Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Содержание
Введение........................................................................................................... 5
Глава 1. Информация как объект правовой защиты...................................9
1.1. Необходимость защиты информации...................................................................9
1.2. Основные термины и определения................................................................... 14
1.3. Структура информационных ресурсов............................................................... 33
1.4. Модель информационной безопасности.................... ……………………………38
1.5. Правовая модель отношений субъектов информационного
обмена.......................................................................................................................... 42
1.6. Особенность отношений субъектов информационного обмена
в сети Интернет.......................................................................................................... 48
1.7. Структура нормативных правовых актов в области
информационной безопасности.......................... ……………………………………… 53
1.8. Судебная практика в области компьютерных преступлений............................ 58
Контрольные вопросы к главе 1..................................................................................83
Глава 2. Государственная система обеспечения информационной безопасности Российской Федерации ……………………………………… 85
2.1. Организационная структура государственной системы обеспечения информационной безопасности..................................................................................85
2.2. Совет Безопасности Российской Федерации.....................................................90
2.3. Комиссия Совета Федерации по информационной политике..........................94
2.4. Федеральные органы исполнительной власти в области информатизации..96
2.5. Межведомственная комиссия по защите государственной тайны..................97
2.6. Правительственная комиссия по федеральной связи.....................................97
2.7. Федеральная служба безопасности Российской Федерации...........................99
2.8. Федеральная служба по техническому и экспортному контролю...................103
2.9. Федеральная служба охраны Российской Федерации...................................106
2.10. Служба внешней разведки Российской Федерации.....................................109
2.11. Федеральное агентство по информационным технологиям........................110
2.12. Федеральная служба по надзору в сфере массовых коммуникаций,
связи и охраны культурного наследия.....................................................................111
2.13. Федеральная служба по интеллектуальной собственности, патентам
и товарным знакам............................... ………………………………………………….112
2.14. Федеральное агентство по техническому регулированию и метрологии…..113
2.15. Обеспечение информационной безопасности на уровне субъектов Российской Федерации............................. ………………………………………………116
Контрольные вопросы к главе 2.......................... ……………………………………...119
Глава 3. Нормативно-правовое обеспечение информационной безопасности..................................................................................................121
3.1. Международные стандарты в области информационной безопасности……121
3.2. Основные нормативно-правовые документы Российской Федерации
в области защиты информации.................................................................................124
3.3. Конституция Российской Федерации................................................................136
3.4. Концепция национальной безопасности Российской Федерации...................137
3.5. Доктрина информационной безопасности Российской Федерации................138
3.6. Концепция использования информационных технологий в деятельности федеральных органов исполнительной власти.......................................................148
3.7. Концепция региональной информатизации.....................................................153
3.8. Концепция создания системы персонального учета населения
Российской Федерации..............................................................................................155
3.9. Концепция защиты средств вычислительной техники
и автоматизированных систем от несанкционированного доступа
к информации..............................................................................................................157
3.10. Концепция формирования информационного общества
в России.......................................................................................................................159
3.11. Стратегия развития информационного общества в России.........................161
3.12. Закон «Об информации, информационных технологиях
и о защите информации»...........................................................................................166
3.13. Кодекс Российской Федерации об административных правонарушениях........................................................................................................172
3.14. Уголовный кодекс Российской Федерации......................................................176
3.15. Гражданский кодекс Российской Федерации..................................................188
3.16. Налоговый кодекс Российской Федерации.....................................................196
3.17. Таможенный кодекс Российской Федерации...................................................197
3.18. Трудовой кодекс Российской Федерации........................................................198
3.19. Федеральный Закон «О государственной тайне»......................................... 201
3.20. Федеральный Закон «О коммерческой тайне»...............................................207
3.21. Федеральный Закон «О техническом регулировании»..................................210
3.22. Федеральный Закон «Об электронной цифровой подписи». .....................213
3.23. Федеральный Закон «О персональных данных»............................................216
3.24. Федеральный Закон «О связи»........................................................................221
3.25. Федеральный Закон «О государственной автоматизированной
системе Российской Федерации Выборы»...............................................................226
3.26. Федеральный Закон «О рекламе»....................................................................232
3.27. Федеральный Закон «О средствах массовой информации».........................233
3.28. Федеральный Закон «О безопасности»................... …………………………..234
3.29. Федеральный Закон «О лицензировании отдельных видов
деятельности» .......................................................................................................... 237
3.30. Федеральный Закон «О транспортной безопасности» . .......... …………….240
3.31. Федеральный Закон «Об оперативно-розыскной деятельности» ..............243
3.32. Федеральный Закон «Об архивном деле в Российской Федерации» ........ 246 Контрольные вопросы к главе 3................................................................................247
Приложение.....................................................................................................251
Анализ тенденций развития теории и практики
компьютерной безопасности......................................................................................251
Особенности современного этапа развития теории
компьютерной безопасности.......................... ………………………………………….251
Практические аспекты применения защиты информации......................................257
Литература......................................................................................................270
Интернет-ресурсы.........................................................................................272
Памяти моих родителей,
Андрея Васильевича
и Пелагеи Григорьевны, посвящается.
Они не могли обучить меня компьютерным технологиям,
будучи жителями сельской глубинки ушедшего
в историю государства Советский Союз, но я искренне
благодарен им за то, что они научили
меня постоянно учиться и работать.
Тогда суди сам себя, сказал король. Это самое трудное.
Себя судить куда трудней, чем других.
Если ты сумеешь правильно судить себя,
значит, ты поистине мудр.
Антуан де Сент-Экзюпери. «Маленький принц»
Введение
Современный этап развития общества характеризуется резко возросшей ролью информационных процессов во всех сферах деятельности человека. Компьютеры стали неотъемлемой частью жизни людей разных стран с различным уровнем развития. С появлением и стремительным развитием глобальной сети Интернет индустрия обработки информации и организации доступа к ней достигла невиданного ранее масштаба. Развитие систем телекоммуникаций и использование Internet/Intranet-технологий позволили вывести информатизацию на новый качественный уровень.
Мировое сообщество вступило в новую фазу своего развития стадию формирования информационного общества. Характерным признаком такого общества является то, что информационные технологии и телекоммуникации становятся базовыми в экономике и уровень их внедрения в значительной степени определяет уровень развития страны в целом. Ключевыми составляющими информационного общества являются информация и знания. Информация, а также средства ее храпения, передачи и доступа к ней являются важнейшими стратегическими ресурсами. Информатизация общества становится стратегическим направлением, предопределяющим экономические и политические приоритеты в мировом сообществе.
В июле 2000 года странами «Большой восьмерки» была принята Окинавская хартия глобального информационного общества, подписанная от имени России президентом, в которой, в частности, говорится: «Информационно-коммуникационные технологии являются одной из самых мощных сил в формировании общества XXI века. Их революционное воздействие затрагивает образ жизни людей, их образование и работу, а также взаимодействие правительства с гражданским обществом. Информационные технологии быстро становятся жизненно важным двигателем роста мировой экономики».
Прорыв в области информатизации невозможен без активной роли государства в формировании «режима наибольшего благоприятствования» для развития всей информационной инфраструктуры. Идеи Окинавской хартии прослеживаются в принятых Федеральных целевых программах «Развитие единой образовательной информационной среды (2001-2005 годы)» и «Электронная Россия», а также в принятой Советом Безопасности Российской Федерации 25 июля 2007 года программе «Стратегия развития информационного общества в России».
Утвержденная Постановлением Правительства России от 28 января 2002 года № 65 Федеральная целевая программа «Электронная Россия (2002-2010 годы)» ставит своей целью повышение эффективности экономики за счет внедрения информационно-коммуникационных технологий. Цели и задачи Программы определены с учетом стратегии социально-экономического развития России на период до 2010 года, основных положений Окинавской хартии глобального информационного общества, Концепции формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов, Доктрины информационной безопасности Российской Федерации.
В выступлении на совещании по вопросам развития информационных технологий 11 января 2005 года в Новосибирском Академгородке президент России В. В. Путин отметил: «Сегодня бизнес, связанный с информационными технологиями, один из самых динамичных и высокодоходных секторов мировой экономики, а сами информационные технологии это мощный рычаг обновления и повышения конкурентоспособности национальных производств, развития инновационной деятельности».
Процесс формирования глобального информационного общества не только привел к качественному изменению способов хранения и обработки информации, но и сделал ее одним из ценнейших товаров. В настоящее время информация представляет собой стратегический ресурс, лежащий в основе национального богатства государств с развитыми информационными технологиями.
Наблюдающийся в последние годы процесс бурного развития глобального информационного обмена вызвал все возрастающий размах информационного пиратства, поставил ряд серьезных социальных, политических, психологических, а также правовых проблем. На передний план выдвигается чрезвычайно важная и актуальная проблема борьбы с правонарушениями в сфере информационных технологий и электронным терроризмом в телекоммуникационных сетях.
Защита информации в настоящее время является неразрывной частью процессов информатизации и включает в себя безопасность не только информационных ресурсов, но и аппаратно-программных средств ее хранения, обработки и передачи. В широком смысле защита информации является комплексной задачей, включающей не только технологические, технические и программные средства, но и комплекс нормативно-правовых и организационных мер.
Мировое сообщество, и в частности Россия, явно отстает от процесса разработки соответствующих правовых норм, регулирующих отношения в сфере информационных технологий. Анализ состояния информационной безопасности в России показывает, что ее уровень не соответствует современным потребностям личности, информационного общества и государства. В «Стратегии развития информационного общества в России», утвержденной 25 июля 2007 года Советом Безопасности Российской Федерации, указано, что «сложившаяся к настоящему времени система обеспечения информационной безопасности страны в недостаточной мере способна противостоять современным угрозам, связанным с использованием возможностей информационно-коммуникационных технологий в террористических и других преступных целях».
Страны «Большой восьмерки» отметили в принятой Окинавской хартии: «Международные усилия по развитию глобального информационного общества должны сопровождаться согласованными действиями по созданию свободного от преступности и безопасного киберпространства. Мы должны обеспечивать, чтобы эффективные меры, изложенные в Общих принципах ОЭСР (Организации экономического сотрудничества и развития) по безопасности информационных систем, претворялись в жизнь в целях борьбы с киберпреступностыо».
В принятой Федеральной целевой программе «Электронная Россия» среди факторов, сдерживающих широкое внедрение и эффективное использование информационных технологий в экономике России, названа несовершенная нормативно-правовая база, разрабатывавшаяся без учета возможностей современных технологий.
В Федеральной целевой программе «Развитие государственной статистики России в 2007-2011 годах», принятой Постановлением Правительства от 2 октября 2006 года № 595 отмечено: «В условиях перехода страны к информационному обществу, характеризующемуся ускоренным развитием и широким распространением информационно-коммуникационных технологий, возникает потребность в системе статистического обеспечения принятия управленческих решений для выработки государственной политики в этой области.
В основу статистического исследования информатизации должен быть положен системный подход к изучению явлений и процессов, связанных с развитием и распространением информационно-коммуникационных технологий. Один из основных принципов такого подхода состоит в том, что информационное общество должно рассматриваться как целостный объект статистического наблюдения. Это предполагает разработку концепции и практическую реализацию статистического мониторинга, охватывающего все аспекты деятельности, связанной как с производством и распространением продуктов и услуг в сфере информационно-коммуникационных технологий, так и с их использованием в экономике и сферах общественной жизни».
Стало очевидным, что, для того чтобы создать условия для опережающего развития и внедрения информационных технологий, необходимо решить целый ряд вопросов, связанных, прежде всего с развитием законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе нормативного закрепления ответственности должностных лиц и граждан но соблюдению требований информационной безопасности.
Следует отметить, что в последние годы в России принят ряд федеральных законов, указов Президента, постановлений Правительства, государственных стандартов и других нормативно-правовых актов, касающихся внедрения информационных технологий и обеспечения защиты информации. Ряд принятых ранее законодательных актов претерпел существенные изменения, вплоть до полной отмены. В связи с этим издание учебной литературы, касающейся нормативно-правовых аспектов информационных технологий, отстает от быстро меняющейся ситуации в этой области.
Данное учебное пособие имеет целью провести анализ современной нормативно-правовой базы в области информационных технологий с учетом изменений законодательства на конец 2007 года. В нем представлен обширный материал по основным законам Российской Федерации, указам Президента, постановлениям Правительства, а также руководящим документам Гостехкомиссии и Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Пособие ориентировано на студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности, юриспруденции, аспирантов, слушателей курсов повышения квалификации по проблемам защиты информации. Затронутые вопросы могут быть полезны также техническим специалистам, занимающимся обеспечением защиты информации, юристам, а также руководителям разных рангов, курирующим вопросы обеспечения информационной безопасности.
Глава 1
Информация как объект правовой защиты
информации
Реалии современного информационного общества однозначно показывают, что пи одна сфера жизни цивилизованного государства не может эффективно функционировать без развитой информационной инфраструктуры, широкого применения аппаратно-программных средств и сетевых технологий обработки информации. По мере возрастания ценности информации, развития и усложнения средств ее обработки безопасность общества все в большей степени зависит от безопасности используемых информационных технологий. Многочисленные публикации последних лет показывают, что способы злоупотреблений информацией, циркулирующей в системах, совершенствуются не менее интенсивно, чем меры защиты от них. Более того, объектами компьютерных преступлений являются не только информационные ресурсы, но и сами компьютеры, программное обеспечение, телекоммуникационное оборудование и линии связи.
Проблемы обеспечения информационной безопасности неразрывно связаны с историей развития компьютерных технологий. Первоначально проблема обеспечения безопасности данных возникла при увеличении количества ЭВМ, расширении областей их применения и круга пользователей. Проблему обеспечения безопасности данных значительно обострило появление и распространение автоматизированных информационных систем.
Центральной идеей того времени являлось намерение обеспечить безопасность данных механизмами, функционирующими по строго формальным алгоритмам. Для создания таких механизмов использовались технические и в основном программные средства. Программные средства защиты включались в состав операционных систем или систем управления базами данных. Слабым звеном разработанных механизмов защиты оказался механизм защиты доступа пользователя к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным.
В 60-х и 70-х годах XX века основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых па компьютере, и повышении отказоустойчивых решений в области обработки информации в автоматизированных системах, построенных в основном на базе централизованных систем и терминального доступа.
В 80-х годах с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, появились первые криптографические стандарты защиты данных, а также были разработаны критерии оценки безопасности операционных систем, определяющие различные системы разграничения доступа. В то время появился термин компьютерная безопасность и были определены ее основные цели: конфиденциальность, целостность, доступность.
В 90-х годах с интенсивным развитием сетевых компьютерных технологий, появлением распределенных компьютерных систем и клиент-серверных технологий основные усилия специалистов были направлены на решение задач по обеспечению безопасности сетевого и межсетевого взаимодействия, разграничению доступа к распределенным ресурсам, комплексному обеспечению безопасности информации в распределенных автоматизированных системах. Средства защиты стали встроенными в большинство создаваемых промышленных продуктов. В это же время был накоплен опыт расследования и пресечения компьютерных преступлений. Несмотря на развитие теории и реализацию в практических системах технологий обеспечения компьютерной безопасности, объем ущерба, наносимого в результате компьютерных инцидентов, возрастал. Появилось осознание того, что информационные ресурсы организации или государства являются важным объектом экономической инфраструктуры. Стало понятно, что обеспечение безопасности объектов информатизации требует привлечения различных ресурсов (людских, организационных, программно-технических) и разработки системы мер и методов защиты. Поэтому в научной литературе, а затем и в средствах массовой информации стал использоваться термин информационная безопасность (information security).
В конце XX века формируются основы теории обеспечения информационной безопасности как направления научных исследований. Теория приобретает определенную структуру, организуются специализированные институты и международные сообщества исследователей, проводятся тематические научные конференции.
В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего в себя комплекс взаимосвязанных мер с использованием специальных аппаратно-программных средств, организационных мероприятий, нормативно-правовых актов. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
□ высокие темпы роста парка персональных компьютеров, применяемых в самых разных сферах деятельности, и, как следствие, резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным сетям и информационным ресурсам;
□ увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
□ бурное развитие аппаратно-программных средств и технологий, не соответствующих современным требованиям безопасности;
□ несоответствие бурного развития средств обработки информации и проработки теории информационной безопасности, разработки международных стандартов и правовых норм, обеспечивающих необходимый уровень защиты информации;
□ повсеместное распространение сетевых технологий, создание единого информационно-коммуникационного мирового пространства на базе сети Интернет, которая по своей идеологии не обеспечивает достаточного уровня информационной безопасности.
Ежегодно в мире растет количество правонарушений в информационной сфере. Соответственно, растет и размер ущерба, нанесенного злоумышленниками. По данным Управления «К» Министерства внутренних дел России, за 2005 год зарегистрировано 6910 преступлений в сфере компьютерной информации. Успешно расследуется около 49 % компьютерных преступлений. Обвинительные приговоры выносятся только в 25,5 % случаев.
В табл. 1 представлена статистика преступлений в информационной сфере за 2003-2004 годы.
Таблица 1. Статистика преступлений в информационной сфере за 2003-2004 годы
Статья Уголовного кодекса |
2003 год |
2004 год |
146. Нарушение авторских и смежных прав |
249 |
528 |
159. Мошенничество |
272 |
371 |
165. Причинение имущественного ущерба путем обмана или путем злоупотребления доверием |
2321 |
2892 |
171. Незаконное предпринимательство |
5 |
Статья Уголовного кодекса |
2003 год |
2004 год |
183. Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну |
242 |
480 |
187. Изготовление или сбыт поддельных кредитных либо расчетных карт |
1740 |
1616 |
242. Незаконное распространение порнографических материалов или предметов |
123 |
335 |
272. Неправомерный доступ к информации |
7053 |
8002 |
273. Создание, использование и распространение вредоносных программ для ЭВМ или машинных носителей с такими программами |
728 |
1079 |
274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети |
1 |
11 |
В 2003 году только на сайт Президента Российской Федерации было осуществлено около 100 000 компьютерных атак (то есть приблизительно по 274 ха-керские атаки в день, или 11 атак в час). Всего же число зарегистрированных атак на интернет-представительства органов государственной власти Российской Федерации в 2003 году превысило 730 000 [9].
Безопасность информации в современных условиях выдвигается на первый план и становится важнейшим элементом национальной безопасности государства. Информационная безопасность рассматривается как одна из приоритетных государственных задач.
С 29 марта по 8 апреля 2005 года в Москве прошел международный форум по обеспечению информационной безопасности, на котором присутствовали ведущие эксперты более чем из 50 стран.
Участники форума отметили следующие важные положения:
1. Системы обеспечения безопасности должны рассматриваться как неотъемлемая составная часть информационно-телекоммуникационных систем.
2. Вопросы обеспечения информационной безопасности являются комплексными. Их решение требует объединения усилий и организации согласованных мероприятий со стороны органов государственной власти, силовых структур, научных учреждений, операторских компаний.
3. Для согласованного развития нормативных, юридических, технологических и организационных элементов кибербезопасности важным фактором становится международное сотрудничество.
Участники форума выделили следующие основные направления совершенствования информационно-коммуникационных систем и информационной безопасности в России:
1. Дальнейшее совершенствование законодательства в сфере обеспечения информационной безопасности, разработка единого правового понятийного аппарата, подходов к правовому регулированию в сфере информационной безопасности, правоприменительной практики.
2. Консолидация усилий операторов связи и правоохранительных органов но оперативному реагированию па действия злоумышленников. Необходимость административного определения базового уровня обеспечения безопасности операторами связи и принятия его в качестве одного из условий операторской деятельности.
3. Обеспечение дальнейшего развития теории информационной безопасности инфокоммуникациониых систем.
4. Подготовка специалистов в области современных информационных технологий и технологий обеспечения информационной безопасности.
Следует отметить, что на информационную безопасность Российской Федерации значительное влияние оказали происходящие в последние годы преобразования. Возникли новые факторы, которые необходимо учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области. Всю совокупность факторов можно разделить па политические, экономические и организационно-технические.
К основным политическим факторам следует отнести следующие:
□ становление новой российской государственности на основе принципов демократии, законности, информационной открытости;
□ разрушение ранее существовавшей командно-административной системы государственного управления;
□ нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
□ низкая общая правовая и информационная культура в российском обществе;
□ активизация деятельности международных террористических организаций и ее направленность на дестабилизацию ситуации в стране, в том числе с использованием средств «информационной войны»;
□ изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, эскалация конфликтов вблизи государственной границы Российской Федерации.
Важнейшими экономическими факторами являются: Q переход России на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
□ критическое состояние отраслей промышленности, производящих средства информатизации и защиты информации, отставание телекоммуникационной инфраструктуры от аналогичных структур развитых стран;
□ расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России;
□ появление криминальных структур, их разрастание до угрожающих масштабов, срастание с чиновничьим аппаратом и стремление оказывать влияние на все уровни руководства государством;
□ нарушение хозяйственных связей вследствие распада СССР;
□ ослабление научно-технического и технологического потенциала страны, сокращение исследований на стратегически важных направлениях, в том числе в сфере информатизации, и, как следствие, усиление внешней технологической зависимости.
В «Стратегии развития информационного общества в России», утвержденной 25 июля 2007 года Советом Безопасности Российской Федерации, явно указано, что в настоящее время «практически отсутствует производство конкурентоспособной продукции микроэлектронной промышленности, телекоммуникационного оборудования и средств вычислительной техники, в результате чего зависимость развития российской информационной инфраструктуры от поставок зарубежных информационно-коммуникационных технологий значительно превышает критический уровень».
К важнейшим организационно-техническим факторам следует отнести следующие:
□ недостаточная нормативно-правовая база информационных отношений, в том числе в области обеспечения информационной безопасности;
□ слабое регулирование государством процессов функционирования и развития рынка средств информатизации, информационных продуктов и услуг в России;
□ широкое использование не защищенных от утечки информации и несертифицированных импортных аппаратно-программных средств и технологий для хранения, обработки и передачи информации;
□ обострение криминогенной обстановки, рост числа компьютерных преступлений.
Все указанные выше факторы создают целый спектр угроз национальной безопасности государства. Средством нейтрализации значительной части угроз является эффективная нормативно-правовая база, регулирующая отношения во всех сферах информационного общества, и ведущая роль государства в построении комплексной системы информационной безопасности.
Стремительное внедрение компьютерных технологий и телекоммуникаций в общественную деятельность опережает темпы развития социальных и правовых отношений в информационном обществе. Во всем мире растет количество законодательных коллизий, связанных с информационной сферой. Человечество впервые столкнулось с ситуацией, когда широкомасштабная информатизация вызвала новые отношения в обществе, а существующая законодательная база не соответствует складывающимся реалиям. Появились новые проблемы, связанные с киберпреступностыо, информационной безопасностью, цифровым неравенством. Для решения этих проблем необходима в первую очередь совершенная законодательная база в области информатизации и телекоммуникаций.
1.2. Основные термины
и определения
Анализ научно-технической литературы в области информационной безопасности, в том числе законодательных актов Российской Федерации, а также отечественных и зарубежных стандартов, показывает, что в области терминологии не существует пока полного единства трактовок одних и тех же понятий. Поэтому ниже приведены основные определения в области информационной безопасности, как они трактуются в Законах Российской Федерации, руководящих документах Гостехкомиссии (ныне Федеральной службы по техническому и экспортному контролю, ФСТЭК), а также государственных стандартах России (ГОСТ Р 50922-96, ГОСТ Р 51275-99 и др.).
Понятие информационной безопасности тесно связано с процессом информатизации общества. По определению ЮНЕСКО, информатизация это «развитие и широкомасштабное применение методов и средств сбора, преобразования, хранения и распространения информации, обеспечивающих систематизацию имеющихся и формирование новых знаний, и их использование обществом в целях его текущего управления и дальнейшего совершенствования и развития». Информатизация общества представляет собой целенаправленный процесс изменения социальной информационной среды. Целью информатизации является повышение эффективности эксплуатации информационных ресурсов общества путем системной компьютеризации всех этапов жизненного цикла информации.
Защита информации это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации могут быть государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Защита информации от утечки деятельность по предотвращению неконтролируемого распространения защищаемой информации, по защите от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации иностранными разведками.
Защита информации от несанкционированного воздействия деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от [иностранной] разведки деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
Защита информации от [иностранной] технической разведки деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
Защита информации от агентурной разведки деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации желаемый результат защиты информации.
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности защиты информации мера или характеристика для оценки эффективности защиты информации.
Нормы эффективности защиты информации значения показателей эффективности защиты информации, установленные нормативными документами.
Организация защиты информации содержание и порядок действий по обеспечению защиты информации.
Система защиты информации совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации совокупность действий по разработке и (или) практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации совокупность действий по разработке и (или) практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации порядок и правила применения определенных принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации проверка соответствия организации и эффективности защиты информации установленным требованиям и (или) нормам в области защиты информации.
Средство защиты информации техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации техническое, программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности защиты информации проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности защиты информации контроль эффективности защиты информации, проводимый с использованием средств контроля.
Фактор, воздействующий на защищаемую информацию, явление, действие или процесс, результатом которых может быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
Объект информатизации совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Информационная технология приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации.
Обработка информации совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, храпения, регистрации, уничтожения, преобразования, отображения информации.
Под информационной безопасностью понимают состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Под безопасностью информационной системы понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток несанкционированного получения информации, модификации или физического разрушения ее компонентов.
В последние годы понятие информационная безопасность распространилось и на такие объекты, как сложные организационно-технические системы, имеющие информационные компоненты (информационную среду), и собственно информационные системы (ИС) и телекоммуникационные сети (ТС). В ИС и ТС основными объектами защиты выступают информационные ресурсы и информационная инфраструктура, образующие их информационную среду. Другими словами, защищенность информационной системы или корпоративной сети (КС) достигается принятием мер по обеспечению как безопасности (конфиденциальности, целостности и доступности) информации, так и доступности и целостности компонентов и ресурсов системы (сети), то есть ее информационной среды как совокупности информационных ресурсов и информационной инфраструктуры.
Достоверность информации свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.
Субъект это активный компонент системы, который может стать причиной образования потока информации от объекта к субъекту или изменения состояния системы.
Объект пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Доступ к информации ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ к информации доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Целостность ресурса или компонента системы свойство быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.
Применение при межсетевом взаимодействии открытых каналов передачи данных создает потенциальную угрозу проникновения злоумышленников. Если пассивный нарушитель только просматривает доступные ему сообщения, то активный наряду с прослушиванием может перехватывать, искажать и уничтожать их. Поэтому одной из важных задач обеспечения информационной безопасности при межсетевом взаимодействии является использование методов и средств, позволяющих одной стороне убедиться в подлинности другой стороны.
С допуском к информации и ресурсам системы (сети) связана группа таких понятий, как идентификация, аутентификация, авторизация. С каждым зарегистрированным субъектом системы (сети) связывают некоторую информацию, однозначно идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, считается законным (легальным).
Идентификация присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Эта функция выполняется, в первую очередь, когда пользователь делает попытку войти в сеть. Он сообщает системе по ее запросу свой идентификатор, и система проверяет его наличие в своей базе данных.
Аутентификация проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат). Идентификация и аутентификация взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После того как субъект идентифицирован и аутентифицирован, выполняется его авторизация.
При защите каналов передачи данных выполняется взаимная аутентификация субъектов, то есть взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса при установлении соединения абонентов; термин соединение указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры обеспечить уверенность в том, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.
Авторизация субъекта это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).
Под угрозой безопасности для системы (сети) понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети), или самой системы или сети.
Уязвимость системы (сети) это любая характеристика компьютерной системы, использование которой может привести к реализации угрозы.
Атака на компьютерную систему (сеть) это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака это реализация угрозы безопасности. Противодействие угрозам безопасности цель, которую призваны выполнить средства защиты компьютерных систем и сетей.
Политика безопасности это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы (сети) от заданного множества угроз безопасности.
Политика безопасности регламентирует эффективную работу средств защиты корпоративной сети. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности определяет архитектуру системы защиты и реализуется посредством комплексного применения административно-организационных мер, физических мер и программно-аппаратных средств. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.
Политика безопасности зависит от способа управления доступом, определяющего порядок доступа к объектам системы. Различают два основных вида политики безопасности: избирательную и полномочную.
Избирательная политика безопасности основана на избирательном способе управления доступом. Он характеризуется задаваемым администратором множеством разрешенных отношений доступа (например, в виде троек: объект, субъект, тип доступа). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа, в которой столбец соответствует объекту системы, а строка субъекту. На пересечении столбца и строки указывается тин разрешенного доступа субъекта к объекту. Обычно выделяют такие тины, как «доступ на чтение», «доступ па запись», «доступ на исполнение» и т. и.
Полномочная политика безопасности основана на полномочном (мандатном) способе управления доступом. Она заключается в совокупности правил предоставления доступа, базирующихся на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя.
Полномочное управление доступом подразумевает, что:
□ все субъекты и объекты системы однозначно идентифицированы;
□ каждому объекту системы присвоена метка конфиденциальности, определяющая ценность содержащейся в нем информации;
□ каждому субъекту системы присвоен некий уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциальности. Поэтому самыми защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.
Основным назначением полномочной политики безопасности являются регулирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние.
Активы информация или ресурсы, подлежащие защите.
Идентификатор представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним.
Уполномоченный пользователь пользователь, которому разрешено выполнять какую-либо операцию.
Продукт совокупность программных, программно-аппаратных и(или) аппаратных средств информационных технологий (ИТ), предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.
Объект оценки подлежащий оценке продукт ИТ или система с руководствами администратора и пользователя.
Информационная технология упорядоченная совокупность аппаратных, программных, аппаратно-программных средств, систем и информационных процессов.
Носитель информации физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов.
Правило доступа к информации совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Субъект доступа лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Объект доступа единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Правила разграничения доступа совокупность правил, регламентирующих нрава доступа субъектов доступа к объектам доступа.
Система разграничения доступа совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Администратор защиты субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.
Орган защиты информации административный орган, осуществляющий организацию защиты информации.
Политика безопасности организации одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.
Цель безопасности изложенное намерение противостоять установленным угрозам и (или) удовлетворять установленной политике безопасности организации.
Безопасность информации состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз.
Безопасность информационной технологии состояние информационной технологии, обеспечивающее ее применение па объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу.
Конфиденциальность состояние защищенности информации ограниченного доступа от неправомочного раскрытия.
Целостность состояние защищенности информации и активов от модификации, подмены, уничтожения неправомочным способом.
Целостность информации способность средства вычислительной техники или автоматизированной системы обеспечить неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Доступность состояние информационной технологии, обеспечивающее своевременный и надежный доступ к информации и (или) функциональным возможностям информационной технологии правомочным образом.
Нарушитель правил разграничения доступа субъект доступа, осуществляющий несанкционированный доступ к информации.
Защита от несанкционированного доступа предотвращение или существенное затруднение несанкционированного доступа.
Средство защиты от несанкционированного доступа программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Комплекс средств защиты совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Система защиты информации от несанкционированного доступа комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
Защищенное средство вычислительной техники (защищенная автоматизированная система) средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.
Класс защищенности средств вычислительной техники, автоматизированной системы определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.
Показатель защищенности средств вычислительной техники характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности средств вычислительной техники.
Доверие основание для уверенности в том, что сущность отвечает своим целям безопасности.
Верификация процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем па предмет надлежащего соответствия.
Сертификация уровня защиты процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.
Матрица доступа таблица, отображающая правила разграничения доступа.
Уровень полномочий субъекта доступа совокупность прав доступа субъекта доступа.
Пароль идентификатор субъекта доступа, который является его (субъекта) секретом.
Модель защиты абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа.
Дискреционное управление доступом разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.
Мандатное управление доступом разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться именно к информации такого уровня конфиденциальности.
Метка конфиденциальности элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте.
Средство криптографической защиты информации средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Сертификат защиты документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
В Федеральном Законе «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ также введен ряд терминов (Закон утратил силу с 27 июля 2006 года в связи с принятием Закона № 149-ФЗ).
Информация сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информатизация организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации нрав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.
Документированная информация (документ) зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Информационные процессы процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Информационная система организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационные ресурсы отдельные документы и отдельные массивы документов, а также документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информация о гражданах (персональные данные) сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Конфиденциальная информация документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Средства обеспечения автоматизированных информационных систем и их технологий программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами в соответствии с актами.
Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом и (или) собственником.
Пользователь (потребитель) информации субъект, пользующийся информацией, полученной от собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
В Федеральном Законе 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», пришедшем на смену Закону № 24-ФЗ, сходные понятия представлены в несколько другой трактовке, а введены определения других терминов.
Информация сведения (сообщения, данные) независимо от формы их представления.
Информационные технологии процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная система совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Обладатель информации лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации возможность получения информации и ее использования.
Конфиденциальность информации обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Предоставление информации действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
Распространение информации действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
Электронное сообщение информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Документированная информация зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Оператор информационной системы гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
В Законе «О государственной тайне» от 21 июля 1993 года № 5485-1 (с учетом последних изменений от 22 августа 2004 года № 122-ФЗ) также приведен ряд терминов.
Государственная тайна защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Носители сведений, составляющих государственную тайну, материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Система защиты государственной тайны совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях.
Допуск к государственной тайне процедура оформления нрава граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций на проведение работ с использованием таких сведений.
Доступ к сведениям, составляющим государственную тайну, санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.
Гриф секретности реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.
Средства защиты информации технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Перечень сведений, составляющих государственную тайну, совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
В Законе «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ) используются следующие основные понятия.
Коммерческая тайна конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну, научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой пет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
В соответствии с Федеральным Законом от 18 декабря 2006 года № 231-ФЗ с 1 января 2008 года указанные два термина изложены в следующей редакции:
«Коммерческая тайна режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну (секрет производства) сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».
Режим коммерческой тайны правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
Обладатель информации, составляющей коммерческую тайну, лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.
Доступ к информации, составляющей коммерческую тайну, ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
Передача информации, составляющей коммерческую тайну, передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.
Контрагент сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию.
Предоставление информации, составляющей коммерческую тайну, передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
Разглашение информации, составляющей коммерческую тайну, действие или бездействие, в результате которого информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
В Законе «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 года № 3523-1 приведен также ряд терминов. Следует отметить, что данный закон утрачивает силу с 01.01.08 г. в связи с принятием Закона от 18.12.06 № 231-ФЗ «О введении в действие части четвертой Гражданского Кодекса Российской Федерации».
Программа для ЭВМ это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.
База данных это объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.
Адаптация программы для ЭВМ или базы данных это внесение изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Модификация (переработка) программы для ЭВМ или базы данных это любые их изменения, не являющиеся адаптацией.
Декомпилирование программы для ЭВМ это технический прием, включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования программы для ЭВМ.
Воспроизведение программы для ЭВМ или базы данных это изготовление одного или более экземпляров программы для ЭВМ или базы данных в любой материальной форме, а также их запись в память ЭВМ.
Распространение программы для ЭВМ или базы данных это предоставление доступа к воспроизведенной в любой материальной форме программе для ЭВМ или базе данных, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.
Выпуск в свет (опубликование) программы для ЭВМ или базы данных это предоставление экземпляров программы для ЭВМ или базы данных с согласия автора неопределенному кругу лиц (в том числе путем записи в память ЭВМ и выпуска печатного текста) при условии, что количество таких экземпляров должно удовлетворять потребностям этого круга лиц, принимая во внимание характер указанных произведений.
Использование программы для ЭВМ или базы данных это выпуск в свет, воспроизведение, распространение и иные действия по их введению в хозяйственный оборот (в том числе в модифицированной форме). Не признается использованием программы для ЭВМ или базы данных передача средствами массовой информации сообщений о выпущенной в свет программе для ЭВМ или базе данных.
В Федеральном Законе «О персональных данных» № 152-ФЗ от 26 июля 2006 года используются следующие основные понятия.
Персональные данные любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
Общедоступные персональные данные персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии федеральными законами
не распространяется требование соблюдения конфиденциальности.
Федеральным Законом «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ введены, в частности, следующие основные понятия.
Электронный документ документ, в котором информация представлена в электронно-цифровой форме.
Электронная цифровая подпись реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Информационная система общего пользования информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Корпоративная информационная система информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Владелец сертификата ключа подписи физическое лицо, па имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Средства электронной цифровой подписи аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Сертификат средств электронной цифровой подписи документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Закрытый ключ электронной цифровой подписи уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Открытый ключ электронной цифровой подписи уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Сертификат ключа подписи документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ электронной цифровой подписи и выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Подтверждение подлинности электронной цифровой подписи в электронном документе положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Пользователь сертификата ключа подписи физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Постановлением Правительства Российской Федерации от 23 января 2006 года № 32 утверждены «Правила оказания услуг связи но передаче данных», которые введены в действие с 1 июля 2006 года. В них содержится ряд определений терминов:
Абонент пользователь услугами связи по передаче данных, с которым заключен договор об оказании услуг связи по передаче данных при выделении для этих целей уникального кода идентификации.
Достоверность передачи информации взаимно однозначное соответствие пакетов информации, переданных пользовательским (оконечным) оборудованием, являющимся одной стороной установленного соединения по сети передачи данных, и принятых пользовательским (оконечным) оборудованием, являющимся другой стороной данного соединения.
Пользователь услугами связи по передаче данных лицо, заказывающее и (или) использующее услуги связи по передаче данных.
Предоставление доступа к сети передачи данных совокупность действий оператора связи сети передачи данных по формированию абонентской линии и подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи данных или обеспечению возможности подключения к сети передачи данных пользовательского (оконечного) оборудования с использованием телефонного соединения или соединения по иной сети передачи данных в целях обеспечения возможности оказания абоненту услуг связи по передаче данных.
Предоставление возможности доступа к услугам связи по передаче данных обеспечение одним оператором связи возможности получения его абонентом услуг связи по передаче данных, оказываемых другим оператором связи.
Узел связи сети передачи данных средства связи, выполняющие функции систем коммутации.
В «Правилах оказания телематических услуг связи», утвержденных Постановлением Правительства Российской Федерации от 10 сентября 2007 года № 575 и введенных в действие с 1 января 2007 года, также содержится ряд определений терминов, причем их трактовка несколько отличается от утвержденных Постановлением № 32:
Абонент пользователь телематическими услугами связи, с которым заключен возмездный договор об оказании телематических услуг связи с выделением уникального кода идентификации.
Вредоносное программное обеспечение программное обеспечение, целенаправленно приводящее к нарушению законных прав абонента и (или) пользователя, в том числе к сбору, обработке или передаче с абонентского терминала информации без согласия абонента и (или) пользователя либо к ухудшению параметров функционирования абонентского терминала или сети связи.
Пользователь телематическими услугами связи лицо, заказывающее и (или) использующее телематические услуги связи.
Информационная система совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Предоставление доступа к информационным системам информационно-телекоммуникационной сети обеспечение возможности приема и передачи телематических электронных сообщений (обмена телематическими электронными сообщениями) между абонентским терминалом и информационной системой информационно-телекоммуникационной сети.
Предоставление доступа к сети передачи данных совокупность действий оператора связи по формированию абонентской линии, подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи данных либо по обеспечению возможности подключения к сети передачи данных пользовательского (оконечного) оборудования с использованием телефонного соединения или соединения по иной сети передачи данных в целях обеспечения возможности оказания абоненту и (или) пользователю телематических услуг связи.
Спам телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и (или) пользователю без его предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя.
Телематическое электронное сообщение одно или несколько сообщений электросвязи, содержащих информацию, структурированную в соответствии с протоколом обмена, поддерживаемым взаимодействующими информационной системой и абонентским терминалом.
1.3. Структура информационных ресурсов
Анализ определений понятий «информация» и «информационный ресурс», приведенных в различных источниках, показывает, что в настоящее время отсутствует их единое общепринятое определение.
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация определяется как сведения (сообщения, данные) независимо от формы их представления.
В литературе приводится ряд классификаций информации по различным признакам и критериям.
В данном разделе приведена классификация информации (информационных ресурсов) с точки зрения ее правового статуса (рис. 1.3.1). Основанием для такой классификации является трактовка информации в ряде Федеральных Законов Российской Федерации, указов Президента и Постановлений Правительства.
В соответствии с Федеральным Законом № 149-ФЗ, вся информация делится на общедоступную и ограниченного доступа.
Конституция Российской Федерации определяет базовые принципы отношений в информационной сфере и провозглашает реализацию основных информационных прав и обязанностей соответствующих субъектов в порядке обеспечения гарантий информационных прав и свобод. Статья 29 Конституции гласит: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Гарантируется свобода массовой информации. Цензура запрещается».
Правовую основу деятельности в области общедоступной и массовой информации устанавливает Закон № 2124-1 «О средствах массовой информации». Статьи 140, 144, 237 и 242 Уголовного кодекса Российской Федерации предусматривают соответствующие наказания за ограничения прав на информацию. Информацию ограниченного доступа можно разделить на информацию, содержащую государственную тайну, и конфиденциальную.
Федеральный Закон «О государственной тайне» от 21 июля 1993 года № 5485-1 (с последующими изменениями) определяет основные понятия и отношения в сфере информации, содержащей государственную тайну. Он устанавливает степени секретности информации и соответствующие им грифы секретности носителей: «особой важности», «секретная» и «совершенно секретная». Правила отнесения сведений к различным степеням секретности определены Постановлением Правительства Российской Федерации от 4 сентября 1995 г. № 870
«Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».
Рис. 1.3.1. Структура информационных ресурсов
Перечень сведений, отнесенных к государственной тайне, определен Указом Президента Российской Федерации от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (изм. Указами Президента РФ от 24.01.98 № 61, от 06.06.01 № 659, от 10.09.01 № 1114, от 29.05.02 № 518, от 03.03.05 № 243, от 11.02.06 № 90).
Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» (изм. Указом Президента РФ от 23.09.05 №1111) определен перечень сведений конфиденциального характера. Постановлением Правительства Российской Федерации от 5 декабря 1991 года № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» (в ред. Постановления Правительства РФ от 03.10.02 № 731) утвержден соответствующий перечень.
Всю конфиденциальную информацию можно разделить на три группы: персональные данные о личности, сведения личного характера и информацию, содержащую сведения, связанные с производственной и хозяйственной деятельностью.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным Законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ. Целью настоящего Федерального Закона является обеспечение защиты прав и человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Вопросы, связанные с обеспечением защиты персональных данных работников, регулирует также Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ (глава 14 с изменениями и дополнениями).
Защиту информации, содержащей сведения о личной жизни, обеспечивает статья 24 Конституции Российской Федерации: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Уголовный кодекс Российской Федерации предусматривает соответствующее наказание (статья 137) за «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в выступлении, публично демонстрирующемся произведении или средствах массовой информации».
В соответствии с Федеральным Законом № 149-ФЗ, запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
Информация, содержащая сведения, связанные с производственной и хозяйственной деятельностью, в законодательных актах Российской Федерации делится на следующие типы: коммерческая тайна, профессиональная тайна, объекты авторского права и смежных прав, объекты патентного права, информация для служебного пользования.
Правовые вопросы, связанные с информацией, содержащей коммерческую тайну, регулируются Федеральным Законом «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ) и статьей 139 Гражданского Кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ (часть 1 с изменениями, внесенными Федеральным Законом от 29.12.06 № 258-ФЗ, часть 2 с изменениями от 18.12.06 № 231-ФЗ, часть 3 с изменениями, внесенными Федеральными Законами от 18.12.06 № 231- ФЗ, от 29.12.06 № 258-ФЗ, часть 4 в соответствии с Федеральным Законом от 18.12.06 № 231-ФЗ вступает в силу с 1 января 2008 года).
Закон определяет перечень сведений, которые не могут составлять коммерческую тайну, круг лиц и организаций, которым необходимо представлять информацию, содержащую коммерческую тайну, а также права обладателя такой информации. Статья 139 Гражданского кодекса гласит: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности».
Основные принципы правового регулирования авторских и смежных прав определяет Федеральный Закон «Об авторском нраве и смежных нравах» от 9 июля 1993 года № 5351-1 (с изменениями и дополнениями от 20.07.04 № 72-ФЗ). Однако данный закон утратил силу с 1 января 2008 года в связи с принятием Закона № 231-ФЗ от 18 декабря 2006 года о введении в действие части четвертой Гражданского кодекса.
Правовое регулирование объектов промышленной собственности (изобретений, полезных моделей и промышленных образцов) предусматривает «Патентный Закон» от 23 сентября 1992 года № 3517-1 (с изменениями и дополнениями от 27.12.00 N° 150-ФЗ, от 30.12.01 № 194-ФЗ, от 24.12.02 № 176-ФЗ, от 07.02.03 N° 22-ФЗ, от 02.02.06 N° 19-ФЗ). Данный закон также утрачивает силу с 01.01.2008 в связи с принятием Закона N° 231-ФЗ от 18 декабря 2006.
С 1 января 2008 года вместо двух вышеуказанных законов вводится в действие часть четвертая Гражданского кодекса, которая регулирует права па результаты интеллектуальной деятельности и средства индивидуализации.
Ряд законодательных актов Российской Федерации вводят понятие «профессиональная тайна» конфиденциальные сведения, полученные в результате выполнения профессиональной деятельности. В соответствии с законом N° 149-ФЗ, «Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда».
В Гражданском кодексе введены понятия «банковская тайна» (статья 857), «тайна страхования» (статья 946). В состав банковской тайны входят сведения о счетах, вкладах, операциях и другая информация, полученная сотрудниками банков при выполнении своих профессиональных обязанностей. Тайну страхования составляют сведения о страхователе. Понятие «банковская тайна» определено также в Законе «О банках и банковской деятельности» от 2 декабря 1990 года N° 395-1 (с изменениями и дополнениями от 3.02.1996 Ns 17-ФЗ).
Федеральным Законом «Об аудиторской деятельности» от 7 августа 2001 года № 119-ФЗ введено понятие «аудиторская тайна» сведения, полученные при осуществлении аудиторской деятельности. В Законе «О связи» от 7 июля 2003 года № 126-ФЗ введено понятие «тайна связи» тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и почтовой связи.
Законом «Об адвокатской деятельности и адвокатуре Российской Федерации» от 31 мая 2002 года № 63-ФЗ введено понятие «адвокатская тайна» сведения, связанные с оказанием адвокатом юридической помощи своему доверителю.
Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 года № 5487-1 вводят понятие «врачебная тайна» информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания и иные сведения, полученные при обследовании и лечении.
Налоговый кодекс Российской Федерации (ч. 1 от 31 июля 1998 года № 146-ФЗ, ч. 2 от 5 августа 2000 года № 117-ФЗ) вводит понятие «налоговая тайна» сведения о налогоплательщике, полученные налоговым органом. Порядок доступа к информации определен приказом Федеральной налоговой службы от 3 марта 2003 года № БГ-3-28/96 «Об утверждении порядка доступа к конфиденциальной информации налоговых органов».
Постановлением Правительства Российской Федерации от 3 ноября 1994 года № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в Федеральных органах исполнительной власти» утверждено соответствующее Положение. Оно определяет общий порядок обращения с документами и другими материальными носителями информации, содержащими служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях. К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. На документах, содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».
Деятельность по защите. конфиденциальной информации и информации, содержащей государственную тайну, является лицензируемой и регулируется Правительством. Постановлением Правительства Российской Федерации от 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг но защите государственной тайны» (с изм., внесенными Постановлениями Правительства РФ от 23.04.96'года № 509, от 30.04.97 года № 513, от 29.07.98 № 854, от 03.10.02 года № 731, от 17.12.04 № 807, от 26.01.07 года № 50) утверждено соответствующее Положение о лицензировании.
Постановлением от 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» утверждено соответствующее Положение о лицензировании.
1.4. Модель информационной безопасности
С методологической точки зрения при анализе проблем информационной безопасности необходимо выявить субъекты информационных отношений и их интересы, связанные с использованием информационных систем, определить цели защиты информации, основные угрозы безопасности и возможные уязвимые места системы. Таким образом, необходима многомерная модель информационной безопасности. В литературе по защите информации описаны различные варианты моделей, с разной степенью точности отражающих все многообразие форм воздействия на информацию.
С точки зрения правовых отношений структурную модель информационной безопасности компьютерных систем можно представить в виде схемы, показанной на рис. 1.4.1.
Основными структурными элементами информационной безопасности компьютерных систем в данной модели являются:
1. Цели защиты информации.
2. Субъекты, участвующие в процессах информационного обмена.
3. Угрозы безопасности информационных систем.
4. Уровни уязвимости информации и информационной инфраструктуры.
Обеспечение безопасности состоит в достижении трех взаимосвязанных целей конфиденциальность, целостность и доступность.
Обеспечение конфиденциальности состоит в защите информации в процессе ее создания, хранения, обработки и обмена но каналам связи от ознакомления с ней лицами, не имеющими права доступа. Кроме того, авторизованные пользователи системы должны иметь доступ к информации в соответствии с установленными правами.
Обеспечение целостности состоит в защите от преднамеренного или непреднамеренного изменения информации и алгоритмов ее обработки лицами, не имеющими на то права.
Обеспечение доступности состоит в предоставлении авторизованным пользователям всей имеющейся в системе информации в соответствии с установленными правами доступа.
Основными субъектами в информационных процессах являются: авторы (собственники) информационных ресурсов, владельцы информации, авторизованные пользователи, неавторизированные пользователи, разработчики информационной системы, обслуживающий персонал, обеспечивающий работоспособность программно-технических средств и средств защиты, а также персонал, занимающийся наполнением системы информацией.
Рис. 1.4.1. Модель информационной безопасности
Владельцы информации обязаны построить систему защиты, которая должна обеспечивать соблюдение авторских прав собственникам информации и предоставлять доступ к информации только авторизованным пользователям в соответствии с их правами.
Неавторизованные пользователи стремятся получить несанкционированный доступ к информационной системе. Кроме того, возможны каналы утечки информации, заложенные разработчиками информационной системы и известные только им (недокументированные возможности).
Персонал, занимающийся сопровождением программно-технических средств, администрированием сети, обеспечением защиты и информационным наполнением, также представляет определенную угрозу несанкционированных утечек информации, а потому является важным субъектом информационных процессов. Как правило, обслуживающий персонал не всегда имеет полноправный доступ к информации в системе, но имеет практически неограниченный доступ к аппаратно-программным средствам и телекоммуникациям, обеспечивающим функционирование всей информационной системы.
Под угрозой безопасности информационных систем понимается потенциально возможное действие, событие или процесс, которые посредством воздействия на информацию и другие компоненты системы могут нанести ущерб интересам субъектов. Прежде всего, по результатам воздействия угрозы бывают пассивные и активные.
Пассивные угрозы направлены в основном па несанкционированное использование информационных ресурсов сети, не оказывая при этом влияния па ее функционирование и информационное наполнение.
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение программного обеспечения, нарушение работы линий связи и т. д. Источником активных угроз, как правило, являются действия злоумышленников.
Активные угрозы безопасности могут быть разделены на естественные и искусственные.
Естественные угрозы это угрозы, вызванные воздействием па информационные системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Естественными угрозами безопасности являются, например, стихийные бедствия, аварии, внезапные отключения электропитания, поломки технических средств и другие це зависящие от человека воздействия. Эти угрозы совершенно не поддаются прогнозированию, и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними но отношению к рассматриваемому объекту, и под ними понимаются прежде всего природные катаклизмы. Эти угрозы опасны для всех элементов информационной системы и могут привести к нарушениям нормальной работы, разрушению системы, уничтожению информации, разрушению аппаратно-программных средств и линий связи.
Искусственные угрозы вызваны действиями человека (антропогенные) и подразделяются па непреднамеренные (случайные) и преднамеренные. Данная группа угроз самая обширная. Она представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оцепить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и в основном зависят от организаторов защиты информации.
Непреднамеренные угрозы связаны с людьми, непосредственно работающими с компьютерной системой (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, но без злого умысла). Они вызваны случайными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы. Часто такие угрозы являются следствием невыполнения персоналом организационно-технологических правил и требований внутренних нормативных документов.
Преднамеренные искусственные угрозы делятся на внутренние (со стороны персонала организации) и внешние (от посторонних лиц и организаций). По зарубежной и отечественной статистике, до 70-80 % всех компьютерных преступлений связано с внутренними нарушениями, то есть они осуществляются сотрудниками своей компании. Это обусловлено тем, что свой сотрудник может реально оценить стоимость той или иной информации. Кроме того, некоторые сотрудники обладают привилегиями по доступу к информации (либо аппаратно-программным средствам и средствам защиты) и могут их использовать в корыстных интересах.
В свою очередь, внешние угрозы подразделяются на локальные (проникновение посторонних лиц в учреждение и доступ их к системе) и удаленные (незаконный доступ к системе через глобальные сети).
Сетевые (или удаленные) атаки характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым коммуникациям.
В последние годы все большую угрозу информации в сетях представляют вирусы, которые распространяются по сетям и могут привести к уничтожению информации и блокированию функционирования всей информационной системы.
Уязвимость информационных систем можно классифицировать по уровням:
физический, технологический, логический, человеческий, законодательный, организационный.
Физический уровень определяет, насколько эффективно защищены элементы, образующие техническую часть информационной системы: сервера, рабочие станции, периферийные устройства, коммуникационное оборудование и линии связи.
Наиболее доступными компонентами сетей являются рабочие станции. Именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. Поэтому рабочие станции должны быть надежно защищены от доступа посторонних. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки рабочих станций и их функционирования, вызванные непреднамеренными действиями неопытных пользователей.
В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей, как сервера и активное коммуникационное оборудование.
Внедрение аппаратных и программных закладок в сервера и коммуникационное оборудование открывает дополнительные возможности по несанкционированному удаленному доступу. Закладки могут быть внедрены как с удаленных станций, так и при ремонте, обслуживании, модернизации серверов, переходе на новые версии программного обеспечения, смене оборудования непосредственно в аппаратуру и программы.
Каналы и средства связи также нуждаются в защите. В силу большой пространственной протяженности линий связи через неконтролируемую или слабо контролируемую территорию практически всегда существует возможность подключения к ним либо вмешательства в процесс передачи данных.
Технологический уровень отражает эффективность защиты аппаратно-программных процедур, обеспечивающих требуемую степень безопасности. Это касается выбора операционных систем, систем управления базами данных (СУБД), прикладного программного обеспечения, среды доставки информации.
Логический уровень характеризует адекватность логических основ механизма безопасности и организации хранения и кодирования информации.
Человеческий уровень отражает степень квалификации и ответственности персонала на стадиях проектирования системы и ее эксплуатации (техническое и программное сопровождение, информационное наполнение, соблюдение требований безопасности).
Законодательный уровень определяет комплекс законодательных и нормативно-правовых актов, регулирующих отношения субъектов в процессах информационного обмена.
Организационный уровень предусматривает комплекс организационных мероприятий, регламентирующий процессы эксплуатации информационной системы. На организационном уровне могут быть использованы морально-этические средства защиты информации, основанные на использовании моральных и этических норм, господствующих в обществе. Морально-этические нормы могут быть оформлены в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но могут считаться обязательными для исполнения.
Организационные и законодательные средства защиты информации предусматривают создание системы нормативно-правовых документов, регламентирующих порядок разработки, внедрения, эксплуатации и защиты ИС, а также ответственность должностных лиц за нарушение установленных правил, законов, приказов, стандартов и т. п. Они обеспечивают объединение всех используемых средств защиты в единый механизм.
1.5. Правовая модель отношений субъектов
информационного обмена
Развивающееся глобальное информационное общество ставит ряд новых правовых проблем. Одной из таких проблем является определение информации как объекта гражданского нрава, требующего соответствующего правового регулирования. В соответствии с современной юридической наукой, объектом гражданских нрав является любое объективно существующее, внешнее по отношению к субъекту благо, воплощающее в себе социальную ценность, за счет которого он способен удовлетворять свои имущественные и неимущественные интересы. В современном обществе информация превратилась в ценнейший товар, а обладатель информации может преследовать некоторые имущественные интересы при информационном обмене, следовательно, сама информация может быть объектом гражданских прав.
В статье 5 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» явно указано: «Информация может являться объектом публичных, гражданских и иных правовых отношений».
Статус информации как отдельного объекта гражданских прав зафиксирован в статье 128 Гражданского кодекса: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность); нематериальные блага».
Однако, в соответствии с Федеральным Законом от 18 декабря 2006 года № 231-ФЗ с 1 января 2008 года статья 128 изложена в новой редакции: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность); нематериальные блага». Как видим, понятие «информация» из статьи удалено.
В соответствии с Федеральным Законом № 149-ФЗ, под информацией понимаются «сведения (сообщения, данные) независимо от формы их представления» (статья 2). Для выяснения правовых отношений субъектов информационных обменов под информацией мы будем понимать все информационные ресурсы, хранящиеся в информационных системах и обрабатываемые с помощью компьютерных технологий. Следовательно, в данном смысле информация может содержать и объекты авторских прав (например, оцифрованные музыкальные произведения, программы для ЭВМ и др.), и результаты интеллектуальной деятельности, коммерческую тайму, государственную тайну, а также другие виды информации, охраняемые законом.
Это утверждение подтверждается, например, статьей 1225 части 4 Гражданского кодекса, введенного в действие с 1 января 2008 года: «Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются: произведения науки, литературы и искусства; программы для электронных вычислительных машин (программы для ЭВМ); базы данных; фонограммы».
Таким образом, информационные ресурсы информационных компьютерных систем являются объектом гражданского права. Далее следует определиться с субъектами в процессах информационного обмена и их отношениями.
Руководящими документами Гостехкомиссии объекты и субъекты в информационных отношениях определены следующим образом: «Субъект это активный компонент системы, который может стать причиной образования потока информации от объекта к субъекту или изменения состояния системы. Объект пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации». Кроме того, документы содержат еще два понятия: «Субъект доступа лицо или процесс, действия которого регламентируются правилами разграничения доступа. Объект доступа единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа».
В Федеральном Законе «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ (Закон утратил силу с 27 июля 2006 года в связи с принятием Закона № 149-ФЗ) введены понятия «собственник» и «владелец» информационных ресурсов.
«Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами.
Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных Законом».
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», пришедшем па смену Закону № 24-ФЗ, в статье 2 вводится другое понятие: «обладатель информации лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам».
В статье 1228 части 4 Гражданского кодекса вводится понятие «автор результата интеллектуальной деятельности»: «Автором результата интеллектуальной деятельности признается гражданин, творческим трудом которого создан такой результат. Автору результата интеллектуальной деятельности принадлежит право авторства».
Применительно к нашему определению понятия информационного ресурса компьютерной информационной системы можно провести аналогию между понятием «автор» и «собственник».
Автор информационного ресурса может передать права владения им другому лицу (или организации) на соответствующих условиях. Это соответствует статье 1229 Гражданского кодекса: «Правообладатель может по своему усмотрению разрешать или запрещать другим лицам использование результата интеллектуальной деятельности или средства индивидуализации. Отсутствие запрета не считается согласием (разрешением)». В этом случае в процессах информационного обмена появляется другой субъект «владелец информационного ресурса».
Правовые отношения между собственником и владельцем информационного ресурса определяются статьями 1233 и 1235 Гражданского кодекса:
«Статья 1233. Распоряжение исключительным правом. Правообладатель может распорядиться принадлежащим ему исключительным правом на результат интеллектуальной деятельности или на средство индивидуализации любым, не противоречащим закону и существу такого исключительного права способом, в том числе путем его отчуждения по договору другому лицу (договор об отчуждении исключительного права) или предоставления другому лицу права использования соответствующих результата интеллектуальной деятель-
ности или средства индивидуализации в установленных договором пределах (лицензионный договор).
Статья 1235. Лицензионный договор. По лицензионному договору одна сторона обладатель исключительного нрава на результат интеллектуальной деятельности или на средство индивидуализации (лицензиар) предоставляет или обязуется предоставить другой стороне (лицензиату) право использования такого результата или такого средства в предусмотренных договором пределах. Лицензиат может использовать результат интеллектуальной деятельности или средство индивидуализации только в пределах тех прав и теми способами, которые предусмотрены лицензионным договором».
Обладатель (владелец) информации реализует установленные собственником правила и организует доступ пользователей (субъектов) к ресурсам информационной системы. В нормативных документах в области информационной безопасности под субъектом доступа понимается «лицо или процесс, действия которого регламентируются правилами разграничения доступа». Под правилами разграничения доступа понимается «совокупность правил, регламентирующих нрава доступа субъектов доступа к объектам доступа».
В соответствии с Законом № 149-ФЗ, под доступом понимается «возможность получения информации и ее использования». Тот же закон регламентирует правила доступа (статья 5): «Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения».
В руководящих документах Гостехкомиссии («Защита от несанкционированного доступа к информации. Термины и определения», 1992 г.) доступ к информации определен несколько по-другому: «ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение».
Тот же документ определяет еще несколько понятий:
«Санкционированный доступ к информации доступ к информации, не нарушающий установленные правила разграничения доступа.
Несанкционированный доступ к информации доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Нарушитель правил разграничения доступа субъект доступа, осуществляющий несанкционированный доступ к информации».
На основании вышеприведенных понятий с точки зрения доступа к информационным ресурсам в информационных процессах можно выделить еще два субъекта: пользователя и злоумышленника (нарушителя правил разграничения доступа). Под пользователем будем понимать лицо или процесс, осуществляющий санкционированный доступ к информации. Под злоумышленником будем понимать лицо или процесс, осуществляющий несанкционированный доступ к информации.
Таким образом, все отношения в процессах информационного обмена можно представить в виде схемы, изображенной на рис. 1.5.1.
Рис. 1.5.1. Правовая модель отношений субъектов
информационного обмена
Собственник (автор) информационных ресурсов создает информацию, в соответствии с законодательством имеет на нее авторские права и может ее накапливать, обрабатывать и распространять. Он может на основании соответствующих договоров передать права накопления в информационных системах, обработки и распространения. В договоре собственник устанавливает права доступа, обработки и защиты, которые владелец должен выполнять при организации доступа к информационным ресурсам.
Владелец ресурсов должен проанализировать возможные угрозы безопасности информации и построить систему защиты таким образом, чтобы обеспечить основные цели информационной безопасности: доступность, целостность, конфиденциальность. Для этого владелец использует весь спектр средств защиты информации технические, технологические, программные, организационные, законодательные и другие.
Пользователи информации, получающие санкционированный доступ к информационным ресурсам, должны соблюдать требования законодательных и нормативных документов, правил, установленных собственником информационных ресурсов, а также регламентов работы с информационными системами, установленных владельцем для достижения целей безопасности.
Однако, как показывает практический опыт, созданные системы обеспечения безопасности имеют тенденцию к снижению эффективности со временем. Если не поддерживать постоянно соответствующий уровень безопасности, используя весь арсенал возможных средств, то со временем информационная система будет иметь уязвимости для несанкционированного проникновения. Злоумышленник, используя уязвимости информационной системы, организует атаки, создавая угрозы безопасности, и в конечном итоге может реализовать несанкционированный доступ к информации.
В теории информационной безопасности есть два понятия, касающиеся степени защищенности: мнимый и реальный уровни безопасности.
Мнимый уровень безопасности это кажущийся уровень безопасности, возникающий после того, как были проведены первичные мероприятия по безопасности, по не был учтен тот факт, что уровень безопасности по различным причинам имеет тенденцию объективно ослабевать. Данный уровень может сложиться из слишком большого доверия к возможностям аппаратно-программных средств обеспечения безопасности и из ложной уверенности в том, что единожды установленный уровень безопасности всегда останется таковым.
Реальный уровень безопасности отражает картину текущего состояния безопасности без принятия дополнительных мер с течением времени.
Циклическое изменение уровней безопасности информационных систем представлено на рис. 1.5.2. При создании системы безопасности достигается некий уровень Y3. Если с течением времени не предпринимаются меры по анализу и поддержке системы обеспечения безопасности, то достигнутый уровень Y3 будет мнимым. На самом деле реальный уровень будет снижаться, и может быть достигнут некий критический порог Y2, при котором наиболее вероятны случаи несанкционированного доступа.
При выявлении службами безопасности фактов вторжения в систему предпринимается комплекс мер по повышению уровня безопасности. На принятие таких мер требуется какое-то время (диапазон от Т1 до Т2). Таким образом, в этом диапазоне времени информационная система будет иметь наибольшее количество уязвимостей. При уровне безопасности ниже Y1 возникает вероятность не только несанкционированного доступа к информации, но и полного разрушения самой информационной системы (аппаратно-программных средств и технологических процессов) вместе с ее информационными ресурсами.
Злоумышленники используют уязвимости в периоды наименьшего уровня безопасности (T1, T2), предпринимают атаки на информационную систему
и создают реальные угрозы безопасности информационных ресурсов. При определенном количестве атак злоумышленникам удается реализовать угрозы и получить несанкционированный доступ к информационным ресурсам. Более того, злоумышленник может не только реализовать доступ к информации, но и изменить процессы обработки информации вплоть до разрушения инфраструктуры информационной системы.
Рис. 1.5.2. Уровни информационной безопасности
1.6. Особенность отношений
субъектов информационного
обмена в сети Интернет
Общественные отношения субъектов информационного обмена, рассмотренные в предыдущем параграфе, можно упрощенно представить в виде цепочки: собственник (автор) ► владелец ► информационный ресурс ► пользователь.
Если рассматривать информационную систему учреждения или организации, то данной цепочкой описываются все отношения субъектов. Более того, в рамках одной организации все субъекты и сам информационный ресурс находятся, как правило, под юрисдикцией одного государства и корпоративной нормативно-правовой базы. В этом случае государство регулирует все отношения в рамках единой законодательной базы для всех участников информационных отношений. Проще говоря, существует один дом и один хозяин дома, устанавливающий в нем правила.
Однако если рассматривать глобальное информационное пространство, существующее в настоящее время в виде сети Интернет, то границы дома, а также права и обязанности субъектов информационных отношений однозначно определить невозможно. Все перечисленные выше субъекты отношений, в том числе и сами информационные ресурсы, могут находиться под юрисдикцией разных государств и разных правовых систем. Развивающееся глобальное информационное общество ставит ряд принципиально новых правовых проблем в связи с лавинообразным ростом использования сети Интернет. Современный Интернет является глобальным виртуальным информационным пространством, средой обитания определенных социальных групп и совокупности возникающих общественных отношений. В настоящее время нет единых международных правовых актов, регулирующих отношения, связанные с использованием сети Интернет. Более того, законодательная база разных государств, касающаяся использования глобального информационного пространства, находится в зачаточном состоянии и во многих случаях достаточно противоречива.
Таким образом, каждый элемент приведенной выше цепочки может в общем случае находиться под юрисдикцией определенной страны мира и иметь свой правовой режим. Разрешение спорных ситуаций приводит к сталкиванию разных интересов субъектов и разных, порой противоречивых, правовых систем. Это приводит к возникновению неразрешимых в настоящее время проблем: юрисдикция какого государства распространяется на информационные отношения, в чьем ведении находится тот или иной информационный процесс? В общем случае возможны три варианта правового регулирования: но законодательству страны проживания пользователя, страны проживания собственника ресурса, страны проживания владельца. В современной юридической науке отношения, связанные с использованием сети Интернет, исследованы фрагментарно. Для выяснения общественных отношений в сети Интернет необходимо определить основные субъекты в процессах информационного обмена.
Если рассматривать все общественные отношения, связанные с использованием глобального информационного пространства, то приведенная выше цепочка описывает не все субъекты информационных процессов. На самом деле в глобальных информационных процессах задействован еще ряд важнейших субъектов, связанных с использованием телекоммуникационной инфраструктуры. Таким образом, кроме информационных отношений в сети Интернет возникают еще так называемые телекоммуникационные отношения. Например, Ю. В. Волковым в диссертации па соискание ученой степени кандидата юридических наук выделены следующие субъекты телекоммуникационных отношений: государство и его органы, операторы связи, пользователи услуг (абоненты). Государство в лице соответствующих органов осуществляет разработку законодательной базы в области авторских прав, а также лицензирование и контроль деятельности в области телекоммуникаций.
На самом деле в телекоммуникационной сфере существует еще один важнейший субъект провайдер сети Интернет. Он предоставляет услуги доступа к ресурсам сети и, следовательно, оказывает существенное влияние на отношения субъектов. Таким образом, кроме информационных отношений в сети Интернет возникают еще так называемые телекоммуникационные отношения, в которых задействованы операторы связи и провайдеры услуг Интернет. Телекоммуникационные отношения возникают при создании, развитии и использовании всей телекоммуникационной инфраструктуры, а также при оказании телекоммуникационных услуг. Предметом права при этом являются отношения между субъектами по поводу строительства объектов телекоммуникационной инфраструктуры, их управления и контроля, организации доступа и оказания услуг. В связи с этим отношения субъектов информационных процессов в сети Интернет можно упрощенно представить в виде схемы, представленной на рис. 1.6.1.
Рис. 1.6.1. Отношения субъектов в сети Интернет
Телекоммуникационное законодательство Российской Федерации и всего мирового сообщества в настоящее время не имеет глубокого теоретического обоснования и базового законодательного акта. Необходимо разработать и принять единый базовый нормативный правовой акт, предметом которого должен стать весь комплекс общественных отношений в сфере телекоммуникаций.
На сайте http://www.russianlaw.net/law/acts/z47.htm 10 мая 2005 года опубликован проект Федерального Закона «О правовом регулировании оказания интернет-услуг». Целями данного закона являются создание условий для устойчивого развития объемов и качества интернет-услуг, обеспечение информационной безопасности государства, защиты законных интересов Российской Федерации, прав физических и юридических лиц при оказании интернет-услуг. Настоящий Федеральный Закон должен установить правовую основу деятельности по оказанию интернет-услуг, оказываемых под юрисдикцией Российской Федерации.
Проект закона содержит несколько определений терминов: «Интернет», «Потребитель услуги», «Пользователь», «Оператор связи» и ряд других. Глава первая законопроекта содержит статьи, определяющие основные термины, цели, сферу действия, принципы деятельности в области оказания интернет-услуг, принципы и основные направления государственной политики в данной сфере, общие положения о лицензировании в области оказания интернет-услуг, общие правила исполнения обязанности по передаче данных и другие положения. Среди основных направлений государственной политики указаны принципы, направленные на обеспечение информационной безопасности при оказании и потреблении интернет-услуг.
Глава вторая законопроекта посвящена особенностям правового регулирования отдельных категорий интернет-услуг. Глава третья «Ответственность в сфере оказания интернет-услуг» устанавливает ответственность пользователей сети Интернет и лиц, оказывающих интернет-услуги.
Однако данный закон в Российской Федерации пока не принят.
При постановке и исследовании вопроса о правовом регулировании сети Интернет возникает ряд специальных и общетеоретических проблем. Среди основных общетеоретических проблем необходимо выделить проблемы юрисдикции сети, правосубъектности лиц, представляющих, распространяющих и потребляющих информацию в сети Интернет, а также проблему определения времени и места действия в сети Интернет.
Более подробно проблематика правового регулирования телекоммуникационных отношений представлена, например, в диссертации Ю. В. Волкова, защита которой состоялась в феврале 2007 года в диссертационном совете Уральской государственной юридической академии г. Екатеринбург. С авторефератом диссертации можно ознакомиться па сайте http://www.russianlaw.net/law/doc/ а209. pdf.
В связи с объективной сложностью регулирования общественных отношений в сети Интернет и постоянным развитием и совершенствованием информационно-коммуникационных технологий современное предметное законодательство и правоприменительная практика не успевают отслеживать динамичное развитие информационного общества. В такой динамичной и комплексной сфере, как сеть Интернет, приоритетным направлением на сегодняшний день является внедрение в рамках действующего законодательства механизмов саморегулирования. Такие механизмы отвечают интересам субъектов соответствующих отношений, ликвидируют часть существующих правовых пробелов в сфере регулирования использования сети Интернет и способствуют оперативному разрешению конфликтов между организациями, гражданами и государственными органами в связи с использованием информационно-телекоммуникационных технологий.
В настоящее время в Российской Федерации действует ряд нормативно-правовых актов в области правовых вопросов использования сети Интернет. Одним из первых документов в этой области следует считать Указ Президента Российской Федерации от 6 октября 1998 года № 1189 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». Данный Указ был отменен в 2004 году Указом Президента от 12 мая 2004 года № 611 «О мерах но обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изм., внесенными Указами Президента РФ от 22.03.05 года № 329, от 03.03.06 года № 175). Он был принят в целях обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет.
В соответствии с Указом, субъектам международного информационного обмена в Российской Федерации предписано не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в сеть Интернет.
Владельцев открытых и общедоступных государственных информационных ресурсов Указ обязывает осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации. Размещение технических средств, подключаемых к открытым информационным системам, сетям и сетям связи, включая сеть Интернет, используемым при международном информационном обмене, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, может осуществляться только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях.
Использование сети Интернет регламентируется также рядом постановлений Правительства Российской Федерации:
□ от 3 июня 1998 года № 564 «Об утверждении Положения о лицензировании деятельности по международному информационному обмену» (в ред. Постановления Правительства РФ от 03.10.02 № 731);
□ от 27 августа 2005 года № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
□ от 23 января 2006 года № 32 «Об утверждении правил оказания услуг связи по передаче данных»;
□ от 10 марта 2007 года № 147 «Об утверждении Положения о пользовании официальными сайтами в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказании услуг для государственных и муниципальных нужд и о требованиях к технологическим, программным, лингвистическим, правовым и организационным средствам обеспечения пользования указанными сайтами».
Использование сети Интернет регламентируется также отраслевыми нормативными документами. Примером могут служить постановления Центральной избирательной комиссии:
□ от 28 февраля 2007 года № 200/1254-4 «О внесении изменений в Положение об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации "Выборы"»;
□ от 28 февраля 2007 года № 200/1255-4 «Об инструкции по размещению данных государственной автоматизированной системы (ГАС) Российской Федерации "Выборы" в сети Интернет».
В соответствии с указанными документами, не допускается подключение комплекса средств автоматизации ГАС «Выборы» к сети Интернет. Инструкция устанавливает порядок, объем и технологию выполнения работ в Центральной избирательной комиссии Российской Федерации и избирательных комиссиях субъектов Российской Федерации при размещении данных ГАС «Выборы» в сети общего пользования Интернет.
Одним из последних государственных документов, касающихся проблем использования глобального информационного пространства, явилась принятая 25 июля 2007 года Советом Безопасности Российской Федерации «Стратегия развития информационного общества в России». В Стратегии отмечена необходимость обеспечения безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры. В числе основных мероприятий, осуществляемых Россией в рамках международного сотрудничества в области развития информационного общества, отмечена необходимость участия России в определении путей решения вопросов формирования глобального информационного общества, в выработке международных норм и механизмов, регулирующих отношения в области использования глобальной информационной инфраструктуры, включая вопросы управления использованием Интернета.
Более подробно с проблематикой правового регулирования отношений в сети Интернет можно ознакомиться в обширном материале, представленном на сайте «Право и Интернет»: http://www.russianlaw.net/.
1.7. Структура нормативных правовых актов в
области информационной безопасности
Информационные технологии, являясь основой информационного общества, не могут развиваться в отрыве от других аспектов жизнедеятельности данного общества. Обретая новые возможности благодаря использованию принципиально новых средств и методов обработки информации, общество получает и новые проблемы правового, этического и технологического характера. Стремительное развитие глобального информационного общества требует существенной корректировки его нормативной правовой базы.
Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, постановлений и других документов, регулирующих юридическую ответственность должностных лиц, технических специалистов и пользователей за действия (или бездействие), повлекшие утечку, утрату или модификацию защищаемой информации, а также злоумышленников за совершение преднамеренного несанкционированного доступа к информации и нарушение процессов ее обработки.
Следует уточнить трактовку понятия «нормативный правовой документ» в связи с отсутствием его точного юридического определения в законодательстве. Всякий документ (акт), принятый уполномоченным законом органом или лицом, является правовым, поскольку он регулирует правовые отношения.
Принятые правовые документы могут быть обязательными для исполнения либо носить рекомендательный характер. Обязательные для исполнения акты являются нормативными правовыми актами.
Подобная трактовка нормативного правового акта дана в Постановлениях Пленумов Верховного Суда Российской Федерации № 19 от 25.05.2000 и № 2 от 20.01.2003: «Под нормативным правовым актом понимается изданный в установленном порядке акт уполномоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного круга лиц, рассчитанные на неоднократное применение, действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом».
Специфика современного этапа развития общества заключается в том, что дальнейшее развитие процессов информатизации зависит не только от технологических прорывов, но во многом от того, насколько быстро будут корректироваться существующие нормативные акты и разрабатываться новые, соответствующие изменившимся реалиям жизни. Учитывая глобальный характер процессов информатизации, международное сообщество должно предпринимать согласованные действия по созданию безопасного и свободного от киберпреступности пространства. На сегодняшний день мировое сообщество сформировало единое мнение о том, что эффективное обеспечение информационной безопасности не может быть достигнуто без согласованных действий по правовому регулированию процессов информатизации и выработки соответствующих международных нормативных документов.
В настоящее время разработаны и продолжают разрабатываться международные, государственные и ведомственные нормативные акты. Они регламентируют основные понятия и концепции информационной безопасности на межгосударственном и государственном уровнях, что позволяет ввести единые стандарты и критерии в области защиты информации.
В соответствии со статьей 15 Конституции Российской Федерации, «Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора». В соответствии с этим международные документы, подписанные от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня.
Структуру нормативных правовых актов в области информационной безопасности можно представить в виде схемы, приведенной на рис. 1.7.1.
Современная база международных актов в области информационной безопасности включает в себя декларации, конвенции, соглашения, рекомендации, а также стандарты.
Основными целями использования международных документов являются:
1. Приведение отечественных нормативных документов в области защиты информации в соответствие с международными.
2. Выработка государственной политики в области информатизации в соответствии с мировыми тенденциями развития глобального информационного общества.
3.- Предоставление отечественным разработчикам информационных технологий средств и методов создания аппаратно-программных средств и технологий, соответствующих международным стандартам и делающих их конкурентоспособными на международном рынке товаров и услуг.
4. Предоставление соответствующим специалистам правил и критериев оценки защищенности информационных технологий для различных сфер применения.
5. Подготовка кадров специалистов в области информатизации и информационной безопасности, соответствующих современным потребностям глобального информационного общества.
Рис. 1.7.1. Структура нормативно-правовых актов в области
информационной безопасности
Следует отметить, что Российская Федерация присоединилась к ряду международных конвенций и деклараций, является участницей международных конференций по проблемам информационной безопасности. Международное сотрудничество Российской Федерации в области информационной безопасности является неотъемлемой частью ее взаимодействия со странами мирового сообщества наряду со сферой экономики, политики, культуры.
Основными направлениями международного сотрудничества в области информационной безопасности являются:
1. Координация деятельности государств по борьбе с киберпреступлепиями.
2. Обеспечение безопасности международного информационного обмена, разработка единых нормативно-технических документов.
3. Предотвращение использования глобальных телекоммуникаций в качестве инструмента для применения «информационного оружия» и недопущение развязывания «информационных войн».
4. Обеспечение защиты конфиденциальной информации в международных информационных системах от несанкционированного доступа со стороны преступных группировок и террористических организаций.
Из всех международных нормативных актов в Российской Федерации в настоящее время используются в основном организационно-технические документы, часть из которых принята в качестве национальных стандартов в области защиты информации (например, ГОСТ Р ИСО/МЭК 15408).
Если касаться национальной нормативной правовой базы, то в целом в области защиты информации в Российской Федерации действуют несколько десятков документов на уровне федеральных законов, указов Президента, постановлений Правительства и других правовых актов. Базовые концептуальные принципы отношений в информационной сфере определяет Конституция Российской Федерации. В соответствии с действующим порядком, разработка правовых актов, регулирующих отношения в области защиты информации, осуществляется в рамках государственной системы защиты информации.
Основными функциями системы являются:
1. Разработка концепций и единой технической политики в области обеспечения информационной безопасности.
2. Совершенствование и защита отечественной информационной инфраструктуры, интеграция России в международное информационное пространство.
3. Координация деятельности федеральных органов государственной власти, а также других государственных структур, обеспечивающих решение задач информационной безопасности.
4. Координация разработки нормативно-правовых, нормативно-технических и организационно-распорядительных документов в области защиты информации.
5. Лицензирование деятельности в сфере информационной безопасности и сертификации средств защиты.
6. Обеспечение конституционных нрав и свобод граждан на получение общедоступной информации и обеспечение защиты информации ограниченного доступа (государственная тайна, конфиденциальный характер).
7. Организация системы подготовки кадров, фундаментальных и прикладных научных исследований в области информационной безопасности.
8. Осуществление международного сотрудничества в области информационной безопасности, представление интересов Российской Федерации в международных организациях.
9. Предупреждение и пресечение правонарушений в информационной сфере, осуществление судопроизводства по делам о преступлениях.
Все нормативные документы, действующие в настоящее время в Российской Федерации, можно разделить по тину на две группы:
1. Документы, составляющие нормативную правовую базу и определяющие правовое пространство в области информатизации и защиты информации (федеральные законы, кодексы, указы Президента, постановления Правительства).
2. Документы, составляющие нормативно-техническую базу в области информационных технологий и защиты информации (стандарты, критерии и другие документы, непосредственно определяющие организационные и технические требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты).
По назначению все документы федерального уровня можно разделить на следующие группы:
1. Документы, составляющие концептуальную основу защиты информации.
2. Пакет федеральных законов и кодексов, определяющих систему защиты информации.
3. Пакет нормативных правовых актов в виде указов Президента, постановлений Правительства Российской Федерации, межведомственных и ведомственных (отраслевых) руководящих документов и стандартов, регулирующих механизмы исполнения требований к системе обеспечения информационной безопасности государства.
Среди документов федерального уровня следует особо отметить документы, регламентирующие порядок лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием и сертификацией средств защиты информации.
Ведомственные нормативные документы разрабатываются в целях развития и конкретизации положений федеральных документов по защите информации с учетом ведомственной (отраслевой) специфики.
Органы законодательной и исполнительной власти субъектов Российской Федерации, а также органы местного самоуправления в пределах своей компетенции также могут разрабатывать нормативные правовые акты в области информационной безопасности. Указанные акты не должны противоречить соответствующим актам федерального и международного уровней.
Согласно требованиям нормативно-правовых документов, на предприятиях и в учреждениях должен также действовать комплекс мер по обеспечению защиты информации. Этот комплекс должен основываться на нормативно-правовых и нормативно-технических документах в области защиты информации федерального и отраслевого уровней.
Нормативные документы уровня предприятия, учреждения или организации разрабатываются в дополнение и в целях конкретизации нормативных правовых актов, нормативной и методической документации технического характера отраслевого уровня. В состав документов уровня предприятия входят также проектная и эксплуатационная документация по создаваемым и эксплуатируемым объектам информатизации, инструкции и регламенты но эксплуатации информационных систем и средств защиты, а также организационно-распорядительная документация предприятия (приказы, распоряжения, должностные инструкции сотрудников и др.).
В связи с возрастанием важности задач обеспечения информационной безопасности многие предприятия разрабатывают и утверждают в виде специального документа концепцию информационной безопасности. На основании концепции затем разрабатывается политика безопасности, которая конкретизирует положения концепции применительно к конкретным функциональным подсистемам единой информационной системы предприятия.
1.8. Судебная практика
в области компьютерных
преступлений
С каждым годом растет количество судебных дел в сфере компьютерных преступлений. Это является свидетельством существенного укрепления правовой базы в области информационных технологий. Кроме того, судебные органы накопили достаточно большой опыт и квалификацию по раскрытию преступлений в информационной сфере и доведению их до судебных процессов.
Одно из первых судебных дел в России, связанных с компьютерным преступлением, было рассмотрено в 1983 году. На одном из автомобильных заводов был изобличен программист, который из мести руководству предприятия умышленно внес изменения в программу, управляющую подачей деталей на главный сборочный конвейер. В программу была вставлена процедура, которая при наступлении определенной даты блокировала работу основной программы. В результате срабатывания процедуры произошла остановка работы программы, повлекшая за собой остановку конвейера. Заводу был нанесен существенный материальный ущерб. За время простоя конвейера не было собрано более сотни автомобилей. После обнаружения процедуры в теле программы программист был привлечен к уголовной ответственности.
Однако в то время в уголовном законодательстве не было статьи, связанной с компьютерными преступлениями. Программист обвинялся но статье 98 части 2 Уголовного кодекса Российской Федерации «Умышленное уничтожение или повреждение государственного или общественного имущества... причинившее крупный ущерб». На суде программист утверждал, что ничего повреждено не было, а нарушен был только порядок работы. Такие действия в то время не подпадали ни под одну статью законодательства. Суд вынес приговор: «три года лишения свободы условно; взыскание суммы, выплаченной рабочим за время вынужденного простоя конвейера; перевод с должности программиста на должность сборщика главного конвейера».
В соответствии с сегодняшним законодательством, действия программиста подпадают под статью 273 части 1 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных программ для ЭВМ». Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
В данном случае программист умышленно создал вредоносную программу, нарушившую технологический процесс.
Ниже приведен ряд приговоров судов но делам, связанным с компьютерными преступлениями. Часть приговоров дана в сокращении.
На сайте ЗАО «Крафт-С» (http://www.kraft-s.ru) дана выписка из решения суда по поводу обвинения за неправомерный доступ к охраняемой законом компьютерной информации. Ниже приведена выписка из приговора суда, как она дана на указанном сайте.
ПРИГОВОР
Именем Российской Федерации
29 января 2004 г. Федеральный суд Ленинского района
г. Самары в составе:
председательствующего судьи: Казначеева А. В.
государственного обвинителя: Шуваркиной М. С.
подсудимого: Б.
защитника: Д., представившей удостоверение
XXX иордерХХХХХ,
при секретаре: Воловиковой Л. М.,
а также: представителя потерпевшего от
«Крафт-С» Мушкат О. Б.
потерпевшей: М.
законного представителя подсудимого:
Н.,
рассмотрев в открытом судебном
заседании дело по обвинению: гр. Б., ХХ.ХХ.19ХХ г. рождения,
уроженца г. ХХХХХХХХХХ,
имеющего среднее образование,
учащегося на XX курсе ХХХХХХХ,
не женатого, не судимого,
проживающего по адресу:
г. Самара ул. ХХХХХХХХ, ХХХ-ХХ,
в совершении преступления,
предусмотренного ч. 1 ст. 272, ч. 1
ст. 165 УК РФ
УСТАНОВИЛ
Б. обвиняется в том, что он совершил неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе в ЭВМ, системе ЭВМ или их сети, повлекший модификацию и блокирование информации при следующих обстоятельствах. Так, он в период с ХХ.ХХ2003 г. по ХХ.ХХ2003 г., обладая достаточными знаниями в области пользования компьютерной техникой, осуществил несанкционированное проникновение при помощи технических средств к охраняемой Законом РФ «О правовой охране программ для электронно-вычислительных машин и баз данных» от 23.09.92, Федеральным Законом РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. компьютерной информации, находящейся в базе данных серверов ЗАО «Крафт-С». Неправомерный доступ к компьютерной сети Интернет Б. осуществлял, находясь у себя дома по адресу: г. Самара, ул. ХХХХХХХХХХ, ХХХ-ХХ, используя для связи с ЗАО «Крафт-С» свой домашний персональный компьютер с модемным устройством и соответствующим программным обеспечением, телефон с номером ХХ-ХХ-XX, установленный по месту его жительства, а также реквизиты пользователя сети Интернет: пароль и имя пользователя (логин) «ХХХХХХХХ», зарегистрированный в ЗАО «Крафт-С» на имя М., в соответствии с договором ХХХХХ/И от ХХ.ХХ.ХХХХ., осуществлял неправомерный доступ к компьютерной информации, содержащейся на серверах ЗАО «Крафт-С», являющейся провайдером, то есть организацией, предоставляющей доступ к сети Интернет своим абонентам. С телефонного номера ХХ-ХХ-ХХ Б. за указанный период времени осуществил не менее XX неправомерных выходов в Интернет. Указанные выше действия Б. повлекли изменения статистической информации на сервере ЗАО «Крафт-С» об объеме услуг, предоставленных абоненту М., на имя которой зарегистрированы указанные выше реквизиты, то есть модификацию компьютерной информации.
Своими умышленными действиями Б. совершил неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, повлекший блокирование и модификацию информации, то есть совершил преступление, предусмотренное ч. 1 ст. 272 УК РФ.
Он же совершил причинение имущественного ущерба собственнику путем обмана при отсутствии признаков хищения при следующих обстоятельствах.
Так, он, достоверно зная, что доступ в информационную есть Интернет подлежит оплате провайдеру, предоставляющему данную услугу, и что предоставление доступа в Интернет требует материальных затрат со стороны провайдера, в период с ХХ.ХХОЗ г. по ХХ.ХХОЗ г., находясь у себя дома по адресу: г. Самара, ул. ХХХХХХХХХХ, ХХХ-ХХ, используя для связи с ЗАО «Крафт-С» свой домашний персональный компьютер с модемным устройством и соответствующим программным обеспечением, домашний телефон с номером ХХ-ХХ-ХХ, осуществлял неправомерный доступ в сеть Интернет по реквизитам, принадлежащим М., приобретенным им незаконным путем. Своими действиями, направленными на причинение имущественного ущерба без признаков хищения, путем обмана, Б. за указанный период времени нанес ущерб М. в сумме 673,01 рублей, оплатившей доступ в Интернет провайдеру ЗАО «Крафт-С».
Своими преступными действиями Б. совершил причинение имущественного ущерба собственнику путем обмана при отсутствии признаков хищения, то есть совершил преступление, предусмотренное ч. 1 ст. 165 УК РФ. В судебном заседании подсудимый Б. заявил о своем согласии с предъявленным обвинением и ходатайствовал о постановлении приговора без проведения судебного разбирательства. Государственный обвинитель и потерпевшие согласились с заявленным ходатайством.
Принимая во внимание, что ходатайство о применении особого порядка принятия судебного решения обвиняемым заявлено добровольно, после проведения консультаций с защитником, законным представителем, подсудимый осознает характер и последствия заявленного ходатайства, суд считает его подлежащим удовлетворению.
О согласии с предъявленным обвинением свидетельствуют также мате- . риалы дела, из которых видно, что Б. полностью признал свою вину по предъявленному обвинению, обвинение, с которым согласился подсудимый, обосновано, подтверждается доказательствами, собранными по уголовному делу, обстоятельства совершения преступления подсудимым не оспариваются.
Также при назначении наказания должна применяться ст. 10 УК РФ «Обратная сила уголовного закона», в соответствии с которой должно учитываться максимально предусмотренное наказание по ч. 1 ст. 165 УК РФ (либо лишение свободы до 2 лет), которое было предусмотрено до введения в действие Федерального Закона «О внесении изменений в Уголовный кодекс РФ» 162-ФЗ, так как в новой редакции Закона было увеличено максимально предусмотренное в ч. 1 ст. 165 УК РФ наказание (в виде лишения свободы сроком до 6 лет), в связи с чем из разряда преступлений небольшой тяжести ч. 1 ст. 165 УК РФ перешла в разряд тяжких преступлений, а уголовный закон, устанавливающий преступность деяния, усиливающий наказание или иным образом ухудшающий положение лица, обратной силы не имеет. Само преступление, совершенное подсудимым Б., было совершено до введения в действие Федерального Закона «О внесении изменений и дополнений в Уголовный кодекс РФ» 162-ФЗ.
При определении вида и меры наказания суд учитывает степень и характер общественной опасности совершенного преступления преступления небольшой тяжести. Обстоятельства, смягчающие наказание: признание подсудимым своей вины, раскаяние в содеянном, полное возмещение материального вреда, причиненного преступлением. Личность по месту учебы и жительства характеризуется положительно, ранее не судим. Учитывая совокупность изложенных обстоятельств, личность подсудимого, его поведение в ходе предварительного следствия и в соответствии со ст. 73 УК РФ, суд считает, что исправление Б. возможно без изоляции от общества.
На основании изложенного и руководствуясь ст. 316 УПК РФ, суд
ПРИГОВОРИЛ
Б. признать виновным в совершении преступления, предусмотренного ч. 1 ст. 165 УК РФ и ч. 1 ст. 272 УК РФ, и назначить ему наказание: по ч. 1 ст. 165 УК РФ 6 (шесть) месяцев лишения свободы; по ч. 1 ст. 272 УК РФ 6 (шесть) месяцев лишения свободы. В соответствии с ч. 2 ст. 69 УК РФ, окончательное наказание путем полного сложения назначенных наказаний назначить в виде 1 (одного) года лишения свободы. В соответствии со ст. 73 УК РФ, данное наказание считать условным, с испытательным сроком 6 (шесть) месяцев.
Обязать Б. не менять постоянного места жительства и учебы без уведомления уголовно-исполнительной инспекции, периодически являться в УИИ для регистрации. Меру пресечения подписку о невыезде до вступления приговора в законную силу оставить без изменения. Вещественное доказательство, протокол доступа в сеть Интернет, установочные данные и детализация входящих и исходящих соединений абонента ХХ-ХХ-ХХ хранить при уголовном деле; системный блок Б., хранящийся в УВД г. Самары, после вступления приговора в законную силу вернуть Б. В иске М. к Б. о взыскании в пользу истицы морального вреда, причиненного преступлением, в размере 10 000 рублей отказать. Приговор может быть обжалован в кассационном порядке в Самарском областном суде в течении 10 суток со дня провозглашения. Председательствующий (подпись) А. В. Казначеев
_________________________________________________________________________
На сайте http://www.internet-law.ru/intlaw/crime/samara.htm помещен следующий приговор._____________________________________________________
ПРИГОВОР
Именем Российской Федерации
г. Самара 1 декабря 2004 года
Судья Кировского районного суда г. Самары Курцева М. М. с участием государственного обвинителя заместителя прокурора прокуратуры Кировского района г. Самары Ремиз Н. Ю., подсудимого САС, его законного представителя ЧСВ, защитника адвоката Решетихипа В. И., представившего ордер № 053829, удостоверение № 1016, при секретаре Ивановой М. В., рассмотрев материалы уголовного дела в отношении САС, 19.04.88 года рождения, уроженца г. Самары, гражданина РФ, с образованием 9 классов, холостого, не судимого, учащегося в Профессиональном лицее компьютерных технологий, проживающего по адресу: г. Самара, пр. МММ, д. ДД, кв. КК, обвиняемого в совершении преступлений, предусмотренных ч. 1 ст. 272, ч. 1 ст. 165 УК РФ,
УСТАНОВИЛ
САС совершил неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе в ЭВМ, системе ЭВМ, их сети, повлекший модификацию и блокирование информации при следующих обстоятельствах: САС в период с 01.05.04 по 31.08.04, обладая достаточными знаниями в области пользования компьютерной техникой, имея умысел на несанкционированное проникновение при помощи технических средств к охраняемой законом компьютерной информации, с целью получения неправомерного доступа к компьютерной сети Интернет, находясь у себя дома на пр. МММ, д. ДД, кв. КК в г. Самаре, используя свой персональный компьютер с установленным модемным устройством и соответствующим программным обеспечением, телефон с номером ХХ-ХХ-ХХ, установленный по месту своего жительства, а также реквизиты пользователя сети Интернет: пароль и имя пользователя, зарегистрированные в ЗАО «Крафт-С» на имя ОВВ, осуществлял неправомерный доступ к компьютерной информации, содержащейся на серверах ЗАО «Крафт-С». С телефонного номера ХХ-ХХ-ХХ за указанный период времени САС осуществил не менее 180 неправомерных выходов в Интернет. Указанные действия САС повлекли изменение статистической информации на сервере ЗАО «Крафт-С» об объеме услуг, предоставленных абоненту ОВВ, то есть модификацию компьютерной информации. САС совершил причинение имущественного вреда собственнику путем обмана при отсутствии признаков хищения при следующих обстоятельствах: САС, достоверно зная, что доступ в информационную сеть Интернет подлежит оплате провайдеру, предоставляющему данную услугу, и что предоставление доступа в сеть Интернет требует материальных затрат со стороны провайдера, в период с 01.05.04 по 31.08.04, находясь у себя дома, используя свой персональный компьютер, модем, программное обеспечение, телефон, осуществлял выходы в сеть Интернет с использованием логина leros, полученного им незаконным путем. Своими действиями, направленными на причинение имущественного ущерба без признаков хищения, путем обмана, САС за указанный период времени нанес ЗАО «Крафт-С» ущерб в сумме 5000 рублей.
Подсудимый САС свою вину признал полностью, в содеянном раскаялся. Он показал, что весной 2004 года на одном из сайтов сети Интернет (доступ вначале он осуществлял по карточкам) он обнаружил программу, при помощи которой можно получить реквизиты доступа в сеть Интернет, которыми пользуются зарегистрированные абоненты. При помощи указанной программы он получил реквизиты доступа (логин leros). С весны и до конца августа он осуществлял выход в сеть Интернет под данными реквизитами почти каждый день. В папке удаленного доступа на системном блоке, изъятом в ходе обыска у гр. САС, в ходе осмотра обнаружена информация о реквизитах доступа в сеть Интернет, логин leros, пароль сохранен.
Анализируя добытые по делу доказательства, суд считает, что преступные действия САС необходимо квалифицировать по ч. 1 ст. 272, ч. 1 ст. 165 УК РФ, так как он совершил неправомерный доступ к охраняемой законом компьютерной информации, совершил причинение имущественного ущерба путем обмана при отсутствии признаков хищения. При назначении вида и меры наказания суд учитывает характер и степень общественной опасности содеянного, то, что преступления, совершенные САС, являются преступлениями небольшой тяжести, конкретные обстоятельства дела, личность подсудимого, несовершеннолетие и т. д. Учитывая изложенное, суд считает необходимым назначить САС наказание в виде исправительных работ с применением ст. 73 УК РФ. Руководствуясь ст. 299, 303-304, 307-309 УПК РФ, суд
ПРИГОВОРИЛ
САС признать виновным в совершении преступлений, предусмотренных ч. 1 ст. 272, ч. 1 ст. 165 УК РФ. По совокупности совершенных преступлений окончательно назначить наказание исправительные работы сроком на 7 месяцев с удержанием из заработка 10 процентов ежемесячно в доход государства. На основании ст. 73 УК РФ наказание считать условным, с испытательным сроком 6 месяцев._____________________________________________
ПРИМЕЧАНИЕ
Имя подсудимого, его адрес и телефон изменены автором.__________________
_________________________________________________________________________
Следующий приговор за установку нелицензионных программ опубликован на сайте:http://www.internet-law.ru/intlaw/crime/prigovor_ustanovka_nelicenz_ms.htm
_________________________________________________________________________
ПРИГОВОР
Именем Российской Федерации
г. Москва 25 февраля 2004 г.
Судья Таганского межмуниципального (районного) суда Центрального административного округа г. Москвы Д. с участием государственного обвинителя Московско-Курской транспортной прокуратуры К., подсудимого Н-ва М. В., подсудимого К-на С. А., защитника Л., при секретаре Л„ а также с участием представителя потерпевшего С. и представителя гражданского истца С, рассмотрев материалы уголовного дела в отношении Н-ва М. В., родившегося 30 ноября 1969 года в г. Москве, проживающего по адресу: г. Москва, улица Домодедовская, дом X, корпус X, квартира XX, женатого, имеющего высшее образование, не работающего, не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 2 ст. 146, пп. «б», «в» ч. 3 ст. 146 УК РФ, К-на С. А., родившегося 29 апреля 1981 года в г. Москве, зарегистрированного по адресу: Москва, улица Юных Ленинцев, дом X, корпус X, квартира XX, проживающего по адресу: Москва, улица 1-я Останкинская, дом XX, квартира XX, не женатого, имеющего высшее образование, не работающего, не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 2 ст. 146, пп. «б», «в» ч. 3 ст. 146 УК РФ,
УСТАНОВИЛ
Н-в М. В. обвиняется в том, что он совершил незаконное использование объектов авторского права с причинением крупного ущерба группой лиц по предварительному сговору.
К-и С. А. обвиняется в том, что он совершил незаконное использование объектов авторского права с причинением крупного ущерба группой лиц по предварительному сговору.
Так, в ноябре 2002 года по предварительной договоренности из корыстных побуждений Н-в М. В. в качестве генерального директора, а К-н С. А. в качестве сто заместителя возглавили фиктивную фирму ООО «Альфа Компьютере», созданную с целью оказания незаконных услуг по установке и предоставлению пользователям нелицензионного программного обеспечения для электронно-вычислительных машин (ЭВМ), права па которое им не принадлежат, и получения денежных вознаграждений за установки программ.
Для обеспечения деятельности фирмы и своей и К-на С. А. работы, создания видимости легальности деятельности Н-в М. В. арендовал нежилое помещение по адресу: г. Москва, улица 1-я Дубровская, д. хх, строение хх, офис хх; в банковских организациях были открыты расчетные счета фиктивных юридических лиц, составлены прайс-листы, изготовлены печати, нанят персонал, заключены договора о предоставлении услуг связи (нескольких телефонных
линий, каналов связи «Internet»). В средствах массовой информации в целях привлечения большего количества клиентов от имени нескольких организаций (ООО «Альфа Компьютере», «Мосремкомпыотерс», «Стайлкомпьютерс») ими была размещена реклама деятельности фирмы, содержащая сведения об оказываемых услугах по установке программ для ЭВМ «Windows 95», «Windows 98», «Windows 2000», «Windows NT», «Windows XP», «Office 97», «Office 2000», «Office XP», исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт» (Microsoft Corporation).
Будучи осведомленными об ответственности за нарушение авторских прав и смежных прав, желая се избежать, Н-в М. В. и К-н С. А. разработали схему деятельности фирмы, скрывающую их причастность к установкам программ и руководству фирмой. В соответствии с упомянутой схемой, телефонные операторы в офисе по телефонам 105-55-57, 105-50-33, 276-22-66, 782-81-80, 782-44-11 принимали заказы па установку компьютерных программ и передавали их выезжавшим к клиентам сервис-инженерам. После выполнения заказа полученные от клиентов деньги сервис-инженеры сдавали либо Н-ву и К-ну, либо другим сотрудникам фирмы для последующей передачи руководителям и использования теми по своему усмотрению. С целью увеличения прибыли фирмы от незаконной установки контрафактных программ для ЭВМ и введения в заблуждение клиентов и персонала фирмы, Н-в и К-н дали указание сотрудникам фирмы на вопросы клиентов о правовом характере программ отвечать, что это полностью работоспособная «копия лицензии» и у них есть договор с «Майкрософт» на использование программ. Н-в и К-н закупили чистые компакт-диски и программное обеспечение для записи программ па диски и организовали выдачу выезжающим на исполнение заказов сервис-инженерам диски с записанными на них контрафактными программами.
В период с ноября 2002 года по 8 апреля 2003 года под непосредственным руководством Н-ва и К-на и в соответствии с вышеупомянутой схемой подчиненными им сотрудниками фирмы в Москве и в Московской области в нарушение требований ст. 6, 7, 9, 15, 16, 25, 48 Закона «Об авторском праве и смежных правах» от 09.07.93 № 5351-1 (в редакции от 19.07.95) были использованы при установках и работе нижеперечисленные программы для ЭВМ:
3 января 2003 года в дневное время по адресу: г. Москва, улица Газопровода, дом X, квартира XX «Windows XP Professional» стоимостью 438 долларов США, что эквивалентно 13 919 руб. 64 коп. по курсу ЦБ РФ на указанный день;
3 января 2003 года в дневное время по адресу: Московская область, г. Видное, улица Советская, дом X, квартира XX «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5625 руб. 06 коп. по курсу ЦБ РФ на указанный день;
6 января 2003 года в дневное время по адресу: Москва, улица Мусы Джалиля, дом X, квартира XX «Windows XP Home Edition Russian CD» стоимостью 157 долларов США, что эквивалентно 4989 рублям 46 коп. по курсу ЦБ РФ на указанный день;
7 января 2003 года в дневное время по адресу: г. Москва, улица Братеевская, дом X, квартира XX «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5625 рублям 06 коп. по курсу ЦБ РФ на указанный день;
10 января 2003 года в дневное время по адресу: г. Москва, Каширский проезд, дом X, квартира XX «Windows Millenium Edition Russian CD» стоимостью
159 долларов США, что эквивалентно 5068 руб. 92 коп. по курсу ЦБ РФ па указанный день;
13 января 2003 в дневное время по адресу: г. Москва, улица Амурская, дом X, квартира XX «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5633 руб. 91 коп. по курсу ЦБ РФ на указанный день;
14 января 2003 года в дневное время по адресу: Москва, Южнопортовый проезд, дом X «Windows XP Professional» стоимостью 438 долларов США, что эквивалентно 13 941 руб. 54 коп. по курсу ЦБ РФ на указанный день;
14 января 2003 года в дневное время по адресу: г. Москва, улица Раменки, дом X, квартира XX «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5633 руб. 91 коп. по курсу ЦБ РФ на указанный день;
16 января 2003 года примерно в 11-12 часов в офисе ООО «Транспортная компания «Рустранспорт» по адресу: г. Москва, Карачаровское шоссе, дом 5 «Office 2000 Win32 Russian CD» (2 шт.) стоимостью 396 долларов США каждая, общей стоимостью 792 доллара США; «Office 97» (3 шт.) стоимостью 396 долларов США каждая, общей стоимостью 1188 долларов США; «Office Pro 2000 Win32 Russian CD» стоимостью 476 долларов США; «Office XP Pro Win32 Russian CD» (5 шт.) стоимостью 438 долларов США каждая, общей стоимостью 2190 долларов США; «Windows 98 Russian CD Second Edition» (13 шт.) стоимостью 177 долларов США каждая, общей стоимостью 2301 доллар США; «Windows Millenium Edition Russian CD» (3 шт.) стоимостью 186 долларов США каждая, общей стоимостью 558 долларов США; «Windows Pro 2000 Russian CD» стоимостью 268 долларов США; «Windows XP Professional Russian CD» (2 шт.) стоимостью 292 доллара США каждая, общей стоимостью 584 доллара США. Общая стоимость программных продуктов, использованных в «Рустранспорте» составила 8357 долларов США, что эквивалентно 265 919 руб. 74 коп. по курсу ЦБ РФ на указанный день.
Исключительные имущественные права, а также права на распространение перечисленных программных продуктов на территории РФ принадлежат корпорации «Майкрософт» (Microsoft Corporation). За указанный период своими действиями по распространению контрафактных программ, вытеснивших лицензионные объекты авторского права, Н-в М. В. и К-и С. А. причинили корпорации «Майкрософт» крупный ущерб в размере 326 000 руб. 24 коп.
Кроме того, Н-в М. В. обвиняется в том, что он совершил незаконное использование объектов авторского права, приобретение, хранение контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере.
Кроме того, К-н С. А. обвиняется в том, что он совершил незаконное использование объектов авторского права, приобретение, хранение контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере.
Так, совершив вышеописанные преступления, несмотря на возбужденное по результатам проверки деятельности ООО «Альфа Компьютере» уголовное дело и вступление в силу с 8 апреля 2003 года изменений в уголовное законодательство, ужесточающих ответственность за подобные преступления (ст. 146 УК дополнена частью 3), Н-в М. В. и К-н С. А. не прекратили преступную деятельность и продолжили осуществлять руководство фирмой, что выявилось в ходе проверочных закупок.
Так, за 3 июня 2003 года под непосредственным руководством и в соответствии со схемой деятельности фирмы Н-ва и К-на их подчиненными по различным адресам в г. Москве в нарушение требований ст. 6, 7, 9, 15, 16, 25, 48 Закона «Об авторском праве и смежных правах» от 09.07.93 № 5351-1 (в редакции от 19.07.95) были незаконно использованы при установках и работе нижеперечисленные программы для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт» (Microsoft Corporation):
3 июня 2003 года примерно в 12-13 часов по адресу: г. Москва, улица Михалковская, дом XX г.
«Office 2000» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office 97» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Windows ХР Professional SP1 Русская версия» (2шт.) стоимостью 438 долларов США каждая, общей стоимостью 876 долларов США. Общая стоимость вышеперечисленных программ составила 2780 долларов США, что эквивалентно 85 179 руб. по курсу ЦБ РФ на указанный день. 3 июня 2003 года примерно в 12-13 часов по адресу: г. Москва, Комсомольская площадь, дом X:
«Office 2000» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office 97» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office ХР Pro Win32 Russian CD» (3 шт.) стоимостью 374 доллара США каждая, общей стоимостью 1122 доллара США;
«Windows 98 Russian CD Second Edition» (2 шт.) стоимостью 177 долларов США каждая, общей стоимостью 354 доллара США;
«Windows Millenium Edition Russian CD» (2 шт.) стоимостью 159 долларов США каждая, общей стоимостью 318 долларов США;
«Windows Pro 2000 Russian CD» (3 шт.) стоимостью 229 долларов США каждая, общей стоимостью 687 долларов США;
«Windows ХР Professional SP1 Русская версия» (2 шт.) стоимостью 438 долларов США каждая, общей стоимостью 876 долларов США. Общая стоимость вышеперечисленных программ составила 5261 доллар США, что эквивалентно 161 197 руб. 04 коп. по курсу ЦБ РФ на указанный день.
3 июня 2003 года примерно в 12-13 часов по адресу: г. Москва, проспект Буденного, дом 32 «Windows XP Professional» стоимостью 438 долларов США, что эквивалентно 13 420 руб. 32 коп. по курсу ЦБ РФ на указанный день.
Кроме того, при неустановленных обстоятельствах до 3 июня 2003 года Н-в и К-н приобрели для личного использования и записи программ клиентам фирмы, заведомо зная о его нелицензионном происхождении, компакт-диск с нижеперечисленными программами, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт»:
«Microsoft Windows 98 Second Edition русская версия» стоимостью 177 долларов США;
«Microsoft Windows 98 Second Edition paneuro version» стоимостью 177 долларов США.
Общая стоимость двух названных программ составила 354 доллара США, что эквивалентно 10 846 руб. 56 коп. по курсу ЦБ РФ па 3 нюня 2003 года, когда диск был изъят во время обыска в кабинете Н-ва М. В., где последний и К-п С. А. хранили его.
Своими действиями по распространению, использованию, приобретению и хранению контрафактных программ 3 июня 2003 года, вытеснивших лицензионные объекты авторского права, Н-в М.В. и К-н С.А. причинили корпорации «Майкрософт» особо крупный ущерб в размере 270 642 руб. 92 коп.
Общая сумма причиненного действиями Н-ва М.В. и К-на С.А. ущерба за период с ноября 2002 года по 3 июня 2003 года составила 597 000 руб. 16 коп.
Подсудимый Н-в М. В. в предъявленном обвинении вину признал полностью и с обвинением согласен, заявил ходатайство о применении особого порядка судебного разбирательства. Подсудимый К-н С. А. в предъявленном обвинении вину признал полностью и с обвинением согласен, заявил ходатайство о применении особого порядка судебного разбирательства.
В судебном заседании установлено, что предусмотренные уголовно-процессуальным законом условия применения особого порядка судебного разбирательства соблюдены: подсудимый Н-в М. В. и подсудимый К-н С. А. понимают сущность предъявленного им обвинения и осознают характер и последствия заявленных ими ходатайств, которые были заявлены добровольно и после проведения консультаций с защитником в присутствии последнего.
Суд находит обвинение в незаконном использовании объектов авторского права с причинением крупного ущерба, группой лиц по предварительному сговору, а также в незаконном использовании объектов авторского права, приобретении, хранении контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере, предъявленное Н-ву В. М., обоснованным и подтвержденным доказательствами в уголовном деле.
Суд находит обвинение в незаконном использовании объектов авторского права с причинением крупного ущерба группой лиц по предварительному сговору, а также в незаконном использовании объектов авторского права, приобретении, храпении контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере, предъявленное К-иу С. А., обоснованным и подтвержденным доказательствами в уголовном деле.
Суд квалифицирует действия подсудимого Н-ва В. М. по ч. 2 ст. 146 УК РФ (в редакции Федерального Закона от 13 июня 1996 года № 63-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по предварительном сговору с К-иым С. А., незаконно использовал объекты авторского права программы для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт», причинив последней крупный ущерб. Суд квалифицирует действия подсудимого Н-ва В. М. по пп. «б», «в» ч. 3 ст. 146 УК РФ (в редакции Федерального Закона от 8 декабря 2003 года № 162-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по предварительном сговору с К-ным С. А., в особо крупном размере незаконно использовал объекты авторского права программы для ЭВМ, исключительные имущественные права, а также права па распространение которых на территории РФ принадлежат корпорации «Майкрософт», в целях сбыта приобретал, хранил контрафактные экземпляры названных выше произведений.
Суд квалифицирует действия подсудимого К-па С. А. по ч. 2 ст. 146 УК РФ (в редакции Федерального Закона от 13 июня 1996 года № 63-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по предварительном сговору с Н-вым М. В., незаконно использовал объекты авторского права программы для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт», причинив последней крупный ущерб. Суд квалифицирует действия подсудимого К-на С. А. по пп. «б», «в» ч. 3 ст. 146 УК РФ (в редакции Федерального Закона от 8 декабря 2003 года № 162-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по предварительном сговору с Н-вым М. В., в особо крупном размере незаконно использовал объекты авторского права программы для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт», в целях сбыта приобретал, хранил контрафактные экземпляры названных выше произведений.
При назначении наказания подсудимым суд учитывает характер и степень общественной опасности содеянного, данные о личности подсудимых. Н-в М. В. ранее не судим; по месту работы не охарактеризован ввиду отсутствия такового; по месту жительства характеризуется как лицо, на которое жалоб не поступало; в содеянном признался и чистосердечно раскаивается, имеет на иждивении малолетнего ребенка, что суд учитывает в качестве смягчающих наказание Н-ва М. В. обстоятельств. К-н С. А. ранее не судим; по месту работы не охарактеризован ввиду отсутствия такового; по месту жительства характеризуется как лицо, па которое жалоб не поступало; в содеянном признался и чистосердечно раскаивается, что суд учитывает в качестве смягчающего наказание К-на С. А. обстоятельства.
С учетом изложенного, принимая во внимание длительность и размах преступной деятельности подсудимых, размер причиненного ими материального ущерба, суд считает, что Н-в М. В. и К-н С. А. заслуживают наказания в виде лишения свободы, при этом считает невозможным применить к ним ст.73 УК РФ. Вместе с тем, учитывая отмеченные смягчающие наказание подсудимых обстоятельства, суд считает необходимым назначить им наказание, близкое к минимальному пределу санкций ч. 2 и ч. 3 ст. 146 УК РФ, а также считает необходимым не назначать им дополнительного наказания в виде штрафа.
Гражданский иск корпорации «Майкрософт» о взыскании с Н-ва М. В. и К-на С. А. компенсации за нарушение авторских прав в размере 1 000 000 руб. суд с учетом доказанности вины подсудимых считает обоснованным и подлежащим удовлетворению в полном объеме в соответствии с подпунктом 5 пункта 1 ст. 49 Закона РФ «Об авторском праве и смежных правах» от 09.07.93 № 5351-1.
В соответствии с п. 2 ст. 49 того же закона РФ суд считает необходимым взыскать с Н-ва М. В. и К-на С. А. штраф в доход федерального бюджета в размере 10 процентов от суммы, присужденной судом в пользу гражданского истца. Суд также считает необходимым разрешить судьбу вещественных доказательств. На основании изложенного и руководствуясь ст. 316 УПК РФ, суд
ПРИГОВОРИЛ
Признать Н-ва Михаила Владимировича виновным в совершении преступлений, предусмотренных ч. 2 ст. 146, п.п. «б», «в» ч. 3 ст.146 УК РФ, и на- значить ему наказание в виде лишения свободы: по ч. 2 ст. 146 УК РФ на 3 месяца; по пп. «б», «в» ч. 3 ст. 146 УК РФ на 4 месяца без штрафа.
На основании ст. 69 УК РФ по совокупности путем частичного сложения наказаний окончательно определить Н-ву М. В. к отбытию наказание в виде лишения свободы на шесть месяцев без штрафа с отбыванием в колонии поселении.
Признать К-на Сергея Александровича виновным в совершении преступлений, предусмотренных ч. 2 ст. 146, п. п. «б», «в» ч. 3 ст. 146 УК РФ, и назначить ему наказание в виде лишения свободы: по ч. 2 ст. 146 УК РФ на 3 месяца; по пп. «б», «в» ч. 3 ст. 146 УК РФ на 4 месяца без штрафа. На основании ст. 69 УК РФ по совокупности путем частичного сложения наказаний окончательно определить К-иу С. А. к отбытию наказание в виде лишения свободы на шесть месяцев без штрафа с отбыванием в колонии поселении.
Меру пресечения Н-ву М. В. до вступления приговора в законную силу изменить на заключение под стражу, заключить его под стражу в зале суда. Начало отбывания наказания Н-ву М. В. исчислять с 25 февраля 2004 года.
Меру пресечения К-иу С. А. до вступления приговора в законную силу изменить на заключение под стражу, заключить его под стражу в зале суда. Начало отбывания наказания К-ну С. А. исчислять с 25 февраля 2004 года.
Гражданский иск корпорации «Майкрософт» о взыскании компенсации за нарушение авторских прав на программы для ЭВМ удовлетворить. Взыскать с Н-ва Михаила Владимировича и К-на Сергея Александровича солидарно в пользу корпорации «Майкрософт» 1 000 000 (один миллион) руб.
На основании п. 2 ст. 49 Закона РФ «Об авторском праве и смежных правах» от 09.07.1993 года № 5351-1 взыскать с Н-ва Михаила Владимировича и К-на Сергея Александровича солидарно в доход федерального бюджета штраф в размере 100 000 (ста тысяч) руб.
Вещественные доказательства документы, хранящиеся в уголовном деле, оставить при деле, изъятые в ООО «Альфа Компьютере» и'у подсудимых Н-ва М. В. и К-на С. А. предметы, хранящиеся в Московско-Курской транспортной прокуратуре оставить там же до разрешения уголовного дела, выделенного из настоящего уголовного дела постановлением следователя от 08.12.03 (л. д. 351-352); деньги в сумме 2545 долларов США и 152 431 руб., изъятые у К-на С. А., хранящиеся в прокуратуре г. Москвы, обратить в доход государства в уплату штрафа (в сумме 100 000 руб.), оставшуюся часть перечислить корпорации «Майкрософт» в счет удовлетворения исковых требований.
_________________________________________________________________________
Следующий приговор размещен на сайте; http://www.internetlaw.ru/intlaw/ crime/prigovor_markov.htm.
_________________________________________________________________________
ПРИГОВОР
Именем Российской Федерации
г. Тюмень 4 августа 2005 г.
Судья Ленинского районного суда г. Тюмени А. с участием государственного обвинителя помощника прокурора Ленинского АО г. Тюмени И., защитника: адвоката К., при секретаре В., рассмотрев в особом порядке в открытом судебном заседании уголовное дело № 1-742-05 по обвинению:
М-ва Е. Н., родившегося 09.07.73 года в г. Тюмени, русского, гражданина Российской Федерации, холостого, со средним образованием, военнообязанного, работающего админинистратором в ООО «Кросс», проживающего по адресу: г. Тюмень, ул. Боровской, д. хх, кв. хх, обвиняемого в совершении преступления, предусмотренного ч. 1, ст. 273 УК РФ,
УСТАНОВИЛ
М-в Е. Н., имея умысел на распространение программы для электронно-вычислительных машин (ЭВМ), заведомо приводящей к несанкционированной модификации информации, из корыстных побуждений 16.11.2004 года в 17 часов 14 минут в помещении шиномонтажной мастерской, расположенной, по ул. Беляева, 21г. Тюмени, реализуя указанный умысел, для нейтрализации средств защиты программного продукта «1С: Бухгалтерия 7.7 Бухгалтерский учет. Многопользовательская. Редакция 4.4» умышленно установил па рабочий компьютер, тем самым распространив вредоносную программу для ЭВМ «программу-взломщик» («Sable»), необходимую для несанкционированного доступа и использования данного программного продукта, не имея па то законных оснований, что повлекло недопустимую модификацию исполняемого файла базы данных, необходимого для несанкционированного доступа и использования программы «1С: Бухгалтерия 7.7 Бухгалтерский учет. Многопользовательская Редакция 4.4» позволившую запускать установленный им экземпляр программного продукта «1С: Бухгалтерия 7.7 Бухгалтерский учет. Многопользовательская Редакция 4.4», на указанном рабочем компьютере без установленного правообладателя; аппаратного ключа защиты HASP (хасп).
Таким образом, М-в Е. Н. 16.11.2004 года, умышленно, незаконно, из корыстных побуждений распространил вредоносную программу «Sable», которая повлекла несанкционированную модификацию программы для ЭВМ. С указанным обвинением подсудимый М-в Е. Н. согласился в полном объеме, полностью признал себя виновным.
Учитывая, что указанное преступление относится к категории средней тяжести, М-в Е. Н. свою вину признал в полном объеме и полностью согласился с предъявленным ему обвинением, что им было добровольно, после предварительной консультации с адвокатом, заявлено ходатайство о применении особого порядка судебного решения, существо которого, как и последствия, подсудимый М-в Е. Н. понимает. Стороны против заявленного ходатайства не возражают, в связи с чем суд принимает особый порядок принятия судебного решения по делу. В результате изучения дела суд пришел к выводу, что обвинение М-ву Е. Н. по ст. 273 ч. 1 УК РФ распространение программы для ЭВМ, заведомо приводящей к несанкционированной модификации информации, с которым подсудимый согласился, обосновано и подтверждается собранными по делу доказательствами.
При назначении наказания подсудимому суд учитывает характер и степень общественной опасности совершенного им преступления, данные о личности подсудимого, который по месту жительства характеризуется неудовлетворительно, замечен в употреблении спиртных напитков, по месту работы в ЗАО «Сибгазстройсервис» характеризуется положительно, по месту работы в ООО «Кросс» характеризуется как квалифицированный специалист, нарушений трудовой дисциплины не допускает, не судим. Смягчающих наказание обстоятельств суд не усматривает. Отягчающих наказание обстоятельств судом не установлено.
С учетом обстоятельств дела, личности подсудимого суд считает целесообразным назначить М-ву Е. Н. наказание, не связанное с изоляцией от общества, по правилам, предусмотренным ч. 7 ст. 316 УПК РФ, применив ст. 73 УК РФ.
Вещественное доказательство по делу жесткий диск компьютера, хранящийся в комнате вещественных доказательств УВД Ленинского АО г. Тюмени уничтожить. На основании изложенного, руководствуясь ст. 316, 317 УПК РФ, суд
ПРИГОВОРИЛ
М-ва Евгения Николаевича признать виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, и назначить ему наказание в виде лишения свободы сроком на один год со штрафом в размере 5000 (пять тысяч) руб.
В соответствии со ст. 73 УК РФ, назначенное М-ву Е. Н. наказание в виде лишения свободы считать условным с испытательным сроком 1 год. Обязать осужденного периодически являться для регистрации в УВД по месту жительства, не менять постоянного места жительства и работы без уведомления специализированного государственного органа, осуществляющего исправление осужденных.
Меру пресечения М-ву Е. Н. в виде подписки о невыезде и надлежащем поведении оставить прежней до вступления приговора в законную силу. Вещественное доказательство по делу жесткий диск компьютера, хранящийся в комнате вещественных доказательств УВД Ленинского АО г. Тюмени уничтожить.
Приговор может быть обжалован в кассационном порядке в Тюменском областном суде в течение 10 суток со дня провозглашения с соблюдением требований ст. 317 УПК РФ путем подачи кассационной жалобы, представления через Ленинский районный суд г. Тюмени.
Постановление
Федерального арбитражного суда Московского округа
от 15 августа 2001 г. № КГ-А40/4242-01
Федеральный арбитражный суд Московского округа при участии в заседании: от прокурора Иевлев П. А., удост. № 177; от истца Симкин Л. С, дов. от 06.03.2001 года; от ответчика Емелин А. В., дов. от 04.10.00 года, рассмотрев кассационную жалобу ООО «Формоза-Центр» на решение от 17 апреля 2001 года, дополнительное решение от 16 мая 2001 года и постановления от 15 июня 2001 года по делу № А40-33475/00-26-63 Арбитражного суда г. Москвы, установил:
прокурор г. Москвы в защиту государственных и общественных интересов предъявил в суд иск к обществу с ограниченной ответственностью «Формоза-Центр» о взыскании за нарушение авторских прав в пользу корпорации «Майкрософт» компенсации в размере 584 430 руб.; в доход федерального бюджета Российской Федерации штраф в размере 10 % от суммы, присужденной судом в пользу истца.
Арбитражный суд г. Москвы 17.04.01, 16.05.01 года вынес решения по делу № А40-33475/00-26-63 об удовлетворении исковых требований. Апелляционная инстанция постановлениями от 15.06.01 оставила решение суда без изменения.
В кассационной жалобе заявитель ставит вопрос об отмене судебных актов, передаче дела на новое рассмотрение для установления обстоятельств, имеющих существенное значение. От прокурора и корпорации поступили отзывы на жалобу.
Представитель ООО «Формоза-Центр» поддержал жалобу по изложенным в ней основаниям, представители прокурора г. Москвы, корпорации «Майкрософт» возражали против удовлетворения жалобы.
Изучив материалы дела, проверив законность обжалуемых судебных актов, заслушав объяснения представителей лиц, участвующих в деле, кассационная инстанция полагает, что решения и постановления не подлежат отмене.
В обоснование исковых требований прокурор г. Москвы сослался на выявленную в ходе проведенной ОБЭП УВД САО г. Москвы проверки незаконную реализацию ответчиком пяти персональных компьютеров с установленными в них копиями программного продукта «MICROSOFT WINDOWS 98». В связи с чем просил применить положения п. 1 ст. 18 Закона Российской Федерации от 23.09.92 № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных», а также и. 2 ст. 49 Закона Российской Федерации от 09.07.93 № 5351-1 «Об авторском праве и смежных правах».
При рассмотрении спора судами обеих инстанций установлено, что истец является обладателем авторских прав на программу ЭВМ «MICROSOFT WINDOWS 98».
Согласно ст. 3, 4 Закона РФ «О правовой охране программ для электронных вычислительных машин и баз данных», ст. 7 Закона РФ «Об авторском праве и смежных правах» программы для ЭВМ относятся к объектам авторского права, возникающим в силу их создания и не требующим депонирования, регистрации или соблюдения иных формальностей. В силу ст. 14 Закона РФ «О правовой охране программ для электронных и вычислительных машин и баз данных», ст. 30 Закона РФ «Об авторском праве и смежных правах» использование программы для ЭВМ третьими лицами путем воспроизведения, распространения осуществляется на основании договора с правообладателем.
Ответчик не подтвердил правомерность использования копии программы. Безосновательно утверждение заявителя об отсутствии факта продажи программного обеспечения, поскольку материалами дела подтверждается и судом обеих инстанций установлено обратное.
Суд пришел к правильному выводу о том, что ответчиком программа для ЭВМ продана в целях извлечения прибыли, доказательств иному в деле не имеется, в кассационной жалобе данное обстоятельство заявителем не опровергается. Неправилен довод жалобы о том, что суд не оценил обстоятельства, изложенные в постановлении об отказе в возбуждении уголовного дела от 11.04.00.
Кассационная инстанция не согласна с утверждением заявителя о принятии судом решений без учета нормы ст. 16 Закона РФ «О правовой охране программ для электронных и вычислительных машин и баз данных». Данная норма предусматривает возможность без согласия правообладателя свободной перепродажи или передачи права собственности либо иных вещных прав на экземпляр программы для ЭВМ или базы данных после первой продажи.
Согласно п. 5 ст. 6 Закона РФ «Об авторском праве и смежных правах», передача права собственности на материальный объект не влечет передачи авторских прав. Передача неимущественных авторских прав может осуществляться лишь на основании авторского договора. При указанных обстоятельствах судебные акты соответствуют нормам материального права, нарушений норм процессуального права не установлено, кассационная жалоба отклоняется.
Руководствуясь ст. 171, 174, 175, 177 Арбитражного процессуального кодекса Российской Федерации, Федеральный арбитражный суд Московского округа постановил:
решение от 17 апреля 2001 года, дополнительное решение от 16 мая 2001 года, постановления от 15 июня 2001 года по делу № А40-334 75/00-26-63 Арбитражного суда г. Москвы оставить без изменения, кассационную жалобу ООО «Формоза-Центр» без удовлетворения.
Постановление
Федерального арбитражного суда Московского округа
от 22 мая 2002 г. № КГ-А40/3150-02
Федеральный арбитражный суд Московского округа при участии в заседании: Корпорация «Майкрософт» Симкип Л. С, дов. б/и от 07.03.02; ОАО КБ «Петро-Аэро-Банк» Дьяченко С. А., дов. № 157 от 03.07.01, рассмотрев кассационную жалобу ОАО КБ «Петро-Аэро-Банк» на решение от 18.02.02 и постаповлепис апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 по делу № А40-46580/01-110-574, установил: корпорация «Майкрософт» (США) обратилась в Арбитражный суд г. Москвы с исковым заявлением к ОАО КБ «Петро-Аэро-Банк» о взыскании компенсации в размере 1 000 000 руб. за нарушение авторских прав. Решением Арбитражного суда г. Москвы от 18.02.02 по делу № А40-46580/01-110-574 исковые требования удовлетворены в части взыскания компенсации в размере 500 000 руб. В остальной части иска отказано. Постановлением апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 решение суда от 18.02.02 по делу № А40-46580/01-110-574 оставлено без изменения.
В кассационной жалобе на решение от 18.02.02 и постановление апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 по делу Ms A40-46580/01-110-574 ответчик просит отменить указанные судебные акты, ссылаясь на неправильное применение судом норм материального права, и принять новое решение об удовлетворении заявленных исковых требований.
В отзыве на кассационную жалобу истец просит оставить кассационную жалобу без удовлетворения, считая судебные акты законными и обоснованными, а доводы кассационной жалобы несостоятельными. В заседании кассационной инстанции представитель ответчика поддержал доводы кассационной жалобы, представитель истца возражал против ее удовлетворения по основаниям, изложенным в отзыве. Проверив материалы дела, обсудив доводы кассационной жалобы и представленного на нее отзыва, заслушав представителей лиц, явившихся в заседание, кассационная инстанция не нашла оснований для отмены обжалуемых судебных актов.
Удовлетворяя исковые требования, суд исходил из того, что материалами дела подтвержден факт незаконного использования ответчиком программных продуктов, исключительные авторские права на которые принадлежат истцу, что свидетельствует о нарушении его имущественных прав. Учитывая, что деятельность ответчика как коммерческой организации носит коммерческий характер, то есть преследует цель извлечения прибыли в качестве основной цели своей деятельности, и что для достижения этой цели ответчик применяет, в том числе и программные продукты, права на использование которых не оформлены в установленном законом порядке, суд сделал правомерный вывод о том, что правообладатель имеет право требовать защиты своих авторских прав па программы для ЭВМ в виде выплаты компенсации на основании ст. 18 Закона РФ «О правовой охране программ для ЭВМ и баз данных» и ст. 49 Закона РФ «Об авторском праве и смежных правах». Кассационной инстанцией не усматривается нарушений применения норм материального и процессуального права, допущенных судом при принятии обжалуемых судебных актов и могущих служить основанием для их отмены.
Доводы, изложенные в кассационной жалобе, внимательно изучены судом, однако они подлежат отклонению как несостоятельные, не основанные на надлежащем толковании действующего законодательства и опровергаемые установленными судом обстоятельствами.
Руководствуясь ст. 171, 174-177 АПК РФ, Федеральный арбитражный суд Московского округа постановил:
решение от 18.02.02 и постановление апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 года по делу № А40-46580/01-110-574 оставить без изменения, а кассационную жалобу ОАО КБ «Петро-Аэро-Банк» без удовлетворения.
ПРИГОВОР
Именем Российской Федерации
30 августа 2007 года г. Самара
Судья Кировского районного суда г. Самары Башмакова Т. Ю., с участием государственного обвинителя старшего помощника прокурора Кировского района г. Самары Антиповой О. Ю., подсудимого ТАА, защитника Серебряного М. Л., представившего удостоверение № 1110 и ордер № 5819, при секретаре Стародубовой Т.М., а также представителей потерпевших Сударева А. С. и Барчугина С. В., рассмотрев в открытом судебном заседании материалы уголовного дела № 1-1163 в отношении Т_АА, родившегося 11.12.65 года в г. Самаре, русского, гражданина РФ, с неоконченным высшим образованием, женатого, имеющего двоих сыновей: М 13 лет и Л 5 лет, работающего директором ООО ПФ «СТП», зарегистрированного по адресу: г. Самара, ул. Сгара-Загора, XXX, проживающего по адресу; г. Самара, ул. Ново-Садовая. ХХХ-ХХ, обвиняемого в совершении преступлений, предусмотренных пп. «б», «г» ч. 3 ст. 146, ч.1 ст. 273 УК РФ,
УСТАНОВИЛ
ТАА совершил незаконное использование объектов авторских прав в крупном размере группой лиц по предварительному сговору с использованием своего служебного положения при следующих обстоятельствах. Так, он, имея умысел на незаконное использование объектов авторского права, а именно: программ для ЭВМ «1С: Предприятие 7.7 (сетевая версия)», правообладателем которой является ЗАО «1С», «Microsoft Windows XP Professional (Russian)», «Microsoft Office Professional (Russian)», правообладателем которых является корпорация «Майкрософт», совместно с неустановленным лицом, используя свое служебное положение, совершил незаконное использование указанных объектов авторских прав путем их незаконного воспроизведения посредством записи в память ЭВМ, а именно системных блоков компьютеров для дальнейшего их использования в финансово-хозяйственной деятельности ООО «СТП» и ООО ПФ «СТП», расположенных по адресу: г. Самара, ул. Олимпийская, XX, директором которых он являлся. С этой целью в неустановленное время, но не позднее 04.03.06 ТАА, используя свое служебное положение, обратился к неустановленному лицу с просьбой воспроизвести в память находящихся в эксплуатации ООО «СТП» системных блоков
компьютеров заведомо для него нелицензионных версий программы для ЭВМ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка для SQL», двух программ «Microsoft Windows XP Professional (Russian)» и двух программ «Microsoft Office 2002 Professional (Russian)». Неустановленное следствием лицо, выполняя свою заранее обусловленную с Т_АА роль в совершении преступления, 03.03.06, а также 04.03.06, находясь в помещении ООО «СТП», расположенном по адресу: г. Самара, ул. Олимпийская, XX, незаконно, не заключая лицензионного соглашения с указанными правообладателями, воспроизвел в память двух системных блоков компьютеров ООО «СТП» заведомо для него и Т_АА нелицензионные версии указанных программ, после чего Т_АА, выполняя свою заранее обусловленную с неустановленным преступником роль в совершении преступления, незаконно стал использовать заведомо нелицензионные версии программ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка для SQL» двух программ «Microsoft Windows XP Professional (Russian)», и двух программ «Microsoft Office 2002 Professional (Russian)» в финансово-хозяйственной деятельности ООО «СТП», а позже в деятельности ООО ПФ «СТП» 05.04.07 года, а также 05.07.07 незаконное использование программ для ЭВМ было выявлено сотрудниками милиции. Таким образом, Т_АА в период с 03.03.06 по 05.07.07 совместно с неустановленным лицом незаконно использовал объекты исключительных авторских прав, принадлежащих ЗАО «1С» и корпорации «Майкрософт», а именно программы для ЭВМ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка для SQL», двух программ «Microsoft Windows XP Professional (Russian)», и двух программ «Microsoft Office 2002 Professional (Russian)», причинив ЗАО «1С> ущерб в сумме 84 000 руб., то есть в крупном размере, и корпорации «Майкрософт» в сумме 31 837 руб. 10 коп.
Подсудимый полностью согласился с предъявленным ему обвинением, в содеянном раскаялся и заявил суду ходатайство о применении в отношении его особого порядка принятия судебного решения и постановления приговора без проведения по делу судебного разбирательства. Т_АА заявил ходатайство добровольно, после консультации с защитником, он осознает характер и последствия заявленного им ходатайства.
Наказание за инкриминируемое Т_АА деяние не превышает 10 лет лишения свободы.
Государственный обвинитель не возражал против постановления приговора без проведения по делу судебного разбирательства.
Доказательства, собранные по уголовному делу, получены законным путем, являются допустимыми, относимыми и достаточными для вывода о виновности подсудимого в полном объеме предъявленного ему обвинения. В ходе судебного разбирательства государственный обвинитель отказалась от обвинения, предъявленного Т_АА по ч. 1 ст. 273 УК РФ, о чем вынесено отдельное постановление.
Назначая наказание, суд учитывает характер и степень общественной опасности содеянного, личность подсудимого, конкретные обстоятельства дела и считает необходимым назначить ему наказание в виде лишения свободы с применением ст. 73 УК РФ.
При определении размера назначенного наказания суд руководствуется требованиями ч. 7 ст. 316 УПК РФ и принимает во внимание, что Т_АА по месту работы характеризуется положительно, смягчающими наказание обстоятельствами суд признает раскаяние в содеянном и наличие двух несовершеннолетних детей на иждивении подсудимого. На основании изложенного и руководствуясь ст. 316 УПК РФ, суд
ПРИГОВОРИЛ
Т_АА признать виновным в совершении преступления, предусмотренного пп. «б», «г» ч. 3 ст. 146 УК РФ и назначить ему наказание в виде 1 (одного) года лишения свободы.
На основании ст. 73 УК РФ назначенное наказание в виде лишения свободы считать условным, с испытательным сроком 1 (один) год, в течение которого условно осужденный должен своим поведением доказать свое исправление. Обязать Т_АА не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего исправление осужденного, периодически являться в данный орган для регистрации.
Меру пресечения Т_АА подписку о невыезде и надлежащем поведении оставить до вступления приговора суда в законную силу. Вещественные доказательства: системные блоки компьютеров, хранящиеся у подсудимого, оставить в распоряжении последнего, жесткие диски (винчестеры), хранящиеся в Кировском РУВД г. Самары, уничтожить. Приговор может быть обжалован в кассационном порядке в Самарский областной суд в течение 10 суток со дня его провозглашения в соответствии со ст. 317 УПК РФ. В случае подачи кассационной жалобы, осужденный вправе ходатайствовать о своем участии и участии защитника в рассмотрении уголовного дела судом кассационной инстанции.
Председательствующий: Т. Ю. Башмакова.
ПРИГОВОР
Именем Российской Федерации
г. Самара 12.07.2007 г
Судья Кировского районного суда г. Самары Штейн Э. Г. с участием помощника прокурора Кировского района г. Самары Дрягиной Е. Л., подсудимых МНВ и ХАЗ, защитников Дубковой О. А., представившей удостоверение № 346 и ордер № 5499 от 27.06.07 г., и Ханеева Ф. Н., предоставившего удостоверение № 1351 и ордер № 136951 от 25.06.07 при секретаре Ильиной Э. В.,
рассмотрев материалы уголовного дела № 1-875/07 по обвинению: МНВ 21.10.1980 г. р., уроженки г. Самара, русской, гражданки РФ, незамужней, имеющей несовершеннолетнего ребенка дочь Ан 31.05.2004 г. р., со средне-техническим образованием, неработающей, прож.: г. Самара, ул. Димитрова д. XX кв. XX, несудимой, в совершении преступления, предусмотренного пп. «б», «в», ч. 3 ст. 146 УК РФ,
ХАЗ 23.07.1983 г. р., уроженки н. Яровой Красноярского района Самарской области, татарки, гражданки РФ, незамужней, со средне-специальным образованием, не работающей, зарегистрированной: Самарская область, Красноярский район, п. Яровой ул. Озерная, д. X, кв. X, проживающей: г. Самара, пр. Кирова, ХХХ-ХХ (снимает квартиру), несудимой, в совершении преступления, предусмотренного пп. «б», «в» ч. 3 ст. 146 УК РФ
УСТАНОВИЛ
МИВ и ХАЗ совершили незаконное использование объектов авторского права и хранение контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору в особо крупном размере. В феврале 2007 года, более точная дата следствием не установлена, ХАЗ и МНВ, имея умысел, направленный на незаконное, вопреки воле правообладателей и в нарушение ч. 1 ст. 44 Конституции РФ, ст. 7, 15, 16 Закона РФ «Об авторском праве и смежных правах», использование объектов авторского права с целью извлечения прибыли, вступили в предварительный преступный сговор на незаконное распространение контрафактных экземпляров произведений программ для ЭВМ. Так, МНВ, реализуя преступный умысел группы, заведомо зная, что приобретенные ею для личного использования у не установленного следствием лица в начале февраля 2007 года на «Книжном рынке» г. Самары DVD-диски с записью произведений программ для ЭВМ «AutoCAD Architectural Desktop 2007 (Russian)», «AutoCAD 2007 (Russian)», «Microsoft ISA Server 2006 Standard Edition (Russian)», «Microsoft Windows XP Professional (Russian)», «Microsoft Office 2003 Professional (Russian)», «Microsoft Office FrontPage 2003 (Russian)» являются контрафактными и запрещены к распространению, имея умысел на незаконное использование авторских прав на произведения программы для ЭВМ, передала их ХАЗ на реализацию, сообщив об их контрафактности. ХАЗ, согласно предварительной договоренности с МНВ, заведомо зная, что переданные ей МНВ DVD-диски являются контрафактными и запрещены к распространению, незаконно стала их хранить с целью сбыта на витрине магазина ИП «Кисилев», расположенного в ТЦ «СВ Мария» по адресу: г. Самара, ул. Ташкентская-ХХ, продавцом которого она являлась, и предлагать купить всем желающим. 14.02.07 г. в 14 часов 15 минут в ходе проведения проверочной закупки сотрудниками УСТМ при ГУВД Самарской области на торговой точке ИП «Кисилев» было выявлено незаконное использование объектов авторского права хранение в целях сбыта и сбыт контрафактных экземпляров произведений программ для ЭВМ. В ходе проверочной закупки ХАЗ. сбыла три DVD-диска с контрафактными программами «AutoCAD Architectural Desktop 2007 (Russian)», «AutoCAD 2007 (Russian)», «Microsoft ISA Server 2006 Standard Edition (Russian)», «Microsoft Windows XP Professional (Russian)», «Microsoft Office 2003 Professional (Russian)», «Microsoft Office FrontPage 2003 (Russian)». Своими совместными, незаконными действиями ХАЗ и МНВ причинили компаниям-правообладателям «Microsoft» и «Autodesk» ущерб в особо крупном размере на сумму 389 227 рублей 66 коп., а именно: корпорации «Microsoft» ущерб на сумму 82 899 рублей 45 коп., компании «Autodesk» ущерб на сумму 306 328 рублей 21 коп.
При назначении вида и меры наказания суд учитывает характер и степень общественной опасности совершенных преступлений, личность подсудимого. С учетом изложенного и указанных выше обстоятельств совершения преступления суд считает необходимым назначить подсудимым наказание в виде лишения свободы. Определяя конкретный размер наказания, суд учитывает, что подсудимые к уголовной ответственности привлекаются впервые, по месту жительства характеризуются положительно, роль каждого участника преступления. В качестве смягчающих наказание МНВ обстоятельств суд признает наличие у нее на иждивении несовершеннолетнего ребенка, полное признание вины и раскаяние в содеянном. С учетом данных о личностях подсудимых, смягчающих обстоятельств, роли каждой в совершении преступления, обстоятельств совершения самого преступления суд находит возможным исправление МНВ и ХАЗ без реального отбытия назначенного судом наказания в виде лишения свободы. В связи с указанным суд считает возможным при назначении наказания применить ст. 73 УК.
Учитывая данные о личности подсудимых, суд считает нецелесообразным применение к ним дополнительного наказания в виде штрафа. На основании изложенного, руководствуясь ст. 303-304, 307-310 УПК РФ, суд
ПРИГОВОРИЛ
МНВ и ХАЗ признать виновными в совершении преступления, предусмотренного пп. «б», «в» ч. 3 ст. 146 УК РФ, и назначить каждой наказание в виде 6 месяцев лишения свободы без штрафа.
В соответствии со ст. 73 УК РФ назначенное МНВ и ХАЗ наказание считать условным, с испытательным сроком 6 месяцев, в течение которого условно осужденные должны своим поведением доказать свое исправление.
Обязать МНВ и ХАЗ не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего исправление осужденных, периодически являться в этот орган для регистрации.
Меру пресечения МНВ и ХАЗ до вступления приговора в законную силу оставить прежней подписку о невыезде и надлежащем поведении. Вещественные доказательства: 3 DVD-диска, хранящиеся при уголовном деле уничтожить.
Приговор может быть обжалован в кассационном порядке в Самарском областном суде через Кировский районный суд г. Самары в течение 10 суток со дня провозглашения, а осужденным, содержащимся под стражей, в тот же срок со дня вручения им копии приговора. В течение 10 суток со дня вручения копии приговора в случае подачи ими кассационной жалобы осужденные вправе ходатайствовать о своем участии в рассмотрении уголовного дела судом кассационной инстанции, о чем он должен указать в кассационной жалобе. Председательствующий Э. Г. Штейн.
ПРИГОВОР
Именем Российской Федерации
10 августа 2007 года г. Тольятти
Мировой судья судебного участка № 19 Автозаводского района г. Тольятти Стякова Е. В. с участием государственного обвинителя помощника прокурора Автозаводского района г. Тольятти Касатонова А. В., подсудимого КАА, защитника подсудимого Горьковой М. Б. представившей удостоверение № 1528 и ордер № 343 от 16.05.07, представителей потерпевших ЗАО «1С» Сударева А. С, «Корпорации Майкрософт» Барчугииа С. В., при секретаре Довженко С. А., рассмотрев материалы уголовного дела № 1-33/07 в отношении подсудимого КАА, 26.03.1967 года рождения, уроженца г. Тольятти, проживающего: г. Тольятти, б-р Гая, Х-ХХ, зарегистрированного по адресу: г. Тольятти, ул. Революционная, ХХ-ХХХ, гражданина РФ, имеющего высшее образование, женатого, работающего: ООО «Стимул-Плюс» коммерческим директором, военнообязанного АРВК, ранее не судимого, обвиняемого в совершении преступления, предусмотренного ст. 146 ч. 2 УК РФ,
УСТАНОВИЛ
КАА, являясь учредителем и директором ООО «Фирма «ЛЕГИОН», имея умысел на незаконное использование объектов авторского права или смежных прав, совершенное в крупном размере, в нарушение требований ч.1 ст. 44 Конституции РФ и ст. 7, 9, 13, 15, 16, 30 Закона РФ «Об авторском праве и смежных нравах», регулирующих отношения в связи с созданием, использованием, распространением и охраной объектов авторского права и запрещающих их использование без соответствующего договора и разре- шения автора, против воли правообладателя и без возмещения ему какого-либо вознаграждения за использование охраняемого законом объекта авторского права, в не установленное следствием время для обеспечения коммерческой деятельности своей организации, в том числе отдела по продаже сотовых телефонов и предоставлению населению услуг операторов сотовой связи, расположенного в ТЦ «Березка» по адресу: г. Тольятти, ул. XX, XX, установил системный блок ЭВМ. Далее КАА, реализуя преступный умысел, при неустановленных следствием обстоятельствах, без согласия автора незаконно приобрел, хранил, перевез и установил в память указанного системного блока ЭВМ. Согласно заключению эксперта № 22, 2 экземпляра контрафактного программного обеспечения «Microsoft Windows Professional», стоимостью 13 312 руб. 99 коп., 1 экземпляр контрафактного программного обеспечения «Microsoft Office 2002 Professional», стоимостью 9679 руб. 76 коп., 1 экземпляр контрафактного программного обеспечения «Microsoft Office 2003 Professional», стоимостью 10 183 руб. 63 коп., исключительные имущественные права на вышеуказанное программное обеспечение, а также права на распространение на территории РФ принадлежат «Корпорации Майкрософт», а также 1 экземпляр контрафактного программного обеспечения «1С: Предприятие 7.7 Комплексная поставка (сетевая версия)», стоимостью 45 000 руб., исключительные имущественные права на вышеуказанное программное обеспечение, а также права на распространение на территории РФ принадлежат ЗАО «1С». Вышеуказанное контрафактное программное обеспечение КАА незаконно хранил и использовал вплоть до 27 ноября 2006 года, когда сотрудники милиции в ходе проведения проверки изъяли вышеуказанный системный блок ЭВМ. Общая стоимость незаконно используемых КАА объектов авторского права или смежных прав, исключительные имущественные права на которые принадлежат «Корпорации Майкрософт», составила 33 176 руб. 39 коп. Общая стоимость незаконно используемых КАА объектов авторского права или смежных прав, исключительные имущественные права на которые принадлежат ЗАО «1С», составила 45 000 руб.
Общая стоимость незаконно используемых КАА объектов авторского права или смежных прав составила 78 176 руб. 39 коп., что является крупным размером.
В судебном заседании КАА вину свою отрицал полностью. Однако виновность КАА в инкриминируемом ему деянии подтверждается следующими показаниями.
Допрошенный в качестве представителя потерпевшего «Корпорации Майкрософт» Барчугин С. В. показал: в ноябредекабре 2006 года к нему обратились сотрудники милиции, сообщив, что выявлен факт нарушения авторских прав «Корпорации Майкрософт». После проведения экспертизы был установлен размер ущерба, причиненного правообладателю, который составил 33 186,239 руб. Признаками контрафактное™ программного обеспечения является отсутствие документов и совпадение серийных номеров.
Допрошенный в качестве представителя потерпевшего ЗАО «1 С» Суда-рев А. С. показал, что программное обеспечение «1С:» является орудием труда работников бухгалтерии. Приобретая данную программу, преследуется цель получения прибыли. Право на распространение данной программы имеется только у ЗАО «1С:». При приобретении программы в комплекте идет диск, договор, анкета и ключ программы. Приобретая программу, пользователь подписывает договор и отправляет его в ЗАО-«1С.» в прилагаемом конверте. Не постановка на бухгалтерский учет программного обеспечения является признаком контрафактности программы. Сотрудниками милиции ЗАО «1С:» были извещены о том, что в ООО «Легион» обнаружено контрафактное программное обеспечение «1С:», с которым отсутствует договор и ключ защиты. Ущерб составляет 45 000 руб. Потерпевший также просит взыскать с подсудимого в соответствии с Законом «Об авторском праве и смежных правах» компенсацию в размере 90 000 руб.
Кроме того, вина КАА подтверждается следующими материалами дела: заключением эксперта № 22 от 31.01.2007 года, согласно которому в системном блоке ЭВМ, изъятом в ООО «Фирма "Легион"», обнаружены программы «Microsoft Windows Professional», «Microsoft Office 2002 Professional», «Microsoft Office 2003 Professional» с признаками контрафактности, ущерб от незаконного использования которых составил 33 176,39 руб., и программного обеспечения «1С: Предприятие 7.7 Комплексная поставка (сетевая версия)», стоимостью 45 000 руб., /л. д. 63-70/.
Ссылки подсудимого на то, что он сам не пользовался и не устанавливал программное обеспечение, так же не могут свидетельствовать об отсутствии в его действиях незаконного использования и приобретения программного обеспечения, так как он, являясь директором ООО «Фирма "Легион"» руководит вверенным ему предприятием в пределах своей компетенции и в соответствии с уставом данного предприятия является распорядителем кредитов вверенного ему предприятия, пользуется правом первой подписи на денежных документах, обладает правом приема и увольнения с работы рабочих и служащих, несет ответственность за бухгалтерскую отчетность предприятия. При этом ООО «Фирма "Легион"» создано с целью осуществления предпринимательской деятельности и получения прибыли, в связи с чем и было установлено программное обеспечение.
Статьей 48 Закона РФ «Об авторском праве и смежных правах» предусмотрено, что нарушителем авторских и смежных прав является физическое или юридическое лицо, которое не выполняет требования указанного Закона. КАА как директор ООО «Фирма "Легион"» должен нести ответственность за нарушение авторских прав в силу своих должностных полномочий.
Анализируя собранные по делу доказательства, мировой судья находит вину подсудимого в совершении им незаконного использования объектов авторского права или смежных прав, совершенного в крупном размере, доказанной полностью, и его действия квалифицированы верно по ч. 2 ст. 146 УК РФ.
Гражданский иск ЗАО «1 С» следует считать обоснованным и подлежащим удовлетворению в полном объеме, так как он подтвержден материалами уголовного дела и соответствует ст. 49 Закона «Об авторском праве и смежных правах».
Обстоятельства смягчающие и отягчающие наказание отсутствуют.
При назначении наказания суд учитывает характер и степень общественной опасности совершенного преступления, которое относится к категории преступлений небольшой тяжести, личность подсудимого, который характеризуется по месту работы положительно, ранее не судим, на учете в нарко- и психоневрологическом диспансерах не состоит, причиненный ущерб не возместил, и считает возможным назначить ему наказание, не связанное с лишением свободы.
Руководствуясь ст. 307-309 УПК РФ, мировой судья
ПРИГОВОРИЛ
Признать КАА виновным в совершении преступления, предусмотренного ч. 2 ст. 146 УК РФ, и назначить ему штраф в доход государства в размере 10 000 руб.
Гражданский иск ЗАО «1С.» удовлетворить в полном объеме и взыскать с КАА в пользу ЗАО «1С:» денежную сумму в размере 90 000 руб. Вещественные доказательства системный блок ООО «Фирма "Легион"» с контрафактным программным обеспечением, хранящийся в камере хранения вещественных доказательств в прокуратуре Автозаводского района г. , уничтожить.
Меру пресечения КАА подписку о невыезде оставить до вступления приговора в законную силу.
На приговор может быть подана жалоба или представление в 10-дневный срок в Федеральный суд Автозаводского района г. Тольятти через мирового
судью судебного участка № 19 Автозаводского района г. Тольятти. Мировой судья судебного участка № 19 Автозаводского района г. Тольятти
Стякова Е. В.
_________________________________________________________________________________
В данном разделе приведено всего несколько судебных решений в области компьютерных преступлений. Большая подборка судебных дел приведена, например, на сайте http://www.internet-law.ru.
Контрольные вопросы к главе 1
1. Какими факторами обусловлена актуальность проблем защиты информации в информационном обществе?
2. Какие политические, экономические и организационные факторы оказывают влияние на информационную безопасность Российской Федерации?
3. Дайте определение понятий «информация», «документированная информация», «защита информации», «обладатель информации», «оператор информационной системы», «несанкционированный доступ к информации», «политика безопасности», «конфиденциальность», «целостность», «доступность», «государственная тайна», «система защиты государственной тайны», «коммерческая тайна», «база данных», «персональные данные», «конфиденциальность персональных данных», «электронный документ», «электронная цифровая подпись».
4. Какими нормативно-правовыми документами введены определения понятий, указанных в предыдущем вопросе?
5. Дайте классификацию видов информации, как она определяется законодательством Российской Федерации.
6. Каким законодательным актом регулируются отношения, связанные с информацией, содержащей государственную тайну? Каковы грифы секретности?
7. Какими законодательными актами вводится понятие профессиональной тайны? Назовите виды профессиональной тайны.
8. Каковы основные цели защиты информации?
9. Назовите основные субъекты информационных отношений.
10. Приведите классификацию угроз безопасности. Приведите конкретные угрозы каждого вида.
11. Каковы уровни уязвимости информационных систем?
12. Дайте определение понятий «субъект» и «объект» информационных отношений.
13. Дайте определение понятий «собственник» и «владелец» информационных ресурсов. В чем их различие?
14. Опишите основные функции собственника и владельца в информационных отношениях.
15. Чем различаются действия злоумышленника и уполномоченного (авторизованного) пользователя в информационных отношениях?
16. Чем вызвано циклическое изменение уровней безопасности информационных систем?
17. В чем состоят особенности отношений субъектов информационного обмена в сети Интернет?
18. Опишите структуру нормативно-правовых актов в области информационной безопасности.
19. Каковы основные цели использования в Российской Федерации международных нормативных документов?
20. Каковы основные направления международного сотрудничества Российской Федерации в области информационной безопасности?
21. Назовите основные функции государственной системы обеспечения информационной безопасности.
Глава 2
Государственная система
обеспечения информационной безопасности Российской
Федерации
2.1. Организационная структура
государственной системы
обеспечения информационной
безопасности
Нормативно-правовое обеспечение информационной безопасности представляет собой совокупность законодательных актов и нормативов, регламентирующих общую организацию работ по защите информации и создание систем защиты информации. Организационное обеспечение информационной безопасности состоит из системы государственных органов и должностных лиц, ответственных за организацию работ и обеспечение информационной безопасности, а также контролирующих и судебных органов, осуществляющих надзор и решение правовых вопросов в данной области.
Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности государства. В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 9 сентября 2000 года № Пр-1895, отмечено: «Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать».
Организационная структура системы обеспечения информационной безопасности представлена на рис. 2.1.1.
Учитывая глобальный характер процессов информатизации и появление международной киберпреступности, мировое сообщество должно иметь межгосударственные организационные структуры но координации работ в области информационной безопасности.
Основным международным органом является Организация Объединенных Наций и созданный ею Совет Безопасности. Эти органы координируют усилия государств по осуществлению мероприятий в области обеспечения информационной безопасности и борьбы с преступлениями в сфере информационных технологий. Спорные вопросы на межгосударственном уровне решает Международный суд.
Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти федерального уровня, уровня субъектов Российской Федерации, ведомственных структур, а также служб предприятий и организаций.
Основными элементами организационной структуры системы обеспечения информационной безопасности Российской Федерации на федеральном уровне являются: Президент Российской Федерации, Совет Безопасности, Совет Федерации, Государственная Дума, Правительство Российской Федерации, федеральные органы исполнительной власти, государственные и межведомственные комиссии, создаваемые Президентом и Правительством Российской Федерации для решения вопросов в соответствии с предоставленными им полномочиями, определяемыми Положениями о комиссиях.
Федеральные министерства и ведомства могут в своем составе создавать соответствующие службы и подразделения для решения вопросов обеспечения информационной безопасности па отраслевом уровне.
Следующим уровнем в системе обеспечения информационной безопасности являются органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, которые могут также создавать различные комиссии.
Контролирующими и правоохранительными органами федерального уровня, обеспечивающими соблюдение нормативно-правовых норм, являются: Конституционный Суд, Верховный Суд, Генеральная прокуратура.
Наконец, нижним уровнем системы обеспечения информационной безопасности являются структурные подразделения и должностные лица предприятий и организаций.
Рис. 2.1.1. Структура органов обеспечения информационной безопасности
Информацию об органах государственной власти Российской Федерации можно получить на информационном портале «Сервер органов государственной власти Российской Федерации» http.y/www.gov.ru. On содержит ссылки на сайты федеральных и региональных органов исполнительной власти, а также сайты Президента, Федерального Собрания (Совета Федерации и Государственной Думы), Совета Безопасности, Генеральной прокуратуры, Конституционного, Верховного и Арбитражного Судов Российской Федерации, Счетной палаты, Центральной избирательной комиссии.
Президент Российской Федерации (http://www.kremlin.ru) в пределах своих полномочий создает, реорганизует и руководит органами по обеспечению информационной безопасности, определяет приоритетные направления государственной политики в данной области.
Совет Безопасности Российской Федерации (http://www.scrf.gov.ru) является конституционным совещательным органом, осуществляющим подготовку решений Президента Российской Федерации по вопросам обеспечения защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, проведения единой государственной политики в области обеспечения национальной (в том числе информационной) безопасности.
Правовую основу деятельности Совета Безопасности составляют Конституция Российской Федерации, федеральные законы Российской Федерации, международные договоры Российской Федерации, указы и распоряжения Президента Российской Федерации, а также Положение о Совете Безопасности, утверждаемое Президентом Российской Федерации.
Совет Безопасности проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, разрабатывает важнейшие концептуальные документы в области национальной безопасности и предложения в области обеспечения информационной безопасности, координирует деятельность органов по обеспечению информационной безопасности, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента в этой области.
Указом Президента от 28 октября 2005 года № 1244 «Об утверждении Положения о Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности» (с изменениями от 12 июня 2006 года) утверждено Положение о специальной Межведомственной комиссии при Совете Безопасности по информационной безопасности.
Палаты Федерального Собрания (Совет Федерации и Государственная Дума) формируют систему законодательных актов в области информационной безопасности в соответствии с Конституцией Российской Федерации.
Совет Федерации имеет Комитет по вопросам безопасности и обороны и Комиссию но информационной политике. Комиссия по информационной политике создана Постановлением Совета Федерации от 30 января 2002 года № 106. Ее образование было обусловлено необходимостью детального изучения и мониторинга информационной ситуации, а также требованиями дальнейшего совершенствования законодательной базы в интересах большей ее ориентации па формирование единого информационного пространства, решения других вопросов информационной политики Российской Федерации.
К предмету ведения комиссии были отнесены следующие вопросы правового обеспечения:
□ государственная политика в сфере средств массовой информации, информационных технологий и информатизации;
□ развитие единого информационного пространства Российской Федерации;
□ издательская и полиграфическая деятельность;
□ информационный обмен, развитие компьютерных сетей общего пользования;
□ распространение периодических изданий, книжной и иной печатной, аудио-и видеопродукции;
□ межгосударственное сотрудничество в информационной сфере.
В составе Государственной Думы сформированы два комитета: Комитет по безопасности и Комитет по информационной политике.
Правительство Российской Федерации (http://www.government.ru/) координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, обеспечивает разработку и реализацию федеральных программ в области информационной безопасности.
Функции Правительства определены Федеральным конституционным Законом «О Правительстве Российской Федерации» от 17 декабря 1997 года № 2-ФКЗ с последующими уточнениями и изменениями конституционными законами от 31.12.97 № 3-ФКЗ, от 19.06.04 № 4-ФКЗ, от 03.11.04 № 6-ФКЗ, от 01.06.05 № 4-ФКЗ, от 30.01.07 № 1-ФКЗ, от 02.03.07 № 3-ФКЗ.
Федеральные органы исполнительной власти обеспечивают исполнение законодательства, решений Президента и Правительства Российской Федерации в области обеспечения информационной безопасности. В пределах своей компетенции они разрабатывают нормативные правовые акты в области информационной безопасности и представляют их в установленном порядке Президенту и в Правительство Российской Федерации.
Указом Президента Российской Федерации от 20 мая 2004 года № 649 «Структура федеральных органов исполнительной власти» (в ред. Указов Президента от 28.07.04 № 976, от 13.09.04 № 1168, от 11.10.04 № 1304, от 18.11.04 № 1453, от 01.12.04 № 1487, от 22.07.05 № 855, от 05.09.2005 № 1049, от 03.10.05 № 1158, от 11.05.06 № 473, от 30.06.06 № 658, от 05.02.07 № 119, от 12.03.07 № 320) утверждены следующие службы, связанные с обеспечением информационной безопасности, руководство которыми осуществляет Президент: Федеральная служба но техническому и экспортному контролю, Федеральная служба безопасности, Федеральная служба охраны, Служба внешней разведки. В соответствии с данным, Указом Президент руководит также деятельностью министерств внутренних дел, обороны, иностранных дел, юстиции, а также Министерством по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий.
Межведомственные и государственные комиссии, создаваемые Президентом и Правительством Российской Федерации, решают, в соответствии с предоставленными им полномочиями, задачи обеспечения информационной безопасности Российской Федерации.
Указом Президента Российской Федерации от 8 ноября 1995 года № 1108 создана Межведомственная комиссия по защите государственной тайны, которая является основным органом, координирующим действия государственных
структур по вопросам защиты информации. Указом Президента от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны» заново определены основные направления работы комиссии. Постановлением Правительства от 3 декабря 2004 года № 728 «О персональном составе Межведомственной комиссии по защите государственной тайны» определен персональный состав комиссии.
Постановлением Правительства Российской Федерации от 13 апреля 2006 года № 213 «О правительственной комиссии по федеральной связи» создана специальная комиссия по федеральной связи и утверждено Положение о комиссии. К основным функциям Комиссии относится определение приоритетов и основных направлений развития федеральной связи с учетом задач государственного управления, обороны и безопасности государства, обеспечения правопорядка, координация деятельности федеральных органов исполнительной власти по развитию российской инфраструктуры связи, обеспечению ее интеграции с международными сетями связи, развитию технологий и средств защиты информации.
2.2. Совет Безопасности
Российской Федерации
Создание при Президенте Российской Федерации специального конституционного совещательного органа Совета Безопасности (http://www.scrf.gov.ru) обусловлено необходимостью постоянного анализа и стратегического планирования по всему комплексу вопросов безопасности, подготовки проектов решений Президента в соответствующих сферах. Совет Безопасности обеспечивает условия для реализации Президентом его конституционных полномочий по защите прав и свобод человека и гражданина, охране суверенитета Российской Федерации, ее независимости и государственной целостности. Совет Безопасности Российской Федерации образован в 1992 году.
Совет Безопасности формируется Президентом Российской Федерации, являющимся его председателем, в соответствии с Конституцией и Федеральным Законом «О безопасности». В состав Совета Безопасности входят:
□ Председатель Совета Безопасности Российской Федерации, которым по должности является Президент Российской Федерации;
□ Секретарь Совета Безопасности Российской Федерации;
□ постоянные члены Совета Безопасности и члены Совета Безопасности, включаемые в состав Совета Безопасности и исключаемые из него Президентом Российской Федерации по представлению Секретаря Совета Безопасности.
Секретарь Совета Безопасности входит в число постоянных членов Совета Безопасности и руководит его Аппаратом. Он несет ответственность за обеспечение деятельности Совета Безопасности и исполнение принятых им решений, осуществляет подготовку и организацию заседаний и оперативных совещаний Совета. Секретарь Совета Безопасности назначается на должность и освобождается от должности Президентом Российской Федерации. Секретарь Совета Безопасности подчиняется непосредственно Президенту Российской Федерации. В 1999 году Секретарем Совета Безопасности был В. В. Путин.
Аппарат Совета Безопасности является самостоятельным подразделением Администрации Президента и имеет статус управления.
В соответствии с основными задачами и направлениями деятельности, Совет Безопасности образует межведомственные комиссии основные рабочие органы Совета. В зависимости от возлагаемых па них задач они могут создаваться по функциональному или региональному признаку, на постоянной или временной основе. Межведомственные комиссии Совета Безопасности осуществляют подготовку предложений и рекомендаций Совету Безопасности по основным направлениям внутренней и внешней политики в области обеспечения национальной безопасности, способствуют координации деятельности федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации по реализации федеральных программ в области обеспечения национальной безопасности и исполнению решений Совета Безопасности.
В целях научного обеспечения деятельности Совета Безопасности при нем образован научный совет. В его состав включаются представители Российской академии наук, отраслевых академий наук, руководители научных организаций и образовательных учреждений высшего профессионального образования, а также отдельные специалисты. Организацию и координацию деятельности межведомственных комиссий и научного совета при Совете Безопасности осуществляет Секретарь.
В соответствии с планами, утверждаемыми Председателем, на регулярной основе проводятся заседания Совета Безопасности. В случае необходимости могут проводиться внеочередные заседания. Повестку дня и порядок рассмотрения вопросов на заседаниях определяет Председатель Совета по представлению Секретаря Совета. Заседания ведет Председатель. Секретарь проводит рабочие совещания с членами Совета Безопасности. Решения Совета Безопасности принимаются на его заседании постоянными членами Совета Безопасности простым большинством голосов от их общего числа и вступают в силу после утверждения Председателем Совета Безопасности.
Постоянные члены Совета Безопасности обладают равными правами при принятии решений. Члены Совета Безопасности принимают участие в заседаниях Совета Безопасности с правом совещательного голоса.
Положение о Совете Безопасности утверждается Президентом Российской Федерации. С момента создания Совета Положение изменялось несколько раз. Последние редакции Положения о Совете Безопасности и его Аппарате утверждены Указом Президента от 7 июня 2004 года № 726. В соответствии с данным Указом, основными задачами Совета Безопасности являются:
□ обеспечение условий для реализации Президентом Российской Федерации его конституционных полномочий по защите прав и свобод человека и гражданина, охране суверенитета Российской Федерации, ее независимости и государственной целостности, организации взаимодействия органов государственной власти, определению основных направлений внутренней и внешней политики государства;
□ определение жизненно важных интересов личности, общества и государства как основных объектов обеспечения национальной безопасности, выявление внутренних и внешних угроз безопасности этих объектов;
□ разработка основных, направлений стратегии развития государства, обеспечения национальной безопасности и конкурентоспособности Российской Федерации;
□ подготовка предложений Президенту Российской Федерации для принятия главой государства решений по вопросам внутренней и внешней политики Российской Федерации в области обеспечения национальной безопасности;
□ подготовка решений по нейтрализации внутренних и внешних угроз безопасности личности, общества и государства;
□ подготовка оперативных решений по предотвращению чрезвычайных ситуаций, которые могут привести к существенным социально-политическим, экономическим, военным, экологическим и иным последствиям, и решений по организации ликвидации последствий чрезвычайных ситуаций;
□ подготовка предложений Президенту Российской Федерации о введении, продлении или об отмене чрезвычайного положения;
□ подготовка предложений по координации деятельности федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации в процессе реализации принятых решений в области обеспечения национальной безопасности и оценка их эффективности;
□ подготовка предложений Президенту Российской Федерации по реформированию существующих либо созданию новых органов обеспечения национальной безопасности;
□ решение иных задач в сфере обеспечения национальной безопасности.
Указом Президента Российской Федерации от 28 октября 2005 года № 1244 создана Межведомственная комиссия Совета Безопасности Российской Федерации по информационной безопасности и утверждено соответствующее Положение (с изменениями от 12 июня 2006 года). Она образована в соответствии с Законом Российской Федерации от 5 марта 1992 года № 2446-1 «О безопасности» и Положением о Совете Безопасности Российской Федерации в целях реализации возложенных па Совет Безопасности задач в области обеспечения информационной безопасности Российской Федерации.
Комиссия создается, реорганизуется и упраздняется Президентом Российской Федерации. Положение о Комиссии и ее состав по должностям утверждаются Президентом Российской Федерации по представлению Секретаря Совета Безопасности Российской Федерации. В состав Комиссии входят представители федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, органов местного самоуправления, а также организаций.
На Комиссию возлагаются следующие функции:
□ подготовка предложений и рекомендаций Совету Безопасности по выработке и реализации основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации;
□ подготовка предложений Совету Безопасности по координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации но реализации федеральных целевых программ и исполнению решений Совета Безопасности в области обеспечения информационной безопасности Российской Федерации;
□ анализ информации о состоянии информационной безопасности Российской Федерации и подготовка рекомендаций Совету Безопасности по совершенствованию системы обеспечения информационной безопасности Российской Федерации;
□ анализ состояния информационной безопасности информационно-телекоммуникационных систем и сетей критически важных объектов Российской Федерации и выработка рекомендаций заинтересованным федеральным органам исполнительной власти но повышению уровня их защищенности;
□ прогнозирование, выявление и оценка угроз информационной безопасности Российской Федерации и их источников, подготовка предложений Совету
' Безопасности по предотвращению выявленных и недопущению прогнозируемых угроз;
□ рассмотрение в установленном порядке проектов федеральных целевых программ, направленных на обеспечение информационной безопасности Российской Федерации, подготовка соответствующих предложений Совету Безопасности;
□ участие в подготовке материалов но вопросам обеспечения информационной безопасности Российской Федерации для ежегодного послания Президента Российской Федерации Федеральному Собранию Российской Федерации и докладов Президента Российской Федерации;
□ подготовка предложений Совету Безопасности но вопросам обеспечения информационной безопасности Российской Федерации;
□ подготовка предложений Совету Безопасности по разработке проектов нормативных правовых актов, направленных на обеспечение информационной безопасности Российской Федерации.
Председатель Комиссии и другие члены Комиссии осуществляют свою деятельность на общественных началах.
Комиссия для осуществления своих функций имеет право:
□ взаимодействовать по вопросам, входящим в компетенцию Комиссии, с самостоятельными подразделениями Администрации Президента Российской Федерации, с соответствующими органами и организациями, запрашивать и получать от них в установленном порядке необходимые материалы и информацию;
□ пользоваться в установленном порядке банками и базами данных Администрации Президента Российской Федерации и федеральных органов государственной власти;
□ использовать государственные, в том числе правительственные, системы связи и коммуникации;
□ привлекать в установленном порядке для осуществления аналитических и экспертных работ ученых и специалистов;
□ подготавливать предложения о заключении в установленном порядке договоров с научно-исследовательскими организациями, учреждениями и специалистами на выполнение работ и исследований в области обеспечения информационной безопасности Российской Федерации;
□ обобщать и представлять в Совет Безопасности информацию по вопросам, входящим в компетенцию Комиссии.
2.3. Комиссия Совета Федерации
по информационной политике
Комиссия Совета Федерации но информационной политике создана Постановлением Совета Федерации Федерального Собрания Российской Федерации от 30 января 2002 года № 106. Создание Комиссии было обусловлено необходимостью детального изучения и мониторинга информационной ситуации, а также требованиями дальнейшего совершенствования законодательной базы в интересах большей ее ориентации па формирование единого информационного пространства, решения других вопросов информационной политики Российской Федерации.
К предмету ведения Комиссии отнесены следующие вопросы правового обеспечения:
□ государственная политика в сфере средств массовой информации, информационных технологий и информатизации;
□ развитие единого информационного пространства Российской Федерации;
□ издательская и полиграфическая деятельность;
□ информационный обмен, развитие компьютерных сетей общего пользования;
□ распространение периодических изданий, книжной и иной печатной, аудио- и видеопродукции;
□ межгосударственное сотрудничество в информационной сфере;
□ содействие информационному обеспечению деятельности Совета Федерации;
□ выполнение федеральных и региональных целевых программ по вопросам ведения Комиссии.
Задачи членов Комиссии состоят в изучении и обобщении положения дел в каждом отдельно взятом сегменте инфокоммуникационного сектора экономики, анализе и оценке правоприменительной практики в сфере информации.
Работа ведется совместно с представителями Министерства культуры и массовых коммуникаций Российской Федерации, Федерального агентства по печати и массовым коммуникациям Российской Федерации, Министерства по информационным технологиям и связи Российской Федерации, Министерства экономического развития и торговли Российской Федерации, Медиасоюза и журналистским сообществом.
В состав Комиссии входит 35 членов Совета Федерации, которые участвуют в работе Комиссии в соответствии с предметом ведения, решении текущих и перспективных вопросов информационной политики Российской Федерации, организации проведения различных мероприятий с участием Комиссии, подготовке к рассмотрению поступающих законопроектов и других вопросов. В работе Комиссии, наряду с членами Совета Федерации, принимают участие представители Администрации Президента и Правительства Российской Федерации, руководители федеральных министерств и ведомств, депутаты Государственной Думы, видные ученые, представители медиасообщества и бизнес-структур, руководители областных средств массовой информации.
В числе наиболее актуальных вопросов, которые обсуждались па заседаниях, следует отметить следующие:
□ «Нормативно-правовая база развития сети Интернет в России»;
□ «О законодательном обеспечении развития инфокоммуникационного сектора экономики России»;
□ «Развитие информационно-коммуникационных технологий в общественном и муниципальном самоуправлении».
На заседаниях Комиссии Совета Федерации по информационной политике в 2002-2006 гг. был рассмотрен ряд законопроектов, из них на заседания Совета Федерации были вынесены следующие:
□ «О внесении изменений и дополнений в Закон Российской Федерации «О средствах массовой информации»;
□ «О государственной автоматизированной системе Российской Федерации "Выборы"»;
□ «О внесении изменений и дополнений в Федеральный Закон "О связи"»;
□ Федеральный Закон «О связи»;
□ Федеральный Закон «О коммерческой тайне»;
□ Федеральный Закон «О противодействии терроризму»;
□ Федеральный Закон «О рекламе».
В целом деятельность Комиссии была направлена на обеспечение эффективной государственной политики в сфере средств массовой информации, информационных технологий и информатизации, в том числе определение основных направлений развития телекоммуникационного рынка России, оценку возможностей повышения эффективности государственной поддержки отечественного информационного производства.
2.4. Федеральные органы
исполнительной власти
в области информатизации
Новая система и структура федеральных органов исполнительной власти утверждена Указом Президента Российской Федерации от 9 марта 2004 года № 314 «О системе и структуре федеральных органов исполнительной власти», а затем Указом от 20 мая 2004 года № 649 «Вопросы структуры федеральных органов исполнительной власти» с последующими изменениями, внесенными Указами: от 28.07.04 № 976, от 13.09.04 № Ц68, от 11.10.04 № 1304, от 18.11.04 № 1453, от 01.12.04 № 1487, от 22.07.05 № 855, от 05.09.05 № 1049, от 03.10.05 № 1158, от 11.05.06 № 473, от 30.06.06 № 658, от 05.02.07 № 119, от 12.03.07 № 320.
В соответствии с вышеназванными указами, выделен ряд Федеральных министерств, служб и агентств, функционально связанных с обеспечением информационной безопасности, руководство деятельностью которых осуществляет Президент Российской Федерации:
□ Федеральная служба по техническому и экспортному контролю (ФСТЭК, в составе Министерства обороны);
□ Служба внешней разведки Российской Федерации (СВР);
□ Федеральная служба безопасности Российской Федерации (ФСБ);
□ Федеральная служба охраны Российской Федерации (ФСО).
Федеральные министерства, службы и агентства, руководство которыми осуществляет Правительство Российской Федерации:
□ Федеральная служба по интеллектуальной собственности, патентам и товарным знакам (в составе Министерства образования и науки);
□ Федеральное агентство по техническому регулированию и метрологии (в составе Министерства промышленности и энергетики Российской Федерации);
□ Министерство информационных технологий и связи Российской Федерации, включающее в себя Федеральное агентство но информационным технологиям;
□ Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия.
Кроме того, на уровне федеральных органов исполнительной власти создан ряд комиссий, в том числе: Межведомственная Комиссия по защите государственной тайны, Правительственная Комиссия по федеральной связи, Правительственная Комиссия по противодействию нарушениям в сфере интеллектуальной собственности, ее правовой охране и использованию.
Указом Президента Российской Федерации от 11 марта 2003 года № 308 упразднено Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и его функции перераспределены между ФСБ, СВР и ФСО. В составе ФСО образована служба специальной связи и информации.
Комиссия по защите
государственной тайны
Межведомственная Комиссия по защите государственной тайны, созданная Указом Президента Российской Федерации от 8 ноября 1995 года № 1108, является основным органом, координирующим действия государственных структур по вопросам защиты информации. Она действует в рамках государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие Постановлением Правительства от 15 сентября 1993 года № 912-51. В этом Постановлении были определены структура, задачи и функции, а также организация работ по защите информации, содержащей сведения, составляющие государственную тайну.
Функции Межведомственной Комиссии по защите государственной тайны, в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г. № 614, возложены на государственную техническую комиссию, которая впоследствии переименована в Федеральную службу по техническому и экспортному контролю.
В связи с реорганизацией федеральных органов исполнительной власти функции Комиссии были уточнены Указом Президента Российской Федерации от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны». Постановлением Правительства Российской Федерации от 3 декабря 2004 года № 728 утвержден персональный состав Комиссии. В нее вошли представители министерств обороны, иностранных дел, внутренних дел, образования и пауки, финансов, экономического развития и торговли, Аппарата Президента, Совета Безопасности, ФСБ, ФСО, СВР, ФСТЭК.
Комиссия по федеральной связи
Правительственная Комиссия по федеральной связи была создана Постановлением Правительства Российской Федерации от 13 апреля 2006 года № 213 «О правительственной комиссии по федеральной связи». Этим же постановлением было утверждено Положение о Комиссии.
Комиссия является координационным органом, образованным для обеспечения согласованных действий федеральных органов исполнительной власти в области развития и совершенствования федеральной связи. Она руководствуется в своей деятельности Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, а также Положением о Комиссии.
Основными функциями Комиссии являются:
□ определение приоритетов в реализации основных направлений развития федеральной связи с учетом задач государственного управления, обороны и безопасности государства, обеспечения правопорядка, а также с учетом экономических, финансовых и иных возможностей государства;
□ координация деятельности федеральных органов исполнительной власти по развитию российской инфраструктуры связи, обеспечению ее интеграции с международными сетями связи;
□ координация деятельности федеральных органов исполнительной власти по обеспечению потребностей в услугах связи для нужд государственного управления, обороны и безопасности государства, обеспечения правопорядка;
□ координация деятельности федеральных органов исполнительной власти при подготовке концепций, федеральных, межотраслевых и отраслевых программ развития и совершенствования сетей связи, входящих в состав единой сети электросвязи Российской Федерации, и сети почтовой связи Российской Федерации;
□ организация проведения межведомственной экспертизы программ, концепций, проектов развития сетей связи, входящих в состав единой сети электросвязи Российской Федерации (для сетей связи специального назначения в части установленных для них требований и взаимодействия с другими сетями связи единой сети электросвязи Российской Федерации), и сети почтовой связи Российской Федерации;
□ подготовка предложений по вопросам совершенствования законодательства в области развития и совершенствования федеральной связи;
□ рассмотрение, оценка и подготовка рекомендаций по применению новейших технологий в сетях связи, содействие развитию производства в Российской Федерации средств связи;
□ координация деятельности федеральных органов исполнительной власти по вопросам развития технологий и средств защиты информации.
Председателем Комиссии является Министр информационных технологий и связи Российской Федерации, который утверждает ее состав. В состав Комиссии входят представители Министерства информационных технологий и связи Российской Федерации, аппарата Совета Безопасности Российской Федерации (но согласованию), Комитета Государственной Думы но энергетике, транспорту и связи (по согласованию), Главного управления специальных
программ Президента Российской Федерации, Министерства обороны Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства экономического развития и торговли Российской Федерации, Министерства транспорта Российской Федерации, Министерства промышленности и энергетики Российской Федерации, Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, Службы внешней разведки Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы охраны Российской Федерации, Государственной фельдъегерской службы Российской Федерации, Федеральной антимонопольной службы, Федеральной службы по тарифам, Федеральной службы исполнения наказаний, Федеральной службы по техническому и экспортному контролю, Федеральной таможенной службы, Федеральной службы по гидрометеорологии и мониторингу окружающей среды, Федерального агентства по промышленности, Федерального агентства по техническому регулированию и метрологии, Федерального агентства по печати и массовым коммуникациям, Федерального космического агентства.
Решения Комиссии являются обязательными для всех федеральных органов исполнительной власти, представленных в Комиссии.
2.7. Федеральная
служба безопасности
Российской Федерации
Структура и функции Федеральной службы безопасности Российской Федерации (ФСБ, http://www.fsb.ru) в последние годы претерпели существенные изменения в соответствии с Указами Президента Российской Федерации. В 2003 году отменен ряд принятых ранее Указов Президента:
□ Указ Президента Российской Федерации от 6 июля 1998 года № 806 «Об утверждении Положения о Федеральной службе безопасности Российской Федерации и ее структуры»;
□ Указ Президента Российской Федерации от 4 января 1999 года № 14 «Вопросы Федеральной службы безопасности Российской Федерации»;
□ Указ Президента Российской Федерации от 28 августа 1999 года № 1131 «Вопросы Федеральной службы безопасности Российской Федерации»;
□ Указ Президента Российской Федерации от 17 июня 2000 года № 1109 «О внесении изменений в Указ Президента Российской Федерации от 6 июля 1998 года № 806 "Об утверждении Положения о Федеральной службе безопасности Российской Федерации и ее структуры"»;
□ Указ Президента Российской Федерации от 11 июня 2001 года № 694 «Вопросы Федеральной службы безопасности Российской Федерации».
□ Указ Президента Российской Федерации от 11 августа 2003 года № 960 «Вопросы Федеральной службы безопасности Российской Федерации» вновь скорректированы функции ФСБ, а затем уточнены Указами от 11.07.04 № 870, от 31.08.05 № 1007, от 01.12.05 № 1383, от 12.06.06 № 602, от 27.07.06 № 799, от 28.12.06 № 1476.
Кроме того, функции ФСБ определены Федеральным Законом от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» (в ред. федеральных законов от 30.12.99 № 226-ФЗ, от 07.11.00 № 135-ФЗ, от 07.05.02 № 49-ФЗ, от 25.07.02 № 116-ФЗ, от 10.01.03 № 4-ФЗ, от 30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 07.03.05 № 15-ФЗ, от 15.04.06 № 50-ФЗ, от 27.07.06 № 153-ФЗ, с изменениями, внесенными Федеральным Законом от 30.12.01 № 194-ФЗ). Закон определяет назначение, состав, правовые основы и принципы деятельности Федеральной службы безопасности, направления деятельности, полномочия, силы и средства органов Федеральной службы безопасности, а также порядок контроля и надзора за деятельностью органов Федеральной службы безопасности.
В соответствии с последними указами, ФСБ России является федеральным органом исполнительной власти, осуществляющим государственное управление в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны Государственной границы, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов Федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.
ФСБ России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации, а также Положением о ФСБ.
Президент Российской Федерации, в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, руководит деятельностью ФСБ России, утверждает Положение о Федеральной службе безопасности Российской Федерации и структуру органов Федеральной службы безопасности.
Правительство Российской Федерации, в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, координирует деятельность ФСБ России в части, касающейся взаимодействия ФСБ России с федеральными органами исполнительной власти.
ФСБ России для выполнения задач создает в установленном порядке структурные подразделения ФСБ России, территориальные органы безопасности, а также подразделения специального назначения. При ФСБ России действует Академия криптографии Российской Федерации.
Основными задачами ФСБ с точки зрения защиты информации являются:
□ обеспечение защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;
□ формирование и реализация государственной и научно-технической политики в области обеспечения информационной безопасности;
□ организация обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом;
□ разработка и реализация мер по обеспечению информационной безопасности страны и защите сведений, составляющих государственную тайну, осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, воинских формированиях и организациях;
□ осуществление мер, связанных с допуском граждан к сведениям, составляющим государственную тайну, а также с допуском предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны;
□ разработка и утверждение нормативных и методических документов по вопросам обеспечения информационной безопасности информационно-телекоммуникационных систем и сетей критически важных объектов, а также организация и осуществление контроля за обеспечением информационной безопасности указанных систем и сетей.
ФСБ координирует деятельность:
□ федеральных органов исполнительной власти и организаций по обеспечению криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом;
□ федеральных органов исполнительной власти в области разработки, производства, закупки, ввоза в Российскую Федерацию и вывоза из Российской Федерации специальных технических средств, предназначенных для негласного получения информации в процессе осуществления оперативно-розыскной деятельности, по выявлению нарушений установленного порядка разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза из Российской Федерации специальных технических средств, предназначенных для негласного получения информации.
ФСБ определяет порядок осуществления контроля за:
□ обеспечением защиты сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах государственной власти субъектов Российской Федерации, воинских формированиях и организациях, а также порядок проведения мероприятий, связанных с допуском граждан к сведениям, составляющим государственную тайну;
□ организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.
Для решения основных задач ФСБ России выполняет следующие функции:
□ осуществляет и организует, в соответствии с федеральным законодательством, сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов безопасности в этих областях;
□ осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в области предоставления на территории Российской Федерации услуг по шифрованию информации и выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
□ осуществляет разработку и производство ручных шифров и ключевых документов к шифровальным средствам, снабжение ими федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации;
□ реализует шифр-документы и шифровальные средства, нормативно-техническую документацию на производство и использование шифровальных средств, за исключением шифровальных средств, предназначенных для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации;
□ обеспечивает выявление на территории Российской Федерации радиоизлучения передающих радиоэлектронных средств, работа которых представляет угрозу безопасности Российской Федерации, а также радиоизлучения передающих радиоэлектронных средств, используемых в противоправных целях;
□ перехватывает передачи и пресекает работу на территории Российской Федерации средств радиосвязи и других передающих радиоэлектронных средств, представляющих угрозу безопасности Российской Федерации;
□ осуществляет регистрацию и централизованный учет радиоданных и радиоизлучений передающих радиоэлектронных средств;
□ участвует в подготовке проектов нормативных правовых актов Российской Федерации по вопросам, отнесенным к компетенции органов безопасности;
□ организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, а также информационно-телекоммуникационных систем и сетей критически важных объектов; создания специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, а также информационно-телекоммуникационных систем и сетей критически важных объектов;
□ осуществляет сбор, хранение, обработку и использование документированной информации ограниченного доступа для обеспечения контрразведывательной, разведывательной, оперативно-розыскной и иной деятельности, отнесенной федеральным законодательством к компетенции органов безопасности;
□ разрабатывает, в установленном порядке создает и использует информационные системы, системы связи и передачи данных, а также средства защиты информации, в том числе средства криптографической защиты;
□ оказывает, в соответствии с федеральным законодательством, содействие организациям в разработке мер по защите коммерческой тайны.
Контроль за деятельностью органов ФСБ осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство Российской Федерации и судебные органы в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами. Надзор за исполнением органами Федеральной службы безопасности законов Российской Федерации осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.
2.8. Федеральная служба
по техническому
и экспортному контролю
Федеральная служба по техническому и экспортному контролю (ФСТЭК, http://www.fstec.ru) создана Указом Президента Российской Федерации от 16 августа 2004 года № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю». Этим же Указом утверждено Положение о ФСТЭК, которое затем корректировалось Указами Президента от 22.03.05 № 330, от 20.07.05 №846, от 30.11.06 № 1321.
ФСТЭК, ее территориальные органы и подведомственные ей организации являются правопреемниками Государственной технической комиссии при Президенте Российской Федерации, созданной Указом Президента Российской Федерации от 5 января 1992 года № 9 «О создании Государственной технической комиссии при Президенте Российской Федерации». Функции комиссии были уточнены Указом Президента от 19 февраля 1999 года № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации».
ФСТЭК является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
□ обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;
□ противодействия иностранным техническим разведкам на территории Российской Федерации;
□ обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки но техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
□ защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
□ осуществления экспортного контроля.
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации.
Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Министерству обороны России.
ФСТЭК осуществляет самостоятельно нормативно-правовое регулирование вопросов в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, технической защиты информации.
ФСТЭК России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации, приказами и директивами Министра обороны Российской Федерации в части, касающейся ФСТЭК России, а также другими нормативными правовыми актами Российской Федерации, касающимися деятельности ФСТЭК России.
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации.
ФСТЭК вносит Президенту Российской Федерации, в Правительство Российской Федерации и Совет Безопасности Российской Федерации предложения по нормативно-правовому регулированию в области обеспечения безопасности информации, контролирует эффективность защиты информации в ключевых системах информационной инфраструктуры, в информационных системах и объектах, па которых выполняются работы, связанные со сведениями, составляющими государственную и (или) служебную тайну.
ФСТЭК имеет право заслушивать на заседаниях коллегии должностных лиц. уполномоченных по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры и технической защиты информации.
ФСТЭК России осуществляет следующие полномочия:
1. Разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации.
2. Организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области технической защиты государственной тайны, по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации.
3. Организует проведение работ сертификации средств технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры.
4. Организует разработку и согласование федеральных целевых программ обеспечения безопасности информации, технической защиты информации, защиты государственной тайны.
5. Организует разработку программ стандартизации, технических регламентов и национальных стандартов в области обеспечения безопасности информации.
6. Организует проведение межведомственных экспертиз реального уровня безопасности информации.
7. Осуществляет международное сотрудничество, участвует в проведении мероприятий по международному информационному обмену, а также в разработке и реализации программ международного сотрудничества в области защиты информации.
2.9. Федеральная
служба охраны
Российской Федерации
В соответствии с Указом Президента Российской Федерации от 20 мая 2004 года № 649 «Структура федеральных органов исполнительной власти», руководство деятельностью Федеральной службой охраны (ФСО, http://www.fso.gov.ru) осуществляет Президент.
Указом Президента Российской Федерации от 7 августа 2004 года № 1013 «Вопросы Федеральной службы охраны Российской Федерации» (с изменениями, внесенными указами Президента от 28.12.04 № 1627, от 22.03.05 № 329, от 01.10.05 № Ц46, от 06.10.05 № 1164, от 05.04.06 № 318) проведена реорганизация ФСО и утверждено новое Положение о Службе.
Федеральная служба охраны Российской Федерации является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики, нормативно-правовому регулированию, контролю и надзору в сфере государственной охраны, президентской, правительственной и иных видов специальной связи и информации, предоставляемых федеральным органам государственной власти, органам государственной власти субъектов Российской Федерации и другим государственным органам.
Основными задачами ФСО России являются:
1. Обеспечение безопасности объектов государственной охраны в местах их постоянного и временного пребывания и на трассах проезда.
2. Прогнозирование и выявление угрозы жизненно важным интересам объектов государственной охраны, осуществление комплекса мер по предотвращению этой угрозы.
3. Предупреждение, выявление и пресечение противоправных посягательств на объекты государственной охраны и охраняемые объекты.
4. Предупреждение, выявление и пресечение преступлений и иных правонарушений на охраняемых объектах, в местах постоянного и временного пребывания объектов государственной охраны и на трассах их проезда.
5. Защита охраняемых объектов.
6. Участие в пределах своих полномочий в борьбе с терроризмом.
7. Организация и обеспечение эксплуатации, безопасности, совершенствования специальной связи и информации, предоставляемых государственным органам.
8. Участие в разработке и реализации мер по обеспечению информационной безопасности Российской Федерации, противодействию техническим разведкам и защите сведений, составляющих государственную тайну.
9. Осуществление государственной политики в области правовой информатизации Российской Федерации и координация работ, производимых в этой сфере.
10. Информационно-технологическое и информационно-аналитическое обеспечение государственных органов, техническое обслуживание и программное сопровождение информационно-телекоммуникационных систем и ситуационных центров, а также информационное обеспечение управления государством в военное время и при чрезвычайных ситуациях.
ФСО России организует в пределах своих полномочий взаимодействие государственных органов обеспечения безопасности и осуществляет координацию их деятельности в сфере государственной охраны, специальной связи и информации.
На основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации ФСО самостоятельно принимает нормативные правовые акты по вопросам, относящимся к установленной сфере деятельности, в том числе акты, содержащие требования к построению сетей специальной связи, управлению ими, нумерации, применяемым средствам связи, организационно-техническому обеспечению их устойчивого функционирования, защите от несанкционированного доступа к ним и передаваемой посредством их информации.
ФСО России осуществляет следующие функции:
1. Обеспечивает защиту категорированных помещений, организует и проводит мероприятия по предотвращению утечки информации по техническим каналам в системах специальной связи, информационно-технологических, информационно-аналитических и информационно-телекоммуникационных системах и на охраняемых объектах, по предотвращению несанкционированного доступа к указанным системам, а также специальные исследования и проверки технических средств и оборудования, находящихся в ведении ФСО России.
2. Осуществляет разработку, создание, эксплуатацию и развитие информационных систем, в том числе информационно-телекоммуникационной системы специального назначения в интересах государственных органов, обеспечивающей информационно-телекоммуникационную поддержку решения задач управления государством в военное время и при чрезвычайных ситуациях, а также используемой в мирное время для информирования Президента Российской Федерации и Правительства Российской Федерации.
3. Участвует в разработке, создании и развитии средств защиты информации, включая системы специальных технических средств, а также в разработке нормативно-технической документации по вопросам защиты информации в системах специальной связи.
4. Разрабатывает и реализует единую техническую политику в области оснащения Администрации Президента Российской Федерации, Аппарата Правительства Российской Федерации и палат Федерального Собрания Российской Федерации средствами связи, в том числе специальной связи, вычислительной техникой, оргтехникой, аудио- и видеоаппаратурой, программными продуктами.
5. Осуществляет информационно-технологическое обеспечение, техническое обслуживание и программное сопровождение информационно-телекоммуникационных систем для Президента Российской Федерации, Администрации Президента Российской Федерации, Аппарата Правительства Российской Федерации, палат Федерального Собрания Российской Федерации, Управления делами Президента Российской Федерации, а также систем официального информирования по электронным коммуникациям о деятельности государственных органов.
6. Обеспечивает оперативный доступ пользователей государственных органов к внутренним, а также внешним информационным ресурсам, включая зарубежные, в информационных системах, с которыми установлена связь.
7. Осуществляет функции удостоверяющего центра в информационных системах, находящихся в ее ведении; ведет реестр сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти.
8. Принимает участие в подготовке экспертных заключений на вносимые Президенту Российской Федерации и в Правительство Российской Федерации предложения о проведении работ по созданию специальных и защищенных федеральных систем и сетей информатизации.
Федеральный Закон «О государственной охране» от 7 мая 1996 года № 57-ФЗ (в редакции федеральных законов от 18.07.97 № 101-ФЗ, от 07.11.00 № 135-ФЗ, от 07.05.02 № 49-ФЗ, от 30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 29.12.04 № 191-ФЗ) в общем виде определяет предназначение государственной охраны, устанавливает объекты государственной охраны, полномочия федеральных органов государственной охраны, а также контроль и надзор за их деятельностью.
В соответствии с Законом, федеральные органы государственной охраны входят в состав сил обеспечения безопасности Российской Федерации. Руководство федеральными органами государственной охраны осуществляют Президент Российской Федерации, а также Правительство Российской Федерации в пределах своих полномочий.
Контроль за деятельностью федеральных органов государственной охраны осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство Российской Федерации и судебные органы в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами. Надзор за исполнением законов Российской Федерации федеральными органами государственной охраны осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.
2.10. Служба внешней разведки
Российской Федерации
Служба внешней разведки Российской Федерации (СВР России, http:// www. svr.ru) является составной частью сил обеспечения безопасности и защиты безопасности личности, общества и государства от внешних угроз.
Для достижения этих целей Службе внешней разведки предоставляется ряд полномочий, определенных Федеральным Законом Российской Федерации «О внешней разведке» от 10 января 1996 года № 5-ФЗ (в ред. Федеральных Законов от 07.11.00 № 135-ФЗ, от 30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 14.02.07 М 20-ФЗ).
Общее руководство органами внешней разведки Российской Федерации осуществляет Президент Российской Федерации.
В соответствии с Постановлением Правительства Российской Федерации от 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (в редакции Постановлений Правительства РФ от 23.04.96 № 509, от 30.04.97 № 513, от 29.07.98 № 854, от 03.10.02 № 731, от 17.12.04 № 807, от 26.01.07 № 50) СВР уполномочена на ведение лицензионной деятельности в следующих областях:
1. Допуск предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом).
2. Проведение работ, связанных с созданием средств защиты информации.
3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны.
На СВР как орган, уполномоченный на ведение лицензионной деятельности, возлагается:
□ организация лицензирования деятельности предприятий;
□ организация и проведение специальных экспертиз предприятий;
□ рассмотрение заявлений предприятий о выдаче лицензий;
□ принятие решений о выдаче или об отказе в выдаче лицензий;
□ выдача лицензий;
□ принятие решений о приостановлении действия лицензии или об ее аннулировании;
□ разработка нормативно-методических документов по вопросам лицензирования;
О привлечение в случае необходимости представителей министерств и ведомств Российской Федерации для проведения специальных экспертиз;
□ ведение реестра выданных, приостановленных и аннулированных лицензий.
В соответствии с законом «О внешней разведке», для осуществления своей деятельности Служба внешней разведки Российской Федерации может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации от утечки по техническим каналам.
Лицо, допускаемое к сведениям об органах внешней разведки Российской Федерации, проходит процедуру оформления допуска к сведениям, составляющим государственную тайну.
2.11. Федеральное агентство
по информационным
технологиям
Федеральное агентство по информационным технологиям (http.y/www.min-svyaz.ru) создано Указом Президента Российской Федерации от 20 мая 2004 года № 649 «Структура федеральных органов исполнительной власти». Постановлением Правительства Российской Федерации от 30 июня 2004 года № 319 «Об утверждении Положения о Федеральном агентстве по информационным технологиям» утверждено соответствующее Положение об агентстве.
Организационно агентство находится в ведении Министерства информационных технологий и связи Российской Федерации.
Федеральное агентство по информационным технологиям является федеральным органом исполнительной власти, осуществляющим функции по управлению государственным имуществом и оказанию государственных услуг в сфере информационных технологий, в том числе в части использования информационных технологий для формирования государственных информационных ресурсов и обеспечения доступа к ним.
Федеральное агентство по информационным технологиям является уполномоченным федеральным органом исполнительной власти в области использования электронной цифровой подписи.
Агентство выполняет следующие функции:
1. Организует подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей.
2. Осуществляет обязательную сертификацию информационных технологий, предназначенных для обработки государственного банка данных о детях, оставшихся без попечения родителей.
3. Организует регистрацию государственных информационных ресурсов и систем.
4. Осуществляет ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти,
а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.
5. Осуществляет функции государственного заказчика научно-технических и инвестиционных программ и проектов в установленной сфере деятельности.
6. Взаимодействует в установленном порядке с органами государственной власти иностранных государств и международными организациями в установленной сфере деятельности.
7. Обеспечивает защиту сведений, составляющих государственную тайну, в процессе деятельности агентства, а также контроль и координацию деятельности находящихся в его ведении учреждений и иных организаций в указанной области.
Федеральное агентство по информационным технологиям не вправе осуществлять нормативно-правовое регулирование в установленной сфере деятельности и функции по контролю и надзору, кроме случаев, устанавливаемых указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
Агентство организует работу Совета главных конструкторов информатизации регионов Российской Федерации. Данный Совет осуществляет свою деятельность в соответствии с Положением, утвержденным приказом агентства от 25 марта 2005 года № 11. Последний состав Совета утвержден приказом агентства от 21 декабря 2006 года № 83. В состав Совета входят представители органов исполнительной власти субъектов Российской Федерации, в должностные обязанности которых входят вопросы информатизации и обеспечения информационной безопасности регионов.
2.12. Федеральная служба
по надзору в сфере массовых
коммуникаций, связи и охраны
культурного наследия
Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (http://www.rosohrancult.ru) создана Указом Президента Российской Федерации от 12 марта 2007 года № 320 «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия». В соответствии с Указом данная служба образована путем слияния двух служб: Федеральной службы по надзору в сфере связи (Россвязьнадзор) и Федеральной службы по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия (Росохранкультура).
Руководство Федеральной службой осуществляет Правительство Российской Федерации.
Вышеназванным Указом определено, что «указанная Служба является уполномоченным федеральным органом исполнительной власти, осуществляющим функции по нормативно-правовому регулированию, контролю и надзору в сфере средств массовой информации и массовых коммуникаций, информационных технологий, связи и охраны культурного наследия, авторского права и смежных прав, а также организации деятельности радиочастотной службы».
Более подробно функции службы будут определены в соответствующем Положении, разработка которого поручена Правительству Российской Федерации.
2.13. Федеральная служба
по интеллектуальной
собственности, патентам
и товарным знакам
Федеральная служба по интеллектуальной собственности, патентам и товарным знакам (http://www.fips.ru) создана Постановлением Правительства Российской Федерации от 7 апреля 2004 года № 178 «Вопросы Федеральной службы по интеллектуальной собственности, патентам и товарным знакам» находится в ведении Министерства образования и науки Российской Федерации.
Постановлением Правительства от 16 июня 2004 года № 299 утверждено Положение о службе (с изменениями, внесенными в соответствии с Постановлением Правительства от 22.04.05 № 247).
Служба является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере правовой охраны и использования объектов интеллектуальной собственности, патентов и товарных знаков и результатов интеллектуальной деятельности, вовлекаемых в экономический и гражданско-правовой оборот, соблюдения интересов Российской Федерации, российских физических и юридических лиц при распределении прав на результаты интеллектуальной деятельности, в том числе создаваемые в рамках международного научно-технического сотрудничества.
Она осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления, общественными объединениями и иными организациями.
Федеральная служба по интеллектуальной собственности, патентам и товарным знакам осуществляет следующие функции в установленной сфере деятельности:
□ организует прием заявок на объекты интеллектуальной собственности, их регистрацию и экспертизу;
□ выдает в установленном порядке патенты Российской Федерации на изобретение, полезную модель, промышленный образец, свидетельства Российской Федерации на товарный знак, знак обслуживания, на право поль- зования наименованием места происхождения товара, па общеизвестный в Российской Федерации товарный знак, свидетельства об официальной регистрации программ для ЭВМ, баз данных, топологий интегральных микросхем;
□ осуществляет регистрацию договоров о предоставлении права на изобретения, полезные модели, промышленные образцы, товарные знаки, знаки обслуживания, охраняемые программы для ЭВМ, базы данных, топологии интегральных микросхем, а также договоров коммерческой концессии на использование объектов интеллектуальной собственности, охраняемых в соответствии с патентным законодательством Российской Федерации;
□ осуществляет в установленном порядке проверку деятельности организаций, распоряжающихся правами Российской Федерации на объекты интеллектуальной собственности и результаты интеллектуальной деятельности;
□ обеспечивает в пределах своей компетенции защиту сведений, составляющих государственную тайну;
□ осуществляет информационно-методическое обеспечение деятельности органов исполнительной власти, осуществляющих правоприменительные функции в сфере гражданского оборота объектов интеллектуальной собственности;
□ на основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации, нормативных правовых актов Министерства образования и науки Российской Федерации издает индивидуальные правовые акты но вопросам, отнесенным к сфере деятельности Службы.
Служба имеет право пресекать факты нарушения законодательства Российской Федерации в установленной сфере деятельности, а также применять предусмотренные законодательством Российской Федерации меры ограничительного, предупредительного и профилактического характера, направленные на недопущение и (или) ликвидацию последствий нарушений юридическими лицами и гражданами обязательных требований в установленной сфере деятельности.
Федеральная служба по интеллектуальной собственности, патентам и товарным знакам не вправе осуществлять нормативно-правовое регулирование в установленной сфере деятельности.
2.14. Федеральное агентство
по техническому
регулированию и метрологии
В соответствии с Постановлением Правительства Российской Федерации от 2 июня 2003 года № 316, Государственный комитет Российской Федерации по стандартизации и метрологии (Госстандарт) определен органом, уполномоченным исполнять функции национального органа Российской Федерации по стан- дартизации, а также функции федерального органа исполнительной власти по техническому регулированию.
Указом Президента Российской Федерации от 9 марта 2004 года № 314 Государственный комитет Российской Федерации по стандартизации и метрологии преобразован в Федеральную службу по техническому регулированию и метрологии, его функции по принятию нормативных правовых актов в установленной сфере деятельности переданы Министерству промышленности и энергетики Российской Федерации.
В соответствии с Указом Президента Российской Федерации от 20 мая 2004 года № 649, служба преобразована в Федеральное агентство по техническому регулированию и метрологии (http://www.gost.ru), входящее в состав Министерства промышленности и энергетики. Постановлением Правительства РФ от 17 июня 2004 года № 294 «О Федеральном агентстве по техническому регулированию и метрологии» (с изменениями от 27 октября 2004 года) утверждено Положение об агентстве и отменено ранее принятое Постановление от 8 апреля 2004 года № 194 «Вопросы Федеральной службы по техническому регулированию и метрологии».
Агентство организует:
□ экспертизу и подготовку заключений по проектам федеральных целевых программ, а также межотраслевых и межгосударственных научно-технических и инновационных программ;
□ экспертизу проектов национальных стандартов;
□ проведение в установленном порядке испытаний средств измерений и утверждение их типа;
□ проведение в установленном порядке поверки средств измерений в Российской Федерации;
□ сбор и обработку информации о случаях причинения вреда вследствие нарушения требований технических регламентов, а также информирование приобретателей, изготовителей и продавцов по вопросам соблюдения требований технических регламентов.
Агентство обеспечивает в пределах своей компетенции защиту сведений, составляющих государственную тайну, осуществляет утверждение и учет национальных стандартов, ведение федерального информационного фонда технических регламентов и стандартов, единой информационной системы по техническому регулированию, общероссийских классификаторов технико-экономической и социальной информации.
На сайте http://www.technormativ.ru/ содержится информация о всех стандартах и классификаторах Российской Федерации.
Постановлением Правительства Российской Федерации от 1 марта 2005 года № 97 «О правительственной комиссии по техническому регулированию» (в ред. распоряжений Правительства РФ от 28.07.05 № 1063-р, от 24.03.06 № 414-р, от 28.04.06 № 599-р, от 15.08.06 № 1135-р, Постановления Правительства РФ от 18.01.07 № 26, распоряжения Правительства РФ от 31.03.07
№ 386-р) создана соответствующая Комиссия, утверждено Положение и персональный состав.
Комиссия является координационным органом, обеспечивающим согласованные действия заинтересованных федеральных органов исполнительной власти при решении вопросов в области технического регулирования.
Основными задачами Комиссии являются:
□ обеспечение согласованных действий федеральных органов исполнительной власти по реализации государственной политики в сфере технического регулирования;
□ рассмотрение вопросов, связанных с оценкой состояния и путей совершенствования технического регулирования;
□ координация деятельности федеральных органов исполнительной власти по обеспечению соответствия технического регулирования интересам российской экономики, уровню развития материально-технической базы и уровню научно-технического развития, а также международным нормам и правилам;
□ рассмотрение вопросов о состоянии дел в области учета случаев причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда вследствие нарушения требований технических регламентов;
□ рассмотрение и подготовка предложений по вопросам совершенствования законодательных и иных нормативных правовых актов в области технического регулирования;
□ обеспечение согласованных действий федеральных органов исполнительной власти при подготовке концепций технических регламентов, программы разработки технических регламентов и других документов но техническому регулированию;
□ организация подготовки аналитических материалов в сфере технического регулирования;
□ рассмотрение и подготовка предложений по уточнению утвержденной Правительством Российской Федерации Программы разработки технических регламентов;
□ рассмотрение проектов технических регламентов, разногласий по ним между федеральными органами исполнительной власти и принятие соответствующих решений по снятию разногласий и внесению проектов технических регламентов в установленном порядке в Правительство Российской Федерации.
Организационно-техническое обеспечение деятельности Комиссии осуществляет Министерство промышленности и энергетики Российской Федерации. Председателем Комиссии назначен министр промышленности и энергетики.
2.15. Обеспечение информационной
безопасности на уровне
субъектов Российской
Федерации
Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства, решений Президента и Правительства Российской Федерации в области обеспечения информационной безопасности, а также по вопросам реализации федеральных программ в этой области. Совместно с органами местного самоуправления они осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности, вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации.
Органы местного самоуправления отвечают за соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности.
Органы судебной власти и прокуратуры субъектов Российской Федерации осуществляют правосудие по делам о преступлениях, связанных с информационной сферой.
В структуре органов исполнительной власти субъектов Российской Федерации созданы специальные службы и комиссии, деятельность которых направлена на организацию процессов информатизации, а также разработку нормативных правовых актов регионального уровня.
Основным концептуальным документом, определяющим направления работ в области информатизации, а также обеспечения информационной безопасности на региональном уровне, является «Концепция региональной информатизации до 2010 года», одобренная Распоряжением Правительства Российской Федерации от 17 июля 2006 года № 1024-р. В соответствии с Концепцией, одной из основных задач региональной информатизации является обеспечение информационной безопасности региональных и муниципальных информационных систем, информационно-телекоммуникационной инфраструктуры на территории субъектов Российской Федерации.
На федеральном уровне функционирует также Совет главных конструкторов информатизации регионов Российской Федерации, созданный приказом Федерального агентства по информационным технологиям от 8 декабря 2005 года № 86, который принимает конкретные решения в области информатизации (например, решение от 2 ноября 2006 года № СГК-2/2-2006).
Постановлением Правительства Российской Федерации от 28 января 2002 года № 65 утверждена федеральная целевая программа «Электронная Россия (2002-2010 годы)». Одной из важнейших задач программы является формирование эффективной нормативной правовой базы в сфере информационно-коммуникационных технологий (ИКТ), регулирующей, в том числе вопросы обеспе- чения информационной безопасности и реализации прав, гарантированных Конституцией Российской Федерации.
Реализация Программы позволит преодолеть отставание России от развитых стран в уровне использования и развития ИКТ, обеспечить равноправное вхождение граждан России в глобальное информационное сообщество на основе соблюдения прав человека, в том числе права на свободный поиск, получение, передачу, производство и распространение информации, а также права на обеспечение конфиденциальности любой охраняемой законом информации, имеющейся в информационных системах. Одним из результатов Программы станет формирование единой информационной и телекоммуникационной инфраструктуры для органов государственной власти и органов местного самоуправления, бюджетных и некоммерческих организаций.
В качестве примера управления региональной информатизацией можно привести структуру органов исполнительной власти и нормативно-правовую базу в области информатизации Ульяновской области (подробная информация размещена на сайте http://ulgov.ru/power/gov/informatization/).
В составе Правительства Ульяновской области имеется департамент инноваций и информационных технологий. При губернаторе области создан Совет безопасности. Совет возглавляет секретарь Совета безопасности. В рамках Совета безопасности создана межведомственная комиссия по информационной безопасности и постоянно действующая техническая комиссия по защите информации ограниченного доступа. В муниципальных образованиях также существуют подразделения по защите информации. Общую структуру органов системы защиты информации можно представить в виде схемы, изображенной па рис. 2.15.1.
Рис. 2.15.1. Органы защиты информации Ульяновской области
На уровне Ульяновской области разработана соответствующая законодательная база в области информатизации и защиты информации.
Среди законодательных документов можно отметить следующие:
□ Концепция информатизации Ульяновской области «Электронный Ульяновск» па 2004-2010 годы (Постановление главы администрации Ульяновской области от 09.04.04 № 42);
□ Закон Ульяновской области № 087-30 от 04.10.05 «Об информационных ресурсах и информатизации Ульяновской области»;
□ Постановление губернатора Ульяновской области от 09.03.06 «О реестре информационных ресурсов и систем Ульяновской области и порядке организации информационного взаимодействия (обмена) органов государственной власти Ульяновской области»;
□ Распоряжение правительства Ульяновской области от 13.12.05 № 178-пр «Об уполномоченном органе по информатизации Ульяновской области»;
□ Постановление губернатора Ульяновской области от 15.05.06 № 60 «Об утверждении форм документов для формирования реестра информационных ресурсов области»;
□ Распоряжение губернатора Ульяновской области от 03.08.06 № 497-р «О координационном Совете по информатизации Ульяновской области»;
□ Распоряжение губернатора Ульяновской области от 22.02.2006 №105-р об утверждении «Инструкции о порядке пользования вычислительной техникой, программным обеспечением и работе в информационной вычислительной сети администрации губернатора и аппарата правительства Ульяновской области».
Кроме того, правительством области разработан проект муниципальной целевой программы «Автоматизированная информационно-аналитическая система муниципального образования на 2007-2010 годы».
Реализация концепции информатизации Ульяновской области должна обеспечить решение следующих основных задач:
□ стимулирование и организация массового и эффективного использования информационно-коммуникационных технологий в ключевых областях экономической, социальной и культурной жизни области, включая реализацию концепции «электронного правительства», создание единой образовательной информационной среды и т. д.;
□ обеспечение доступа к социально значимой информации и базовым информационно-коммуникационным услугам для всех жителей, независимо от социально-экономического положения, пола и возраста;
□ развитие информационно-коммуникационной инфраструктуры области, отвечающей современным требованиям и удовлетворяющей потребности населения, органов власти и организаций области в инфо-коммуникационных услугах;
□ формирование публичных информационных ресурсов, направленных на удовлетворение информационных потребностей населения и хозяйствующих субъектов области;
□ обеспечение необходимого уровня информационной безопасности информационно-коммуникационной инфраструктуры и информационных ресурсов и систем области;
□ создание условий для развития в области конкурентоспособного производства информации, информационных технологий и услуг, превращение сектора ИКТ в важнейшую отрасль экономики Ульяновской области.
В числе приоритетных программ, в соответствии с концепцией указаны проекты, направленные на обеспечение информационной безопасности области, совершенствование нормативно-правовой базы развития информационного общества в Ульяновской области, развитие общеобластных информационных систем, публичных ресурсов и информационно-коммуникационной инфраструктуры Ульяновской области.
Одной из основных задач программ является создание системы обеспечения информационной безопасности. Для решения этой задачи предусмотрено создание нормативно-правовой базы информационной безопасности Ульяновской области. В частности, предусматривается разработка концепции информационной безопасности области, создание модели угроз информационной безопасности, разработка Закона Ульяновской области «Об информационной безопасности Ульяновской области».
Закон Ульяновской области от 04.10.05 № 087-30 «Об информационных ресурсах и информатизации Ульяновской области» регулирует отношения, возникающие при:
□ формировании и использовании информационных ресурсов Ульяновской области, относящихся к государственной собственности Ульяновской области;
□ создании и эксплуатации информационных систем, содержащих информационные ресурсы Ульяновской области;
□ реализации планов и программ информатизации Ульяновской области.
В соответствии с Законом, органы государственной власти Ульяновской области и иные организации, участвующие в работах по информатизации Ульяновской области, в формировании и использовании информационных ресурсов, в создании и эксплуатации информационных систем, обязаны соблюдать требования законодательства Российской Федерации о защите информации и обеспечении информационной безопасности.
С полными текстами документов можно ознакомиться на сайте правительства Ульяновской области.
Контрольные вопросы к главе 2
1. Назовите основные элементы государственной системы обеспечения информационной безопасности Российской Федерации.
2. Найдите на сайтах органов исполнительной власти Российской Федерации нормативно-правовые документы в области информатизации и информационной безопасности.
3. Каковы функции Совета Безопасности Российской Федерации в области обеспечения информационной безопасности?
4. Каковы задачи Межведомственной комиссии Совета Безопасности по информационной безопасности?
5. Опишите деятельность Комиссии Совета Федерации по информационной политике.
6. Деятельность каких федеральных органов исполнительной власти непосредственно связана с обеспечением информационной безопасности Российской Федерации?
7. Каковы основные задачи Правительственной комиссии по федеральной связи?
8. Опишите основные задачи в области информационной безопасности. Какими правовыми актами они возложены на ФСБ, ФСТЭК, ФСО, СВР?
9. Каковы задачи и правовые основы деятельности Федерального агентства по информационным технологиям?
10. Каковы задачи в информационной сфере и правовые основы деятельности Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия?
11. Каковы задачи в информационной сфере и правовые основы деятельности Федеральной службы по интеллектуальной собственности, патентам и товарным знакам?
12. Каковы задачи в информационной сфере и правовые основы деятельности Федеральной службы по техническому регулированию и метрологии?
Глава 3
Нормативно-правовое обеспечение информационной безопасности
3.1. Международные стандарты в области
информационной безопасности
Уровень развития информационно-коммуникационных технологий в разных странах различен, поэтому задачи создания систем информационной безопасности и их нормативно-правового обеспечения возникали в разное время. В связи с этим в разных государствах возник ряд стандартов, которые имели статус государственных. Со временем такие стандарты были доработаны и получили статус региональных и международных.
Наиболее значительными стандартами в области защиты информации за рубежом являются: «Критерии безопасности компьютерных систем», разработанные министерством обороны США («Оранжевая книга»), «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» и, наконец, «Общие критерии безопасности информационных технологий» («Общие критерии»).
Критерии безопасности компьютерных систем, неформально названные «Оранжевой книгой» по цвету обложки брошюры, были разработаны министерством обороны США в 1983 году с целью определения требований безопасности компьютерных систем военного назначения. Этот документ был первым в области стандартов информационной безопасности. В 1985 году «Оранжевая книга» была утверждена в качестве правительственного стандарта США.
Стандарт дает определение безопасной компьютерной системы как системы, поддерживающей управление доступом к информации таким образом, что возможность чтения, записи, создания и удаления информации получают только авторизованные пользователи или процессы, действующие от их имени. В «Оранжевой книге» сформулированы шесть базовых требований безопасности, которым должны соответствовать компьютерные системы, использующиеся для обработки конфиденциальной информации:
□ Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться па основании их идентификации и набора правил управления доступом, позволяя эффективно реа-лизовывать разграничение доступа к категорированной информации.
□ Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и (или) режимы доступа к этому объекту.
□ Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения.
□ Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность.
□ Требование 5. Контроль корректности функционирования средств защиты.
Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
□ Требование 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного вмешательства и (или) отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем.
Концепции, заложенные в «Оранжевой книге», послужили основой для формирования всех появившихся впоследствии стандартов информационной безопасности.
В 1991 году страны Европы разработали стандарт «Критерии безопасности информационных технологий» (Европейские критерии).
В 1992 году Национальный институт стандартов и технологий США и Агентство национальной безопасности США разработали стандарт «Федеральные критерии безопасности информационных технологий», призванный заменить «Оранжевую книгу». Данный стандарт разработан на основе результатов исследований в области обеспечения безопасности информационных технологий и использования «Оранжевой книги».
Возрастающая необходимость консолидации различных национальных стандартов привела к тому, что в 1996 году появилась первая версия стандарта «Общие критерии» (Common Criteria for Information Technology Security Evaluation). Данный стандарт унифицировал подходы к информационной безопасности телекоммуникационных систем различных стран. В его разработке принял участие ряд известных национальных организаций США (Агентство национальной безопасности), Канады (Служба безопасности в области передачи данных), Германии (Федеральное агентство в области информационных технологий), Франции (Центральная служба безопасности информационных систем), Великобритании (Группа по безопасности в области электроники и передаче данных). Усилия этих организаций были объединены в рамках Международной организации по стандартизации (ISO).
В 1999 году организацией ISO стандарт «Общие критерии» был утвержден в качестве международного стандарта информационной безопасности ISO/IEC 15408. «Общие критерии» развивают предшествующие стандарты путем введения новых концепций, соответствующих современному уровню развития информационных технологий и требований глобального информационного общества.
«Общие критерии» являются результатом совместных усилий по объединению существующих национальных стандартов в единый согласованный документ и созданию единого международного стандарта оценивания безопасности информационных технологий. Требования «Общих критериев» охватывают практически все аспекты безопасности информационных технологий и являются всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника безопасности информационных технологий.
С 1 января 2004 года в Российской Федерации принят стандарт ГОСТ Р И СО/ МЭК 154082002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», состоящий из трех частей и представляющий собой полный аутентичный вариант «Общих критериев». ФСТЭК России проводит сертификацию продуктов в соответствии с этими документами.
В декабре 2000 года под эгидой ИСО и МЭК был принят международный стандарт ISO/IEC 17799:2000 «Кодекс установившейся практики для менеджмента информационной безопасности», являющийся британским стандартом BS 7799-1 от 1999 года.
3.2. Основные нормативно-правовые
документы Российской
Федерации в области
защиты информации
Система нормативных правовых актов Российской Федерации в области информационной безопасности состоит из нескольких уровней, от международного до уровня предприятия. К числу международных актов относятся документы, которые подписаны от имени Российской Федерации. Ниже приведен список основных нормативных правовых документов, касающихся защиты информации.
Международные документы:
1. «Конвенция, учреждающая Всемирную организацию интеллектуальной собственности» (Стокгольм, 14 июля 1967 года, в редакции от 2 октября 1979 года. Вступила в силу для СССР 26 апреля 1970 года).
2. «Всемирная конвенция об авторском праве» (Женева, 6 сентября 1952 года. Пересмотрена в Париже 24 июля 1971 года. Вступила в силу для СССР 27 мая 1973 года).
3. «Брюссельская конвенция о распространении несущих программы сигналов, передаваемых через спутники. (Конвенция по спутникам)», 1974 год. Российская Федерация присоединилась 20 января 1989 года.
4. «Бернская конвенция об охране литературных и художественных произведений в редакции 1971 года». Российская Федерация присоединилась 13 марта 1995 года.
5. «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Ратифицирована Законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ.
6. «Окинавская хартия глобального информационного общества». Окинава, 22 июля 2000 года.
7. Декларация принципов «Построение информационного общества глобальная задача в новом тысячелетии». Всемирная встреча на высшем уровне по вопросам информационного общества. Женева, 10 декабря 2003 года.
8. «Международная конвенция об охране прав исполнителей, изготовителей фонограмм и вещательных организаций» (Рим, 26 октября 1961 года. Вступила в силу для Российской Федерации 26 мая 2003 года).
9. «Конвенция об охране интересов производителей фонограмм от незаконного воспроизводства их фонограмм» (Женева, 29 октября 1971 года; вступила в силу для Российской Федерации 13 марта 1995 года).
Концептуальные документы Российской Федерации:
1. «Конституция Российской Федерации» от 12 декабря 1993 года.
2. «Доктрина информационной безопасности Российской Федерации». Утверждена Указом Президента Российской Федерации от 09.09.00. № Пр-1895.
3. «Концепция национальной безопасности Российской Федерации» Утверждена Указом Президента Российской Федерации от 10.01.00 № 24 (изменена Указом Президента РФ от 10.01.2000 № 24).
4. «Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года». Распоряжение Правительства РФ от 27 сентября 2004 года № 1244-р.
5. «Концепции создания системы персонального учета населения Российской Федерации». Утверждена Распоряжением Правительства РФ от 9 июня 2005 года № 748-р.
6. «Концепция региональной информатизации до 2010 года». Одобрена Распоряжением Правительства РФ от 17 июля 2006 года № 1024-р.
7. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Утвержден решением Государственной технической комиссии от 30 марта 1992 года.
8. «Стратегия развития информационного общества в России». Утверждена Советом Безопасности Российской Федерации 25.07.07.
9. «Концепция формирования информационного общества в России». Одобрена решением Государственной комиссии по информатизации при Государственном комитете Российской Федерации по связи и информатизации от 28 мая 1999 г. № 32.
10. «Концепция развития рынка информационных технологий в Российской Федерации» {проект).
Федеральные Законы Российской Федерации:
2. «О безопасности» от 5 марта 1992 года № 2446-1 (с изменениями и дополнениями от 25.12.92. № 4235-1;от 24.12.93. № 2288; от 25.07.02. № 116-ФЗ; от 07.03.05. №15-ФЗ, от 25.07.06 № 128-ФЗ).
3. «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 года № 3523-1 (с изменениями и дополнениями от 24.12.02 № 177-ФЗ, от 02.11.04 № 127-ФЗ, от 02.02.06 № 19-ФЗ). Закон утратил силу с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
4. «Патентный Закон» от 23 сентября 1992 года № 3517-1 (с изменениями и дополнениями от 27.12.00 № 150-ФЗ, от 30.12.01 № 194-ФЗ, от 24.12.02 № 176-ФЗ, от 07.02.03 № 22-ФЗ, от 02.02.06 № 19-ФЗ). Закон утратил силу с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
5. «О правовой охране топологий интегральных микросхем» от 23 сентября 1992 года № 3526-1 (с изменениями и дополнениями от 09.07.02 № 82-ФЗ, от 02.11.04 № 127-ФЗ, от 02.02.06 № 19-ФЗ). Закон утратил силу с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
6. «Об авторском праве и смежных правах» от 9 июля 1993 года № 5351-1 (с изменениями и дополнениями от 20.07.04 № 72-ФЗ). Закон утратил силу с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
7. «О государственной тайне» от 21 июля 1993 года № 5485-1 (с изменениями и дополнениями от 06.10.97 № 131-ФЗ; от 30.06.03 № 86-ФЗ; от 11.11.03 № 153-ФЗ; от 29.06.04 № 58-ФЗ; от 22.07.04 № 122-ФЗ).
8. «Гражданский кодекс Российской Федерации» от 30 ноября 1994 года № 51-ФЗ (часть 1 с изм., внесенными Федеральным Законом от 29.12.06 № 258-ФЗ, часть 2 с изм. от 18.12.06 № 231-ФЗ, часть 3 с изм., внесенными Федеральными Законами от 18.12.06 № 231-ФЗ, от 29.12.06 № 258-ФЗ, часть 4 в соответствии с Федеральным Законом от 18.12.06 № 231-ФЗ вступает в силу с 1 января 2008 года).
9. «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ (с изменениями и дополнениями от 10 января 2003 года № 15-ФЗ). Закон утратил силу в связи с принятием Закона № 149-ФЗ.
10. «О Федеральной службе безопасности» от 3 апреля 1995 года № 40-ФЗ (в ред. Федеральных законов от 30.12.1999 № 226-ФЗ, от 07.11.2000 № 135-ФЗ, от
07.05.2002 № 49-ФЗ, от 25.07.2002 № 116-ФЗ, от 10.01.2003 № 4-ФЗ, от
30.06.2003 № 86-ФЗ, от 22.08.2004 № 122-ФЗ, от 07.03.2005 № 15-ФЗ, от 15.04.2006 № 50-ФЗ, от 27.07.2006 № 153-ФЗ, с изм., внесенными Федеральным законом от 30.12.2001 № 194-ФЗ).
11. «Об оперативно-розыскной деятельности» от 12 августа 1995 года № 144-ФЗ (вред. Федеральных законов от 18.07.97 № 101-ФЗ, от 21.07.98 № 117-ФЗ, от 05.01.99 № б-ФЗ, от 30.12.99 № 225-ФЗ, от 20.03.01 № 26-ФЗ, от 10.01.03 № 15-ФЗ, от 30.06.03 № 86-ФЗ, от 29.06.04 № 58-ФЗ, от 22.08.04 № 122-ФЗ, от 02.12.05 № 150-ФЗ).
12. «О государственной охране» от 7 мая 1996 года № 57-ФЗ (в ред. Федеральных Законов от 18.07.97 № 101-ФЗ, от 07.11.00 № 135-ФЗ, от 07.05.02 № 49-ФЗ, от
30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 29.12.04 № 191-ФЗ).
13. «Об участии в международном информационном обмене» от 4 июня 1996 года № 85-ФЗ (с изменениями и дополнениями от 30.06.03. № 86-ФЗ: от 29.06.04. № 58-ФЗ). Закон утратил силу в связи с принятием Закона № 149-ФЗ.
14. «Уголовный Кодекс Российской Федерации» от 13 июня 1996 года № 63-ФЗ (с последними изменениями и дополнениями от 30.12.06. № 283-ФЗ, от 09.04.07 № 42-ФЗ, от 09.04.07 № 46-ФЗ).
15. «О внешней разведке» от 10 января 1996 года № 5-ФЗ (в ред. Федеральных Законов от 07.11.00 г. № 135-ФЗ, от 30.06.03 г. № 86-ФЗ, от 22.08.04 г. № 122-ФЗ, от 14.02.07 г. № 20-ФЗ).
16. «О лицензировании отдельных видов деятельности» от 8 августа 2001 года № 128-ФЗ (с изменениями и дополнениями от 13.03.02. № 28-ФЗ, от 21.03.02 № 31-ФЗ; от 09.12.02. № 164-ФЗ; от 10.01.03. № 17-ФЗ; от 27.02.03. № 29-ФЗ; от 11.03.03. № 32-ФЗ; от 26.03.03. М36-ФЗ; от 23.12.03. №185-ФЗ; от 02.11.04. № 127-ФЗ; от 21.03.05. № 20-ФЗ, от 02.07.05 № 80-ФЗ, от 31.12.05 № 200-ФЗ, от 27.07.06 М 156-ФЗ, от 04.12.06 № 201-ФЗ, от 29.12.06 № 244-ФЗ, от 29.12.06 № 252-ФЗ, от 05.02.07 № 13-ФЗ).
17. «Кодекс Российской Федерации об административных правонарушениях» от 30 декабря 2001 года № 195-ФЗ (с последними изменениями и дополнениями от 09.02.07 № 19-ФЗ, от 29.03.07 М 39-ФЗ, от 09.04.07 № 44-ФЗ, от 20.04.07 № 54-ФЗ).
18. «Трудовой Кодекс Российской Федерации» от 30 декабря 2001 года № 197-ФЗ (в ред. Федеральных Законов от 24.07.2002 № 97-ФЗ, от 25.07.02 № 116-ФЗ, от 30.06.03 № 86-ФЗ, от 27.04.04 № 32-ФЗ, от 22.08.04 № 122-ФЗ, от 29.12.04 № 201-ФЗ, от 09.05.05 № 45-ФЗ, от 30.06.06 № 90-ФЗ, от 18.12.06 № 232-ФЗ, от 30.12.06 № 271-ФЗ).
19. «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ.
20. «О техническом регулировании» от 27 декабря 2002 года № 184-ФЗ (с изменениями и дополнениями от 09.05.05. № 45-ФЗ).
21. «О государственной автоматизированной системе Российской Федерации "Выборы"» от 10 января 2003 года № 20-ФЗ.
22. «Таможенный кодекс Российской Федерации» от 28 мая 2003 года № 61-ФЗ (в ред. Федеральных Законов от 29.06.04 № 58-ФЗ, от 20.08.04 № 118-ФЗ, от
11.11.04 № 139-ФЗ, от 18.07.05 № 90-ФЗ, от 31.12.05 № 204-ФЗ, от 10.01.06 № 16-ФЗ, от 18.02.06 № 26-ФЗ, от 30.12.06 № 266-ФЗ, с изм., внесенными Федеральными Законами от 23.12.03 № 186-ФЗ, от 19.12.06 № 238-ФЗ).
23. «О связи» от 7 июля 2003 года № 126-ФЗ (с изменениями и дополнениями от 22.08.04 № 122-ФЗ, от 02.11.04 № 127-ФЗ, от 09.05.05 № 45-ФЗ, от 02.02.06 № 19-ФЗ, от 03.03.06 № 32-ФЗ, от 26.07.06 № 132-ФЗ, от 27.07.06 № 153-ФЗ, от 29.12.06 № 245-ФЗ, от 23.12.03 № 186-ФЗ, от 09.02.07 № 14-ФЗ).
24. «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ).
25. «Об архивном деле в Российской Федерации» от 22 октября 2004 года № 125-ФЗ (с изменениями и дополнениями от 04.12.06 № 202-ФЗ).
26. «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 года № 160-ФЗ.
27. «О рекламе» от 13 марта 2006 года № 38-ФЗ (с изменениями от 09.02.07 № 18-ФЗ, от 18.12.06 № 231-ФЗ).
28. «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
29. «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ.
30. «О транспортной безопасности» от 9 февраля 2007 года № 16-ФЗ.
31. «О внесении изменений в статьи 146 и 180 Уголовного Кодекса Российской Федерации» от 9 апреля 2007 года № 42-ФЗ.
32. «О правовом регулировании оказания интернет-услуг» (проект).
33. «Об электронной торговле» (проект).
Указы Президента Российской Федерации:
1. Указ от 31 декабря 1993 года № 2334 «О дополнительных гарантиях прав граждан на информацию» (в ред. Указов Президента РФ от 17.01.97 № 13, от 01.09.00 № 1606)
2. Указ от 20 января 1994 года № 170 «Об основах государственной политики в сфере информатизации» (в ред. Указов Президента РФ от 26.07.95 № 764, от 17.01.97 № 13, от 09.07.97 № 710)
3. Указ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (с изм., внесенными Указами Президента РФ от 24.01.98 № 61, от 06.06.2001 № 659, от 10.09.01 № 1Щ от 29.05.02 № 518, от 03.03.05 № 243, от 11.02.06 № 90).
4. Указ от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (в ред. Указа Президента РФ от 25.07.2000 № 1358).
5. Указ от 8 ноября 1995 года № 1108 «О создании Межведомственной комиссии по защите государственной тайны».
6. Указ от 9 января 1996 года № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (в ред. Указа Президента РФ от 30.12.00 № 2111).
7. Указ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» (изм., внесенными Указом Президента РФ от 23.09.05 № 1111).
8. Указ от 10 января 2000 года № 24 «Об утверждении концепции национальной безопасности Российской Федерации» (с изм., внесенными Указом Президента РФ от 10.01.00 № 24).
9. Указ от 9 сентября 2000 года № Пр-1895 «Доктрина информационной безопасности Российской Федерации».
10. Указ от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации».
11. Указ от 11 августа 2003 года № 960 «Вопросы Федеральной службы безопасности Российской Федерации» (в ред. Указов Президента Российской Федерации от 11.07.04 № 870, от 31.08.05 № 1007, от 01.12.05 № 1383, от 12.06.06 № 602, от 27.07.06 № 799, от 28.12.06 № 1476).
12. Указ от 12 мая 2004 года № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изм., внесенными Указами Президента РФ от 22.03.05 № 329, от 03.03.2006 № 175).
13. Указ от 20 мая 2004 года № 649 «Структура федеральных органов исполнительной власти» (в ред. Указов Президента от 28.07.04 № 976, от 13.09.04 № 1168, от 11.10.04 № 1304, от 18.11.04 М 1453, от 01.12.04 № 1487, от
22.07.05 № 855, от 05.09.05 № 1049, от 03.10.05 № 1158, от 11.05.06 № 473, от
30.06.06 № 658, от 05.02.07 № 119, от 12.03.07 № 320).
14. Указ от 7 июня 2004 года № 726 «Об утверждении Положений о Совете Безопасности Российской Федерации и аппарате Совета Безопасности...» (в ред. Указа Президента Российской Федерации от 25.07.06 № 763).
15. Указ от 7 августа 2004 года № 1013 «Вопросы Федеральной службы охраны Российской Федерации» (в ред. Указов Президента РФ от 28.12.04 № 1627, от 22.03.05 № 329, от 01.10.05 № 1146, от 06.10.05 № 1164, от 05.04.06 № 318).
16. Указ от 16 августа 2004 года № 1085 «Вопросы Федеральной службы но техническому и экспортному контролю» (с изм., внесенными Указами Президента РФ от 22.03.05 № 330, от 20.07.05 № 846, от 30.11.06 № 1321).
17. Указ от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны».
18. Распоряжение от 16 апреля 2005 года № 151-рп «О перечне должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне».
19. Указ от 28 октября 2005 года № 1244 «Об утверждении Положения о Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности» (с изменениями от 12 июня 2006 года).
20. Указ от 12 марта 2007 года № 320 «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия».
Постановления Правительства Российской Федерации:
1. От 5 декабря 1991 года № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» (в ред. Постановления Правительства РФ от 03.10.02 № 731).
2. От 3 ноября 1994 года № 1224 «О присоединении Российской Федерации к Бернской конвенции об охране литературных и художественных произведений в редакции 1971 года и дополнительным протоколам 1 и 2, Конвенции 1971 года об охране интересов производителей фонограмм от незаконного воспроизводства их фонограмм».
3. От 3 ноября 1994 года № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в Федеральных органах исполнительной власти».
4. От 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с изм., внесенными Постановлениями Правительства РФ от 23.04.96 № 509, от 30.04.97 № 513, от 29.07.98 № 854, от 03.10.02 № 731, от 17.12.04 № 807, от 26.01.07 № 50).
5. От 4 сентября 1995 года № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».
6. От 26 июня 1995 года № 608 «О сертификации средств защиты информации» (с изм., внесенными Постановлениями Правительства РФ от 23.04.96 № 509, от 29.03.1999 № 342, от 17.12.04 № 808).
7. От 28 октября 1995 года № 1050 «Об утверждении инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне» (в ред. Постановлений Правительства РФ от 08.08.03 № 475, от 15.11.04 №637).
8. От 28 февраля 1996 года № 226 «О государственном учете и регистрации баз и банков данных» (в ред. Постановления Правительства РФ от 02.03.05 № 101).
9. От 1 июля 1996 года № 770 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности (в ред. Постановления Правительства РФ от 15.07.02 № 526).
10. От 3 июня 1998 года № 564 «Об утверждении Положения о лицензировании деятельности по международному информационному обмену» (в ред. Постановления Правительства РФ от 03.10.02 № 731).
11. От 22 августа 1998 года № 1003 «Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне».
12. От 10 марта 2000 года № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежит лицензированию» (в ред. Постановлений Правительства РФ от 19.10.00 № 800, от 27.11.06 № 718).
13. От 15 июля 2002 года № 526 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность» (в ред. Постановлений Правительства РФ от 14.06.05 № 376, от 26.01.07 № 50).
14. От 23 сентября 2002 года № 691 «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
15. От 12 февраля 2003 года № 95 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
16. От 12 февраля 2003 года № 98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти».
17. От 15 августа 2003 года № 500 «О Федеральном информационном фонде технических регламентов и стандартов и единой информационной системе по техническому регулированию» (в ред. Постановления Правительства РФ от 02.08.05 № 486).
18. От 7 апреля 2004 года № 178 «Вопросы Федеральной службы но интеллектуальной собственности, патентам и товарным знакам».
19. От 16 июня 2004 года № 299 «Об утверждении Положения о Федеральной службе по интеллектуальной собственности, патентам и товарным знакам».
20. От 17 июня 2004 года № 294 «О Федеральном агентстве по техническому регулированию и метрологии» (с изм. от 27.10.04 г.).
21. От 30 июня 2004 года № 319 «Об утверждении Положения о Федеральном агентстве по информационным технологиям».
22. Распоряжение от 27 сентября 2004 года № 1244-р «Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года».
23. От 3 декабря 2004 года № 728 «О персональном составе Межведомственной комиссии по защите государственной тайны».
24. От 31 декабря 2004 года № 896 «Об утверждении перечня средств связи, подлежащих обязательной сертификации».
25. Распоряжение от 9 июня 2005 года № 748-р об утверждении «Концепции создания системы персонального учета населения Российской Федерации».
26. От 27 августа 2005 года № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность».
27. От 17 ноября 2005 года № 685 «О порядке распоряжения нравами па результаты научно-технической деятельности».
28. От 23 января 2006 года № 32 «Об утверждении Правил оказания услуг связи по передаче данных». Правила введены в действие с 1 июля 2006 года.
29. От 26 января 2006 года № 45 «Об организации лицензирования отдельных видов деятельности» (в ред. Постановления Правительства РФ от 05.05.07 № 269).
30. От 13 апреля 2006 года № 213 «О Правительственной комиссии по федеральной связи».
31. Распоряжение Правительства РФ от 17 июля 2006 года № 1024-р об одобрении «Концепции региональной информатизации до 2010 года».
32. От 15 августа 2006 года № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
33. От 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
34. От 14 февраля 2007 года № 94 «О государственной информационной системе миграционного учета».
35. От 20 февраля 2007 года № 116 «Об утверждении правил осуществления контроля и надзора в сфере образования».
36. От 10 марта 2007 года № 147 «Об утверждении Положения о пользовании официальными сайтами в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд и о требованиях к технологическим, программным, лингвистическим, правовым и организационным средствам обеспечения пользования указанными сайтами».
37. От 10 сентября 2007 года № 575 «Об утверждении Правил оказания телематических услуг связи». Правила введены с 1 января 2008 года.
Постановления федеральных органов:
1. Приказ ФСБ от 13 ноября 1999 года № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».
2. Положение о порядке регистрации сетевых электронных научных изданий, публикации в которых учитываются при защите диссертационных работ. Утверждено заместителем министра связи и информатизации 18.04.02.
3. Приказ Федеральной налоговой службы от 3 марта 2003 года № БГ-3-28/96 «Об утверждении порядка доступа к конфиденциальной информации налоговых органов».
4. Приказ Государственного таможенного комитета Российской Федерации от 13 мая 2004 года № 564 «Об утверждении Положения об организации проверок информационных систем, информационных технологий и средств их обеспечения, используемых участниками внешнеэкономической деятельности».
5. Приказ ФСБ от 9 февраля 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
6. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Введен в действие с 01.01.2006 г. распоряжением Банка России от 26 января 2006 года № Р-27.
7. Постановление пленума Верховного суда Российской Федерации от 19 июня 2006 года № 15 «О вопросах, возникших у судов при рассмотрении гражданских дел, связанных с применением законодательства об авторском праве и смежных правах».
8. Постановление Центральной избирательной комиссии от 28 февраля 2007 года № 200/1254-4 «О внесении изменений в Положение об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации "Выборы"».
9. Постановление Центральной избирательной комиссии от 28 февраля 2007 года № 200/1255-4 «Об инструкции по размещению данных государственной автоматизированной системы Российской Федерации "Выборы" в сети Интернет».
10. Решение Совета главных конструкторов информатизации регионов Российской Федерации от 2 ноября 2006 года № СГК-2/2-2006.
11. Постановление пленума Верховного суда Российской Федерации от 26 аире-ля 2007 года № 14 «О практике рассмотрения судами уголовных дел о нарушении авторских, смежных, изобретательских и патентных нрав, а также о незаконном использовании товарного знака».
Государственные стандарты:
1. ГОСТ Р 5037792. Безопасность оборудования информационной технологии, включая электрическое конторское оборудование.
2. ГОСТ Р 5073995. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
3. ГОСТ Р 5092296. Защита информации. Основные термины и определения.
4. ГОСТ Р 5117198. Качество служебной информации. Правила предъявления информационных технологий па сертификацию.
5. ГОСТ Р 5118898. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
6. ГОСТ Р 5127599. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
7. ГОСТ Р 52069.02003. Защита информации. Система стандартов. Основные положения.
8. ГОСТ Р ИСО 7498-199. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
9. ГОСТ Р ИСО 7498-299. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
10. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
11. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
12. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
13. ГОСТ Р В 5017092. Противодействие ИТР. Термины и определения.
14. ГОСТ 2868990. Радиопомехи от ПЭВМ. Нормы и методы испытаний.
15. ГОСТ Р 34.1094. Системы обработки информации. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
16. ГОСТ Р 34.102001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
17. ГОСТ Р 34.1194. Системы обработки информации. Криптографическая защита информации. Функция хеширования.
18. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
19. ГОСТ Р ИСО/МЭК ТО 13335-5-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
20. ГОСТ Р 50.1.0532005. Информационные технологии. Основные термины и определения в области технической защиты информации.
Руководящие документы Гостехкомиссии:
1. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Утвержден решением Гостехкомиссии от 30 марта 1992 года.
2. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Утвержден решением председателя Гостехкомиссии России от 30 марта 1992 года.
3. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Утвержден решением председателя Гостехкомиссии от 30 марта 1992 года.
4. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Утвержден решением председателя Гостехкомиссии от 30 марта 1992 года.
5. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Утвержден решением председателя Гостехкомиссии от 30 марта 1992 года.
6. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Утвержден решением председателя Гостехкомиссии от 25 июля 1997 года.
7. Руководящий документ «Защита информации. Специальные защитные знаки. Классификация и общие требования». Утвержден решением председателя Гостехкомиссии от 25 июля 1997 года.
8. Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Утвержден решением председателя Гостехкомиссии от 4 июня 1999 года № 114.
9. Руководящий документ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Введен в действие Приказом Гостехкомиссии России от 19.06.02 № 187 (Части 1, 2, 3). Соответствует ГОСТ Р ИСО/МЭК 15408-2002.
10. Руководящий документ «Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 год.
11. Руководящий документ «Безопасность информационных технологий. Руководство по регистрации профилей защиты». Гостехкомиссия России, 2003 год.
12. Руководящий документ «Безопасность информационных технологий. Руководство по формированию семейств профилей защиты». Гостехкомиссия России, 2003 год.
13. Руководящий документ «Руководство по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 год.
3.3. Конституция
Российской Федерации
Конституция Российской Федерации определяет базовые принципы общественных отношений в информационной сфере. Правовым фундаментом, регулирующим отношения в области информации, являются статьи Конституции 15, 23, 24, 29, 44.
Статья 15. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие нрава, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.
Общепризнанные принципы и нормы международного нрава и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
Статья 23:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только па основании судебного решения.
Статья 24:
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 29:
1. Каждому гарантируется свобода мысли и слова.
2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства.
3. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.
4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается.
Статья 44:
1. Каждому гарантируется свобода литературного, художественного, научного технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом.
2. Каждый имеет право на участие в культурной жизни и пользование учреждениями культуры, на доступ к культурным ценностям.
3. Каждый обязан заботиться о сохранении исторического и культурного наследия, беречь памятники истории и культуры.
3.4. Концепция
национальной безопасности
Российской Федерации
Концепция национальной безопасности Российской Федерации утверждена Указом Президента Российской Федерации от 17 декабря 1997 года № 1300 (в редакции Указа Президента РФ от 10.01.00 № 24). Она является политическим концептуальным документом и отражает систему взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних и внутренних угроз во всех сферах жизнедеятельности. В ней сформулировано понятие национальных интересов России как совокупность сбалансированных интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах.
В соответствии с Концепцией, национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.
Следует отметить, что национальные интересы государства в области защиты информации сформулированы слишком узко. В концепции речь идет только о государственных информационных ресурсах и о защите только от несанкционированного доступа.
Концепция определяет основные внутренние и внешние угрозы национальной безопасности страны, основные задачи в области обеспечения национальной безопасности.
Отмечается усиление угроз национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляет собой стремление ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей создание средств опасного воздействия на информационные сферы других стран мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Важнейшими задачами обеспечения информационной безопасности Российской Федерации являются:
□ реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности;
□ совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство;
□ противодействие угрозе развязывания противоборства в информационной сфере.
3.5. Доктрина
информационной
безопасности
Российской Федерации
Доктрина информационной безопасности Российской Федерации утверждена Президентом Российской Федерации 9 сентября 2000 года № Пр-1895. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации и развивает Концепцию национальной безопасности применительно к информационной сфере. Согласно Доктрине, информационная безопасность Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства.
Доктрина служит основой для:
□ формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
□ подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
□ разработки целевых программ обеспечения информационной безопасности Российской Федерации.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:
□ Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею.
□ Вторая составляющая включает в себя информационное обеспечение государственной политики Российской Федерации.
□ Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции па мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
□ Четвертая составляющая включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых на территории России.
Все угрозы информационной безопасности Российской Федерации по своей общей направленности подразделяются на следующие виды:
□ угрозы конституционным нравам и свободам человека и гражданина в области духовной жизни и информационной деятельности;
□ угрозы информационному обеспечению государственной политики Российской Федерации;
□ угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
□ угрозы безопасности информационных и телекоммуникационных средств и систем.
В Доктрине дается подробный конкретный перечень по каждому виду угроз. Источники угроз информационной безопасности Российской Федерации подразделяются на внешние и внутренние. К внешним источникам относятся:
□ деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
□ стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
□ обострение международной конкуренции за обладание информационными технологиями и ресурсами;
□ деятельность международных террористических организаций;
□ увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
□ деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
□ разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
□ критическое состояние отечественных отраслей промышленности;
□ неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
□ недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
□ недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
□ неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
□ недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
□ недостаточная экономическая мощь государства;
□ снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
□ недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
□ отставание России от ведущих стран мира по уровню информатизации.
В Доктрине отмечается, что анализ состояния информационной безопасности Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения следующих задач:
□ разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
□ развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
□ разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
□ разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
□ совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации;
□ установление ответственности должностных лиц и граждан за соблюдение требований информационной безопасности;
□ координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
□ развитие научно-практических основ обеспечения информационной безопасности Российской Федерации;
□ разработка и создание механизмов формирования и реализации государственной информационной политики России;
□ разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
□ обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность;
□ разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий;
□ развитие и совершенствование государственной системы защиты информации и системы защиты государственной тайны;
□ создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
□ расширение взаимодействия с международными и зарубежными органами и при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
□ обеспечение условий для активного развития российской информационной инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
□ создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.
Согласно Доктрине, общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативно-правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
□ создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
□ усиление правоприменительной деятельности органов исполнительной власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
□ разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
□ создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
□ выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
□ сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
□ совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
□ контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
□ формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
□ разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
□ совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
В Доктрине рассмотрены особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни: экономической, научно-технической, коммуникационной.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз в сфере экономики наиболее подвержены:
□ система государственной статистики;
□ кредитно-финансовая система;
□ информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти;
□ системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
□ системы сбора, обработки, хранения и передачи.
Серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций.
Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются:
□ организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи информации;
□ коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации;
□ разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи экономической информации;
□ разработка и внедрение национальных защищенных систем электронных платежей, а также разработка нормативной правовой базы, регламентирующей их использование;
□ совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
□ совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
В Доктрине описаны внутренние и внешние угрозы информационной безопасности Российской Федерации в сфере внутренней и внешней политики, намечены основные мероприятия по обеспечению информационной безопасности в этих сферах.
В области науки и техники наиболее важными объектами обеспечения информационной безопасности Российской Федерации являются:
□ результаты фундаментальных, поисковых и прикладных научных исследований, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
□ открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
□ научно-технические кадры и система их подготовки;
□ системы управления сложными исследовательскими комплексами.
Реальный путь противодействия угрозам информационной безопасности Российской Федерации в области науки и техники это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации.
В общегосударственных информационных и телекоммуникационных системах основными объектами обеспечения информационной безопасности Российской Федерации являются:
□ информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;
□ средства и системы информатизации, программные средства, автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
□ технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
□ помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.
Основными направлениями обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
□ предотвращение перехвата информации из помещений и с объектов, а также информации, передаваемой по каналам связи с помощью технических средств;
□ исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;
□ предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств ее обработки, хранения и передачи;
□ предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
□ обеспечение информационной безопасности при подключении общегосударственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные;
□ обеспечение безопасности конфиденциальной информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;
□ выявление внедренных на объекты и в технические средства электронных устройств перехвата информации.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
□ лицензирование деятельности организаций в области защиты информации;
□ аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
□ сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
□ введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
□ создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
В Доктрине указано, что наиболее уязвимыми объектами обеспечения информационной безопасности Российской Федерации в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий, а также система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций. Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях.
В Доктрине отмечено, что, учитывая глобальный характер процессов информатизации, международное сотрудничество Российской Федерации в области обеспечения информационной безопасности является неотъемлемой составляющей политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Российскую Федерацию.
В разделе «Основные положения государственной политики обеспечения информационной безопасности Российской Федерации» указаны основные принципы такой политики:
□ соблюдение Конституции Российской Федерации, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
□ открытость в реализации функций органов государственной власти, органов государственной власти с учетом ограничений, установленных законодательством Российской Федерации;
□ правовое равенство всех участников процесса информационного взаимодействия, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
□ приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.
В качестве одной из важнейших функций государства в сфере обеспечения информационной безопасности указан контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации.
В Доктрине определены основные функции организационной основы системы обеспечения информационной безопасности Российской Федерации:
□ разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;
□ создание условий для реализации прав граждан и общественных объединений па разрешенную законом деятельность в информационной сфере;
□ определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
□ оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних .угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;
□ координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
□ контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
□ предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства но делам о преступлениях в этой области;
□ развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынках;
□ организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;
□ проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;
□ организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской Федерации;
□ защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
□ обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
□ совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;
□ осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.
В четвертом разделе Доктрины определены основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации:
□ Президент;
□ Совет Федерации;
□ Государственная Дума;
□ Правительство;
□ Совет Безопасности;
□ федеральные органы исполнительной власти;
□ межведомственные и государственные комиссии;
□ органы исполнительной власти субъектов Российской Федерации;
□ органы местного самоуправления;
□ органы судебной власти;
□ общественные объединения;
□ граждане.
По каждому из элементов организационной структуры определены основные функции.
3.6. Концепция использования
информационных технологий
в деятельности федеральных
органов исполнительной власти
Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года разработана Министерством информационных технологий и связи Российской Федерации во исполнение решения Правительства Российской Федерации (протокол заседания Правительства Российской Федерации от 11 сентября 2003 года № 33, раздел II, п. 2) и одобрена распоряжением Правительства Российской Федерации от 27 сентября 2004 года № 1244-р.
Настоящая Концепция определяет основные приоритеты, принципы и направления реализации единой государственной политики в сфере использования информационных технологий в деятельности федеральных органов государственной власти в соответствии с задачами модернизации государственного управления.
Основной целью использования информационных технологий, определенных Концепцией, является повышение эффективности механизмов государственного управления на основе создания общей информационно-технологической инфраструктуры, включающей государственные информационные системы и ресурсы, а также средства, обеспечивающие их функционирование, взаимодействие между собой, с населением и организациями в рамках предоставления государственных услуг.
Настоящая Концепция основана па результатах анализа основных проблем в сфере использования информационных технологий в деятельности федеральных органов государственной власти, она учитывает мировой опыт и сложившуюся практику их применения в государственном управлении. Важную роль в повышении эффективности использования информационных технологий играет федеральная целевая программа «Электронная Россия (2002-2010 годы)», утвержденная Постановлением Правительства Российской Федерации от 28 января 2002 года № 65, реализация которой позволяет сформировать необходимые предпосылки для внедрения информационных технологий на качественно новом уровне.
Государственная политика в сфере использования информационных технологий направлена на решение следующих основных задач:
□ реализация стратегических приоритетов в использовании информационных технологий в государственном управлении, формирование единого механизма межведомственной координации реализации государственных программ и проектов создания государственных информационных систем и ресурсов в соответствии с целями социально-экономического развития;
□ формирование общей информационно-технологической инфраструктуры для обеспечения деятельности федеральных органов государственной власти;
□ распространение практики предоставления гражданам и организациям доступа к открытой информации о деятельности федеральных органов государственной власти, соответствующим государственным информационным ресурсам, в том числе через сеть Интернет;
□ организация интерактивного информационного обслуживания граждан и организаций с использованием современных информационных технологий;
□ обеспечение информационной безопасности деятельности федеральных органов государственной власти и элементов информационно-технологической инфраструктуры;
□ развитие единой защищенной телекоммуникационной инфраструктуры для государственных нужд, системы удостоверяющих центров в области электронной цифровой подписи и электронной среды взаимодействия, обеспечивающей эффективный межведомственный информационный обмен;
□ разработка стандартов в сфере использования информационных технологий в деятельности федеральных органов государственной власти, создания государственных информационных систем, их интеграции и совместного использования в рамках создания общего информационного пространства федеральных органов государственной власти;
□ централизованное создание общих государственных информационных ресурсов (регистров, кадастров, реестров, классификаторов), обеспечение доступности соответствующих данных на межведомственном уровне, а также для граждан и организаций в соответствии с требованиями, установленными законодательством Российской Федерации;
□ построение единой системы управления процессом использования информационных технологий в деятельности федеральных органов государственной власти;
□ создание единой системы мониторинга и контроля эффективности использования информационных технологий в деятельности федеральных органов государственной власти;
□ реализация комплексных программ подготовки и повышения квалификации государственных служащих в части использования информационных технологий, развитие необходимой образовательной инфраструктуры и методического обеспечения;
□ совершенствование законодательной и иной нормативной правовой базы в целях повышения эффективности использования информационных технологий в деятельности федеральных органов государственной власти с учетом международной практики;
□ защита интеллектуальной собственности, недопущение использования в деятельности федеральных органов государственной власти программного обеспечения, не имеющего соответствующей лицензионной поддержки.
Концепция определяет основные приоритеты в следующих областях:
□ социально-экономического развития;
□ государственного управления;
□ обеспечения информационной открытости;
□ информационной безопасности;
□ формирования общего информационного пространства и защищенной информационной среды федеральных органов государственной власти;
□ разработки единых требований к основным элементам информационно-технологического обеспечения;
□ создания общегосударственных информационных ресурсов;
□ повышения квалификации государственных служащих в области информационных технологий;
□ совершенствования нормативной правовой базы в сфере использования информационных технологий;
□ обеспечения защиты интеллектуальной собственности в сфере использования информационных технологий.
В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации, обеспечение необходимого уровня безопасности государственных информационных систем и ресурсов, их целостности и конфиденциальности основано на применении единых требований защиты информации от несанкционированного доступа или изменения, воздействия компьютерных атак и вирусов, а также на использовании сертифицированных отечественных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.
В Концепции указано, что применение криптографических средств защиты информации является обязательным для информационных систем и ресурсов, содержащих сведения, составляющие государственную тайну.
Основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти выбраны:
□ обеспечение комплексного подхода к решению задач информационной безопасности;
□ разработка модели угроз информационной безопасности;
□ определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований;
□ обеспечение эффективного мониторинга состояния информационной безопасности;
□ совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов;
□ проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, контроль их соответствия требованиям информационной безопасности;
□ создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну;
□ развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита.
Концепцией определено, что в рамках совершенствования нормативной правовой базы необходимо обеспечить принятие новой редакции Федерального Закона от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации», систематизировать и унифицировать терминологию, употребляемую в действующих и разрабатываемых нормативных актах.
_______________________________________________________________________
ПРИМЕЧАНИЕ
Вместо закона № 24-ФЗ 27 июля 2006 года принят новый Федеральный Закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ.
__________________________________________________________________________
Концепция указывает на необходимость обеспечения использования лицензионных программно-технических средств в деятельности федеральных органов государственной власти на основе ускоренной разработки отечественных программно-технических средств и их применения в государственных информационных системах и ресурсах. В целях повышения эффективности работы в этой сфере в ежегодном докладе об использовании современных информационных технологий в деятельности федеральных органов государственной власти предусматривается представление материалов об объемах применения лицензионных программно-технических средств, а также о выявленных фактах нарушения прав интеллектуальной собственности. Материалы по указанной проблеме ежегодно представляются на рассмотрение Правительственной комиссии по противодействию нарушениям в сфере интеллектуальной собственности.
В результате реализации настоящей Концепции до 2010 года ожидается:
□ утверждение основополагающих стандартов в сфере использования информационных технологий в деятельности федеральных органов государственной власти;
□ внедрение информационных технологий, обеспечивающих для федеральных органов государственной власти возможность интерактивного информационного обслуживания граждан и организаций;
□ подключение федеральных органов государственной власти и их территориальных управлений к единой защищенной телекоммуникационной инфраструктуре, формируемой для государственных нужд;
□ интеграция ведомственных информационных систем на основе общих стандартов и требований в рамках общего информационного пространства, обеспечение эффективного и защищенного информационного обмена и электронного взаимодействия федеральных органов государственной власти между собой, с населением и организациями;
□ внедрение систем электронного документооборота с использованием электронной цифровой подписи в федеральных органах государственной власти, в том числе и на межведомственном уровне;
□ внедрение в федеральных органах государственной власти и их территориальных подразделениях комплексных информационных систем управления кадровыми, финансовыми и материально-техническими ресурсами;
□ повышение квалификации пользователей и обслуживающего персонала по использованию информационных технологий, организация обучения государственных служащих федеральных органов государственной власти на специальных курсах повышения квалификации;
□ формирование основных государственных информационных ресурсов, характеризующих ключевые объекты государственного управления, а также обеспечение доступа к ним па межведомственном уровне;
□ обеспечение поэтапного перевода открытой архивной информации федеральных органов государственной власти в электронный вид;
□ обеспечение доступа граждан к информации о деятельности федеральных органов государственной власти;
□ обеспечение основных потребностей федеральных органов государственной власти в персональных компьютерах, серверах, периферийном оборудовании, локальных сетях, компьютеризированной телефонии, а также в базовом и прикладном лицензионном программном обеспечении;
□ применение сети Интернет в деятельности федеральных органов государственной власти;
□ увеличение доли программных продуктов отечественного производства, используемых в деятельности федеральных органов государственной власти.
Правительством утвержден план мероприятий по реализации Концепции. Полный текст Концепции опубликован на сайте: http://www.russia№law.№et/ Iaw/acts/z42.htm.
3.7. Концепция региональной
информатизации
Распоряжением Правительства Российской Федерации от 17 июля 2006 года № 1024-р одобрена «Концепция региональной информатизации до 2010 года».
Концепция направлена па реализацию государственной политики в сфере региональной информатизации в соответствии с задачами модернизации государственного управления и социально-экономического развития регионов Российской Федерации. Основными целями региональной информатизации являются:
□ повышение эффективности управления социально-экономическим развитием субъектов Российской Федерации;
□ обеспечение доступа населения и организаций к информации о деятельности органов государственной власти субъектов Российской Федерации и их участия в процессе общественной экспертизы проектов решений в сфере региональной информатизации и эффективности их реализации;
□ улучшение качества государственного управления в органах государственной власти субъектов Российской Федерации;
□ создание условий для развития информационно-телекоммуникационной инфраструктуры, отвечающей современным требованиям и обеспечивающей потребности населения в информации, а также потребности органов государственной власти субъектов Российской Федерации в информации и информационном взаимодействии;
□ обеспечение информационной безопасности региональных и муниципальных информационных систем, информационно-телекоммуникационной инфраструктуры на территории субъектов Российской Федерации.
Государственная политика в сфере региональной информатизации основывается на следующих принципах:
□ использование информационных технологий для решения приоритетных задач социально-экономического развития субъектов Российской Федерации, совершенствование системы управления субъектов Российской Федерации, обеспечение прав и свобод граждан;
□ информационная открытость программ и проектов региональной информатизации для общества;
□ стандартизация, унификация и обеспечение совместимости отдельных решений в рамках региональной информатизации;
□ гармонизация нормативной правовой и методической базы, регламентирующей процессы региональной информатизации, с федеральным законодательством;
□ обеспечение безопасности информационных систем, их защиты, сохранности, целостности и достоверности;
□ обеспечение прав граждан и организаций па доступ к создаваемой информации;
□ обеспечение государственного и общественного контроля за деятельностью органов государственной власти субъектов Российской Федерации по сбору и хранению информации, а также но организации доступа к ней.
Одним из основных направлений реализации государственной политики в сфере региональной информатизации является создание в регионе комплекса государственных и муниципальных информационных систем, обеспечивающих поддержку деятельности органов государственной власти субъектов Российской Федерации и органов местного самоуправления, а также объединяющих их па основе общей информационно-технологической инфраструктуры региона (электронное правительство региона).
Важнейшим условием развития региональной информатизации является наличие региональной законодательной базы в сфере информационных и коммуникационных технологий, обеспечивающей эффективное функционирование электронного правительства региона.
В целях эффективной координации деятельности по реализации программ и проектов региональной информатизации создается Совет региональной информатизации при федеральном органе исполнительной власти, обеспечивающем нормативное правовое регулирование в сфере информационных технологий.
Реализация настоящей Концепции осуществляется в три этапа 2006, 2008, 2010 годы. Для каждого этапа в Концепции определены конкретные задачи.
В приложении к Концепции региональной информатизации изложены основные принципы функциональных подсистем и элементов инфраструктуры электронного правительства региона.
В целях обеспечения защиты электронного правительства региона, его отдельных подсистем, региональных информационных систем и информационного обмена от несанкционированного доступа, изменения и хищения, а также в целях борьбы с компьютерными вирусами и предотвращения утечек информации должна быть сформирована единая политика обеспечения информационной безопасности и реализована соответствующая подсистема.
Политика обеспечения информационной безопасности должна устанавливать:
□ общую модель угроз в сфере информационной безопасности электронного правительства региона;
□ классификацию объектов электронного правительства региона по необходимому уровню обеспечения защиты информации и общие требования к ним;
□ критерии отнесения объектов системы электронного правительства региона к системам, требующим защиты, и перечень необходимых мер по обеспечению их защиты;
□ порядок согласования требований к отдельным подсистемам электронного правительства региона, а также аттестации объектов электронного правительства региона;
□ порядок доступа к подсистемам электронного правительства региона.
Подсистема обеспечения информационной безопасности электронного правительства региона должна включать в себя функции осуществления доступа к подсистемам, регистрации и учета действий пользователей при работе с системой, мониторинга нарушений в области информационной безопасности, обеспечения антивирусной защиты, а также защиты информации при ее передаче и обработке с использованием сертифицированных средств.
3.8. Концепция создания
системы персонального
учета населения
Российской Федерации
Распоряжением Правительства Российской Федерации от 9 июня 2005 года № 748-р одобрена «Концепция создания системы персонального учета населения Российской Федерации». Концепция разработана Министерством экономического развития и торговли Российской Федерации совместно с Министерством информационных технологий и связи Российской Федерации и другими
заинтересованными федеральными органами исполнительной власти с участием Центральной избирательной комиссии Российской Федерации.
Система персонального учета представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан.
Взаимодействие автоматизированных систем учета осуществляется на основе единых форматов обмена данными с учетом требований по обеспечению информационной безопасности.
Система позволит обеспечить единый порядок сбора и использования персональных данных, а также создать систему персонального учета на основе интеграции автоматизированных систем учета в рамках единого информационного пространства.
Создание системы персонального учета осуществляется в соответствии со следующими основными принципами:
□ доступ к персональным данным и работа с ними на основании существующих и разрабатываемых регламентов, утверждаемых в соответствии с федеральными законами;
□ организация взаимодействия и информационного обмена автоматизированных систем учета между собой в рамках системы персонального учета на основе общих методических и технологических принципов и стандартов;
□ защита персональных данных в соответствии с законодательством Российской Федерации и требованиями по обеспечению информационной безопасности.
В целях создания нормативной правовой базы для развития и функционирования системы персонального учета необходимо регламентировать отношения, связанные с:
□ функционированием и статусом баз персональных данных;
□ формированием и законодательным закреплением перечня персональных данных, необходимых для однозначного установления их соответствия конкретному физическому лицу;
□ введением идентификатора персональных данных;
□ определением полномочий пользователей системы персонального учета;
□ защитой персональных данных;
□ взаимодействием государственных органов и населения в части сбора и передачи персональных данных.
Создание системы персонального учета предполагается осуществить в три этапа. Ориентировочный срок создания системы 7 лет.
3.9. Концепция защиты
средств вычислительной техники
и автоматизированных систем
от несанкционированного
доступа к информации
Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года.
Настоящий документ излагает систему взглядов и основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники (СВТ) и автоматизированных систем (АС), которые используются для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:
□ выработка требований по защите СВТ и АС от НСД к информации;
□ создание защищенных от НСД к информации СВТ и АС;
□ сертификация защищенных СВТ и АС.
Ниже перечислены основные принципы защиты от НСД в соответствии с Концепцией:
1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов но защите от НСД к информации.
2. Защита СВТ обеспечивается комплексом программно-технических средств.
3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть периодическим либо инициироваться по мере необходимости пользователем АС или контролирующими органами.
Концепция определяет четырехуровневую модель нарушителя в АС как субъекта, имеющего доступ к работе со штатными средствами АС.
1. Самый низкий уровень возможностей ведения диалога в АС запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
2. Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
3. Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
4. Высший уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
Основные способы НСД классифицируются следующим образом:
□ непосредственное обращение к объектам доступа;
□ создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
□ модификация средств защиты, позволяющая осуществить НСД;
□ внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
Обеспечение защиты СВТ и АС осуществляется системой разграничения доступа субъектов к объектам доступа путем реализации правил разграничения доступа (ПРД) субъектов и их процессов к данным и техническим средствам. Система разграничения доступа должна выполнять следующие функции:
□ идентификацию и аутентификацию субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
□ регистрацию действий субъекта и его процесса;
□ предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
□ реакцию па попытки НСД, например сигнализацию, блокировку, а также восстановление после НСД;
□ тестирование;
□ очистку оперативной памяти и рабочих областей па магнитных носителях после завершения работы пользователя с защищаемыми данными;
□ учет выходных печатных и графических форм и твердых копий;
□ контроль целостности программной и информационной части системы.
Основными характеристиками технических средств защиты являются:
□ степень полноты и качество охвата правил разграничения доступа в реализованной системе разграничения доступа (СРД);
□ состав и качество обеспечивающих средств для СРД;
□ гарантии правильности функционирования СРД и обеспечивающих ее средств.
Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС формулируемых заказчиком и согласуемых с разработчиком. Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты (КСЗ) Организационные мероприятия для АС реализуются заказчиком. Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.). По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных.
3.10. Концепция формирования
информационного общества
в России
Концепция разработана в 1999 году по инициативе Государственного комитета Российской Федерации по связи и информатизации и Комитета Государственной Думы по информационной политике и связи и одобрена решением Государственной комиссии по информатизации от 28 мая 1999 года № 32. Целью Концепции является определение российского пути перехода (или построения) к информационному обществу, основных условий, положений и приоритетов государственной информационной политики, обеспечивающих его реализацию.
В Концепции отмечено, что в настоящее время осознаны предпосылки и реальные пути формирования и развития информационного общества в России. К характерным чертам и признакам информационного общества следует отнести:
□ формирование единого информационно-коммуникационного пространства России как части мирового информационного пространства, полноправное участие России в процессах информационной и экономической интеграции регионов, стран и народов;
□ становление и в последующем доминирование в экономике новых технологических укладов, базирующихся на массовом использовании перспективных информационных технологий, средств вычислительной техники и телекоммуникаций;
□ создание и развитие рынка информации и знаний;
□ возрастание роли информационно-коммуникационной инфраструктуры в системе общественного производства;
□ повышение уровня образования, научно-технического и культурного развития за счет расширения возможностей систем информационного обмена на международном, национальном и региональном уровнях;
□ создание эффективной системы обеспечения прав граждан и социальных институтов на свободное получение, распространение и использование информации как важнейшего условия демократического развития.
Концепция определяет, что стратегической целью перехода к информационному обществу является создание развитой информационно-коммуникационной среды общества и интеграция России в мировое информационное сообщество.
Концепция определяет основные роли государства в обеспечении процесса перехода к информационному обществу. Оно юридически и технологически обеспечивает права на доступ к информации и информационным ресурсам для всего населения, а также охрану персональных данных, гарантирует гражданам предоставление постоянно расширяющегося набора информационных услуг, осуществляет целенаправленное использование информационных и коммуникационных технологий для расширения диалога власти и граждан. Должно быть обеспечено активное участие России в международном разделении труда на мировом рынке информационно-коммуникационных средств, продуктов и услуг, в разработке международных стандартов и правовых положений в этой области, в реализации международных проектов и программ информатизации.
Нельзя не отвечать на новые вызовы международной, национальной, общественной и личной безопасности, порождаемые движением к информационному обществу. Речь идет о подготовке и принятии широкомасштабных международно-правовых соглашений, ставящих под контроль производство и распространение информационных технологий в качестве оружия, о координации деятельности в сфере борьбы с информационным терроризмом и компьютерными преступлениями, о действенных мерах защиты информационных ресурсов, составляющих национальное достояние, интеллектуальной собственности и авторских прав на материалы, распространяемые по мировым открытым сетям.
Концепция определяет особенности и возможные пути перехода России к информационному обществу.
Основой российского пути должны стать:
□ информатизация всей системы общего и специального образования и последующих форм подготовки и переподготовки специалистов;
□ формирование и развитие индустрии информационных и коммуникационных услуг, в том числе домашней компьютеризации, ориентированной на массового потребителя;
□ обеспечение сферы информационных услуг духовным содержанием, отвечающим российским культурно-историческим традициям, в том числе организация мощного русскоязычного сектора в Интернете.
Концепция определила основные направления реализации предлагаемого пути, и в частности:
□ формирование и развитие информационно-коммуникационной инфраструктуры страны, обеспечивающей реализацию процессов создания, хранения, распространения и использования информации и обеспечение доступа к ней широких слоев населения;
□ совершенствование и развитие системы национальных информационных ресурсов и технологий доступа к ним;
□ создание и развитие новых информационных, компьютерных и телекоммуникационных технологий, обеспечивающих реализацию процессов сбора, накопления, хранения, передачи и доставки информации, ее целостность, доступность и конфиденциальность;
□ совершенствование и развитие системы информационного законодательства и механизмов его реализации;
О совершенствование и развитие системы обеспечения личной и общественной безопасности в информационной сфере, предотвращение угроз использования новых информационных технологий в качестве оружия, информационного терроризма и информационного криминала;
□ государственная поддержка систем массовой подготовки и переподготовки кадров для работы в информационных и коммуникационных системах нового поколения.
3.11. Стратегия развития
информационного общества
в России
Проект «Стратегии развития информационного общества в России» подготовлен Министерством информационных технологий и связи с участием института развития информационного общества. Данный проект был представлен 25 июля 2007 года на заседании Совета Безопасности Российской Федерации министром Мининформсвязи Л. Д. Рейманом.
В своем вступительном слове Президент Российской Федерации В. В. Путин отметил, что развитие информационного общества это системная и долгосрочная задача, в решении которой сходится целый ряд проблем: от развития конкурентоспособности экономики до укрепления обороноспособности страны. Президент выразил убеждение, что «в России сейчас есть все возможности, чтобы к 2015 году войти в число стран лидеров глобального информационного общества, но достижение такого ориентира потребует четко скоординированной работы органов власти, представителей бизнеса и гражданского общества».
Президент счел целесообразным создать при Президиуме Совета по науке, технологиям и образованию Комиссию по вопросам развития информационного общества. Он дал поручение до 1 октября 2007 года подготовить решение по ее персональному составу и направлениям работы. Президент отметил, что уже четверть российских семей имеет компьютеры. Число же пользователей Интернета перевалило за 25 миллионов человек. А до конца текущего года все российские школы должны получить широкополосный доступ к Интернету.
Президент выделил ряд принципиальных моментов, связанных с представленным проектом. Данный документ должен послужить основой подготовки конкретных программ, как в центре, так и на местах. Причем эти программы должны касаться всех направлений: от разработок и производства 1Т-техиоло-гий до их внедрения. Использование информационных технологий должно служить обязательным критерием эффективности работы ведомств, властей регионов и органов местного самоуправления, для чего необходимо выработать объективные оценочные показатели развития и внедрения этих технологий. Была отмечена необходимость стимулирования производства отечественной IT-продукции, что позволит последовательно решать вопрос импортозамещения, потому что данная отрасль имеет прямой выход на некоторые аспекты, связанные с национальной безопасностью.
Как сообщил Л. Д. Рейман, «Стратегия развития информационного общества в России» это ответ России на новые вызовы, связанные с развитием постиндустриальной информационной инфраструктуры. Документ устанавливает общие стратегические ориентиры развития до 2015 года. «Важнейшими приоритетами Стратегии являются: реализация на практике конституционных прав граждан на доступ к информации, обеспечение равных возможностей для получения базовых услуг связи вне зависимости от территории или региона, где проживают наши граждане, стимулирование дальнейшего распространения и массового применения информационных технологий в социально-экономической сфере», подчеркнул министр. К 2010 году мы должны обеспечить 100-про-цеитный уровень доступности для граждан базовых телекоммуникационных услуг на всей территории страны, а также в три раза увеличить количество пользователей услуг широкополосного доступа к сети Интернет. Сегодня Россия занимает 52 место в международных рейтингах, и благодаря реализации рассматриваемой стратегии к 2015 году Россия должна войти в двадцатку лидеров глобального информационного общества, а по показателю доступности информационной и телекоммуникационной инфраструктуры для граждан и организаций войти в десятку стран-лидеров.
По итогам заседания Совет Безопасности Российской Федерации утвердил «Стратегию развития информационного общества в России».
Полный текст документа можно найти на сайте Совета безопасности: http:// www.scrf.gov.ru/documents/87.html.
В первой части документа дается характеристика информационного общества как нового этапа развития человечества. Вместе с тем, наряду с преимуществами, общество получило ряд проблем. Интенсивное развитие информационно-коммуникационных технологий создает новые возможности для реализации угроз национальной безопасности, связанных с нарушением установленных режимов использования информационных и коммуникационных систем, ущемлением конституционных прав граждан, использованием возможностей современных информационных технологий для осуществления враждебных, а также террористических и других преступных действий.
Во второй части Стратегии дается анализ состояния развития информационного общества в России. Наряду с достижениями отмечено, что уровень развития российской информационной инфраструктуры, использования информационно-коммуникационных технологий в общественном производстве и государственном управлении не в полной мере соответствует задачам диверсификации экономики, повышения конкурентоспособности страны, благосостояния и качества жизни граждан, укрепления обороноспособности и безопасности, а также существенно уступает развитым странам мира. Практически отсутствует производство конкурентоспособной продукции микроэлектронной промышленности, телекоммуникационного оборудования и средств вычислительной техники, в результате чего зависимость развития российской информационной инфраструктуры от поставок зарубежных информационно-коммуникационных технологий значительно превышает критический уровень. Сложившаяся к настоящему времени система обеспечения информационной безопасности страны в недостаточной мере способна противостоять современным угрозам, связанным с использованием возможностей информационно-коммуникационных технологий в террористических и других преступных целях. Слабо налажена координация деятельности государственных органов и негосударственных организаций в области обеспечения безопасности информационных и коммуникационных систем, используемых на ключевых объектах инфраструктуры страны.
В третьей части Стратегии излагается ее назначение и политико-правовая основа. Отмечено, что Стратегия предназначена для использования при подготовке концептуальных, доктринальных, программных и иных документов, определяющих цели, принципы и направления деятельности государственных органов и негосударственных организаций по решению проблем интенсификации постиндустриального развития России. При подготовке Стратегии учтены основные положения Окинавской хартии глобального информационного общества, а также ряд других международных документов.
Четвертая часть Стратегии определяет цели и принципы развития информационного общества. Целями развития информационного общества в России являются:
1. Повышение устойчивости общественного развития, конкурентоспособности страны, благосостояния и качества жизни граждан.
2. Укрепление государственных гарантий реализации конституционных прав человека и гражданина в информационном обществе, создание равных возможностей по доступу к информации и информационно-коммуникационным технологиям.
3. Повышение качества образования и здравоохранения.
4. Создание условий для сохранения и развития культурного разнообразия и самобытности народов, проживающих па территории Российской Федерации.
5. Повышение эффективности государственного управления.
6. Противодействие угрозам использования потенциала информационно-коммуникационных технологий для нанесения ущерба национальным интересам России.
Развитие информационного общества в Российской Федерации базируется на следующих принципах:
□ сотрудничество и партнерство государства, бизнеса и гражданского общества;
□ опережающее развитие информационной инфраструктуры общества;
□ создание благоприятной среды для развития информационной инфраструктуры;
□ обеспечение гражданам доступа к информации, идеям и знаниям, к использованию информационно-коммуникационных технологий;
□ укрепление доверия и безопасности при использовании информационно-коммуникационных технологий;
□ обеспечение свободы массовой информации и независимости средств массовой информации;
□ содействие развитию глобального информационного общества;
□ международное сотрудничество.
Пятая часть Стратегии определяет основные мероприятия по достижению целей развития информационного общества в России. В частности, противодействие угрозам использования потенциала информационно-коммуникационных технологий для нанесения ущерба национальным интересам России предполагает реализацию следующих основных мероприятий:
□ содействие реализации проектов, направленных на противодействие распространению информации, возбуждающей социальную, расовую, национальную или религиозную ненависть и вражду, пропагандирующей социальное, расовое, национальное, религиозное или языковое превосходство, а также совершенствование правоприменительной практики в этой области;
□ развитие системы информирования российской и зарубежной общественности по социально значимым проблемам экономического и социально-политического развития, поддержания конструктивного диалога между государством, бизнесом и гражданским обществом, расширение использования информационно-коммуникационных технологий для решения этой задачи;
□ обеспечение, на основе объединения усилий государственных и негосударственных организаций, безопасности функционирования информационных и коммуникационных систем ключевых объектов инфраструктуры России, повышения защищенности корпоративных и индивидуальных информационных систем, а также информационных и коммуникационных систем, используемых средствами массовой информации для информирования населения;
□ обеспечение безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры;
□ формирование системы международной информационной безопасности;
□ создание условий для развития современных информационных технологий защиты информации, аппаратных и программных средств их реализации;
□ создание правовых и иных условий для применения информационно-коммуникационных и иных наукоемких технологий двойного назначения при решении задач обеспечения обороноспособности страны, безопасности государства и правопорядка;
□ совершенствование национальной системы противодействия преступности, использующей возможности информационно-коммуникационных технологий для нанесения ущерба интересам граждан, общества и государства, подготовки и осуществления террористических актов и иных преступных деяний;
□ совершенствование системы координации деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления в области обеспечения информационной безопасности, организации государственного заказа на научные исследования и опытно-конструкторские работы, использования их результатов, формирования и реализации единой технической политики;
□ развитие системы подготовки специалистов по вопросам обеспечения информационной безопасности;
□ совершенствование систем защиты сведений, составляющих государственную тайну, обеспечения безопасности других сведений ограниченного доступа, накапливаемых и создаваемых в государственных органах, органах местного самоуправления и образуемых ими организациях;
□ совершенствование правоприменительной практики в области противодействия незаконному обороту объектов интеллектуальной собственности;
□ совершенствование системы определения перспективных направлений использования потенциала информационно-коммуникационных технологий для обеспечения обороноспособности страны и безопасности государства, охраны правопорядка, финансирования деятельности по их реализации.
План мероприятий включает в себя также распространение компьютерной грамотности и культуры информационной безопасности.
Шестая часть Стратегии посвящена международному сотрудничеству в области развития информационного общества. План мероприятий по данному направлению предусматривает, в частности:
□ участие России в определении путей решения вопросов формирования глобального информационного общества, в выработке международных норм и механизмов, регулирующих отношения в области использования глобальной информационной инфраструктуры, включая вопросы управления использованием Интернета;
□ совершенствование взаимодействия национальных правоохранительных органов в области выявления, пресечения и ликвидации последствий использования потенциала глобальных информационно-коммуникационных технологий в террористических и иных преступных целях, защиты прав на объекты интеллектуальной собственности;
□ содействие защите прав российских правообладателей за рубежом;
□ продолжение международного переговорного процесса в целях определения возможных совместных мер по устранению существующих и потенциальных угроз международной информационной безопасности военно-политического, террористического или иного преступного характера и содействия формированию соответствующих международных механизмов, в том числе правовых.
Седьмая часть Стратегии посвящена вопросам ее реализации и определяет некоторые контрольные показатели. Отмечено, что в результате реализации Стратегии к 2015 году Россия должна добиться существенного прогресса в диверсификации своей экономики, укреплении государственных гарантий прав и свобод человека и гражданина в области информации, повышении эффективности государственного управления и системы обеспечения безопасности национальных интересов в информационной сфере.
Контрольными показателями но противодействию угрозам использования потенциала информационно-коммуникационных технологий для нанесения ущерба национальным интересам России являются следующие:
□ количество преступлений, совершаемых с использованием информационно-коммуникационных технологий, устойчивая тенденция к сокращению;
□ обеспеченность рынка труда специалистами по информационной безопасности - 100 %;
□ выполнение требований по обеспечению безопасности информационно-коммуникационных систем, используемых на ключевых объектах инфраструктуры России, 100 %.
Достижение определенных Стратегией контрольных показателей развития информационного общества позволит России войти в число стран, лидирующих в области постиндустриального развития, а также существенно укрепить ее информационную безопасность.
3.12. Закон «Об информации,
информационных технологиях
и о защите информации»
Закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ принят 27 июля 2006 года. В связи с принятием данного Закона утратил силу Закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ.
Разработчики нового Федерального Закона исходили из того, что информационная сфера одна из наиболее динамичных и быстро развивающихся сфер общественных отношений, нуждающихся в адекватном правовом регулировании. Принятые во второй половине 90-х годов законодательные акты уже не отвечают современному состоянию общественных отношений и реалиям использования информационных технологий и информационно-телекоммуникационных сетей, по отдельным вопросам вступают в противоречие с более поздними актами, тормозят развитие информационного общества. Стала очевидной необходимость корректировки прежних законов, и в первую очередь базового Закона об информации от 1995 года.
Федеральный Закон № 149-ФЗ регулирует отношения при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации. Разработка нового базового законодательного акта обусловлена необходимостью унификации принципов и правил взаимодействия в данной сфере, устранения в ней ряда пробелов и приближения законодательства Российской Федерации к международной практике регулирования информационных отношений. Новый Закон определяет правовой статус различных категорий информации, закрепляет положения в области создания и эксплуатации информационных систем, общие требования к использованию информационно-телекоммуникационных сетей, а также принципы регулирования общественных отношений, связанных с использованием информации.
Новый Федеральный Закон закладывает правовую основу создания и эксплуатации государственных и иных информационных систем. Он призван законодательно закрепить принципы использования информационно-телекоммуникационных сетей, в том числе при международном информационном обмене, установить основные правила и перечень способов защиты прав на информацию, защиты самой информации.
Статья 1 определяет круг правоотношений, регулируемых Федеральным Законом:
1. Отношения, связанные с осуществлением права на поиск, получение, передачу, производство и распространение информации.
2. Отношения, связанные с применением информационных технологий.
3. Отношения, связанные с обеспечением защиты информации.
Ранее действовавший Закон об информации от 1995 года регулировал отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации. Новый Федеральный Закон использует более общую формулировку, которая основана на норме, содержащейся в Конституции Российской Федерации.
В статье 2 вводится ряд понятий: информация, информационные технологии, информационная система, обладатель информации, информационно-телекоммуникационная сеть, доступ к информации, конфиденциальность информации, предоставление информации, распространение информации, оператор информационной системы, электронное сообщение, документированная информация.
В ранее действовавшем Законе об информации от 1995 года под информацией понимались сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления. В новом Федеральном Законе определение информации представлено в более общем виде информацией являются любые сведения (сообщения, данные) независимо от формы их предоставления.
Статья содержит уточненное определение понятия «информационная система». В ранее действовавшем Законе об информации от 1995 года под информационной системой понималась организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. В новом Законе информационная система совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Статья 2 закрепляет в законодательстве новый термин «информационно-телекоммуникационная сеть». Она представляет собой технологическую систему, предназначенную для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Вместо ранее используемых понятий «собственник информационных ресурсов» и «владелец информационных ресурсов» в Законе введено понятие «обладатель информации», под которым понимается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Закон об информации 1995 года содержал довольно общее определение понятия «конфиденциальная информация» и рассматривал ее как документированную информацию, доступ к которой ограничивается в соответствии с законодательством РФ. В Законе № 149-ФЗ введено понятие «конфиденциальность информации» обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Статья 2 вводит также понятия «предоставление информации» и «распространение информации», которые отличаются друг от друга кругом лиц, на которых направлены указанные действия. В случае предоставления информации такой круг конкретно определен, а в случае распространения информации ее получение или передача направлены на неопределенный круг лиц. Дано определение термина «электронное сообщение» информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Новым является также понятие «оператор информационной системы» гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Статья 3 определяет принципы, на которых основывается правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации:
1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к информации только федеральными законами;
3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6) достоверность информации и своевременность ее предоставления;
7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Статья 4 определяет, что законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального Закона и других регулирующих отношения по использованию информации федеральных законов. Российская Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. В качестве примеров можно привести следующие документы: Европейская конвенция об информации (ETS № 62, заключена в Лондоне 7 июня 1968 года); Соглашение о обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 года); Соглашение о сотрудничестве в области информации (заключено в Бишкеке 9 октября 1992 года); Соглашение об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 года); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена в Стамбуле, 6 марта 1993 года); Соглашение о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 года); Конвенция о преступности в сфере компьютерной информации (ETS № 185, заключена в Будапеште 23 ноября 2001 года); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных технологий и связи (заключено в Ганновере 11 апреля 2005 года) и другие.
Некоторые законы Российской Федерации, указы президента и Постановления Правительства также регулируют деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса Российской Федерации об административных правонарушениях от 30 декабря 2001 года № 195-ФЗ (в редакции от 09.02.2007 № 19-ФЗ) устанавливает ответственность за административные правонарушения в области связи и информации. Федеральным Законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных. Указ Президента РФ от 20 января 1994 года № 170 «Об основах государственной политики в сфере информатизации» (в ред. от 9 июля 1997 года) установил, что основными направлениями государственной политики в сфере информатизации являются обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям.
Статья 5 декларирует свободу на использование и передачу информации, если это не ограничено федеральным законодательством. В зависимости от категории доступа к информации она подразделяется на общедоступную и ограниченного доступа. Статья содержит классификацию информации в зависимости от порядка ее предоставления или распространения:
□ свободно распространяемая информация, например, посредством средств массовой информации;
□ информация, предоставляемая по соглашению лиц, участвующих в соответствующих отношениях;
□ информация, которая, в соответствии с федеральными законами, подлежит предоставлению или распространению;
□ информация, распространение которой в Российской Федерации ограничивается или запрещается.
Статья 6 определяет субъекты, которые могут быть обладателями информации: граждане (физические лица), юридические лица, Российская Федерация, ее субъекты, муниципальные образования. Статья устанавливает также права и обязанности обладателя информации. Обладатель информации, в частности, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, передавать информацию другим лицам по договору или на ином установленном законом основании.
В обязанности обладателя включено принятие мер по защите информации.
Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации (статья 7).
Статья 8 устанавливает право физических и юридических лиц на поиск и получение информации при соблюдении требований законодательных актов. Она дает право гражданам на получение информации, непосредственно затрагивающей их права и свободы, устанавливает принцип открытости информации о деятельности государственных органов и органов местного самоуправления, а также содержит перечень сведений, доступ к которым не может быть ограничен, и перечень информации, доступ к которой предоставляется бесплатно.
Статья 8 определяет возможность возмещения убытков, если они нанесены в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации.
Статья 9 определяет ограничения доступа к информации. Закреплен запрет на требование от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и на получение такой информации помимо воли гражданина.
Статья определяет, что условия отнесения информации к сведениям, составляющим государственную, коммерческую, служебную и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами. Например, статья 139 части первой ГК РФ устанавливает правовой режим служебной и коммерческой тайны. Банковская тайна определена Федеральным Законом от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности». Налоговая тайна рассматривается статьей 102 части первой Налогового Кодекса РФ от 31 июля 1998 года № 146-ФЗ.
Статья 12 определяет государственное регулирование в сфере применения информационных технологий:
1. Регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий.
2. Развитие информационных систем различного назначения.
3. Создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети Интернет и иных подобных информационно-телекоммуникационных сетей.
Статья 15 посвящена использованию информационно-телекоммуникационных сетей. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области. Передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами.
Статья 16 посвящена вопросам защиты информации. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных:
□ на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
□ на соблюдение конфиденциальности информации ограниченного доступа;
□ на реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права па доступ к информации.
2. Своевременное обнаружение фактов несанкционированного доступа к информации.
3. Предупреждение неблагоприятных последствий нарушения порядка доступа к информации.
4. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.
5. Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней.
6. Постоянный контроль за обеспечением уровня защищенности информации.
Статья 17 определяет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
В случае если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
□ по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
□ по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
3.13. Кодекс Российской Федерации
об административных
правонарушениях
Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ (с последними изменениями и дополнениями от 09.02.07 № 19-ФЗ, от 29.03.07 № 39-ФЗ, от 09.04.07 № 44-ФЗ, от 20.04.07 № 54-ФЗ) принят 30 декабря 2001 года.
Кодекс основывается на Конституции Российской Федерации, общепризнанных принципах и нормах международного права и международных договорах Российской Федерации. Если международным договором Российской Федерации установлены правила иные, чем предусмотренные законодательством об административных правонарушениях, то применяются правила международного договора.
Глава 13 Кодекса посвящена административным нарушениям в области связи и информации.
Статья 13.1 устанавливает ответственность за самовольную установку или эксплуатацию узла проводного вещания. Статья 13.2 за самовольное подключение к сети электрической связи оконечного оборудования. Статья 13.3 за самовольное проектирование, строительство, изготовление, приобретение, установку или эксплуатацию радиоэлектронных средств и (или) высокочастотных устройств. Статья 13.4 за нарушение правил проектирования, строительства, установки, регистрации или эксплуатации радиоэлектронных средств и (или) высокочастотных устройств. Статья 13.5 за нарушение правил охраны линий или сооружений связи. Статья 13.6 за использование несертифицированных средств связи либо предоставление несертифицированных услуг связи. Статья 13.7 за несоблюдение установленных правил и норм, регулирующих порядок проектирования, строительства и эксплуатации сетей и сооружений связи. Статья 13.8 за изготовление, реализацию или эксплуатацию технических средств, не соответствующих стандартам или нормам, регулирующим допустимые уровни индустриальных радиопомех. Статья 13.9 за самовольные строительство или эксплуатацию сооружений связи. Статья 13.11 за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Статья 13.12 посвящена ответственности за следующие нарушения правил защиты информации:
□ нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), на должностных лиц от пяти до десяти МРОТ, на юридических лиц от пятидесяти до ста МРОТ;
□ использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ с конфискацией несертифицированных средств защиты информации или без таковой, на должностных лиц от десяти до двадцати МРОТ, на юридических лиц от ста до двухсот МРОТ с конфискацией несертифицированных средств защиты информации или без таковой;
□ нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати МРОТ, на юридических лиц от ста пятидесяти до двухсот МРОТ;
□ использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока МРОТ, на юридических лиц от двухсот до трехсот МРОТ с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой;
□ грубое нарушение условий, предусмотренных лицензией па осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от десяти до пятнадцати МРОТ или административное приостановление деятельности на срок до девяноста суток, на должностных лиц от десяти до пятнадцати МРОТ, на юридических лиц от ста до ста пятидесяти МРОТ или административное приостановление деятельности на срок до девяноста суток.
__________________________________________________________________________
ПРИМЕЧАНИЕ
Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
__________________________________________________________________________
Статья 13.13 определяет ответственность за незаконную деятельность в области защиты информации:
□ занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия), в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ с конфискацией средств защиты информации или без таковой, на должностных лиц от двадцати до тридцати МРОТ с конфискацией средств защиты информации или без таковой, на юридических лиц от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой;
□ занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии влечет наложение административного штрафа на должностных лиц в размере от сорока до пятидесяти МРОТ, на юридических лиц от трехсот до четырехсот МРОТ с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ, на должностных лиц от сорока до пятидесяти минимальных размеров оплаты труда.
Статья 13.15. Злоупотребление свободой массовой информации. Изготовление и (или) распространение теле-, видео-, кинопрограмм, документальных и художественных фильмов, а также относящихся к специальным средствам массовой информации информационных компьютерных файлов и программ обработки информационных текстов, содержащих скрытые вставки, воздействующие на подсознание людей и (или) оказывающие вредное влияние на их здоровье, влечет наложение административного штрафа на граждан в размере от двадцати до двадцати пяти МРОТ с конфискацией предмета административного правонарушения, на должностных лиц от сорока до пятидесяти МРОТ с конфискацией предмета административного правонарушения, на юридических лиц от четырехсот до пятисот МРОТ с конфискацией предмета административного правонарушения.
Статьи 23.44, 23.45 и 23.46 определяют органы и должностных лиц, рассматривающих дела об административных правонарушениях.
Такими лицами (от имени соответствующих органов), в частности, являются:
□ главный и старшие государственные инспекторы Российской Федерации по надзору за связью и информатизацией, заместители главного инспектора;
□ руководитель федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности Российской Федерации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители;
□ руководитель федерального органа исполнительной власти, уполномоченного в области обороны, его заместители;
□ руководитель федерального органа исполнительной власти, уполномоченного в области внешней разведки, его заместители;
□ руководитель федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители;
□ руководители подразделений федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности Российской Федерации, обороны Российской Федерации, внешней разведки, противодействия техническим разведкам и технической защиты информации, осуществляющих лицензирование видов деятельности, которые связаны с использованием и защитой сведений, составляющих государственную тайну.
3.14. Уголовный кодекс
Российской Федерации
Уголовный кодекс Российской Федерации принят 13 июня 1996 года № 63-ФЗ (с последними изменениями и дополнениями от 30 декабря 2006 года № 283-ФЗ, от 09.04.07 № 42-ФЗ, от 09.04.07 № 46-ФЗ). Он основывается на Конституции Российской Федерации и общепризнанных принципах и нормах международного права.
Задачами настоящего Кодекса являются: охрана прав и свобод человека и гражданина, собственности, общественного порядка и общественной безопасности, окружающей среды, конституционного строя Российской Федерации от преступных посягательств, обеспечение мира и безопасности человечества, а также предупреждение преступлений. Для осуществления этих задач настоящий Кодекс устанавливает основание и принципы уголовной ответственности, определяет, какие опасные для личности, общества или государства деяния признаются преступлениями, и устанавливает виды наказаний и иные меры уголовно-правового характера за совершение преступлений.
В Уголовном кодексе вопросам безопасности информации посвящен ряд статей.
Статья 137. Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан. В этой же статье предусмотрено наказание за незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации.
Статья 140. Отказ в предоставлении гражданину информации. Неправомерный отказ должностного лица в предоставлении собранных в установленном
порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред нравам и законным интересам граждан.
Статья 144. Воспрепятствование законной профессиональной деятельности журналистов путем принуждения их к распространению либо к отказу от распространения информации.
Статья 146. Нарушение авторских и смежных прав. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере. Если указанное деяние совершено лицом с использованием своего служебного положения, то, в соответствии с Законом № 42-ФЗ от 9.04.07 предусматривается наказание лишением свободы на срок до шести лет (вместо пяти).
Статья 147. Нарушение изобретательских и патентных прав. Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб.
Статья 159. Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием.
Статья 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере.
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну:
□ собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом;
□ незаконное разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
Статья 237. Сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей. Сокрытие или искажение информации о событиях, фактах или явлениях, создающих опасность для жизни или здоровья людей либо для окружающей среды, совершенные лицом, обязанным обеспечивать население и органы, уполномоченные на принятие мер по устранению такой опасности, указанной информацией.
Глава 28 Кодекса посвящена преступлениям в сфере компьютерной информации.
Статья 272. Неправомерный доступ к компьютерной информации. Неправомерный доступ к охраняемой законом компьютерной информации, то есть Информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами па срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы па срок до, пяти лет.
Неправомерный доступ к компьютерной информации это несанкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомления, которое позволяет распоряжаться этой информацией (уничтожать, блокировать, модифицировать и т. д.) и создает опасность как для самой информации, так и для интересов собственника или иного законного пользователя.
Предметом неправомерного доступа к компьютерной информации является охраняемая законом компьютерная информация. Законодательством Российской Федерации охраняются такие виды информации, как сведения, отнесенные к государственной тайне (Закон «О государственной тайне»), информация, непосредственно затрагивающая права и свободы гражданина (тайна частной или семейной жизни), персональные данные (Закон «О персональных данных»), сведения, составляющие тайну следствия и судопроизводства; служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с гражданским законодательством, сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская, банковская тайна и т. п.), сведения, связанные с коммерческой деятельностью (Закон «О коммерческой тайне») и т. д.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами, наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.
Понятие тяжких последствий является оценочным и зависит от особенностей каждого конкретного преступления. Отнесение преступных последствий к тяжким входит в компетенцию суда. К ним можно отнести такие последствия, как гибель одного человека и более, причинение тяжкого вреда здоровью хотя бы одного человека, причинение крупного имущественного ущерба (в том числе в виде упущенной выгоды); утрата уникальной либо особо ценной информации, дезорганизация работы предприятия.
Под вредоносной программой следует понимать такое программное средство, которое было создано для выполнения несанкционированных собственником и другими законными пользователями информации, ЭВМ, системы ЭВМ или их сети функций. Вредоносной программой следует считать уже скомпилированный текст программы, то есть программа должна находиться в электронном виде и быть способной осуществлять вредоносные функции. Написание же текста программы без ее компилирования следует квалифицировать как покушение па создание вредоносной программы.
Под распространением вредоносных программ для ЭВМ подразумевается предоставление доступа к программе для ЭВМ в компилированном виде, в том числе сетевыми (например, по сети Интернет) и иными способами (продажа подобных программ через электронные магазины).
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
Во второй" части данной статьи определено: «то же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет».
Нарушение правил эксплуатации может выражаться в несоблюдении, ненадлежащем соблюдении или прямом нарушении правил, обеспечивающих сохранность информации и целостность (работоспособность) компьютерного оборудования. Нарушение правил может быть совершено как действием, так и бездействием (невыполнение виновным требований, закрепленных в правилах).
Статья не содержит конкретных технических требований к эксплуатации ЭВМ и отсылает к инструкциям и правилам, определяющим порядок работы на компьютерах.
Под правилами эксплуатации компьютерной системы следует понимать как правила, которые могут быть установлены компетентным государственным органом, так и правила технической эксплуатации и правила работы с программами, установленные изготовителями ЭВМ и периферийных устройств. Правила могут быть установлены разработчиками программ, сетевыми администраторами, а также владельцем компьютерной системы (например, запрет служащим на использование не прошедших проверку на «вирусы» дискет и других носителей информации).
Правила определяют порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями. В правилах эксплуатации ЭВМ могут быть установлены как требования технического характера (напряжение, влажность, механическое и химическое воздействие и т. п.), так и положения, регулирующие работу с программными продуктами (последовательность подачи команд или выполнения процедур, запрет на выполнение каких-либо операций, обязательное выполнение определенных процедур при наступлении определенных обстоятельств и т. д.).
Правила могут содержаться в нормативно-правовых актах, ведомственных положениях, правилах, установленных в конкретных организациях, технических описаниях и инструкциях по эксплуатации, инструкциях по использованию программ для ЭВМ и др.
Ответственность за нарушение правил может наступать только в том случае, если эти правила были приняты надлежащим образом (разработаны специалистами и подписаны руководителем учреждения, подразделения и т. п.), закреплены (как правило, на бумажном носителе) и доведены до пользователя (чаще под роспись).
Статья 275. Государственная измена. Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному государству, иностранной организации или их представителям в проведении враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации, наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
__________________________________________________________________________
ПРИМЕЧАНИЕ
Лицо, совершившее преступления, предусмотренные настоящей статьей, а также статьями 276 и 278 настоящего Кодекса, освобождается от уголовной ответственности, если оно добровольным и своевременным сообщением органам власти или иным образом способствовало предотвращению дальнейшего ущерба интересам Российской Федерации и если в его действиях не содержится иного состава преступления.
__________________________________________________________________________
Статья 276. Шпионаж. Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти деяния совершены иностранным гражданином или лицом без гражданства, наказываются лишением свободы на срок от десяти до двадцати лет.
Статья 283. Разглашение государственной тайны.
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены, наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну. Нарушение лицом, имеющим допуск к государственной тайне, установленных правил обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, наказывается ограничением свободы на срок до трех лет, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением нрава занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
В связи с вопросами, возникшими в судебной практике при рассмотрении уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав (статьи 146, 147, 180 УК РФ), Пленум Верховного Суда Российской Федерации принял Постановление от 26 апреля 2007 года № 14 «О практике рассмотрения судами уголовных дел о нарушении авторских, смежных, изобретательских и патентных нрав, а также о незаконном использовании товарного знака», в котором дал судам ряд разъяснений. Ниже приведены основные положения Постановления.
1. При решении вопроса о виновности лица в совершении преступления, предусмотренного статьей 146 УК РФ, суду надлежит установить факт нарушения этим лицом авторских или смежных прав и указать в приговоре, какое право автора или иного правообладателя, охраняемое какой именно нормой закона Российской Федерации, было нарушено в результате совершения преступления.
При этом судам следует учитывать, что помимо автора произведения (физического лица, творческим трудом которого создано произведение) или обладателей смежных прав (исполнителей, производителей фонограмм, организаций эфирного и кабельного вещания) потерпевшими по уголовным делам о преступлениях, предусмотренных статьей 146 УК РФ, могут являться иные лица (как физические, так и юридические), которым авторское право или смежные права принадлежат на основании закона, переходят но наследству либо по договору.
2. При рассмотрении уголовных дел о нарушении авторских и смежных прав судам следует учитывать, что авторское право распространяется как на обнародованные, так и на необнародованные произведения науки, литературы и искусства, являющиеся результатом творческой деятельности и существующие в какой-либо объективной форме (письменной, устной, звуко- или видеозаписи, изобразительной, объёмно-пространственной).
Судам надлежит исходить из того, что, в соответствии с гражданским законодательством, авторское право реализуется в отношениях, связанных с созданием и использованием произведений науки, литературы и искусства, смежные (с авторскими) права в отношениях, связанных с созданием и использованием фонограмм, исполнением, организацией передач эфирного вещания и др.
Устанавливая факт присвоения авторства или незаконного использования объектов авторских и смежных прав, суды должны иметь в виду, что на идеи, методы, процессы, системы, способы, концепции, принципы, открытия авторское право не распространяется, а следовательно, на них не распространяются и предусмотренные статьей 146 УК РФ средства уголовно-правовой.защиты.
В соответствии с законом Российской Федерации, объектами авторского права не являются: официальные документы (законы, другие нормативные акты, судебные решения, иные тексты законодательного, административного и судебного характера), а также их официальные переводы; государственные символы и знаки (флаги, гербы, ордена, денежные знаки и иные государственные символы и знаки); произведения народного творчества; сообщения о событиях и фактах, имеющие информационный характер (например, сообщения о новостях дня, расписания движения транспортных средств), в связи с чем воспроизведение, распространение или иное их использование любым способом не образует состава преступления, предусмотренного статьей 146 УК РФ,:
3. При установлении факта нарушения авторских прав путем присвоения авторства (плагиата), предусмотренного частью 1 статьи 146 УК РФ, суду надлежит иметь в виду, что указанное деяние может состоять, в частности, в объявлении себя автором чужого произведения, выпуске чужого произведения (в полном объеме или частично) под своим именем, издании под своим именем произведения, созданного в соавторстве с другими лицами, без указания их имени.
Незаконным, по смыслу статьи 146 УК РФ, следует считать умышленное использование объектов авторских и смежных прав, осуществляемое в нарушение положений действующего законодательства Российской Федерации, которым регулируются отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания.
Устанавливая факт незаконного использования объектов авторских и смежных прав, суд должен выяснить и указать в приговоре, какими именно действиями были нарушены права авторов произведений, их наследников, исполнителей, производителей фонограмм, организаций кабельного и эфирного вещания, а также иных обладателей этих прав.
Такими действиями могут являться совершаемые без согласия автора или обладателя смежных прав воспроизведение (изготовление одного или нескольких экземпляров произведения либо его части в любой материальной форме, в том числе запись произведения или фонограммы в память ЭВМ, на жесткий диск компьютера), продажа, сдача в прокат экземпляров произведений или фонограмм, публичный показ или публичное исполнение произведения, обнародование произведений, фонограмм, исполнений, постановок для всеобщего сведения посредством их передачи по радио или телевидению (передача в эфир), распространение в сети Интернет, перевод произведения, его переработка, переработка фонограммы, модификация программы для ЭВМ или базы данных, а также иные действия, совершенные без оформления в соответствии с законом договора либо соглашения.
Разрешая вопрос о наличии в действиях лица составов преступлений, предусмотренных статьями 146, 147 и 180 УК РФ, суды должны учитывать положения гражданского законодательства о том, что использование результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации юридического лица, являющихся объектом исключительных прав (интеллектуальной собственностью), может осуществляться третьими лицами только с согласия правообладателя.
При этом судам надлежит иметь в виду, что действующим законодательством установлено использование произведения или объектов смежных прав без согласия автора либо иного правообладателя и (или) без выплаты соответствующего вознаграждения (например, дальнейшее распространение экземпляров правомерно опубликованного произведения, если они введены в оборот посредством их продажи, воспроизведение гражданином исключительно в личных целях или цитирование в научных, полемических, критических или информационных целях правомерно обнародованных чужих произведений в объеме, оправданном целью цитирования, включая воспроизведение отрывков из газетных и журнальных статей в форме обзоров печати). 4. Разъяснить судам, что под экземпляром произведения следует понимать копию произведения, изготовленную в любой материальной форме, в том числе в виде информации, зафиксированной на машиночитаемом носителе (CD-и DVD-диске, МРЗ-носителе и др.). Экземпляр фонограммы представляет собой копию на любом материальном носителе, изготовленную непосредственно или косвенно с фонограммы и включающую все звуки или часть звуков, зафиксированных в этой фонограмме (звуковой записи исполнений или иных звуков).
Судам следует иметь в виду, что экземпляры произведений или фонограмм считаются контрафактными, если изготовление, распространение или иное их использование, а равно импорт таких экземпляров нарушает авторские и права, охраняемые в соответствии с законодательством Российской Федерации.
Разрешая вопрос о том, является ли экземпляр произведения контрафактным, суд должен оценивать все фактические обстоятельства дела в частности, обстоятельства и источник приобретения лицом указанного экземпляра, право вые основания его изготовления или импорта, наличие договора о передаче (предоставлении) права пользования (например, авторского или лицензионного договора), соответствие обстоятельств использования произведения условиям этого договора (выплата вознаграждения, тираж и т. д.), заключение экспертизы изъятого экземпляра произведения.
5. Исходя из части 2 статьи 146 УК РФ необходимым условием наступления уголовной ответственности за приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм является совершение указанных деяний в целях сбыта.
Приобретение контрафактных экземпляров произведений или фонограмм состоит в их получении лицом в результате любой сделки по передаче права собственности, хозяйственного ведения или оперативного управления (например, в результате купли-продажи, мены либо при получении указанных предметов в качестве вознаграждения за проделанную работу, оказанную услугу или как средства исполнения долговых обязательств).
Под хранением контрафактных экземпляров произведений или фонограмм следует понимать любые умышленные действия, связанные с фактическим их владением (па складе, в местах торговли, изготовления или проката, в жилище, тайнике и т. п.), а под перевозкой умышленное их перемещение любым видом транспорта из одного места нахождения в другое, в том числе в пределах одного и того же населенного пункта.
Сбыт контрафактных экземпляров произведений или фонограмм заключается в их умышленном возмездном или безвозмездном предоставлении другим лицам любым способом (например, путем продажи, проката, бесплатного распространения в рекламных целях, дарения, размещения произведений в сети Интернет). Наличие у лица цели сбыта может подтверждаться, в частности, нахождением изъятых контрафактных экземпляров в торговых местах, пунктах проката, на складах и т. п., количеством указанных предметов.
Предусмотренные частями 2 и 3 статьи 146 УК РФ незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм в целях сбыта следует считать оконченными преступлениями с момента совершения указанных действий в крупном (особо крупном) размере независимо от наступления преступных последствий в виде фактического причинения ущерба правообладателю.
6. Лицо может быть привлечено к уголовной ответственности по части 1 ст. 146, по статьям 147 и 180 УК РФ только при условии причинения крупного ущерба правообладателям указанных в них объектов интеллектуальной собственности и средств индивидуализации.
В соответствии с примечанием к статье 169 УК РФ, ущерб, причиненный деяниями, указанными в статье 180 УК РФ, считается крупным, если он превышает двести пятьдесят тысяч рублей.
Учитывая, что применительно к части 1 статьи 146 и статье 147 УК РФ ущерб, который может быть признан судом крупным, в законе не указан, суды при его установлении должны исходить из обстоятельств каждого конкретного дела „ (например, из наличия и размера реального ущерба, размера упущенной выгоды, размера доходов, полученных лицом в результате нарушения им прав па результаты интеллектуальной деятельности или на средства индивидуализации). При этом следует учитывать положения статьи 15 Гражданского кодекса Российской Федерации, в соответствии с которой, если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.
7. По части 2 статьи 146 УК РФ уголовная ответственность наступает лишь в случае незаконного использования лицом объектов авторского права или смежных нрав, а равно приобретения, хранения, перевозки контрафактных экземпляров произведений или фонограмм в целях сбыта в крупном размере, а по пункту «в» части 3 этой статьи в особо крупном размере.
В соответствии с примечанием к статье 146 УК РФ, указанные деяния признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышает пятьдесят тысяч рублей, а в особо крупном размере двести пятьдесят тысяч рублей.
Устанавливая признаки крупного или особо крупного размера деяний, предусмотренных частями 2 и 3 статьи 146 УК РФ, следует исходить из розничной стоимости оригинальных (лицензионных) экземпляров произведений или фонограмм на момент совершения преступления, исходя при этом из их количества, включая копии произведений или фонограмм, принадлежащих различным правообладателям.
При необходимости стоимость контрафактных экземпляров произведений или фонограмм, а также стоимость прав на использование объектов интеллектуальной собственности может быть установлена путем проведения экспертизы (например, в случаях, когда их стоимость еще не определена правообладателем).
Если деяниями виновного, формально подпадающими под действие части 1 статьи 146, статей 147 и 180 УК РФ, причинен ущерб, не превышающий пределы крупного размера, либо если они совершены в размере, не превышающем пределы крупного (части 2 и 3 статьи 146 УК РФ), содеянное может повлечь за собой гражданско-правовую или административную ответственность по части 1 или 2 статьи 7.12 либо по статье 14.10 Кодекса Российской Федерации об административных правонарушениях.
8. При квалификации действий виновных по пункту «б» части 3 статьи 146, по части 2 статьи 147 и но части 3 статьи 180 УК РФ как совершенных группой лиц но предварительному сговору суду следует устанавливать, какие конкретно действия совершены каждым из исполнителей и другими соучастниками преступления.
По смыслу части 2 статьи 35 УК РФ, уголовная ответственность за совершение преступления группой лиц по предварительному сговору наступает и в тех случаях, когда, согласно предварительной договоренности, каждый из соучастников совершает часть действий, входящих в объективную сторону указанных составов преступлений (например, по заранее состоявшейся договоренности одни соучастники приобретают контрафактные экземпляры произведений или фонограмм в целях сбыта, другие хранят, перевозят либо непосредственно сбывают их).
9. По пункту «г» части 3 статьи 146 УК РФ подлежит уголовной ответственности лицо, использующее для совершения преступления служебное положение. Им может быть как должностное лицо, обладающее признаками, предусмотренными примечанием 1 к статье 285 УК РФ, так и государственный или муниципальный служащий, не являющийся должностным лицом, а также иное лицо, отвечающее требованиям, предусмотренным примечанием 1 к статье 201 УК РФ (например, руководитель предприятия любой формы собственности, поручающий своим подчиненным незаконно использовать авторские или смежные права).
10. При квалификации действий виновных по делам о преступлениях, предусмотренных статьями 146, 147 и 180 УК РФ, не должен учитываться причиненный потерпевшему моральный вред, в том числе связанный с подрывом его деловой репутации.
Требования о компенсации морального вреда могут быть рассмотрены в рамках уголовного дела путем разрешения предъявленного потерпевшим гражданского иска.
11. Обратить внимание судов на необходимость выполнения требований статьи 60 УК РФ о назначении лицам, виновным в нарушении прав на результаты интеллектуальной деятельности и на средства индивидуализации, справедливого наказания в соответствии с характером и степенью общественной опасности преступления, обстоятельствами его совершения и личностью виновного. Судам надлежит учитывать, в частности, характер и степень нарушений охраняемых законом прав на результаты интеллектуальной деятельности и средства индивидуализации, роль лица в совершении преступления, размер причиненного ущерба.
Исходя из положений части 3 статьи 47 УК РФ, если указанные преступления были совершены с использованием виновным своего служебного положения, судам следует обсуждать вопрос о лишении виновного нрава занимать определенные должности или заниматься определенной деятельностью, имея в виду, что эта мера может назначаться в качестве дополнительного наказания и в тех случаях, когда она не предусмотрена соответствующей статьей Особенной части Уголовного кодекса Российской Федерации.
12. Обратить внимание судов на то, что оборот контрафактных экземпляров произведений или фонограмм нарушает охраняемые федеральным законодательством авторские и смежные права, в связи с чем указанные экземпляры произведений или фонограмм подлежат конфискации и уничтожению без какой-либо компенсации (за исключением случаев передачи конфискованных контрафактных экземпляров произведений или фонограмм обладателю авторских или смежных прав, если это предусмотрено действующим в момент вынесения решения по делу федеральным законом).
13. В соответствии со статьями 25 и 28 УПК РФ суд вправе принять решение
0 прекращении уголовного дела на основании статьи 76 УК РФ в отношении лица, впервые совершившего преступление, предусмотренное частями 1 и 2 статьи 146 или частями 1 и 2 статьи 180 либо статьей 147 УК РФ, если оно примирилось с потерпевшими и загладило причиненный им вред, либо прекратить уголовное преследование лица на основании статьи 75 УК РФ в связи с деятельным раскаянием.
При этом до принятия решения о прекращении дела суд должен убедиться в том, что причиненный потерпевшему в результате преступления вред действительно заглажен. Кроме того, виновному лицу должны быть разъяснены последствия такого решения, а также право возражать против прекращения уголовного дела либо уголовного преследования.
14. Разрешая дела о нарушении прав на результаты интеллектуальной деятельности и средства индивидуализации, следует учитывать, что права на указанные объекты интеллектуальной собственности иностранных физических и юридических лиц пользуются защитой в порядке, предусмотренном федеральным законом, наравне с физическими и юридическими лицами Российской Федерации в силу международных договоров Российской Федерации или на основе принципа взаимности.
В соответствии с частью 4 статьи 15 Конституции Российской Федерации, частями 2 и 3 статьи 5 Федерального Закона от 15 июля 1995 года № 101-ФЗ «О международных договорах Российской Федерации», судам при разрешении вопроса о том, имело ли место нарушение изобретательских и патентных прав либо незаконное использование товарного знака, надлежит иметь в виду, что если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
15. При рассмотрении уголовных дел об указанных преступлениях судам следует учитывать положения Федерального закона от 18 декабря 2006 года № 231-ФЗ «О введении в действие части четвертой Гражданского Кодекса Российской Федерации», в соответствии с которыми Патентный закон Российской Федерации, законы Российской Федерации «Об авторском праве и смежных правах», «О правовой охране программ для электронных вычислительных машин и баз данных», «О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров» и ряд других законов и правовых нормативных актов, регулирующих вышеуказанные отношения, признаются утратившими силу с 1 января 2008 г. Права на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации с
1 января 2008 г. охраняются в соответствии с частью четвертой Гражданского кодекса Российской Федерации.
При этом исходя из требований статьи 9 Федерального Закона «О введении в части четвертой Гражданского кодекса Российской Федерации» авторство,
имя автора и неприкосновенность произведений науки, литературы и искусства, а также авторство, имя исполнителя и неприкосновенность исполнения охраняются в соответствии с правилами статей 1228, 1267 и 1316 ГК РФ независимо от того, предоставлялась ли правовая охрана таким результатам интеллектуальной деятельности в момент их создания. Охрана авторства, имени автора и неприкосновенности произведений науки, литературы и искусства, а также авторства, имени исполнителя и неприкосновенности исполнения осуществляется на основании правил указанных статей Гражданского кодекса Российской Федерации, если соответствующее посягательство совершено после введения в действие части четвертой данного Кодекса.
При рассмотрении уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав, а также о незаконном использовании товарного знака, совершенных до 1 января 2008 года, судам необходимо учитывать, что, согласно статье 5 указанного Закона, автор произведения или иной первоначальный правообладатель определяется в соответствии с законодательством, действовавшим на момент создания произведения.
3.15. Гражданский кодекс
Российской Федерации
Гражданский Кодекс Российской Федерации от 30 ноября 1994 года № 51-ФЗ состоит из четырех частей. Часть 1 от 30 ноября 1994 года № 51-ФЗ с изменениями, внесенными Федеральным Законом от 29.12.06 № 258-ФЗ, часть 2 от 26 января 1996 года № 14-ФЗ с изменениями от 18.12.06 № 231-ФЗ, часть 3 от 26 ноября 2001 года № 146-ФЗ с изменениями от 18.12.06 № 231-ФЗ, от 29.12.06 № 258-ФЗ. Часть 4 Кодекса принята Федеральным Законом № 230-ФЗ от 18 декабря 2006 года и, в соответствии с Федеральным Законом от 18 декабря 2006 года № 231-ФЗ, вступает в силу с 1 января 2008 года.
В связи с принятием части 4 Кодекса с 1 января 2008 года утрачивают силу следующие Законы:
D от 23 сентября 1992 года № 3520-1 «О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров»;
□ от 23 сентября 1992 года № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»;
□ от 23 сентября 1992 года № 3526-1 «О правовой охране топологий интегральных микросхем»;
□ от 9 июля 1993 года № 5351-1 «Об авторском праве и смежных правах»;
□ от 6 августа 1993 года № 5605-1 «О селекционных достижениях».
Гражданский кодекс определяет правовое положение участников гражданского оборота, основания возникновения и порядок осуществления права собственности и других вещных прав, прав на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальных прав), регулирует договорные и иные обязательства, а также другие имущественные и личные неимущественные отношения, основанные на равенстве, автономии воли и имущественной самостоятельности участников.
С точки зрения защиты информации Кодекс вводит понятие банковской тайны (статья 857) и тайны страхования (статья 946).
Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом.
Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц.
До принятия части 4 Кодекса статья 138 регулировала отношения в сфере интеллектуальной собственности, статья 139 определяла понятие служебной и тайны. В связи с принятием части 4 Кодекса с 1 января 2008 года обе статьи утрачивают силу.
Четвертая часть Гражданского Кодекса посвящена правам на результаты интеллектуальной деятельности и средства индивидуализации. Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются: произведения науки, литературы и искусства, программы для электронных вычислительных машин (программы для ЭВМ), базы данных, исполнения, фонограммы, сообщение в эфир или по кабелю радио- или телепередач, изобретения, полезные модели, промышленные образцы, селекционные достижения, топологии интегральных микросхем, секреты производства (ноу-хау), фирменные наименования, товарные знаки и знаки обслуживания, наименования мест происхождения товаров, коммерческие обозначения.
Издание нормативных правовых актов в целях регулирования отношений в интеллектуальной собственности, связанных с объектами авторских и смежных прав, осуществляет уполномоченный федеральный орган исполнительной власти, осуществляющий нормативно-правовое регулирование в сфере авторского права и смежных прав.
Издание нормативных правовых актов в целях регулирования отношений в интеллектуальной собственности, связанных с изобретениями, полезными моделями, промышленными образцами, программами для ЭВМ, базами данных, топологиями интегральных микросхем, товарными знаками и знаками обслуживания, наименованиями мест происхождения товаров, осуществляет уполномоченный федеральный орган исполнительной власти, осуществляющий нормативно-правовое регулирование в сфере интеллектуальной собственности.
Глава 70 Кодекса посвящена регулированию отношений в области авторского права. К объектам авторских прав отнесены и программы для ЭВМ, которые охраняются как литературные произведения (статья 1259). Для возникновения, осуществления и защиты авторских прав не требуется регистрации произведе- ния или соблюдения каких-либо иных формальностей. В отношении программ для ЭВМ и баз данных возможна регистрация, осуществляемая по желанию правообладателя.
В соответствии со статьей 1261, авторские права на все виды программ для ЭВМ (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код, охраняются так же, как авторские права на произведения литературы. Программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения.
Правообладатель в течение срока действия исключительного права на программу для ЭВМ или на базу данных может по своему желанию зарегистрировать такую программу или такую базу данных в федеральном органе исполнительной власти но интеллектуальной собственности.
Программы для ЭВМ и базы данных, в которых содержатся сведения, составляющие государственную тайну, государственной регистрации не подлежат. Лицо, подавшее заявку на государственную регистрацию (заявитель), несет ответственность за разглашение сведений о программах для ЭВМ и базах данных, в которых содержатся сведения, составляющие государственную тайну, в соответствии с законодательством Российской Федерации.
Согласно статье 1273, допускается без согласия автора или иного правообладателя воспроизведение гражданином исключительно в личных целях правомерно обнародованного произведения, за исключением:
1) воспроизведения произведений архитектуры в форме зданий и аналогичных
сооружений;
2) воспроизведения баз данных или их существенных частей;
3) воспроизведения программ для ЭВМ, кроме случаев, предусмотренных статьей 1280 настоящего Кодекса;
4) репродуцирования книг (полностью) и нотных текстов;
5) видеозаписи аудиовизуального произведения при его публичном исполнении в месте, открытом для свободного посещения, или в месте, где присутствует значительное число лиц, не принадлежащих к обычному кругу семьи;
6) воспроизведения аудиовизуального произведения с помощью профессионального оборудования, не предназначенного для использования в домашних условиях.
В случае когда библиотека предоставляет экземпляры произведений, правомерно введенные в гражданский оборот, во временное безвозмездное пользование, такое пользование допускается без согласия автора или иного правообладателя и без выплаты вознаграждения. При этом выраженные в цифровой форме экземпляры произведений, предоставляемые библиотеками во временное безвозмездное пользование, в том числе в порядке взаимного использования биб- лиотечных ресурсов, могут предоставляться только в помещениях библиотек при условии исключения возможности создания копии этих произведений в цифровой форме (статья 1274).
В соответствии со статьей 1280, лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения:
1. Внести в программу для ЭВМ или базу данных изменения исключительно в целях их функционирования на технических средствах пользователя и осуществлять действия, необходимые для функционирования такой программы или базы данных, в соответствии с их назначением, в том числе запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), а также осуществить исправление явных ошибок, если иное не предусмотрено договором с правообладателем;
2. Изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей или для замены правомерно приобретенного экземпляра, в случаях, когда такой экземпляр утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована в иных целях, чем цели, указанные в подпункте 1 настоящего пункта, и должна быть уничтожена, если владение экземпляром такой программы или базы данных перестало быть правомерным.
Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ, путем осуществления действий, предусмотренных пунктом 1 настоящей статьи.
Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:
1. Информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников.
2. Указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию.
3. Информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.
Заключение лицензионных договоров о предоставлении права использования программы для ЭВМ или базы данных допускается путем заключения каждым пользователем с соответствующим правообладателем договора присоединения, условия которого изложены на приобретаемом экземпляре программы или базы данных либо на упаковке этого экземпляра. Начало использования программы или базы данных пользователем, как оно определяется этими условиями, означает его согласие на заключение договора.
Согласно статье 1296, в случае когда программа для ЭВМ или база данных создана по договору, предметом которого было ее создание (по заказу), исключительное право на такую программу или такую базу данных принадлежит заказчику, если договором между подрядчиком (исполнителем) и заказчиком не предусмотрено иное.
В случае, когда исключительное право па программу для ЭВМ или базу данных принадлежит заказчику, подрядчик (исполнитель) вправе, поскольку договором не предусмотрено иное, использовать такую программу или такую базу данных для собственных нужд па условиях безвозмездной простой (неисключительной) лицензии в течение всего срока действия исключительного права.
В случае когда, в соответствии с договором между подрядчиком (исполнителем) и заказчиком, исключительное право на программу для ЭВМ или базу данных принадлежит подрядчику (исполнителю), заказчик вправе использовать такую программу или такую базу данных для собственных нужд на условиях безвозмездной простой (неисключительной) лицензии в течение всего срока действия исключительного права.
Если программа для ЭВМ или база данных создана при выполнении договора подряда или договора на выполнение научно-исследовательских, опытно-конструкторских или технологических работ, которые прямо не предусматривали ее создание, исключительное право на такую программу или такую базу данных принадлежит подрядчику (исполнителю), если договором между ним и заказчиком не предусмотрено иное.
В этом случае заказчик вправе, если договором не предусмотрено иное, использовать созданную таким образом программу или базу данных в целях, для достижения которых был заключен соответствующий договор, на условиях простой (неисключительной) лицензии в течение всего срока действия исключительного права без выплаты за это использование дополнительного вознаграждения. При передаче подрядчиком (исполнителем) исключительного права на программу для ЭВМ или базу данных другому лицу заказчик сохраняет право использования программы или базы данных.
В случае когда, в соответствии с договором между подрядчиком (исполнителем) и заказчиком, исключительное право на программу для ЭВМ или базу данных передано заказчику либо указанному им третьему лицу, подрядчик (исполнитель) вправе использовать созданную им программу или базу данных для собственных нужд па условиях безвозмездной простой (неисключительной) лицензии в течение всего срока действия исключительного права, если договором не предусмотрено иное.
Статья 1299 посвящена техническим средствам защиты авторских прав:
1. Техническими средствами защиты авторских прав признаются любые технологии, технические устройства или их компоненты, контролирующие доступ к произведению, предотвращающие либо ограничивающие осуществление действий, которые не разрешены автором или иным правообладателем в отношении произведения.
2. В отношении произведений не допускается:
1) осуществление без разрешения автора или иного правообладателя действий, направленных на то, чтобы устранить ограничения использования произведения, установленные путем применения технических средств защиты авторских прав;
2) изготовление, распространение, сдача в прокат, предоставление во временное безвозмездное пользование, импорт, реклама любой технологии, любого технического устройства или их компонентов, использование таких технических средств в целях получения прибыли либо оказание соответствующих услуг, если в результате таких действий становится невозможным использование технических средств защиты авторских прав либо эти технические средства не смогут обеспечить надлежащую защиту указанных прав.
3. В случае нарушения положений, предусмотренных пунктом 2 настоящей статьи, автор или иной правообладатель вправе требовать по своему выбору от нарушителя возмещения убытков или выплаты компенсации в соответствии со статьей 1301 настоящего Кодекса, кроме случаев, когда настоящим Кодексом разрешено использование произведения без согласия автора или иного правообладателя.
В соответствии со статьей 1301, в случаях нарушения исключительного нрава на произведение автор или иной правообладатель, наряду с использованием других применимых способов защиты и мер ответственности, вправе требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации:
□ в размере от десяти тысяч до пяти миллионов рублей, определяемом по усмотрению суда;
□ в двукратном размере стоимости экземпляров произведения или в двукратном размере стоимости права использования произведения, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование произведения.
Глава 71 Кодекса определяет права, смежные с авторскими. Интеллектуальные права па результаты исполнительской деятельности (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), па содержание баз данных, а также на произведения науки, литературы и искусства, впервые обнародованные после их перехода в общественное достояние, являются смежными с авторскими правами (смежными правами).
Кодекс определяет условия использования объектов смежных прав. В частности, использованием считается воспроизведение объекта смежных нрав, то есть изготовление одного и более экземпляра или части. При этом запись па электронном носителе, в том числе запись в память ЭВМ, также считается воспроизведением, кроме случая, когда такая запись является временной и составляет неотъемлемую и существенную часть технологического процесса, имеющего единственной целью правомерное использование записи или правомерное доведение фонограммы до всеобщего сведения.
Статья 1333 определяет, что изготовителем базы данных признается лицо, организовавшее создание базы данных и работу по сбору, обработке и расположению составляющих ее материалов. При отсутствии доказательств иного изготовителем базы данных признается гражданин или юридическое лицо, имя или наименование которого указано обычным образом на экземпляре базы данных и (или) его упаковке.
Статья 1334 определяет исключительное право изготовителя базы данных. Изготовителю базы данных, создание которой (включая обработку или представление соответствующих материалов) требует существенных финансовых, материальных, организационных или иных затрат, принадлежит исключительное право извлекать из базы данных материалы и осуществлять их последующее использование в любой форме и любым способом (исключительное право изготовителя базы данных). Изготовитель базы данных может распоряжаться указанным исключительным правом. При отсутствии доказательств иного базой данных, создание которой требует существенных затрат, признается база данных, содержащая не менее десяти тысяч самостоятельных информационных элементов (материалов), составляющих содержание базы данных.
Никто не вправе извлекать из базы данных материалы и осуществлять их последующее использование без разрешения правообладателя, кроме случаев, предусмотренных настоящим Кодексом. При этом под извлечением материалов понимается перенос всего содержания базы данных или существенной части составляющих ее материалов на другой информационный носитель с использованием любых технических средств и в любой форме.
Исключительное право изготовителя базы данных признается и действует независимо от наличия и действия авторских и иных исключительных прав изготовителя базы данных и других лиц на составляющие базу данных материалы, а также на базу данных в целом как составное произведение.
Лицо, правомерно пользующееся базой данных, вправе без разрешения правообладателя извлекать из такой базы данных материалы и осуществлять их последующее использование в личных, научных, образовательных и иных некоммерческих целях в объеме, оправданном указанными целями, и в той мере, в которой такие действия не нарушают авторские права изготовителя базы данных и других лиц.
Использование материалов, извлеченных из базы данных, способом, предполагающим получение к ним доступа неограниченного круга лиц, должно сопровождаться указанием на базу данных, из которой эти материалы извлечены. Исключительное право изготовителя базы данных возникает в момент завершения ее создания и действует в течение пятнадцати лет, считая с 1 января года, следующего за годом ее создания.
Глава 72 Кодекса регулирует отношения в сфере патентного права. В соответствии со статьей 1345 Кодекса, интеллектуальные права на изобретения, полезные модели и промышленные образцы являются патентными правами. Автору изобретения, полезной модели или промышленного образца принадлежат исключительное право и право авторства.
Параграф 7 описывает особенности правовой охраны и использования секретных изобретений. Подача заявки на выдачу патента на секретное изобретение (заявка па секретное изобретение), рассмотрение такой заявки и обращение с ней осуществляются с соблюдением законодательства о государственной тайне. Заявки на секретные изобретения, для которых установлена степень секретности «особой важности» или «совершенно секретно», а также на секретные изобретения, которые относятся к средствам вооружения и военной техники и к методам и средствам в области разведывательной, контрразведывательной и оперативно-розыскной деятельности и для которых установлена степень секретности «секретно», подаются в зависимости от их тематической принадлежности в уполномоченные Правительством Российской Федерации федеральные органы исполнительной власти (уполномоченные органы). Заявки на иные секретные изобретения подаются в федеральный орган исполнительной власти по интеллектуальной собственности. Сведения о заявках и патентах на секретные изобретения, а также об относящихся к секретным изобретениям изменениях в Государственном реестре изобретений Российской Федерации не публикуются. Передача сведений о таких патентах осуществляется в соответствии с законодательством о государственной тайне.
Глава 74 Кодекса регулирует права на топологии интегральных микросхем. Топологией интегральной микросхемы является зафиксированное на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы и связей между ними. Топология, содержащая сведения, составляющие государственную тайну, государственной регистрации не подлежит.
Глава 75 Кодекса регулирует права па секрет производства (ноу-хау). Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц пет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Статья 1470 регулирует отношения, связанные со служебным секретом производства. Исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю. Гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал известен секрет производства, обязан сохранять конфиденциальность полученных сведений до прекращения действия исключительного права на секрет производства.
Глава 76 Кодекса регулирует отношения в сфере прав на средства индивидуализации юридических лиц, товаров, работ, услуг и предприятий.
Глава 77 Кодекса регулирует отношения в сфере прав использования результатов интеллектуальной деятельности в составе единой технологии.
В соответствии со статьей 1542, единой технологией признается выраженный в объективной форме результат научно-технической деятельности, который включает в том или ином сочетании изобретения, полезные модели, промышленные образцы, программы для ЭВМ или другие результаты интеллектуальной деятельности, подлежащие правовой охране, и может служить технологической основой определенной практической деятельности в гражданской или военной сфере (единая технология).
3.16. Налоговый кодекс
Российской Федерации
Первая часть Налогового кодекса принята 31 июля 1998 года № 146-ФЗ, вторая часть 5 августа 2000 года № 117-ФЗ с последующими изменениями и дополнениями. Кодекс устанавливает систему налогов и сборов, а также общие принципы налогообложения и сборов в Российской Федерации.
Статья 102 Кодекса содержит понятие «налоговая тайна».
Налоговую тайну составляют любые полученные налоговым органом, органами внутренних дел, органом государственного внебюджетного фонда и таможенным органом сведения о налогоплательщике, за исключением сведений:
□ разглашенных налогоплательщиком самостоятельно или с его согласия;
□ об идентификационном номере налогоплательщика;
□ о нарушениях законодательства о налогах и сборах и мерах ответственности за эти нарушения;
□ предоставляемых налоговым (таможенным) или правоохранительным органам других государств в соответствии с международными договорами (соглашениями), одной из сторон которых является Российская Федерация, о взаимном сотрудничестве между налоговыми (таможенными) или правоохранительными органами (в части сведений, предоставленных этим органам).
Налоговая тайна не подлежит разглашению налоговыми органами, органами внутренних дел, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом.
К разглашению налоговой тайны относится, в частности, использование или передача другому лицу производственной или коммерческой тайны налогоплательщика, ставшей известной должностному лицу налогового органа, органа внутренних дел, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Поступившие в налоговые органы, органы внутренних дел, органы государственных внебюджетных фондов или таможенные органы сведения, составляющие налоговую тайну, имеют специальный режим хранения и доступа.
Доступ к сведениям, составляющим налоговую тайну, имеют должностные лица, определяемые соответственно федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов, федеральным органом исполнительной власти, уполномоченным в области внутренних дел, федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области таможенного дела.
Утрата документов, содержащих составляющие налоговую тайну сведения, либо разглашение таких сведений влечет ответственность, предусмотренную федеральными законами.
3.17. Таможенный кодекс
Российской Федерации
Таможенный кодекс Российской Федерации от 28 мая 2003 года № 61-ФЗ осуществляет таможенное регулирование Российской Федерации.
Статья 10 Кодекса определяет отношение к информации, полученной таможенными органами. В соответствии с Кодексом, любая информация, полученная таможенными органами в соответствии с актами таможенного законодательства, иными правовыми актами Российской Федерации, правовыми актами федерального министерства, уполномоченного в области таможенного дела, и федеральной службы, уполномоченной в области таможенного дела, может использоваться исключительно в таможенных целях.
Таможенные органы, их должностные лица, иные лица, получившие доступ к информации, не вправе разглашать, использовать в личных целях либо передавать третьим лицам, в том числе государственным органам, информацию, составляющую государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну, и другую конфиденциальную информацию, за исключением случаев, установленных настоящим Кодексом и иными федеральными законами.
Таможенные органы передают предоставленную им информацию федеральным органам исполнительной власти, если такая информация необходима указанным органам для решения задач, возложенных на них федеральными законами, в порядке, определенном федеральной службой, уполномоченной в области таможенного дела, по согласованию с федеральным министерством, уполномоченным в области таможенного дела, а информацию, связанную с осуществлением правоохранительной деятельности, в порядке, определенном федеральной службой, уполномоченной в области таможенного дела, и соответствующим федеральным органом исполнительной власти, с соблюдением требований законодательства Российской Федерации по защите государственной, коммерческой, банковской, налоговой или иной охраняемой законом тайны и другой конфиденциальной информации.
Федеральные органы исполнительной власти, их должностные лица, иные лица, получившие в силу закона доступ к информации, полученной от таможенных органов, не вправе разглашать, распространять, использовать в личных целях либо передавать третьим лицам указанную информацию, за исключением случаев, установленных федеральными законами.
Информация, составляющая государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну и другую конфиденциальную информацию, имеет специальные режимы храпения и доступа.
Утрата документов, содержащих государственную, коммерческую, банковскую, налоговую или иную охраняемую законом тайну и другую конфиденциальную информацию, разглашение такой информации, использование ее в личных целях либо передача третьим лицам влекут ответственность, предусмотренную законодательством Российской Федерации.
3.18. Трудовой кодекс
Российской Федерации
Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ устанавливает государственные гарантии, трудовые права и свободы граждан, создание благоприятных условий труда, защита прав и интересов работников и работодателей.
Глава 14 Кодекса посвящена защите персональных данных работника.
Статья 85 определяет понятия персональных данных работника и обработки персональных данных работника.
Персональные данные работника информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Статья 86 устанавливает общие требования при обработке персональных данных работника и гарантии их защиты. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами.
3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами.
6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами.
8. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с документами об их правах и обязанностях в этой области.
9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Статья 88 регулирует передачу персональных данных работника. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
□ не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
□ не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
□ предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
□ осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
□ разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
□ не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
□ передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Статья 89 регулирует права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя. Работники имеют право на;
□ полную информацию об их персональных данных и обработке этих данных;
□ свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
□ определение своих представителей для защиты своих персональных данных;
□ доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
□ требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия;
□ требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
□ обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Статья 90 определяет ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
3.19. Федеральный Закон
«О государственной тайне»
Закон Российской Федерации «О государственной тайне» от 21 июля 1993 года № 5485-1 регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и в интересах обеспечения
безопасности Российской Федерации.
В Законе вводится следующее понятие государственной тайны: защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Статья 4 Закона определяет полномочия органов государственной власти и лиц в области отнесения сведений к государственной тайне и их защиты (Федеральное Собрание, Президент, Правительство, органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления, органы судебной власти).
Статья 5 в общем виде определяет перечень сведений, составляющих государственную тайну. Перечень таких сведений уточняется указами Президента Российской Федерации.
__________________________________________________________________________
СПРАВКА
Указ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» с изменениями, внесенными Указами Президента РФ от 24.0L98 № 61, от 06.06.01 № 659, от 10.09.01 № 1114, от 29.05.02 № 518, от 03.03.05 №243, от 11.02.06 №90.
Указ от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» с изменениями, внесенными Указом Президента РФ от 23.09.05 № 1111.
__________________________________________________________________________
Статья 6 определяет принципы отнесения сведений к государственной тайне и засекречивания этих сведений. Отнесением сведений к государственной тайне и их засекречиванием является введение в предусмотренном настоящим Законом порядке для сведений, составляющих государственную тайну, ограничений на их распространение и па доступ к их носителям. Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности.
Статья 7 определяет сведения, не подлежащие отнесению к государственной тайне и засекречиванию. Не подлежат отнесению к государственной тайне и засекречиванию сведения:
□ о чрезвычайных происшествиях и катастрофах, угрожающих безопасности граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
□ о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
□ о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
□ о фактах нарушения прав и свобод человека и гражданина;
□ о размерах золотого запаса и государственных валютных резервах Российской Федерации;
□ о состоянии здоровья высших должностных лиц Российской Федерации;
□ о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суде.
Статья 8 устанавливает степени секретности сведений и грифы секретности носителей этих сведений. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».
__________________________________________________________________________
СПРАВКА
Постановление Правительства от 4 сентября 1995 года № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».
__________________________________________________________________________
Статья 9 определяет порядок отнесения сведений к государственной тайне. Отнесение сведений к государственной тайне осуществляется в соответствии
с отраслевой, ведомственной или программно-целевой принадлежностью, а также в соответствии с настоящим Законом.
Обоснование необходимости отнесения сведений к государственной тайне в соответствии с принципами засекречивания сведений возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).
Отнесение сведений к государственной тайне осуществляется в соответствии с перечнем сведений, составляющих государственную тайну, определяемым настоящим Законом, руководителями органов государственной власти в соответствии с перечнем должностных лиц, наделенных полномочиями по отнесению сведений к государственной тайне, утверждаемым Президентом Российской Федерации.
__________________________________________________________________________
СПРАВКА
Распоряжение Президента Российской Федерации от 16 апреля 2005 года № 151-рп «О перечне должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне».
__________________________________________________________________________
Указанные лица несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне.
Для осуществления единой государственной политики в области засекречивания сведений межведомственная комиссия по защите государственной тайны формирует перечень сведений, отнесенных к государственной тайне. В этом перечне указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Указанный перечень утверждается Президентом Российской Федерации, подлежит открытому опубликованию и пересматривается по мере необходимости.
__________________________________________________________________________
СПРАВКА ПО УКАЗАМ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ
Указ от 8 ноября 1995 года № 1108 «О создании Межведомственной комиссии по защите государственной тайны».
Указ от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны».
Постановление Правительства от 3 декабря 2004 года № 728 «О персональном составе Межведомственной комиссии по защите государственной тайны». Распоряжение Президента от 16 апреля 2005 года № 151-рп «О перечне должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне».
Указ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (с изм., внесенными Указами Президента РФ от 24.01.98 № 61, от 06.06.01 № 659, от 10.09.01 № 1114, от 29.05.02 № 518, от 03.03.05 №243, от 11.02.06 №90).
__________________________________________________________________________
Статья 11 устанавливает порядок засекречивания сведений и их носителей. Основанием для засекречивания сведений, полученных (разработанных) в результате управленческой, производственной, научной и иных видов деятельности органов государственной власти, предприятий, учреждений и организаций,
является их соответствие действующим перечням сведений, подлежащих засекречиванию.
При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности. На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:
□ о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего перечня сведений, подлежащих засекречиванию;
□ об органе государственной власти, предприятии, учреждении, организации, осуществившей засекречивание носителя;
□ о регистрационном номере;
□ о дате или условии рассекречивания сведений либо о событии, после наступления которого сведения будут рассекречены.
Помимо перечисленных реквизитов на носителе и (или) в сопроводительной документации к нему могут проставляться дополнительные отметки, определяющие полномочия должностных лиц по ознакомлению с содержащимися на этом носителе сведениями.
Законом установлено, что срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.
Статья 13 определяет порядок рассекречивания сведений, составляющих государственную тайну, и порядок доступа к их носителям.
Статья 20 определяет органы защиты государственной тайны и их основные функции:
□ межведомственная комиссия по защите государственной тайны;
□ федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ), федеральный орган исполнительной власти, уполномоченный в области обороны (Минобороны), федеральный орган исполнительной власти, уполномоченный в области внешней разведки (СВР), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), и их территориальные органы;
□ органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.
Статья 21 определяет порядок допуска должностных лиц и граждан к государственной тайне. Устанавливаются три формы допуска к государственной тайне должностных лиц и граждан, соответствующие трем степеням секретности сведений, составляющих государственную тайну: к сведениям особой важности, совершенно секретным или секретным. Наличие у должностных лиц и граждан допуска к сведениям более высокой степени секретности является основанием для доступа их к сведениям более низкой степени секретности.
Сроки, обстоятельства и порядок переоформления допуска граждан к государственной тайне устанавливаются нормативными документами, утверждаемыми Правительством Российской Федерации.
__________________________________________________________________________
СПРАВКА
Постановление Правительства от 28 октября 1995 года № 1050 «Об утверждении инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне» (в ред. Постановлений Правительства РФ от 08.08.03 №475, от 15.11.2004 №637).
Постановление от 22 августа 1998 года № 1003 «Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне».
__________________________________________________________________________
Статья 27 устанавливает порядок допуска предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.
__________________________________________________________________________
СПРАВКА
Постановление Правительства от 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с изм., внесенными Постановлениями Правительства РФ от 23.04.96 № 509, от 30.04.97 № 513, от 29.07.98 № 854, от 03.10.02 № 731, от 17.12.04 № 807, от 26.01.07 № 50).
Постановление Правительства от 26 января 2006 года № 45 «Об организации лицензирования отдельных видов деятельности».
__________________________________________________________________________
Статья 28 определяет порядок сертификации средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством Российской Федерации. Координация работ по
организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.
__________________________________________________________________________
СПРАВКА
Приказ ФСБ Российской Федерации от 13 ноября 1999 года № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».
__________________________________________________________________________
Контроль за обеспечением защиты государственной тайны осуществляют Президент Российской Федерации и Правительство Российской Федерации в пределах полномочий, определяемых Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами.
Межведомственный контроль за обеспечением защиты государственной тайны в органах государственной власти, на предприятиях, в учреждениях и организациях осуществляют федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ), федеральный орган исполнительной власти, уполномоченный в области обороны (Министерство обороны), федеральный орган исполнительной власти, уполномоченный в области внешней разведки (СВР), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), и их территориальные органы, на которые эта функция возложена законодательством Российской Федерации.
3.20. Федеральный Закон
«О коммерческой тайне»
Федеральный Закон «О коммерческой тайне» принят 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.2006 № 19-ФЗ, от 18.12.2006 № 231-ФЗ).
В соответствии с частью 1 статьи 1, данный Федеральный Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.
В соответствии с Федеральным Законом от 18 декабря 2006 года № 231-ФЗ, с 1 января 2008 года часть 1 статьи 1 будет изложена в следующей редакции: «Настоящий Федеральный Закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау)».
Законом введено несколько понятий, рассмотренных в разделе 1.2 данного учебного пособия.
Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального Закона.
В соответствии со статьей 5, режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении сведений:
□ содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
□ содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
□ о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
□ о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
□ о численности, составе работников, системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
□ о задолженности работодателей по выплате заработной платы и но иным социальным выплатам;
□ о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
□ об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
□ о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
□ о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
□ обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Статья 10 определяет меры по охране конфиденциальности информации, принимаемые ее обладателем:
1. Определение перечня информации, составляющей коммерческую тайну.
2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4. Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
5. Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации.
Наряду с вышеуказанными мерами, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости другие средства и методы технической защиты конфиденциальности этой информации, не противоречащие законодательству Российской Федерации меры.
Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
В целях охраны конфиденциальности информации работодатель обязан:
1. Ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты.
2. Ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение.
3. Создать работнику необходимые условия для соблюдения установленного работодателем режима коммерческой тайны.
Трудовым договором работника с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
Органы государственной власти, иные государственные органы, органы местного самоуправления, в соответствии с настоящим Федеральным Законом и иными федеральными законами, обязаны создать условия, обеспечивающие охрану конфиденциальности информации, предоставленной им юридическими лицами или индивидуальными предпринимателями.
Должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, государственные или муниципальные служащие указанных органов не вправе без согласия обладателя информации, составляющей коммерческую тайну, разглашать или передавать другим лицам, органам государственной власти, иным государственным органам, органам местного самоуправления ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, за исключением случаев, предусмотренных настоящим Федеральным Законом, а также не вправе использовать эту информацию в корыстных или иных личных целях.
В соответствии со статьей 14, нарушение настоящего Федерального Закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
3.21. Федеральный Закон
«О техническом
регулировании»
Федеральный Закон «О техническом регулировании» от 27 декабря 2002 года № 184-ФЗ (с изменениями и дополнениями от 09.05.05 № 45-ФЗ) регулирует отношения, возникающие при:
□ разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации;
□ разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг;
□ оценке соответствия.
В связи с принятием Закона утратил силу целый ряд нормативно-правовых актов, в том числе Законы «О стандартизации» и «О сертификации продукции и услуг». Основная цель Закона создание двухуровневой системы нормативных документов: технических регламентов, которые будут содержать обязательные требования безопасности, и добровольных стандартов, содержащих требования к качеству (до принятия Закона все действующие в нашей стране ГОСТы были обязательны для исполнения).
Утверждение технического регламента в качестве обязательного к исполнению и применению документа и перевод стандартов в категорию добровольно применяемых норм явились своего рода революцией в сложившемся десятилетиями процессе технического регулирования. Закон кардинально изменил всю систему технических требований, порядок их разработки и утверждения, порядок осуществления государственного контроля и подтверждения соответствия требованиям обязательных и добровольных норм.
Закон меняет правовой статус стандартов: из обязательных они превращаются в добровольно применяемые. Иными словами, стандарты, даже государственные, перестают быть обязательными для субъектов хозяйствующей деятельности. Сам термин «государственный стандарт» выходит из обращения. Вместо него введены новые понятия: «национальный стандарт», «международный стандарт». Изменение правового статуса документов по стандартизации и самого понятия «стандартизация» обусловлены ориентацией российского законодателя на международную практику и сложившийся практический международный опыт в этой сфере деятельности.
Закон вводит несколько понятий в области технического регулирования.
Техническое регулирование правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, а также в области установления и применения на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг, и регулирование отношений в области оценки соответствия.
Сертификация форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров.
Технический регламент документ, который принят международным договором Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования.
Основными принципами технического регулирования устанавливаются единство установления требований к объектам технического регулирования, независимости органов по аккредитации, органов по сертификации от изготовителей, продавцов, исполнителей и приобретателей.
__________________________________________________________________________
СПРАВКА
Постановлением Правительства РФ от 1 марта 2005 года № 97 «О Правительственной комиссии по техническому регулированию» образована Правительственная комиссия по техническому регулированию. Комиссия является координационным органом, образованным для обеспечения согласовавших действий федеральных органов исполнительной власти в области технического регулирования. Председателем Комиссии является министр промышленности и энергетики Российской Федерации.
__________________________________________________________________________
В соответствии с Законом, федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, связанных с оборонной продукцией и продукцией, сведения о которой составляют государственную тайну.
В Российской Федерации действуют общие технические регламенты и специальные технические регламенты. Технический регламент принимается федеральным законом или постановлением Правительства. Разработчиком проекта технического регламента может быть любое лицо.
__________________________________________________________________________
СПРАВКА
Распоряжением Правительства РФ от 6 ноября 2004 года № 1421-р утверждена Программа разработки технических регламентов на 2004-2006 гг., которая предусматривает разработку 74 технических регламентов (7 общих и 67 специальных). Программа разработки технических регламентов дополнена распоряжением Правительства РФ от 8 ноября 2005 года № 1889-р и в настоящее время включает в себя 84 технических регламента.
В Программу, в частности, включены технические регламенты «Безопасность информационных технологий» и «О требованиях к средствам обеспечения безопасности информационных технологий». Организация разработки указанных регламентов поручена Мининформсвязи, ФСБ, ФСТЭК, Минобороны, МВД.________________________________________________________
Федеральный орган исполнительной власти по техническому регулированию обязан опубликовывать в своем печатном издании уведомления о разработке проекта технического регламента. Проект федерального закона о техническом регламенте, принятый Государственной Думой в первом чтении, публикуется в печатном издании федерального органа исполнительной власти по техническому регулированию и в информационной системе общего пользования в электронно-цифровой форме.
Федеральным органом исполнительной власти в области технического регулирования является Федеральное агентство по техническому регулированию и метрологии, созданное Постановлением Правительства от 17 июня 2004 года № 294.
Глава 3 Закона посвящена вопросам стандартизации. Вместо термина «государственный стандарт» Закон вводит понятие «национальный стандарт». Термин «национальный стандарт», в отличие от «государственного стандарта», подчеркивает его негосударственный (добровольный в применении) характер, а с другой стороны распространяет область действия стандарта на всю территорию Российской Федерации. Стандартизация осуществляется в соответствии с принципом добровольности и применения международного стандарта как основы разработки национального стандарта. К документам в области стандартизации, используемым на территории Российской Федерации, относятся:
□ национальные стандарты;
□ правила стандартизации, нормы и рекомендации в области стандартизации;
□ общероссийские классификаторы технико-экономической и социальной информации;
□ стандарты организаций.
Стандарты организаций могут разрабатываться и утверждаться ими самостоятельно, исходя из необходимости применения этих стандартов для совершенствования производства и обеспечения качества продукции, выполнения работ, оказания услуг.
Глава 4 Закона посвящена вопросам подтверждения соответствия, означающего, что продукция, работы, услуги или иные объекты соответствуют техническому регламенту, стандарту. Подтверждение соответствия па территории Российской Федерации может носить добровольный или обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом.
Глава 5 посвящена вопросам аккредитации органов по сертификации и испытательных лабораторий.
Глава 6 посвящена государственному контролю (надзору) за соблюдением требований технических регламентов.
Глава 7 устанавливает ответственность за несоответствие продукции требованиям технических регламентов и правил выполнения работ по сертификации.
Глава 8 определяет порядок опубликования и доступа к информации о технических регламентах.
В соответствии со статьей 44, Закона Постановлением Правительства от 15 августа 2003 года № 500 «О Федеральном информационном фонде технических регламентов и стандартов и единой информационной системе по техническому регулированию» (в ред. Постановления Правительства РФ от 02.08.05 № 486) утверждено Положение о Федеральном информационном фонде технических регламентов и стандартов и единой информационной системе по техническому регулированию. Настоящее Положение устанавливает порядок создания и ведения федерального информационного фонда технических регламентов и стандартов, правила пользования им, а также порядок создания и функционирования единой информационной системы по техническому регулированию, предназначенной для обеспечения информацией о технических регламентах, стандартах и других документах но техническому регулированию.
Федеральный информационный фонд технических регламентов и стандартов представляет собой организационно упорядоченную совокупность документов в сфере технического регулирования и является государственным информационным ресурсом.
К документам федерального информационного фонда технических регламентов и стандартов, за исключением документов, содержащих государственную, служебную или коммерческую тайну, обеспечивается свободный доступ. Базы и банки данных, входящие в состав единой информационной системы по техническому регулированию, регистрируются в установленном порядке в Государственном регистре баз данных.
3.22. Федеральный Закон
«Об электронной
цифровой подписи»
Федеральный Закон «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ осуществляет правовое регулирование отношений в области использования электронной цифровой подписи (ЭЦП). Целью настоящего Федерального Закона является обеспечение правовых условий использования ЭЦП в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Работа над проектом Закона началась с обсуждения думским бюджетным комитетом общего подхода к законодательству об электронной коммерции и электронном документообороте. Наибольшую заинтересованность в принятии законов высказывали финансовые структуры, и в частности коммерческие банки, давно использующие в своей деятельности аналоги собственноручной подписи. В результате данной дискуссии было принято решение о создании законодательной базы для электронного документооборота, в том числе о принятии Закона об электронной подписи.
Федеральный Закон об ЭЦП основывается на следующих принципах:
1. Цифровая подпись не может быть дискриминирована по сравнению с собственноручной подписью только на том основании, что она имеет электронную форму. Если соблюдены все указанные в Федеральном Законе требования, предъявляемые к электронной подписи, то она порождает те же правовые последствия, что и собственноручная, и обе подписи могут быть равным образом использованы в качестве доказательства в суде.
2. Осуществление государственного контроля за обращением продуктов и услуг, связанных с электронной цифровой подписью. Физические и юридические лица могут использовать только сертифицированные средства электронной цифровой подписи, а деятельность удостоверяющих центров подлежит лицензированию.
3. Правовым признанием пользуется электронная цифровая подпись, полученная с помощью использования технологий асимметричной криптографии.
4. Широкая сфера применения электронной цифровой подписи.
5. Признание иностранного сертификата ключа подписи, что, несомненно, способствует не только развитию внутреннего рынка, но и международной электронной коммерции.
Статья 3 вводит основные понятия в области ЭЦП, описанные в первой главе настоящего учебного пособия.
Глава 2 Закона посвящена условиям использования ЭЦП. В соответствии со статьей 4, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
□ сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
□ подтверждена подлинность электронной цифровой подписи в электронном документе;
□ электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
В соответствии со статьей 5, при создании ключей ЭЦП для использования в системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Использование несертифицированных средств ЭЦП и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
Статья 8 определяет статус удостоверяющего центра. Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей. Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
Статья 9 определяет основные функции удостоверяющего центра. Удостоверяющий центр:
□ изготавливает сертификаты ключей подписей;
□ создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
□ приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
□ ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
□ проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
□ выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
□ осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.
Глава 4 определяет особенности использования ЭЦП в сфере государственного управления и корпоративных информационных системах. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
В соответствии с Постановлением Правительства Российской Федерации от 30 июня 2004 года № 319, Федеральное агентство по информационным технологиям является уполномоченным федеральным органом исполнительной власти в области использования электронной цифровой подписи.
3.23. Федеральный Закон
«О персональных данных»
Принятие Федерального Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни, личную и семейную тайну, а также на воплощение в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности при обращении с персональными данными от 28 января 1981 года. Конвенция была подписана Российской Федерацией в Страсбурге 7 ноября 2001 года и ратифицирована Федеральным Законом от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Кроме того, распоряжением Правительства Российской Федерации от 9 июня 2005 года № 748-рп утверждена Концепция создания системы персонального учета населения Российской Федерации. В соответствии с Концепцией, система персонального учета представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан.
Для обеспечения доступа к системе персонального учета должна быть предусмотрена процедура авторизации пользователей в соответствии с требованиями обеспечения информационной безопасности. В Концепции указано, что в целях развития и функционирования системы персонального учета необходимо принять нормативные правовые акты, определяющие понятие, структуру, виды персональной информации, порядок доступа к ней, нрава и обязанности пользователей и держателей баз данных персональной информации, порядок и условия сбора, хранения, использования и распространения персональных данных. Указанные нормативные правовые акты должны иметь статус федеральных законов и определять все основные термины и понятия системы персонального учета.
Законом «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного само-
управления, муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Действие настоящего Федерального Закона не распространяется на отношения, возникающие при:
□ обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
□ организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
□ обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
□ обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
В соответствии со статьей 5, обработка персональных данных должна осуществляться на основе следующих принципов:
1. Законность целей и способов обработки персональных данных и добросовестность.
2. Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора.
3. Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
4. Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
5. Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением следующих случаев:
1. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
2. Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
3. Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5. Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
6. Обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
7. Осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
В соответствии со статьей 9 Закона, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
□ фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность;
□ наименование и адрес оператора, получающего согласие субъекта персональных данных;
□ цель обработки персональных данных;
□ перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
□ перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
□ срок, в течение которого действует согласие, а также порядок его отзыва.
Статья 10 регулирует порядок обработки специальных категорий персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
1. Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
2. Персональные данные являются общедоступными.
3. Персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни.
4. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным, в соответствии с законодательством Российской Федерации, сохранять врачебную тайну.
5. Обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных.
6. Обработка персональных данных необходима в связи с осуществлением правосудия.
7. Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Глава 3 Закона определяет права субъекта персональных данных. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в следующих случаях:
1. Обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка.
2. Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершений преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
3. Предоставление персональных данных нарушает конституционные права и свободы других лиц.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4 Закона определяет обязанности оператора при сборе персональных данных. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Оператор обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные.
Глава 5 посвящена вопросам контроля и надзора за обработкой персональных данных и ответственности за нарушение требований настоящего Федерального Закона. В соответствии со статьей 23, уполномоченным органом по защите нрав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального Закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
В соответствии с Постановлением Правительства Российской Федерации от 30 июня 2004 года № 318, федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, являлась Федеральная служба по надзору в сфере связи. Указом Президента Российской Федерации от 12 марта 2007 года № 320 указанная служба преобразована в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия.
Статья 24 устанавливает ответственность за нарушение требований настоящего Федерального Закона. Лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
В соответствии со статьей 25, информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального Закона, должны быть приведены в соответствие с требованиями настоящего Федерального Закона не позднее 1 января 2010 года.
3.24. Федеральный Закон
«О связи»
Федеральный Закон «О связи» № 126-ФЗ принят 7 июля 2003 года. С момента принятия в Закон были внесены изменения и дополнения: от 22.08.04 № 122-ФЗ, от 02.11.04 № 127-ФЗ, от 09.05.05 № 45-ФЗ, от 02.02.06 № 19-ФЗ, от 03.03.06 № 32-ФЗ, от 26.07.06 № 132-ФЗ, от 27.07.06 № 153-ФЗ, от 29.12.06 № 245-ФЗ, от 23.12.03 № 186-ФЗ, от 09.02.07 № 14-ФЗ. Он заменил собой ранее действовавший Федеральный Закон «О связи» от 16 февраля 1995 года № 15-ФЗ.
Данный Федеральный Закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.
Целями настоящего Федерального Закона являются:
□ создание условий для оказания услуг связи на всей территории Российской Федерации;
□ содействие внедрению перспективных технологий и стандартов;
□ защита интересов пользователей услугами связи и осуществляющих деятельность в области связи хозяйствующих субъектов;
□ обеспечение эффективной и добросовестной конкуренции на рынке услуг связи;
□ создание условий для развития российской инфраструктуры связи, обеспечения ее интеграции с международными сетями связи;
□ обеспечение централизованного управления российскими радиочастотным ресурсом, в том числе орбитально-частотным, и ресурсом нумерации;
□ создание условий для обеспечения потребностей в связи для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка.
Статья 2 раскрывает ряд основных понятий.
Оператор связи юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Пользователь услугами связи лицо, заказывающее и (или) использующее услуги связи. Сеть связи технологическая система, включающая в себя средства и линии связи и предназначенная для электросвязи или почтовой связи. Средства связи технические и программные средства, используемые для формирования, приема, обработки, хранения, передачи, доставки сообщений электросвязи или почтовых отправлений, а также иные технические и программные средства, используемые при оказании услуг связи или обеспечении функционирования сетей связи. Управление сетью связи совокупность организационно-технических мероприятий, направленных на обеспечение функционирования сети связи, в том числе регулирование трафика. Услуга связи деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений.
Статья 7 Закона посвящена защите сетей связи и сооружений связи. Сети связи и сооружения связи находятся под защитой государства. Защита государства означает, прежде всего, установление правил поведения в данной области (проектирование, строительство, эксплуатация сетей и сооружений связи и т. д.) и ответственности за их нарушение. Операторы связи и.застройщики при строительстве и реконструкции зданий, строений, сооружений, сетей связи и сооружений связи должны учитывать необходимость защиты средств связи и сооружений связи от несанкционированного доступа к ним.
Операторы связи при эксплуатации сетей связи и сооружений связи обязаны обеспечивать защиту средств связи и сооружений связи от несанкционированного доступа к ним.
Таким образом, уже на стадии строительства и реконструкции должны быть заложены технические решения, позволяющие свести к минимуму несанкционированный доступ к средствам связи и сооружениям связи.
В соответствии со статьей 11, Федеральную связь образуют все организации и государственные органы, осуществляющие и обеспечивающие электросвязь и почтовую связь на территории Российской Федерации.
Единая сеть электросвязи Российской Федерации состоит из расположенных на территории Российской Федерации сетей электросвязи следующих категорий (статья 12):
□ сеть связи общего пользования;
□ выделенные сети связи;
□ технологические сети связи, присоединенные к сети связи общего пользования;
□ сети связи специального назначения и другие сети связи для передачи информации при помощи электромагнитных систем.
Для сетей электросвязи, составляющих единую сеть электросвязи Российской Федерации, федеральный орган исполнительной власти в области связи (Министерство информационных технологий и связи) выполняет следующие функции:
□ определяет порядок их взаимодействия, а в предусмотренных законодательством Российской Федерации случаях порядок централизованного управления сетью связи общего пользования;
□ в зависимости от категорий сетей связи (за исключением сетей связи специального назначения, а также выделенных и технологических сетей связи, если они не присоединены к сети связи общего пользования) устанавливает требования к их построению, управлению или нумерации, применяемым средствам связи, организационно-техническому обеспечению устойчивого функционирования сетей связи, в том числе в чрезвычайных ситуациях, защиты сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации.
Операторы связи всех категорий сетей связи единой сети электросвязи Российской Федерации обязаны создавать системы управления своими сетями связи, соответствующие установленному порядку их взаимодействия.
Статьи с 13 по 17 определяют типы сетей связи.
Сеть связи общего пользования предназначена для возмездного оказания услуг электросвязи любому пользователю услугами связи на территории Российской Федерации и включает в себя сети электросвязи, определяемые географически в пределах обслуживаемой территории и ресурса нумерации и не определяемые географически в пределах территории Российской Федерации и ресурса нумерации, а также сети связи, определяемые по технологии реализации оказания услуг связи.
Выделенными сетями связи являются сети электросвязи, предназначенные для возмездного оказания услуг электросвязи ограниченному кругу пользователей или группам таких пользован елей.
Технологические сети связи предназначены для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве.
Сети связи специального назначения предназначены для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка. Эти сети не могут использоваться для возмездного оказания услуг связи, если иное не предусмотрено законодательством Российской Федерации.
Сеть почтовой связи представляет собой совокупность объектов почтовой связи и почтовых маршрутов операторов почтовой связи, обеспечивающих прием, обработку, перевозку (передачу), доставку (вручение) почтовых отправлений, а также осуществление почтовых переводов денежных средств.
Глава 5 Закона определяет государственное регулирование деятельности в области связи.
Государственное регулирование деятельности в области связи, в соответствии с Конституцией Российской Федерации и настоящим Федеральным Законом, осуществляется Президентом Российской Федерации, Правительством Российской Федерации, федеральным органом исполнительной власти в области связи, а также в пределах компетенции иными федеральными органами исполнительной власти. Правительством Российской Федерации устанавливаются полномочия федерального органа исполнительной власти в области связи. Федеральный орган исполнительной власти в области связи осуществляет функции по выработке государственной политики и нормативно-правовому регулированию в области связи.
Регулирование использования радиочастотного спектра является исключительным правом государства и обеспечивается в соответствии с международными договорами Российской Федерации и законодательством Российской Федерации посредством проведения экономических, организационных и технических мероприятий, связанных с конверсией радиочастотного спектра и направленных на ускорение внедрения перспективных технологий и стандартов, обеспечение эффективного использования радиочастотного спектра в социальной сфере и экономике, а также для нужд государственного управления, обороны страны, безопасности государства и обеспечения правопорядка. В Российской Федерации регулирование использования радиочастотного спектра осуществляется межведомственной государственной комиссией по радиочастотам. Положение о государственной комиссии по радиочастотам утверждено Постановлением Правительства РФ от 2 июля 2004 года № 336.
Статья 27 устанавливает общие положения организации государственного надзора за деятельностью в области связи. После реорганизации федеральных органов исполнительной власти в сфере связи действуют: Министерство информационных технологий и связи РФ, Федеральное агентство связи, Федеральное агентство по информационным технологиям, Федеральная служба по надзору в связи.
Постановлением Правительства Российской Федерации от 2 марта 2005 года № 110 утвержден Порядок осуществления государственного надзора за деятельностью в области связи. Функции по надзору возложены на Федеральную службу по надзору в сфере связи и ее территориальные органы. Наряду с чисто надзорными мероприятиями Федеральная служба осуществляет лицензирование деятельности в области оказания услуг связи.
Постановлением Правительства от 23 января 2006 года № 32 утверждены правила оказания услуг связи по передаче данных, которые регулируют отношения между абонентом и (или) пользователем, с одной стороны, и оператором связи, с другой стороны, при оказании услуг связи по передаче данных.
Глава 6 Закона посвящена вопросам лицензирования деятельности в области оказания услуг связи и подтверждения соответствия средств связи. Деятельность юридических лиц и индивидуальных предпринимателей по возмездному оказанию услуг связи осуществляется только на основании лицензии на осуществление деятельности в области оказания услуг связи (далее лицензия). Перечень наименований услуг связи, вносимых в лицензии, и соответствующие перечни лицензионных условий устанавливаются Правительством Российской Федерации и ежегодно уточняются. Такой перечень был, например, утвержден Постановлением Правительства от 18 февраля 2005 года № 87.
Лицензирование деятельности в области оказания услуг связи осуществляется федеральным органом исполнительной власти в области связи. В настоящее время указанную деятельность осуществляет Федеральная служба по надзору в связи, Положение о которой утверждено Постановлением Правительства от 30 июня 2004 года №318.
В соответствии со статьей 41, для обеспечения целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации является обязательным подтверждение соответствия установленным требованиям средств связи. Подтверждение соответствия средств связи техническому регламенту, принятому в соответствии с законодательством Российской Федерации о техническом регулировании, и требованиям, предусмотренным нормативными правовыми актами федерального органа исполнительной власти в области связи но вопросам применения средств связи, осуществляется посредством их обязательной сертификации или принятия декларации о соответствии. Правительство Российской Федерации приняло Постановление от 31 декабря 2004 года № 896, которым утвержден перечень средств связи, подлежащих обязательной сертификации.
Глава 7 Закона устанавливает основные положения по регулированию оказания услуг связи, в том числе определяет субъекты отношений и особенности этих отношений.
В соответствии со статьей 53, сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.
Глава 8 Закона определяет отношения при оказании универсальных услуг связи. К универсальным услугам связи относятся услуги телефонной связи с использованием таксофонов, а также услуги по передаче данных и предоставлению доступа к сети Интернет с использованием пунктов коллективного доступа.
Глава 9 посвящена защите прав пользователей услугами связи. На территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Операторы связи обязаны обеспечить соблюдение тайны связи.
Вместе с тем операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
Операторы связи обязаны обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи но согласованию с государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, требований к средствам связи для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения указанных мероприятий.
В главе 10 регулируются отношения при управлении сетями связи в чрезвычайных ситуациях и в условиях чрезвычайного положения.
Глава 11 определяет общие положения об ответственности за нарушение законодательства Российской Федерации в области связи.
Глава 12 определяет общие принципы международного сотрудничества в области связи.
В статье 70 указано, что для оказания услуг связи в пределах мировых информационно-телекоммуникационных сетей на территории Российской Федерации является обязательным:
□ создание российских сегментов мировых сетей связи, обеспечивающих взаимодействие с единой сетью связи Российской Федерации;
□ создание российских операторов связи, отвечающих требованиям, предъявляемым к ним настоящим Федеральным Законом;
□ обеспечение экономической, общественной, оборонной, экологической, информационной и иных видов безопасности.
На повышение информационной безопасности направлен, в частности, Указ Президента Российской Федерации от 12 мая 2004 года № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» (с изменениями, внесенными Указами Президента от 22.03.05 № 329, от 03.03.06 № 175).
3.25. Федеральный Закон
«О государственной
автоматизированной системе
Российской Федерации
"Выборы"»
Федеральный Закон «О государственной автоматизированной системе Российской Федерации "Выборы"» от 10 января 2003 года № 20-ФЗ регулирует отношения, возникающие при использовании Государственной автоматизированной системы Российской Федерации «Выборы» (ГАС «Выборы») при подготовке и проведении выборов и референдума, при эксплуатации и развитии ГАС «Выборы», а также при решении с ее использованием задач, не связанных с выборами и референдумом.
Статья 2 Закона вводит несколько терминов и понятий.
Безопасность информации в ГАС «Выборы» состояние защищенности информации в ГАС «Выборы» от несанкционированного доступа к данной информации, а также от нарушения функционирования программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации в ГАС «Выборы» или от вывода указанных средств из строя, обеспеченное совокупностью мер и средств защиты информации.
Информационные ресурсы ГАС «Выборы» отдельные документы, отдельные массивы документов, документы и массивы документов, формируемые, хранимые и используемые в ГАС «Выборы».
Электронная цифровая подпись в ГАС «Выборы» реквизит подготовленного с использованием ГАС «Выборы» электронного документа, предназначенный для защиты этого документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Использование, эксплуатация и развитие ГАС «Выборы» осуществляются на основе следующих принципов (статья 4):
1. Соблюдение конституционных прав граждан при автоматизированной обработке информации о них.
2. Обеспечение гласности деятельности избирательных комиссий, комиссий референдума при использовании ГАС «Выборы».
3. Оперативное информирование избирателей, участников референдума о ходе и результатах выборов и референдума.
4. Недопустимость вмешательства в информационные процессы в ГАС «Выборы» органов государственной власти, государственных органов, органов местного самоуправления, их должностных лиц, других лиц и организаций, которые, в соответствии с федеральными законами, не могут вмешиваться в данные процессы.
5. Сочетание централизации и децентрализации в управлении процессами использования и эксплуатации ГАС «Выборы».
6. Обязательное применение ГАС «Выборы» при подготовке и проведении выборов и референдума, недопустимость использования для этих целей вместо ГАС «Выборы» других автоматизированных систем и информационных технологий.
7. Обеспечение безопасности информации в ГАС «Выборы» в сочетании с открытостью системы и доступностью информации, содержащейся в информационных ресурсах ГАС «Выборы», в соответствии с федеральными законами.
8. Обеспечение достоверности информации, получаемой с использованием ГАС «Выборы».
9. Применение лицензионных программных средств общего назначения, сертифицированных специализированных программно-технических средств и средств связи ГАС «Выборы».
10. Недопустимость подключения ГАС «Выборы» к сети Интернет.
11. Недопустимость подключения ГАС «Выборы» при ее использовании при проведении выборов и референдума к иным информационным системам и сетям связи, не применяемым в ГАС «Выборы».
Центральная избирательная комиссия Российской Федерации является государственным заказчиком ГАС «Выборы» и определяет требования к использованию, эксплуатации и развитию ГАС «Выборы» в соответствии с федеральными законами. Она же устанавливает порядок использования ГАС «Выборы» при подготовке и проведении выборов и референдума в части, не урегулированной федеральными законами, устанавливает порядок обеспечения безопасности информации в ГАС «Выборы».
Избирательная комиссия субъекта Российской Федерации обеспечивает использование и эксплуатацию ГАС «Выборы» на территории субъекта Российской Федерации, представление в Центральную избирательную комиссию Российской Федерации информации о ходе и результатах выборов и референдумов всех уровней с использованием ГАС «Выборы» в установленном порядке, обеспечивает безопасность информации и осуществляет контроль за соблюдением требований безопасности информации в соответствующих фрагментах ГАС «Выборы».
Избирательные комиссии муниципальных образований, окружные, территориальные избирательные комиссии, комиссии референдума обеспечивают использование и эксплуатацию соответствующих комплексов средств автоматизации, представление в избирательную комиссию субъекта Российской Федерации, вышестоящую избирательную комиссию, комиссию референдума информации о ходе и результатах выборов и референдума с использованием ГАС «Выборы» в установленном порядке, обеспечивают безопасность информации в комплексах средств автоматизации.
Федеральный центр информатизации при Центральной избирательной комиссии Российской Федерации является государственным учреждением, обеспечивающим использование, эксплуатацию и развитие ГАС «Выборы». Он осуществляет организационное, техническое, информационное, методическое и иное обеспечение ГАС «Выборы», обеспечивает взаимодействие ГАС «Выборы» с информационными системами органов государственной власти, государственных органов, органов местного самоуправления, другими информационными системами, обеспечивает безопасность информации в ГАС «Выборы».
Статья 12 Закона определяет условия придания юридической силы документам, подготовленным с использованием ГАС «Выборы». Электронный документ, подготовленный с использованием ГАС «Выборы», приобретает юридическую силу после его подписания электронными цифровыми подписями соответствующих должностных лиц.
В ГАС «Выборы» вводятся данные документов на бумажных носителях и подписанные электронными цифровыми подписями соответствующих должностных лиц данные электронных документов. Передача электронных документов в избирательную комиссию, комиссию референдума с использованием ГАС «Выборы» осуществляется исключительно после проверки достоверности и подлинности электронных цифровых подписей, проставленных на каждом передаваемом документе, с помощью открытых ключей электронных цифровых подписей.
Подлинность электронных цифровых подписей, проставленных на каждом электронном документе, полученном вышестоящей избирательной комиссией, комиссией референдума от нижестоящей избирательной комиссии, комиссии референдума, проверяется с помощью открытых ключей электронных цифровых подписей.
Информационные ресурсы ГАС «Выборы», содержащие персональные данные, независимо от уровня и способа их формирования являются федеральными информационными ресурсами. Информационные ресурсы ГАС «Выборы», содержащие персональные данные, формируются, хранятся и используются в условиях конфиденциальности в порядке, установленном настоящим Федеральным Законом, иными федеральными законами, нормативными правовыми актами Центральной избирательной комиссии Российской Федерации.
Информационные ресурсы ГАС «Выборы», не содержащие персональных данных и сформированные за счет средств федерального бюджета, являются федеральными информационными ресурсами. К федеральным информационным ресурсам относятся также информационные ресурсы ГАС «Выборы», не содержащие персональных данных и сформированные за счет средств федерального бюджета и средств бюджета субъекта Российской Федерации. Порядок формирования, передачи, копирования, тиражирования и хранения указанных федеральных информационных ресурсов, доступа к ним, их использования устанавливается Центральной избирательной комиссией Российской Федерации.
В случае нарушения целостности или утраты составляющей (составляющих) части (частей) информационных ресурсов ГАС «Выборы», искажения содержания таких информационных ресурсов соответствующие избирательные комиссии, комиссии референдума и информационные центры избирательных комиссий субъекта Российской Федерации принимают меры по восстановлению утраченной (утраченных) части (частей) и содержания информационных ресурсов за счет средств виновной стороны, устанавливаемой в предусмотренном федеральными законами порядке.
Право доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, имеют:
1. Члены Центральной избирательной комиссии Российской Федерации, члены избирательных комиссий субъектов Российской Федерации, окружных, территориальных избирательных комиссий, комиссий референдума, работники аппаратов этих комиссий и работники, обеспечивающие использование
ГАС «Выборы», если такая информация необходима для выполнения ими своих должностных или служебных обязанностей.
2. Граждане, запрашивающие персональные данные о себе.
3. Должностные лица органов государственной власти, государственных органов, органов местного самоуправления, для которых доступ к такой информации предусмотрен федеральными законами.
Статья 20 определяет условия использования ГАС «Выборы» для решения задач, не связанных с выборами и референдумом. Использование ГАС «Выборы» осуществляется при строгом соблюдении приоритетности выполнения функций, обеспечивающих подготовку и проведение выборов и референдума, и следующих основных условий:
1. Обеспечение сохранности и достоверности содержащейся в ГАС «Выборы» информации.
2. Сохранение целостности ГАС «Выборы», работоспособности ее фрагментов и средств обеспечения.
3. Поддержание комплексов средств автоматизации в соответствии с установленной конфигурацией.
Глава б Закона посвящена обеспечению безопасности информации в ГАС «Выборы» и контролю за использованием ГАС.
Безопасность информации в ГАС «Выборы» обеспечивается посредством применения организационных и технических мер защиты, а также посредством осуществления контроля за использованием ГАС «Выборы». Основными мерами защиты являются:
1. Сертификация ГАС «Выборы», а также средств ее защиты в порядке, установленном федеральным законодательством.
2. Применение сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи.
3. Исключение несанкционированного доступа к ГАС «Выборы».
4. Обеспечение подлинности и целостности информации в ГАС «Выборы».
5. Защита информации при ее передаче по сетям связи.
6. Специальная всесторонняя проверка готовности ГАС «Выборы» и ее фрагментов перед подготовкой и проведением выборов и референдума.
7. Применение утвержденной в установленном порядке эксплуатационной документации.
8. Организация и проведение работ но обеспечению сохранности и работоспособности комплексов средств автоматизации.
9. Подготовка работников, подтвержденная сертификатом о праве эксплуатации комплекса средств автоматизации.
10. Установление ответственности за нарушение правил использования и эксплуатации ГАС «Выборы» и ее фрагментов.
Работы по обеспечению безопасности информации в ГАС «Выборы» проводятся организациями, имеющими лицензии на соответствующие виды деятельности.
Обмен информацией в ГАС «Выборы» осуществляется с использованием ресурсов сети связи общего пользования, ведомственных и иных сетей связи в порядке, предусмотренном федеральным законодательством. Операторы сетей связи, ресурсы которых используются для обмена информацией в ГАС «Выборы», несут ответственность за качество оказываемых услуг в соответствии с федеральным законодательством.
Лица, имеющие право доступа к информационным ресурсам ГАС «Выборы», в том числе к персональным данным, получающие и использующие их, несут ответственность в соответствии с федеральными законами за нарушение режима защиты, обработки и порядка использования этой информации.
Статья 4 Закона не допускает подключение ГАС «Выборы» к сети Интернет.
В целях обеспечения открытости и гласности выборов и референдумов Центральная избирательная комиссия Российской Федерации приняла Постановление от 28 февраля 2007 года № 200/1255-4 «Об инструкции по размещению данных государственной автоматизированной системы Российской Федерации "Выборы" в сети Интернет», которым утвердило соответствующую инструкцию.
Инструкция устанавливает порядок, объем и технологию выполнения работ в Центральной избирательной комиссии (ЦИК) Российской Федерации и избирательных комиссиях субъектов Российской Федерации (ИКСРФ) при размещении данных ГАС «Выборы» в информационно-телекоммуникационной сети общего пользования Интернет. Программно-технической средой для размещения информации ЦИК России и ИКСРФ в сети Интернет является автономная подсистема «Интернет-портал ГАС "Выборы" в сети интернет», включающая сайт ЦИК России и сайты ИКСРФ и не имеющая физической связи с комплексами средств автоматизации, входящими в состав ГАС «Выборы».
Размещение информации в Интернет-портале осуществляется на сайте ЦИК России и сайтах ИКСРФ. ИКСРФ, которая посредством технических средств поставщика услуг сети Интернет размещает вне Интернет-портала имеющиеся у нее государственные информационные ресурсы ГАС «Выборы», может осуществлять такое размещение только при условии, что поставщик услуг использует сертифицированные средства защиты, в том числе криптографические, которые обеспечивают целостность, достоверность и доступность этих ресурсов. Доступ пользователей к информации, размещенной в Интернет-портале, обеспечивается в режиме «Только чтение».
Данные, размещенные на технологических копиях сайтов ИКСРФ с помощью специальных программно-технических средств ГАС «Выборы», переводятся в необходимый формат, записываются на съемный внешний носитель (компакт-диск), который переносится на автоматизированное рабочее место Интернет-портала для последующего отображения на сайте соответствующей ИКСРФ в сети Интернет.
Постановлением Центральной избирательной комиссии Российской Федерации от 23 июля 2003 года № 19/137-4 утверждено Положение об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации «Выборы». Постановлением ЦИК от 28 февраля 2007 года № 200/1254-4 «О внесении изменений в Положение об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации "Выборы"» положение изложено в новой редакции. Новая редакция учитывает требования Федерального Закона «Об информации, информационных технологиях и о защите информации» и Федерального Закона «О персональных данных».
3.26. Федеральный Закон
«О рекламе»
Федеральный Закон «О рекламе» от 13 марта 2006 года № 38-ФЗ (с изменениями от 09.02.2007 № 18-ФЗ, от 18.12.2006 № 231-ФЗ) регулирует отношения в сфере рекламы независимо от места ее производства, если распространение рекламы осуществляется на территории Российской Федерации. С вступлением в силу данного закона утратил силу Федеральный Закон от 18 июля 1995 года № 108-ФЗ «О рекламе».
Статья 3 вводит основные понятия, используемые в настоящем Федеральном Законе.
Реклама информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.
Статья 5 определяет общие требования к рекламе. Реклама должна быть добросовестной и достоверной. Недобросовестная реклама и недостоверная реклама не допускаются.
Глава 2 определяет особенности отдельных способов распространения рекламы. Статья 18 касается рекламы, распространяемой по сетям электросвязи и размещаемой на почтовых отправлениях.
Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.
Не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки).
Глава 5 регулирует вопросы государственного контроля в сфере рекламы и определяет меры ответственности за нарушение законодательства о рекламе.
Государственный контроль за соблюдением законодательства Российской Федерации о рекламе осуществляет антимонопольный орган. Сведения, составляющие коммерческую, служебную и иную охраняемую законом тайну и полученные антимонопольным органом при осуществлении своих полномочий, не подлежат разглашению, за исключением предусмотренных федеральным законом случаев.
Разглашение сотрудниками антимонопольного органа сведений, составляющих коммерческую, служебную и иную охраняемую законом тайну, влечет за собой ответственность в соответствии с законодательством Российской Федерации об административных правонарушениях или уголовным законодательством Российской Федерации. Убытки, причиненные таким разглашением, подлежат возмещению в соответствии с гражданским законодательством.
3.27. Федеральный Закон
«О средствах массовой
информации»
Федеральный Закон «О средствах массовой информации» от 27 декабря 1991 года № 2124-1 устанавливает правовую основу деятельности в области массовой информации, термины и определения, организационные основы и ограничения в распространении массовой информации. В Закон внесен ряд изменений: от 13.01.95 № 6-ФЗ, от 06.06.95 № 87-ФЗ, от 19.07.95 №> 114-ФЗ, от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 20.06.00 № 90-ФЗ, от 05.08.00 № 110-ФЗ, от 04.08.01 № 107-ФЗ, от 21.03.02 № 31-ФЗ, от 25.07.02 № 112-ФЗ, от 25.07.02 № 116-ФЗ, от 04.07.03 № 94-ФЗ, от 08.12.03 № 169-ФЗ, от 29.06.04 № 58-ФЗ, от 22.08.04 № 122-ФЗ, от 02.11.04 № 127-ФЗ, от 21.07.05 № 93-ФЗ, от 27.07.06 № 153-ФЗ, от 16.10.06 № 160-ФЗ.
Статья 1 провозглашает свободу массовой информации. В Российской Федерации поиск, получение, производство и распространение массовой информации, учреждение средств массовой информации, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных законодательством Российской Федерации о средствах массовой информации.
В соответствии с Законом, под массовой информацией понимаются предназначенные для неограниченного круга лиц печатные, аудио-, аудиовизуальные сообщения и материалы.
Цензура массовой информации, то есть требование от редакции средства массовой информации со стороны должностных лиц, государственных органов, организаций, учреждений или общественных объединений предварительно согласовывать сообщения и материалы (кроме случаев, когда должностное лицо является автором интервьюируемым), а равно наложение запрета на распространение сообщений и материалов, их отдельных частей, не допускается.
В соответствии со статьей 4, не допускается использование средств массовой информации в целях совершения уголовно наказуемых деяний, для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, для распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, культ насилия и жестокости.
Запрещается использование в радио-, теле-, видео-, кинопрограммах, документальных и художественных фильмах, а также в информационных компьютерных файлах и программах обработки информационных текстов, относящихся к специальным средствам массовой информации, скрытых вставок и иных технических приемов и способов распространения информации, воздействующих на подсознание людей и (или) оказывающих вредное влияние на их здоровье.
Запрещается распространение в средствах массовой информации, а также в компьютерных сетях сведений о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда каких-либо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров, а также распространение иной информации, распространение которой запрещено федеральными законами.
Статья 24 определяет иные средства массовой информации. Правила, установленные настоящим Законом для периодических печатных изданий, применяются в отношении периодического распространения тиражом тысяча и более экземпляров текстов, созданных с помощью компьютеров и (или) хранящихся в их банках и базах данных, а ровно в отношении иных средств массовой информации, продукция которых распространяется в виде печатных сообщений, материалов, изображений.
Правила, установленные настоящим Законом для радио- и телепрограмм, применяются в отношении периодического распространения массовой информации через системы телетекста, видеотекста и иные телекоммуникационные сети, если законодательством Российской Федерации не установлено иное.
Редакция средства массовой информации имеет право запрашивать информацию о деятельности государственных органов и организаций, общественных объединений, их должностных лиц. Отказ в предоставлении запрашиваемой информации возможен, только если она содержит сведения, составляющие государственную, коммерческую или иную специально охраняемую законом тайну.
Статья 41 вводит понятие конфиденциальной информации. Редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне.
3.28. Федеральный Закон
«О безопасности»
Федеральный Закон «О безопасности» от 5 марта 1992 года № 2446-1 (с изм. и доп. от 25 декабря 1992 года № 4235-1;от 24 декабря 1993 года № 2288; от 25 июля 2002 года Ms 116-ФЗ; от 7 марта 2005 года № 15-ФЗ, от 25 июля 2006 года № 128-ФЗ) закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
В соответствии с Законом, безопасность состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Угроза безопасности совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Основным субъектом обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.
В соответствии со статьей 5, основными принципами обеспечения безопасности являются: законность; соблюдение баланса жизненно важных интересов личности, общества и государства; взаимная ответственность личности, общества и государства по обеспечению безопасности; интеграция с международными системами безопасности.
Раздел II Закона определяет систему обеспечения безопасности Российской Федерации и ее основные функции. Основными функциями системы безопасности являются:
□ выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
□ создание и поддержание в готовности сил и средств обеспечения безопасности;
□ управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;
□ осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;
□ участие в мероприятиях по обеспечению безопасности за пределами Российской Федерации в соответствии с международными договорами и соглашениями, заключенными или признанными Российской Федерацией.
Обеспечение безопасности личности, общества и государства осуществляется на основе разграничения полномочий органов законодательной, исполнительной и судебной властей в данной сфере.
Органы исполнительной власти:
□ обеспечивают исполнение законов и иных нормативных актов, регламентирующих отношения в сфере безопасности;
□ организуют разработку и реализацию государственных программ обеспечения безопасности;
□ осуществляют систему мероприятий по обеспечению безопасности личности, общества и государства в пределах своей компетенции;
□ в соответствии с законом, формируют, реорганизуют и ликвидируют государственные органы обеспечения безопасности.
Судебные органы:
□ обеспечивают защиту конституционного строя в Российской Федерации, руководствуясь Конституцией и законами Российской Федерации, конституциями и законами республик в составе Российской Федерации;
□ осуществляют правосудие по делам о преступлениях, посягающих на безопасность личности, общества и государства;
□ обеспечивают судебную защиту граждан, общественных и иных организаций и объединений, чьи права были нарушены в связи с деятельностью по обеспечению безопасности.
Общее руководство государственными органами обеспечения безопасности осуществляет Президент Российской Федерации. Президент возглавляет Совет Безопасности, контролирует и координирует деятельность государственных органов обеспечения безопасности, в пределах определенной законом компетенции принимает оперативные решения по обеспечению безопасности.
Правительство Российской Федерации:
□ в пределах определенной законом компетенции обеспечивает руководство государственными органами обеспечения безопасности Российской Федерации;
□ организует и контролирует разработку и реализацию мероприятий по обеспечению безопасности министерствами и государственными комитетами Российской Федерации, другими подведомственными ему органами Российской Федерации, республик в составе Российской Федерации, краев, областей, автономной области, автономных округов.
Министерства и государственные комитеты Российской Федерации:
□ в пределах своей компетенции, на основе действующего законодательства, в соответствии с решениями Президента Российской Федерации и постановлениями Правительства Российской Федерации, обеспечивают реализацию федеральных программ защиты жизненно важных интересов объектов безопасности;
□ на основании настоящего Закона в пределах своей компетенции разрабатывают внутриведомственные инструкции (положения) но обеспечению безопасности и представляют их на рассмотрение Совета Безопасности.
Силы обеспечения безопасности включают в себя: Вооруженные Силы, федеральные органы безопасности, органы внутренних дел, внешней разведки, обеспечения безопасности органов законодательной, исполнительной, судебной властей и их высших должностных лиц, налоговой службы; государственную противопожарную службу, органы службы ликвидации последствий чрезвычайных ситуаций, формирования гражданской обороны; внутренние войска; органы, обеспечивающие безопасное ведение работ в промышленности, энергетике, на транспорте и в сельском хозяйстве; службы обеспечения безопасности средств связи и информации, таможни, природоохранные органы, органы охраны здоровья населения и другие государственные органы обеспечения безопасности, действующие на основании законодательства.
Раздел III Закона определяет статус Совета Безопасности Российской Федерации, его состав и основные задачи, а также задачи создаваемых им межведомственных комиссий.
Раздел V Закона определяет систему контроля и надзора за деятельностью по обеспечению безопасности. Органы государственной власти и управления Российской Федерации в пределах своей компетенции осуществляют контроль за деятельностью министерств и ведомств, предприятий, учреждений и организаций по обеспечению безопасности. Надзор за законностью деятельности органов обеспечения безопасности осуществляет Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.
3.29. Федеральный Закон
«О лицензировании
отдельных видов
деятельности»
Федеральный Закон «О лицензировании отдельных видов деятельности» от 8 августа 2001 года № 128-ФЗ (с изменениями и дополнениями от 13 марта
2002 года № 28-ФЗ, от 21 марта 2002 года № 31-ФЗ; от 9 декабря 2002 года № 164-ФЗ; от 10 января 2003 года № 17-ФЗ; от 27 февраля 2003 года № 29-ФЗ; от И марта 2003 года № 32-ФЗ; от 26 марта 2003 года №36-Ф3; от 23 декабря 2003 года №185-ФЗ; от 2 ноября 2004 года № 127-ФЗ; от 21 марта 2005 года № 20-ФЗ, от 02.07.05 № 80-ФЗ, от 31.12.05 № 200-ФЗ, от 27.07.06 № 156-ФЗ, от 04.12.06 № 201-ФЗ, от 29.12.06 № 244-ФЗ, от 29.12.06 № 252-ФЗ, от 05.02.07 № 13-ФЗ) регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального Закона.
Основными принципами осуществления лицензирования являются:
□ обеспечение единства экономического пространства на территории Российской Федерации;
□ установление единого перечня лицензируемых видов деятельности;
□ установление единого порядка лицензирования на территории Российской Федерации;
□ установление лицензионных требований и условий положениями о лицензировании конкретных видов деятельности;
□ гласность и открытость лицензирования;
□ соблюдение законности при осуществлении лицензирования.
К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.
В соответствии со статьей 5, Правительство Российской Федерации в соответствии с определенными Президентом Российской Федерации основными
направлениями внутренней политики государства:
□ утверждает положения о лицензировании конкретных видов деятельности;
□ определяет федеральные органы исполнительной власти, осуществляющие лицензирование конкретных видов деятельности;
□ устанавливает виды деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации.
Статья 17 Закона определяет перечень видов деятельности, на осуществление которых требуются лицензии. В области информационной
безопасности в перечень включены следующие виды деятельности:
1. Деятельность по распространению шифровальных (криптографических) средств.
2. Деятельность по техническому обслуживанию шифровальных (криптографических) средств.
3. Предоставление услуг в области шифрования информации.
4. Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
5. Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случаев, когда указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
6. Деятельность по разработке и (или) производству средств защиты конфиденциальной информации.
7. Деятельность по технической защите конфиденциальной информации.
8. Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
9. Деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией.
10. Воспроизведение (изготовление экземпляров) аудиовизуальных произведений и фонограмм на любых видах носителей.
Правительством Российской Федерации принят ряд постановлений по лицензированию конкретных видов деятельности в области защиты информации, утвержден ряд соответствующих положений о лицензировании. Перечень таких постановлений приведен в разделе 3.2.
Постановлением Правительства от 26 января 2006 года № 45 «Об организации лицензирования отдельных видов деятельности» (в редакции Постановления Правительства от 5 мая 2007 года № 269) утвержден перечень федеральных органов исполнительной власти, осуществляющих лицензирование, и перечень видов деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации, и федеральных органов исполнительной власти, разрабатывающих проекты положений о лицензировании этих видов деятельности.
В соответствии с Постановлением, в области информационной безопасности осуществляют лицензирование:
1 МВД России:
■ негосударственная (частная) охранная деятельность;
■ негосударственная (частная) сыскная деятельность;
2 ФСТЭК России:
■ деятельность по технической защите конфиденциальной информации;
3 ФСТЭК России, ФСБ России:
■ деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
4 ФСБ России:
■ разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;
■ деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случаев, когда указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
■ деятельность по распространению шифровальных (криптографических) средств;
■ деятельность по техническому обслуживанию шифровальных (криптографических) средств;
■ предоставление услуг в области шифрования информации;
■ разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
5 Росохранкультура:
■ воспроизведение (изготовление экземпляров) аудиовизуальных произведений и фонограмм на любых видах носителей;
6 Ростехрегулирование:
■ деятельность по изготовлению и ремонту средств измерений.
3.30. Федеральный Закон
«О транспортной
безопасности»
Федеральный Закон «О транспортной безопасности» от 9 февраля 2007 года № 16-ФЗ регулирует отношения в области обеспечения безопасности на транспорте. Закон вводит ряд понятий и терминов.
Обеспечение транспортной безопасности реализация определяемой государством системы правовых, экономических, организационных и иных мер в сфере транспортного комплекса, соответствующих угрозам совершения актов незаконного вмешательства.
Оценка уязвимости объектов транспортной инфраструктуры и транспортных средств определение степени защищенности объектов транспортной инфраструктуры и транспортных средств от угроз совершения актов незаконного вмешательства.
Транспортная безопасность состояние защищенности объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства.
Уровень безопасности степень защищенности транспортного комплекса, соответствующая степени угрозы совершения акта незаконного вмешательства.
Статья 2 определяет основные цели и задачи обеспечения транспортной безопасности. Целями обеспечения транспортной безопасности являются устойчивое и безопасное функционирование транспортного комплекса, защита интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Основными задачами обеспечения транспортной безопасности являются:
□ нормативное правовое регулирование в области обеспечения транспортной безопасности;
□ определение угроз совершения актов незаконного вмешательства;
□ оценка уязвимости объектов транспортной инфраструктуры и транспортных средств;
□ категорирование объектов транспортной инфраструктуры и транспортных средств;
□ разработка и реализация требований по обеспечению транспортной безопасности;
□ разработка и реализация мер по обеспечению транспортной безопасности;
□ подготовка специалистов в области обеспечения транспортной безопасности;
□ осуществление контроля и надзора в области обеспечения транспортной безопасности;
□ информационное, материально-техническое и научно-техническое обеспечение транспортной безопасности.
Статья 3 определяет основные принципы обеспечения транспортной
безопасности:
1. Законность.
2. Соблюдение баланса интересов личности, общества и государства.
3. Взаимная ответственность личности, общества и государства в области обеспечения транспортной безопасности.
4. Непрерывность.
5. Интеграция в международные системы безопасности.
6. Взаимодействие субъектов транспортной инфраструктуры, органов государственной власти и органов местного самоуправления.
В соответствии со статьей 4, обеспечение транспортной безопасности объектов транспортной инфраструктуры и транспортных средств возлагается на субъекты транспортной инфраструктуры, если иное не установлено законодательством Российской Федерации.
Объекты транспортной инфраструктуры и транспортные средства, обеспечение транспортной безопасности которых осуществляется исключительно федеральными органами исполнительной власти, определяются федеральными законами, нормативными правовыми актами Правительства Российской Федерации (часть 2 статьи 4).
Государственный контроль и надзор в области обеспечения транспортной безопасности осуществляются уполномоченными федеральными органами исполнительной власти в соответствии с законодательством Российской Федерации.
Статья 5 определяет принципы оценки уязвимости объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства. Оценка проводится специализированными организациями в области обеспечения транспортной безопасности, организациями и подразделениями федерального органа исполнительной власти в области обеспечения безопасности Российской Федерации и федерального органа исполнительной власти, осуществляющего функции по выработке государственной политики и нормативно-правовому регулированию в сфере внутренних дел.
Сведения о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры и транспортных средств являются информацией ограниченного доступа. Сведения о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры и транспортных средств, указанных в части 2 статьи 4 настоящего Федерального Закона, являются сведениями, составляющими государственную тайну.
В соответствии со статьей 7 Закона, в целях принятия мер по обеспечению транспортной безопасности устанавливаются различные уровни безопасности в транспортном комплексе. Перечень уровней безопасности и порядок их объявления при изменении степени угрозы совершения акта незаконного вмешательства в деятельность транспортного комплекса устанавливаются Правительством Российской Федерации.
Статья 9 определяет порядок планирования и реализации мер по обеспечению транспортной безопасности объектов транспортной инфраструктуры и транспортных средств.
Сведения, содержащиеся в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, являются информацией ограниченного доступа. Сведения, содержащиеся в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, указанных в части 2 статьи 4 настоящего Федерального Закона, являются сведениями, составляющими государственную тайну.
Статья 11 определяет систему информационного обеспечения в области транспортной безопасности.
В целях осуществления мер по обеспечению транспортной безопасности федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере информационных технологий и связи, создается единая государственная информационная система обеспечения транспортной безопасности, являющаяся собственностью Российской Федерации. Информационная система состоит, в том числе, из автоматизированных централизованных баз персональных данных о пассажирах.
Информационные ресурсы единой государственной информационной системы обеспечения транспортной безопасности являются информацией ограниченного доступа.
При оформлении проездных документов (билетов) передаче в автоматизированные централизованные базы персональных данных о пассажирах подлежат следующие данные: фамилия, имя, отчество, дата и место рождения, вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ, пункт отправления, пункт назначения, вид маршрута следования, дата поездки. Порядок формирования и ведения автоматизированных централизованных баз персональных данных о пассажирах, а также предоставления содержащихся в них данных устанавливается Правительством Российской Федерации.
Субъект транспортной инфраструктуры или перевозчик иностранного государства, являющиеся собственниками транспортного средства, которое выполняет международные перевозки пассажиров в Российскую Федерацию, из Российской Федерации и (или) через территорию Российской Федерации, либо использующий его на иных законных основаниях, обеспечивает передачу данных, содержащихся в проездных документах (билетах), в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с Федеральным Законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», настоящим Федеральным Законом, если международными договорами Российской Федерации не установлено иное.
Контроль за соблюдением порядка передачи сведений в автоматизированные централизованные базы персональных данных о пассажирах осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере транспорта.
3.31. Федеральный Закон
«Об оперативно-розыскной
деятельности»
Федеральный Закон «Об оперативно-розыскной деятельности» от 12 августа 1995 года № 144-ФЗ (в редакции Федеральных законов от 18.07.97 № 101-ФЗ, от 21.07.98 № 117-ФЗ, от 05.01.99 № 6-ФЗ, от 30.12.99 № 225-ФЗ, от 20.03.01 № 26-ФЗ, от 10.01.03 № 15-ФЗ, от 30.06.03 № 86-ФЗ, от 29.06.04 № 58-ФЗ, от 22.08.04 № 122-ФЗ, от 02.12.2005 № 150-ФЗ) определяет содержание оперативно-розыскной деятельности, осуществляемой на территории Российской Федерации, и закрепляет систему гарантий законности при проведении оперативно-розыскных мероприятий.
Оперативно-розыскная деятельность вид деятельности, осуществляемой гласно и негласно оперативными подразделениями государственных органов, уполномоченных на то настоящим Федеральным Законом (далее органы, осуществляющие оперативно-розыскную деятельность), в пределах их полномочий посредством проведения оперативно-розыскных мероприятий в целях защиты жизни, здоровья, прав и свобод человека и гражданина, собственности, обеспечения безопасности общества и государства от преступных посягательств.
В соответствии со статьей 2, задачами оперативно-розыскной деятельности являются:
□ выявление, предупреждение, пресечение и раскрытие преступлений, а также выявление и установление лиц, их подготавливающих, совершающих или совершивших;
□ осуществление розыска лиц, скрывающихся от органов дознания, следствия и суда, уклоняющихся от уголовного наказания, а также розыска без вести пропавших;
□ добывание информации о событиях или действиях (бездействии), создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации.
В соответствии со статьей 5, органам, осуществляющим оперативно-розыскную деятельность, запрещается разглашать сведения, которые затрагивают неприкосновенность частной жизни, личную и семейную тайну, честь и доброе имя граждан и которые стали известными в процессе проведения оперативно-розыскных мероприятий, без согласия граждан, за исключением случаев, предусмотренных федеральными законами.
Оперативно-розыскные мероприятия, связанные с контролем почтовых отправлений, телеграфных и иных сообщений, прослушиванием телефонных переговоров с подключением к станционной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги и средства связи, со снятием информации с технических каналов связи, проводятся с использованием оперативно-технических сил и средств органов ФСБ, органов внутренних дел и органов по контролю за оборотом наркотических средств и психотропных веществ в порядке, определяемом межведомственными нормативными актами или соглашениями между органами, осуществляющими оперативно-розыскную деятельность.
Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных для негласного получения информации, не уполномоченными на то настоящим Федеральным Законом физическими и юридическими лицами.
Ввоз в Российскую Федерацию и вывоз за ее пределы специальных технических средств, предназначенных для негласного получения информации, не уполномоченными на осуществление оперативно-розыскной деятельности физическими и юридическими лицами подлежат лицензированию в порядке, устанавливаемом Правительством Российской Федерации. Перечень видов специальных технических средств, предназначенных для негласного получения информации в процессе осуществления оперативно-розыскной деятельности, устанавливается Правительством Российской Федерации.
Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность, подлежат лицензированию в соответствии с законодательством Российской Федерации.
__________________________________________________________________________
СПРАВКА
Указ Президента Российской Федерации от 9 января 1996 года № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (в ред. Указа Президента РФ от 30.12.00 № 2111).__________________________________________________________________
В соответствии со статьей 12 Закона, сведения об используемых или использованных при проведении негласных оперативно-розыскных мероприятий силах, средствах, источниках, методах, планах и результатах оперативно-розыскной деятельности, о лицах, внедренных в организованные преступные группы, о штатных негласных сотрудниках органов, осуществляющих оперативно-розыскную деятельность, и о лицах, оказывающих им содействие на конфиденциальной основе, а также об организации и о тактике проведения оперативно-розыскных мероприятий, составляют государственную тайну и подлежат рассекречиванию только на основании постановления руководителя органа, осуществляющего оперативно-розыскную деятельность.____________________________________________
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
От 1 июля 1996 года № 770 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» (в ред. Постановления Правительства РФ от 15.07.02 № 526).
От 10 марта 2000 года № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежит лицензированию» (в ред. Постановлений Правительства РФ от 19.10.00 № 800, от 27.11.06 № 718).
От 15 июля 2002 года № 526 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскою деятельность» (в ред. Постановлений Правительства РФ от 14.06.05 № 376, от 26.01.07 № 50).________
В соответствии с Постановлением Правительства Российской Федерации от 27 августа 2005 года № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность» операторы связи обязаны оказывать содействие органам, обеспечивающим оперативно-розыскную деятельность.
Правила определяют порядок взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими в соответствии с Федеральным Законом «Об оперативно-розыскной деятельности» оперативно-розыскную деятельность с использованием технических средств, обеспечивающих эту деятельность в сети связи оператора связи, при предоставлении оператором связи уполномоченным органам информации об абонентах и оказанных им услугах связи, а также иной информации, необходимой для выполнения возложенных на уполномоченные органы задач в порядке и случаях, установленных федеральными законами. Органы Федеральной службы безопасности, являясь уполномоченными органами, осуществляют взаимодействие с операторами связи при проведении в рамках оперативно-розыскной деятельности оперативно-розыскных мероприятий, связанных с использованием технических средств, в том числе в интересах других уполномоченных органов. Сети и средства связи, используемые оператором связи, должны соответствовать требованиям, предъявляемым к ним для проведения оперативно-розыскных мероприятий.
3.32. Федеральный Закон
«Об архивном деле
в Российской Федерации»
Федеральный Закон «Об архивном деле в Российской Федерации» от 22 октября 2004 года № 125-ФЗ (с изменениями и дополнениями от 04.12.2006 № 202-ФЗ) регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.
Закон вводит ряд понятий и терминов. Архивный документ материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации для граждан, общества и государства. Владелец архивных документов государственный орган, орган местного самоуправления либо юридическое или физическое лицо, осуществляющие владение и пользование архивными документами и реализующие полномочия по распоряжению ими в пределах, установленных законом или договором.
В соответствии со статьей 24 Закона, пользователь архивными документами имеет право свободно искать и получать для изучения архивные документы. Доступ к архивным документам обеспечивается путем предоставления пользователю архивными документами справочно-поисковых средств и информации об этих средствах, а также подлинников и (или) копий необходимых ему документов.
Статья 25 ограничивает доступ к некоторым архивным документам.
Доступ к архивным документам может быть ограничен в соответствии с международным договором Российской Федерации, законодательством Российской Федерации, а также в соответствии с распоряжением собственника или владельца архивных документов, находящихся в частной собственности.
Ограничивается доступ к архивным документам, независимо от их форм собственности, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну, а также к подлинникам особо ценных документов, в том числе уникальных документов, и документам Архивного фонда Российской Федерации, признанным в порядке, установленном специально уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти, находящимися в неудовлетворительном физическом состоянии. Отмена ограничения на доступ к архивным документам, содержащим сведения, составляющие государственную и иную охраняемую законодательством Российской Федерации тайну, осуществляется в соответствии с законодательством Российской Федерации.
Ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти с письменного разрешения наследников данного гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее, чем через 75 лет со дня создания указанных документов.
Пользователь архивными документами имеет право использовать, передавать, распространять информацию, содержащуюся в предоставленных ему архивных документах, а также копии архивных документов для любых законных целей и любым законным способом. Использование архивных документов, на которые распространяется действие законодательства Российской Федерации об интеллектуальной собственности, осуществляется с учетом требований данного законодательства.
Контрольные вопросы к главе 3
1. Назовите основные международные стандарты в области информационной безопасности.
2. Какой зарубежный стандарт принят в качестве стандарта Российской Федерации?
3. Какие международные конвенции и документы приняты в Российской Федерации?
4. Назовите основные концептуальные законодательные акты Российской Федерации, регулирующие отношения в области информации.
5. Какие положения Конституции Российской Федерации декларируют принципы отношений в области информации?
6. Назовите основные задачи обеспечения информационной безопасности в соответствии с Концепцией национальной безопасности Российской Федерации.
7. Перечислите основные положения Доктрины информационной безопасности Российской Федерации.
8. Назовите основные направления повышения уровня защищенности объектов информационно-технологической инфраструктуры федеральных органов государственной власти.
9. Перечислите задачи государственной политики в сфере использования информационных технологий в деятельности федеральных органов государственной власти.
10. Назовите основные цели региональной информатизации.
11. Перечислите основные положения Концепции создания системы персонального учета.
12. Назовите основные принципы защиты от НДС.
13. Перечислите основные положения Концепции формирования информационного общества в России.
14. Назовите основные положения Стратегии развития информационного общества России, касающиеся вопросов информационной безопасности.
15. Какие законы Российской Федерации приняты за 2 последних года и какие законы в связи с этим утратили силу?
16. Какой закон Российской Федерации является базовым в области информатизации и защиты информации.
17. Определения каких терминов введены законом «Об информации, информационных технологиях и о защите информации»?
18. Назовите основные положения Закона 149-ФЗ, касающиеся защиты информации.
19. Какие статьи Кодекса Российской Федерации об административных правонарушениях касаются информатизации и защиты информации?
20. Какие статьи Уголовного кодекса регулируют отношения в сфере компьютерной информации?
21. Какая часть Гражданского Кодекса посвящена вопросам интеллектуальной деятельности, когда она вступает в силу и какие законы утрачивают силу в связи с этим.
22. Назовите основные положения Гражданского Кодекса, касающиеся программ для ЭВМ.
23. Перечислите основные положения Гражданского Кодекса, касающиеся баз данных.
24. Какой вид профессиональной тайны предусмотрен Налоговым Кодексом, что входит в состав этой тайны.
25. Какой вид профессиональной тайны предусмотрен Таможенным Кодексом, что входит в состав этой тайны.
26. Какие положения Трудового кодекса касаются защиты информации.
27. Назовите основные положения Закона «О государственной тайне».
28. Перечислите основные положения Закона «О коммерческой тайне».
29. Назовите основные положения Закона «О техническом регулировании».
30. Дайте определения основных терминов, введенных Законом об ЭЦП.
31. Назовите основные положения Закона «О персональных данных», касающиеся защиты информации.
32. Перечислите основные положения Закона «О связи», касающиеся информационной безопасности.
33. Назовите основные принципы эксплуатации и обеспечения защиты информации в ГАС «Выборы».
34. Перечислите основные положения Законов «О рекламе» и «О средствах массовой информации», касающиеся информационных технологий и защиты информации.
35. Назовите основные положения Закона «О безопасности».
36. На осуществление каких видов деятельности в области информационной безопасности требуются лицензии и какими нормативно-правовыми актами это установлено?
37. Какие основные положения Закона «О транспортной безопасности» касаются информационной безопасности?
38. Перечислите основные положения Федерального Закона «Об оперативно-розыскной деятельности», связанные с информационной безопасностью.
39. Назовите основные определения и требования по защите информации, введенные Федеральным Законом «Об архивном деле в Российской Федерации».
Приложение
Анализ тенденций
развития и практики
компьютерной безопасности
В настоящем учебном пособии подробно изложен только один из аспектов обеспечения информационной безопасности, а именно нормативно-правовое регулирование. С точки зрения подготовки кадров в области компьютерной безопасности полезно представлять общую проблематику и современные тенденции развития в данном направлении. После подготовки данной книги в июне 2007 года состоялся XI пленум Учебно-методического объединения вузов Российской Федерации по образованию в области информационной безопасности. В сборнике трудов была опубликована обширная статья, в которой приводится анализ тенденций развития теории и практики компьютерной безопасности в связи с проблемами образования в области компьютерной безопасности [13]. Авторы статьи В. П. Лось и А. В. Черемушкин имеют многолетний опыт практической и педагогической работы в области информационной безопасности. Материалы статьи подготовлены при поддержке Академии криптографии Российской Федерации. При подготовке статьи были использованы нормативные документы, периодические научные издания, материалы научных конференций, учебных пособий, монографий и отчетов по НИР, раскрывающие те или иные аспекты компьютерной безопасности. С разрешения авторов ниже приводится полный текст статьи.
Особенности современного этапа
развития теории компьютерной
безопасности
Первоначально проблема обеспечения безопасности данных возникла при расширении круга пользователей ЭВМ и вычислительных систем. Увеличение количества ЭВМ и областей их применения объективно создало предпосылки для модификации, хищения и уничтожения данных. Появление автоматизированных информационных систем еще более усугубило проблему обеспечения безопасности данных. В рамках данного исследования можно выделить следующие этапы развития концепции обеспечения компьютерной безопасности.
Центральной идеей начального этапа являлось намерение обеспечить безопасность данных механизмами, функционирующими но строго формальным алгоритмам. Для создания таких механизмов использовались технические и в основном программные средства. Программные средства защиты включались в состав операционных систем (ОС) или систем управления базами данных (СУБД). Слабым звеном разработанных механизмов защиты оказался механизм защиты доступа пользователя к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным. Однако всесторонние испытания таких систем, как MULTICS и ADEPT-50 показали, что указанные системы с точки зрения обеспечения безопасности данных имеют множество недостатков.
В 60-х и 70-х годах XX века основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых на компьютере, и применении отказоустойчивых решений в области обработки информации в автоматизированных системах, построенных в основном на базе централизованных систем и терминального доступа. Поэтому тогда говорили о защите данных (data security) в компьютерных системах.
В 80-х годах с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, были введены первые криптографические стандарты защиты данных, а также были разработаны критерии оценки безопасности операционных систем компьютерных систем, определяющие различные системы разграничения доступа. Появился термин компьютерная безопасность (computer security). Получила распространение триединая модель confidentiality, integrity, availability (CIA) для определения задач компьютерной безопасности.
В 90-х годах в связи с интенсивным развитием сетевых компьютерных технологий и появлением распределенных компьютерных систем основные усилия специалистов были направлены на решение следующих задач: обеспечение безопасности сетевого и межсетевого взаимодействия; разграничение доступа к распределенным ресурсам; комплексное обеспечение безопасности информации в автоматизированной системе. Большое развитие получили клиент-серверные технологии доступа. Средства защиты стали встроенными в большинство создаваемых промышленных продуктов. В это же время был накоплен опыт расследования и пресечения компьютерных преступлений. Несмотря на развитие теории и реализацию в практических системах технологий обеспечения компьютерной безопасности, объем ущерба, наносимого в результате компьютерных инцидентов, возрастал. Появилось осознание того, что информационные ресурсы организации или государства являются важным объектом экономической инфраструктуры. Стало понятно, что обеспечение безопасности объектов информатизации, обладающих определенной ценностью, требует привлечения различных ресурсов (людских, организационных, программно-технических) и построения системы мер и методов защиты. Поэтому в научной литературе, а затем и в средствах массовой информации стали использовать термин информационная безопасность (information security).
Кроме того, в государственных структурах, а потом и в криминальных сообществах появилось много средств скрытого информационного воздействия на работу автоматизированных систем. В военную доктрину многих стран было включено понятие информационной войны и информационного оружия. Появилось понятие критических информационных систем.
Уточнено понятие CIA-модели для представления основных составных свойств и возможностей, гарантирующих безопасность: доступность (Availability); целостность (Integrity); аутентификация (Authentification); конфиденциальность (Confidentiality); невозможность отказа от ранее совершенных действий (Nonrepudiation); восстановление (Restoration).
Накопленный опыт в области обеспечения безопасности данных, а также усиление тенденции к стандартизации и унификации средств автоматизации информационных процессов позволили перейти к разработке методов, моделей и алгоритмов управления защитой данных в автоматизированных системах. Начало XXI века характеризуется наличием большого числа многофункциональных систем высокой степени интеграции, вобравших в себя последние достижения в развитии технологий обработки, хранения и передачи информации. В конце XX века формируются основы теории обеспечения информационной безопасности как направления научных исследований. Теория приобретает определенную структуру, организуются специализированные институты и международные сообщества исследователей, проводятся тематические научные конференции.
К основным особенностям современного этапа развития теории компьютер
ной безопасности относятся:
□ Высокая интеграция информационных систем.
Это привело к необходимости поиска комплексных решений в области разработки методов обеспечения информационной безопасности, учитывающих особенности работы операционных систем, сетевого многоуровневого взаимодействия, а также прикладных программ и сервисных приложений, ориентированных на решение различных информационных задач.
□ Усложнение информационных технологий передачи, обработки и хранения информации в сочетании с их широкой доступностью.
Простота доступа и широкая аудитория являются принципиальным требованием для некоторых категорий систем: платежные системы, электронные магазины, сайты государственных структур и т. п.
□ Широкий спектр аппаратных платформ от карманных до Hi-End компьютеров.
□ Развитие сетевых технологий и телекоммуникаций с различной архитектурой и коммуникационными протоколами, большим набором сетевых служб и сервисов, широкое использование сервис-ориентированной архитектуры. Эта особенность, с одной стороны, расширяет возможности организации скрытого взаимодействия и обеспечения анонимности и, с другой стороны, повышает требования к безопасности работы в недоверенном и зачастую агрессивном окружении. Появление новых видов сетевого взаимодействия, включая интенсивное развитие аппаратных средств и протоколов беспроводной и мобильной связи, приводит к необходимости расширения и совершенствования методов защиты, учитывающих особенности новых технологий организации доступа и обработки информации.
□ Наличие большого числа международных организаций, координирующих разработки и осуществляющих стандартизацию в областях:
■ разработки оборудования и программного обеспечения (IEEE/ACM);
■ требований в области КБ (протоколов взаимодействия (IETF), механизмов защиты (ISO), оценки уровня защищенности);
■ образования в этих областях (IEEE/ACM).
□ Появление детальных и высокоразвитых стандартов в области:
■ средств безопасности межсетевого взаимодействия (несколько тысяч документов *.rfc организации IETF);
■ оценки защищенности (ISO 15408);
■ организационных требований к технологиям обеспечения информационной безопасности и аудиту уровня обеспечения информационной безопасности (ISO 17799, BS 7799, part 2, CoBIT);
■ образования в области компьютерных наук (Computing Curricula 2001, Curriculum Guidelines 2004).
□ Постоянное обновление имеющегося и появление большого числа разнообразного несертифицированного программного обеспечения иностранных производителей, широко используемого в нашей стране, в том числе и в критически важных областях экономики и сферы государственного управления.
□ Недостаточно высокая надежность доступного на потребительском рынке оборудования. Это требует принятия мер повышения надежности, и в том числе, разработки методов обеспечения бесперебойной работы автоматизированных систем, методов и технологий быстрого восстановления систем передачи и обработки информации.
□ Расширение спектра свойств, характеризующих безопасность (только для протоколов 20 свойств в документах IETF).
□ Появление и широкое использование развитых программных систем со встроенными средствами защиты (операционные системы, промышленные СУБД, электронные платежные системы).
□ Появление сложных организационных, технологических, криптографических и правовых проблем в связи с широким внедрением в государственных структурах и субъектах экономической деятельности систем электронного документооборота.
Проблема создания юридически значимого электронного документооборота особенно усложнена отсутствием отечественных разработок в области текстовых процессоров и других современных средств обработки, сопровождения и архивирования документов, занимающих сколько-нибудь заметное место на рынке. Для защиты электронного документооборота в РФ был принят Федеральный Закон «Об электронной цифровой подписи» и разработан проект закона об электронном документе. Происходило активное внедрение нового государственного стандарта электронной цифровой подписи на основе эллиптических кривых и разработка возможных вариантов реализации удостоверяющего центра. Вместе с тем пока остается много нерешенных технических проблем с обеспечением безопасности удостоверяющих центров.
□ Широкое распространение систем сокрытия информации, включая стегано-графические системы и близкие области: цифровые водные знаки, цифровые метки.
Это привело к появлению нового научного направления, связанного, с одной стороны, с разработкой новых алгоритмов, обладающих стойкостью к обнаружению и извлечению вложенной информации, а с другой стороны, с разработкой методов обнаружения такой информации.
□ Значительно увеличилось число и усложнился характер возможных угроз утечки секретной и конфиденциальной информации за счет расширения возможностей доступа к средствам хранения, обработки и передачи информации и большого многообразия средств возможного воздействия с целью изменения ее содержания.
□ Дальнейшее повышение технологического уровня и совершенствование тактики компьютерных атак.
При общем уменьшении числа различных атак сами атаки значительно усложняются и становятся более изощренными. Появляются новые классы атак с широкими функциональными возможностями, обладающие небольшим программным кодом, способные самостоятельно маскировать свое присутствие в системе, и предоставляющие разработчику практически неограниченные возможности в плане воздействия на систему. Несмотря на отсутствие значительных вирусных эпидемий, наблюдалось появление возрастающего числа новых компьютерных вирусов и других вредоносных программных агентов.
□ Осуществлялось дальнейшее наращивание арсенала сертифицированных средств защиты информации в информационно-телекоммуникационных и банковских системах передачи данных, а также в системах, использующих интеллектуальные пластиковые карты.
Однако рынок средств защиты отечественного производства занимает очень малую долю на фоне многочисленных зарубежных продуктов, которые при меньшей цене обладают большей совместимостью с распространенными системами и большим набором предоставляемых сервисов, проигрывая только в вопросах надежности защиты.
Новым перспективным направлением, связанным с аутентификацией и проверкой целостности, является разработка средств и методов, в том числе с применением криптографии, для защиты нового поколения документов, в которых для повышения надежности идентификации владельца используются биометрические параметры. Основной задачей здесь является обеспечение практической невозможности подделки или дублирования документов, удостоверяющих личность. Значение этого фактора для борьбы с преступностью и терроризмом не нуждается в дополнительных объяснениях. Сюда же относится и проблема создания на территории РФ национальной идентификационной системы, элементы которой уже внедрены в различных регионах, включая социальные карты, электронные паспорта и т. п.
Еще одна серьезная проблема, которая возникла в последние годы и может заметно изменить положение дел с уровнем обеспечения информационной безопасности в автоматизированных системах государственных и негосударственных структур, связана с намерением России войти в состав ВТО. По требованию этой организации в России принят Федеральный Закон № 184 от 27 декабря 2002 года «О техническом регулировании», согласно которому с 30.06.2010 г. прекращают действие все действующие государственные стандарты и осуществляется переход к специальным техническим регламентам (СТР), которые должны быть к этому времени разработаны. При этом утвержден новый подход к порядку лицензирования и сертификации продуктов. По этому закону государственному контролю, и в том числе лицензированию и сертификации, подлежат только те сферы, которые могут потенциально нанести вред жизни и здоровью потребителей. Поскольку информационные технологии подпадают под его действие, то в сфере информационной безопасности также должны быть разработаны и утверждены новые документы взамен существующих стандартов. Понятно, что здесь возникнет масса проблем с регулированием разработки и применения средств защиты информации, и прежде всего, основанной на применении криптографических методов.
Можно констатировать устойчивый интерес рынка к выпускникам высших учебных заведений но специальности «Компьютерная безопасность». Официальный прогноз потребности государственных структур на период до 2010 года (в целом по специалистам в области информационной безопасности) от 4000 до 5000 специалистов в год. В то же время значительная часть выпускников реально идет работать в частный сектор экономики России. Уровень подготовки специалистов в различных вузах России заметно различается. Представленная научная и учебная литература по тематике компьютерной безопасности также сильно различается по качеству. С одной стороны, на рынке представлено несколько десятков учебных пособий (и всего 2 учебника) но специальности «Компьютерная безопасность», имеющих грифы Минобрнауки или профильного УМО. С другой стороны, уровень некоторых научных публикаций и литературы, претендующей на учебную, особенно в области дисциплин криптографического цикла и смежных областей знания, весьма низкий.
В России сформировался рынок организаций, представляющих собственные решения в области компьютерной безопасности, и фирм-интеграторов, предлагающих комплексные решения по обеспечению информационной безопасности организаций и предприятий. Знакомство студентов с продуктами отечественных производителей при проведении практических занятий находится на зачаточном уровне, хотя со стороны промышленности проявляется готовность поиска специальных условий поставки продуктов для учебных заведений.
В последнее время получило определенное развитие направление, связанное с анализом и управлением информационными рисками. Расширяются исследования в области автоматизации контроля и аудита информационной безопасности автоматизированных систем различного назначения. В совокупности можно говорить о развитии направления экономики информационной безопасности.
Практические аспекты
применения защиты информации
Ниже рассмотрены основные области, вокруг которых было сконцентрировано развитие практических аспектов применения методов защиты информации.
Защита от копирования
Это традиционное направление в последнее время также получило новое развитие в связи с обеспечением возможности ограничения несанкционированного распространения дорогого программного обеспечения. Если раньше это было характерно только для очень дорогих программ, а также для программного обеспечения (ПО) таких поставщиков, как SUN Microsystems, Silicon Graphics и т. п., то с появлением технологи ТСРА (trusted computer protected architecture) такая же участь ожидает в скором будущем и компьютеры платформы Intel. Основные способы решения этой проблемы:
□ нестандартное форматирование носителей;
□ привязка ПО к оборудованию;
□ электронные ключи.
Анализ программных реализаций на наличие недокументированных возможностей
Данное направление особенно актуально для исследования ПО иностранных производителей, а также при проведении сертификационных исследований. Кроме того, наличие ошибок в ПО (exploits) позволяет создавать методы нарушения безопасности, основанные на использовании этих ошибок.
Основные проблемы, стоящие в данной области:
□ методы верификации и валидации (V&V);
□ анализ программного кода (reverse engineering):
■ декомпиляция и дизассемблирование;
■ восстановление алгоритмов;
□ методы исследования программ:
■ метод экспериментов;
■ статический метод;
■ динамический метод;
□ методы защиты кода от анализа:
■ кодирование, упаковка и шифрование исполняемых модулей;
■ запутывание кода;
■ защита от конкретных отладочных механизмов.
□ поиск недокументированных возможностей:
■ методы формального описания (спецификации) функциональных свойств программ, поведения программных систем;
■ методы извлечения спецификаций из различных программных объектов, таких, как проектная текстовая документация, диаграммы, тексты программ, трассировочная информация;
■ методы статической и динамической проверки соответствия поведения системы ее спецификации.
Защита в операционных системах
Эта классическая область компьютерной безопасности. С появлением современных защищенных сетевых операционных систем интенсивно развиваются и совершенствуются применяемые в них методы защиты.
Перечислим круг проблем, решаемых в этой области:
□ разграничение доступа: объекты, субъекты, методы, права, привилегии, дискреционное управление;
□ векторы доступа;
□ списки доступа: изолированная программная среда, мандатное управление;
□ особенности разграничения доступа в UNIX-системах; формат векторов доступа, SUID/SGID;
□ особенности разграничения доступа в Windows-системах:
■ классификация объектов и субъектов доступа;
■ методы и права доступа: специфичные, стандартные, общие, виртуальные;
■ маркеры доступа, дескрипторы защиты, форматы списков доступа;
■ алгоритм проверки прав доступа субъекта к объекту;
■ автоматическое назначение атрибутов защиты вновь создаваемым объектам, автоматическое наследование изменений в защите контейнеров;
□ идентификация и аутентификация:
■ парольная;
■ угрозы: компрометация и подбор пароля, методы подбора пароля, расширения парольной схемы, на основе внешних носителей информации, биометрическая, физические характеристики, методы свертки данных, оценка надежности, особенности аутентификации в UNIX-системах, особенности аутентификации в Windows-системах;
□ аудит;
□ интеграция защищенных ОС в защищенную сеть: домены Windows NT, сквозная аутентификация, назначение полномочий пользователям домена,
элементы централизованного управления политикой безопасности;
□ отношения доверия: активный каталог Windows 2000/2003;
□ групповая политика;
□ делегирование полномочий.
Проблема построения защищенной ОС тесно связана с анализом известного программного кода (сейчас имеется доступ к исходным кодам ОС Windows, Linux, Solaris). Поэтому разрабатываются общие единые подходы к доработке исходного кода таких ОС.
Наконец, важной является проблема разработки языка задания политик безопасности, позволяющего однозначно транслировать функциональные обязанности пользователей в конструкции политик безопасности.
Защита в СУБД
Наиболее важными новыми направлениями развития для СУБД промышленного уровня являются:
□ разработка технологии избирательного управления доступом (Fine Grained Access); избирательность ограничений доступа может быть реализована за счет использования дополнительных предикатов вплоть до уровня элемента данных;
□ разработка технологии избирательного аудита (Fine Grained Audit); избирательность фиксации записей аудита определяется возможностями записи соответствующего ограничения в форме предиката;
□ встраивание в СУБД механизмов шифрования на уровне столбцов таблиц (в основном на базе алгоритмов DES и AES); дополнительно представлены встроенные генераторы псевдослучайных последовательностей и алгоритмы вычисления хеш-функций основных распространенных в США и Европе стандартов; реализовано явное и неявное управление ключами;
□ встраивание средств управления сертификатами и личными (закрытыми) ключами;
□ расширение возможностей управления восстановлением предыдущих состояний баз данных (откат транзакций);
□ полномасштабная реализация классической модели мандатного доступа.
Современная СУБД является совокупностью процессов, совместно использующих область оперативной памяти, обеспечивая логическое управление языковыми средствами в соответствии с предписанной технологией. Управляемая база данных, как правило, является распределенной, то есть физически размещенной на нескольких носителях. Поэтому для реализации защиты необходимо проведение детального исследования исходного программного кода.
Защита в сетях
На первое место по объему исследований вышла область обеспечения безопасности при работе в компьютерных сетях. Это объясняется большим многообразием сетевых протоколов, которые далеко не всегда обеспечивают безопасность основных аспектов взаимодействия, что предоставляет широкие возможности для проведения различных атак.
Основное внимание здесь сосредоточено на следующих вопросах:
□ классификация различных видов атак:
■ отказ в обслуживании (floods, nukes);
■ несанкционированное получение повышенных полномочий в удаленной системе;
■ прослушивание и навязывание трафика;
■ раскрытие параметров системы;
■ особенности сетевых атак в беспроводных сетях;
□ протоколы аутентификации:
■ «обычные»;
■ на основе распределения ключей (Kerberos и др.);
■ «провайдерские» (Radius и т. п.);
■ техника «запрос-ответ» и протоколы с нулевым разглашением;
□ протоколы распределения ключей:
■ виды ключевой информации;
■ особенности реализации в различных сетевых операционных системах;
□ алгоритмы шифрования:
■ особенности реализации в различных сетевых операционных системах;
□ межсетевые экраны:
■ виды экранов;
■ «истинно межсетевые»;
■ персональные пакетные фильтры;
□ защищенные виртуальные частные сети (VPN):
■ обоснование выбора расположения модулей VPN в рамках семиуровневой модели межсетевого взаимодействия;
■ проблема информационного замыкания VPN, работающей на базе открытой сети;
□ защита систем электронной почты:
□ защита веб-сайтов;
□ гетерогенные сети;
■ определение уровней совместимости защищенных ОС.
Программные закладки, компьютерные вирусы
и сетевые черви
Появление многочисленных средств скрытого информационного воздействия, способных скрытно внедряться и существовать в системе, а также нести самую разнообразную «полезную нагрузку», требует постоянного внимания к изучению методов и средств такого воздействия, разработки методов и средств преодоления защиты и проникновения в защищенные системы, а также защиты от них.
Компьютерная стеганография
Стеганографические средства позволяют решить ряд проблем по сокрытию передачи и хранения информации, которые не могут быть решены с применением криптографической техники. Кроме того, они находят применение в таких областях, как защита авторских прав на электронную продукцию, позволяют проследить использование различных продуктов путем внесения в них цифровых меток, а также организовать размещение легкодоступной справочной и другой вспомогательной информации в файлах со сложной структурой, таких, как географические карты, мультимедиа форматы и т. н. Основные вопросы, по которым применительно к данной
проблематике проводились исследования:
□ характеристики восприятия;
□ способы сокрытия и затруднения обнаружения;
□ сокрытие в графических файлах:
■ дискретные преобразования;
□ косинусное преобразование (DCT);
□ вейвлет-преобразования:
■ фракталы;
□ сокрытие в видео- и аудиофайлах;
□ сокрытие в форматах real-media;
□ сокрытие в исполняемых файлах;
□ цифровые водяные знаки (ЦВЗ):
■ стойкость к удалению;
■ робастность;
□ пропускная способность скрытого канала.
Беспроводные сети и мобильная связь
Очень быстрое развитие средств беспроводной и мобильной связи и большое к ним внимание со стороны потребителей и производителей поставили целый ряд задач по изучению возможностей их применения и исследованию вопросов обеспечения безопасности таких соединений. В настоящее время разработано много поколений протоколов с большим спектром средств обеспечения безопасности, включая выработку общего ключа, шифрование, аутентификацию, прыгающие частоты и т. д.
Благодаря их удобству данные виды связи можно применять не только для передачи информации, но и для управления (с помощью наладонных компьютеров, коммуникаторов и смартфонов) другими устройствами, выполняющими определенные функции, связанные со съемом, обработкой, хранением и передачей информации.
Здесь также следует упомянуть разработку основными поставщиками промышленных СУБД серверов приложений, обеспечивающих создание интегрированных информационных систем с возможностью доступа и управления данными по различным (в том числе и беспроводным) каналам связи.
Электромагнитное оружие
В настоящее время разработано много различных вариантов воздействия на аппаратную часть компьютерной техники и магнитные носители. Разработаны общие схемы такого воздействия и реализовано много конкретных примеров
устройств. Основные вопросы, рассматриваемые в этой области:
1. Классификация силового деструктивного воздействия:
□ по способу и объекту воздействия:
■ на магнитные носители;
■ на блок питания;
■ на сетевое оборудование;
□ по параметру воздействия:
■ по мощности;
■ по времени;
■ но частоте;
2. Практические примеры построения систем.
Биометрическая аутентификация
Появление на рынке большого разнообразия средств биометрической аутентификации и встраивание таких средств в аппаратное обеспечение, включая клавиатуры, мыши, флэш- и PCMCI-карты, карманные и переносные компьютеры,
требуют анализа надежности их применения для решения задач обеспечения
безопасности.
В частности, биометрическая аутентификация может основываться на:
□ голосовых особенностях;
□ почерке;
□ тепловой карте лица;
□ радужной оболочке глаза; Q отпечатках пальцев и т. п.
Вопросы, рассматриваемые при этом:
□ выбор индивидуальных характеристик и способов их измерения;
□ выбор способов преобразования результатов измерений в итоговый цифровой образ;
□ оценка надежности распознавания.
Системы электронного документооборота
Процесс информатизации деятельности ведомств, учреждений, предприятий, фирм и т. и. привел к широкому использованию различных электронных систем обработки служебной и деловой информации. Осуществляемый при этом перевод в электронную форму многих документов связан с проблемой обеспечения безопасности такого документооборота. Основным средством подтверждения подлинности и установления авторства служат системы электронной цифровой подписи. Их внедрение связано с необходимостью решения ряда организационных, технологических, криптографических и правовых проблем, к числу которых относятся:
□ выработка принципов построения федеральной системы управления цифровыми сертификатами и обеспечения ее информационной безопасности;
□ поддержка единого отечественного стандарта для вида цифрового сертификата;
□ анализ структуры и протоколов взаимодействия отечественных и зарубежных инфраструктур удостоверяющих центров;
□ уточнение понятия электронного документа с учетом различных этапов его жизненного цикла;
□ разработка надежного программного обеспечения для удостоверяющих центров;
□ внедрение систем поддержки цифровых сертификатов в используемые системы обработки электронных документов;
□ разработка доверенных средств обработки, сопровождения и архивирования электронных документов.
Электронные платежные
системы
Широкое распространение электронных платежных систем объясняется их удобством и простотой использования для клиента и высокой доходностью для владельца. Многие производители подобных средств предлагают неодинаковые решения, поэтому имеется большое разнообразие
применяемых в них технологий и способов защиты.
В настоящее время различают системы с:
□ электронными;
□ виртуальными;
□ цифровыми.
К числу вопросов, наиболее часто обсуждаемых в публикациях, относятся:
□ архитектура и технологические решения;
□ протоколы безопасности;
□ особенности систем на основе пластиковых карточек: виды, технологии и инфраструктура.
Экспертиза компьютерных
преступлений
Все возрастающие потребности и большая сложность проведения такой экспертизы требуют разработки надежных специализированных автоматизированных средств. Расширяется и круг задач, решаемых при проведении экспертизы. Это вызвано большим разнообразием имеющихся технологий хранения, обработки и передачи информации, широким распространением портативных и карманных компьютеров, имеющих разнообразные операционные системы и прикладное программное обеспечение. Основные вопросы, рассматриваемые
в этой области:
□ анализ остаточной информации;
□ следы программ;
□ модели и признаки;
□ оценка достоверности полученных выводов;
□ использование аппаратных особенностей для восстановления и снятия информации.
Фундаментальные проблемы
теории компьютерной безопасности
Развитие теории компьютерной безопасности было бы невозможно без исследования ее фундаментальных проблем. К последним можно отнести:
1. Формальные модели безопасности.
Данное направление традиционно занимает одно из центральных мест в большинстве книг по компьютерной безопасности. Разработке и исследованию различных моделей безопасности посвящено достаточно большое число работ.
Наибольшую трудность представляет формализация самого понятия безопасности системы.
Первоначально моделирование безопасности системы осуществлялось на языке рубежей защиты, позволяющих перекрыть возможность осуществления тех или иных атак. При этом система называлась защищенной от конкретного множества атак, если механизмы защиты полностью перекрывали пути использования уязвимостей системы, приводящие к этим атакам. Но в силу особенностей функционирования компьютерных систем данный подход не позволил получить доказательных условий для проверки безопасности системы, и в дальнейшем он стал применяться только в качестве иллюстрации при оценке рисков.
В настоящее время введены и исследованы различные модели управления доступом и передачи полномочий. Для их описания, как правило, применяются теоретико-графовые и теоретико-автоматные модели. Наибольшее распространение получил так называемый субъектно-объектный подход, при котором безопасность компьютерной системы определяется как такое ее поведение, при котором она не может перейти в небезопасное состояние. Однако при этом возникают большие трудности в нахождении эффективных критериев, позволяющих гарантировать небезопасность поведения системы, или обнаружить возможность перехода в то или иное небезопасное состояние. Для придания конструктивности этому подходу исследуются формальные правила, описывающие получение и передачу прав доступа, и разрабатываются такие ограничения на поведение системы, при которых не происходит нарушения этих правил. Такой подход позволяет находить необходимые и достаточные условия, позволяющие эффективно проверить возможность осуществления несанкционированных доступов.
В последние годы появились исследования по формализации понятия управления информационными потоками в компьютерных системах, описанию и исследованию скрытых каналов, которые могут потенциально приводить к утечке информации. Получили формальное описание модели каналов утечки информации по памяти и по времени, а также найдены условия, позволяющие проверить наличие или исключить такие каналы.
В основе введенного формализма лежит семейство математических моделей КС, называемых ДП-моделями (от Доступы/Потоки). Первой построена базовая ДП-модель КС с дискреционным управлением доступом, которая является основой всех ДП-моделей. Принципиальным фактом здесь является не только то, что данные модели обобщают известные подходы, но и то, что в ДП-моделях учтен ряд особенностей функционирования современных компьютерных систем (КС), в том числе:
■ различие в условиях реализации в КС информационных потоков по памяти
и по времени;
■ наличие в современных КС иерархической структуры сущностей и возможность ее использования при реализации информационных потоков по
времени;
■ возможность кооперации части субъектов КС при передаче прав доступа
или реализации информационных потоков;
■ возможность реализации в КС доверенных и недоверенных субъектов с
различными условиями функционирования;
■ возможность противодействия доверенными субъектами КС передаче прав доступа или реализации информационных потоков недоверенными
субъектами;
■ возможность изменения функциональности субъекта при реализации информационного потока по памяти на функционально-ассоциированные с
ним сущности.
В работах [1, 2] предпринята попытка формализации понятия управления информационными потоками в компьютерных системах, описания и исследования, скрытых каналов, которые могут потенциально приводить к утечке информации. Получено формальное описание модели каналов утечки информации по памяти и по времени, а также найдены условия,
позволяющие проверить наличие или исключить такие каналы.
2. Формальные методы оценки рисков.
Оценка рисков осуществляется на начальном этапе проектирования системы защиты и является основой для выработки политики безопасности. Она выполняется в четыре этапа: составление списка объектов риска, составление списка угроз, определение уровня риска, выбор мер и организация защиты. При оценке рисков применяются в основном методы экспертного оценивания. При этом обычно применяются шкалированные оценки. Они основываются на практическом опыте и опираются в основном на известные случаи нарушений политики безопасности для различных систем. Кроме того, имеются подходы, предлагающие вероятностные оценки и определенные методики расчета. Качественно ситуацию с оценкой риска иногда изображают в виде простой формулы
(Threat x Vulnerability)
Level of Risk = ----------------------,
Countermeasures
которая показывает, что уровень риска прямо пропорционален величинам угроз, уязвимости, частоте воздействия и обратно пропорционален
эффективности принятых контрмер.
В настоящее время имеется много документов, содержащих описание основных объектов риска и угроз, а также возможных мер защиты (ISO/IEC 17799, ISO/TR 13569, ISA/TR99.00.01-2004, ISA/TR99.00.02-2004 и др.). Например, меры защиты могут, быть подразделены на четыре категории:
меры предотвращения, гарантии, обнаружения и восстановления. Примерами
таких мер являются:
■ меры предотвращения шифрование, аутентификация, безопасная архитектура, инфраструктура открытых ключей, защита коммуникаций, безопасность приложений и др.;
■ меры гарантии тестирование стандартов, проверка безопасности приложений, контроль периметра, контроль проникновений, оценка уязвимостей и др.;
■ меры обнаружения обнаружение вторжений, удаленный мониторинг угроз;
■ меры восстановления обеспечение непрерывности, анализ кризисных ситуаций, планы и процедуры восстановления и т. д.
3. Формальные языки описания политик безопасности.
В настоящее время разработано несколько экспертных систем, позволяющих осуществлять выработку политики безопасности для конкретных компьютерных систем, в которых на основе общих подходов и практического опыта заложены типовые решения для различных ситуаций. Такие системы могут эффективно использоваться как для практических применений, так и для целей обучения специалистов. Важной здесь является проблема разработки языка задания политик безопасности, позволяющего однозначно транслировать функциональные обязанности пользователей в конструкции политик безопасности.
4. Модели доверенной базы (trusted computing base, TCB).
Понятие доверенной вычислительной базы было впервые формализовано применительно к операционным системам в рамках формулирования критериев оценки безопасности компьютерных систем. В дальнейшем оно уточнялось для систем с различной архитектурой, и прежде всего, для систем с распределенной и сетевой архитектурой. Имеется много теоретических работ в этом направлении.
При практическом применении четкое явное описание доверенная база могла получить только для систем, которые были специально спроектированы как системы с высоким уровнем защищенности.
Вместе с тем быстрое развитие и усложнение системного программного обеспечения привело к тому, что для большинства широко распространенных компьютерных систем явное выделение доверенной базы представляется очень затруднительным, а подчас и невозможным.
Поэтому круг проблем, связанных с формальным выделением доверенной базы, трансформировался в совокупность задач более тщательного изучения понятия «окружение» и формулирования требований к нему.
5. Модели оценки ценности информации.
Данное направление также имеет отношение к проблеме обеспечения информационной безопасности. Проблема классификации информации имеет непосредственное отношение к формированию политики безопасности. В простейшем случае в моделях безопасности применяется одноуровневая модель с разграничением доступа (в моделях с дискреционным доступом) или многоуровневая модель, в которой все информационные объекты сгруппированы на нескольких уровнях в зависимости от их значимости, секретности и т. п. (мандатная или полномочная модель). Иерархия информационных ресурсов предполагает наличие определенной иерархии среди пользователей, основанной на наличии допуска и ответственности за ресурсы.
Использование более сложных моделей оценки ценности информации может приводить к более сложным формальным моделям безопасности.
Системные вопросы
Новый взгляд на требования к системам защиты получается при использовании системного подхода для решения проблемы построения
системы защиты и анализа следующих системных свойств:
□ системность (совокупность взаимосвязанных элементов);
□ структурность (определяется только взаимосвязями элементов);
□ устойчивость (степень сопротивляемости деструктивным воздействиям).
Здесь важным является то, что, помимо обеспечения собственно безопасности информации (достоверность, доступность, целостность, конфиденциальность), появляется новое системное требование устойчивость к деструктивным воздействиям как па саму систему, так и на систему управления ею.
Разработка теоретических
основ построения систем
автоматизации анализа
протоколов безопасности
Проблемы анализа протоколов в последнее десятилетие обсуждались очень интенсивно. Уточнен список свойств, характеризующих безопасность протоколов, сейчас их уже более 20. Предложен целый ряд систем автоматизации анализа, с помощью которого проведена проверка большинства теоретических и многих известных прикладных протоколов. Наиболее эффективными оказались методы анализа на основе проверки моделей и систем автоматического доказательства теорем. Как оказалось, последние достижения в области искусственного интеллекта, касающиеся проблем автоматического вывода, задачи выполнимости, теории планирования и проверки моделей могут быть эффективно применены в данной области. Об этом свидетельствует европейский проект AVISPA. В нем на единой программной платформе реализовано несколько подходов, опирающихся на теоретические исследования в области:
□ временной логики;
□ систем переписывания термов;
□ древовидных автоматов;
□ символической проверки моделей и др.
В настоящее время для тестирования безопасности протоколов разработано много разнообразных программных средств, в основе которых лежат формальные методы.
По принципам работы их можно сгруппировать в два основных класса:
□ основанные на логической проверке корректности рассматриваемого протокола;
□ основанные на проверке моделей.
«О коммерческой тайне»
ГК, ст. 139, УК
Конституция России,
УК ст.137, 152-ФЗ
«О персональных данных»,
Трудовой кодекс
«О средствах массовой информации», УК, Конституция, № 149 ФЗ
«Об информации, информационных технологиях и о защите информации»
(№ 149-ФЗ)
Информационные ресурсы, информация
Ограниченного доступа
Общедоступная
Конфиденциальная
Содержащая
государственную тайну
Личного характера
Совершенно секретная
Секретная
Особой важности
Персональные данные
«О государственной тайне»
Связана с
Хозяйственной
деятельностью
ГК ч. 4, ФЗ № 5351-1, УК
№ 149-ФЗ, Налог. Кодекс, УК
№ 5487-1, №395-1 и др.
ГК, ст. 139, Пост. Правит. №1223
ГК ч. 4, № 3517-1, УК
Коммерческая тайна
Для служебного
пользования
Объекты
авторского права
Профессиональная тайна
Объекты
патентного права
Информационная безопасность
Цели
Субъекты
Угрозы
Уровни уязвимости
Конфиденциальность
Целостность
Доступность
Авторы
Владельцы
Авторизованные
пользователи
Неавторизованные
пользователи
Физический
Технологический
Логический
Человеческий
Законодательный
Организационный
Пассивные
Активные
Естественные
Искусственные
Непреднамеренные
Внешние
Локальные
Удаленные
Внутренние
Преднамеренные
Информация
Автор
(правообладатель)
Передает права использования
(лицензионный договор)
Лицензиат
(обладатель информации)
Государство
Контролирует
исполнение
Исполняет
правосудие
Принимает
Устанавливает
Законы, нормативы
Реализует
Правила доступа, обработки, защиты
Соблюдает
Получает доступ
Уполномоченный
пользователь
Доступность
Целостность
Конфиденциальность
Обеспечивает
Уязвимость
Организует
Создает
спользует
Злоумышленник
Атаки
Реализует
Угрозы
НСД
T
T2
T1
Y1
Y2
Y3
Государство и его органы
Владелец
Собственник
(автор)
Информационный ресурс
Провайдер 1
Сети Интернет
Оператор связи 1
Оператор связи 2
Пользователь
Провайдер 2
Сети Интернет
Нормативная правовая база
Международные правовые акты
Нормативные правовые акты федерального уровня
Конституция
Федеральные законы
Кодексы
Концептуальные документы
Указы Президента Российской Федерации
Государственные стандарты
Постановления правительств
Акты федеральных органов исполнительной власти
Межведомственные акты
Ведомственные акты
Отраслевые стандарты
Нормативные акты субъектов Российской Федерации
Нормативные акты органов местного самоуправления
Нормативные документы уровня предприятий
Организация Объединенных Наций
Совет Безопасности ООН
Международный
суд
Президент Российской
Федерации
Совет Безопасности
Межведомственная
Комиссия по ИБ
Министерства
и службы
ФСТЭК, ФСБ,
СВР, ФСО
Совет
Федерации
Федеральное Собрание
Государственная Дума
Комитет по вопросам
безопасности и обороны
Комиссия
по информационной
политике
Правительство Российской Федерации
Комитет по безопасности
Комитет по
информационной
политике
Межведомственная
комиссия по защите гостайны
Комиссия по федеральной связи
Министерства и службы
Органы безопасности министерств и ведомств
Органы местного самоуправления
Органы исполнительной власти субъектов РФ
Предприятия
и организации
Службы
безопасности
Конституционный суд, Верховный суд,
Генеральная прокуратура
Суды, прокуратуры
Губернатор Ульяновской области
Секретарь Совета безопасности
Техническая комиссия по защите информации ограниченного доступа
Межведомственная
комиссия
по информационной
безопасности
Органы исполнительной власти Правительства Ульяновской области
Подразделения по защите
информации
в муниципальных
образованиях