или воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
В завершении стоит отметить важность и определяющую значимость эффективно выстроенной системы защиты конфиденциальной информации по причине высокой ценности такой информации. Такая система должна быть продуманной, прозрачной и комплексной.
Система защиты конфиденциальной информации не должна иметь пробелов как в обеспечении ИБ элементов информационной инфраструктуры Организации, так и в её реализации на документарном уровне. Все уровни и элементы системы защиты конфиденциальной информации должны быть взаимосвязаны, оптимально выстроены и контролируемы.
[1] Исаков В.Б. Механизм правового регулирования и правовые режимы//Проблемы теории государства и права. М., 1987. С. 258-259.
[2] Алексеев С.С. Общие дозволения и общие запреты в советском праве. М., 1989. С. 185.
[3] Морозова Л.А. Конституционное регулирование в СССР. М., 1985. С. 123.
Первый
ОтветитьУдалитьЧётко все, по существу!
ОтветитьУдалить