Лицензирование в области защиты информации: нормативно-правовая база и вопросы практической реализации

 

 

Содержание

  

1.Лицензирование  в области защиты информации: нормативно-правовая база и вопросы  практической реализации

2.Защита  прав потребителей в информационной  сфере

3.Правовое  положение архивов и библиотек  по законодательству России 

4.Обеспечение  информационной безопасности в  предпринимательских отношениях

5.Защита  прав человека и гражданина  в сфере массовой информации  и телекоммуникаций

6.Реклама  как объект информационных правовых  отношений

7.Конфиденциальная  информация как объект правовых  отношений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Лицензирование в области защиты информации: нормативно-правовая база и вопросы практической реализации

 

Лицензией называется разрешение на право проведения работ  в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых  осуществляется ее перерегистрация  в порядке, установленном для  выдачи лицензии.

Лицензия  выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и  испытательную базу, нормативную  и методическую документацию, располагает  научным и инженерно-техническим  персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий  в области защиты информации образуют:

·        государственные  органы по лицензированию;

·        лицензионные центры;

·        предприятия-заявители.

Государственные органы по лицензированию:

·        организуют обязательное государственное лицензирование деятельности предприятий;

·        выдают государственные  лицензии предприятиям-заявителям;

·        согласовывают  составы экспертных комиссий, представляемые лицензионными центрами;

·        осуществляют контроль и надзор за полнотой и  качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

·        формируют  экспертные комиссии и представляют их состав на согласование руководителям  соответствующих государственных  органов по лицензированию, которыми являются ФСТЭК и ФСБ; ·        планируют и проводят работы по экспертизе предприятий-заявителей;

 

·        контролируют полноту и качество выполненных  лицензиатами работ.

Лицензионные  центры при государственных органах  по лицензированию создаются приказами  руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

·        сертификация, сертификационные испытания защищенных технических средств обработки  информации (ТСОИ), технических и  программных средств защиты, средств  контроля эффективности мер защиты информации, программных средств  обработки, защиты и контроля защищенности;

·        аттестация систем информатизации, автоматизированных систем управления, систем связи и  передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

·        разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических  средств защиты и контроля эффективности  мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;

·        проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

·        проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

·        разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

·        осуществление  научно-методического руководства  лицензионной деятельностью;

·        публикация необходимых сведений о системе  лицензирования;

·        рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

·        согласование заявлений с воинскими частями, ответственными за соответствующие  направления защиты информации;

·        согласование состава экспертных комиссий;

·        организация  и проведение специальных экспертиз;

·        принятие решения  о выдаче лицензии;

·        выдача лицензий;

·        принятие решения  о приостановлении, возобновлении  действия лицензии или ее аннулировании;

·        ведение реестра  выданных, приостановленных, возобновленных и аннулированных лицензий;

·        приобретение, учет и хранение бланков лицензий;

·        организация  работы аттестационных центров;

·        осуществление  контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных  видов деятельности» (с изменениями, введенными Федеральным законом  от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области  защиты информации):

·        деятельность по распространению шифровальных (криптографических) средств;

·        деятельность по техническому обслуживанию шифровальных (криптографических) средств;

·        предоставление услуг в области шифрования информации;

·        разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств  информационных систем, телекоммуникационных систем;

·        деятельность по разработке и (или) производству средств  защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

·        деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением  случая, если указанная деятельность осуществляется для обеспечения  собственных нужд юридического лица или индивидуального предпринимателя).

 

2. Защита прав потребителей в информационной сфере

 

Нарушение требований по защите информации влечет за собой  дисциплинарную, гражданско-правовую, административную или уголовную  ответственность в соответствии с законодательством Российской Федерации.

Лица, права  и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа  или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе  с исками о возмещении убытков, компенсации  морального вреда, защите чести, достоинства  и деловой репутации.

Требование  о возмещении убытков не может  быть удовлетворено в случае предъявления его лицом, не принимавшим мер  по соблюдению конфиденциальности информации или нарушившим установленные законодательством  Российской Федерации требования о  защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного  лица.

В случае, если распространение определённой информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несёт лицо, оказывающее услуги:

либо  по передаче информации, предоставленной  другим лицом, при условии её передачи без изменений и исправлений;

либо  по хранению информации и обеспечению  доступа к ней при условии, что это лицо не могло знать  о незаконности распространения  информации.

Данные мероприятия  за правонарушения в области защиты информации устанавливают нормативные  правовые акты и предусматривают  следующие виды ответственности:

дисциплинарную (замечание; выговор; увольнение)

гражданскую (возмещение причинённого ущерба)

административную (предупреждение, административный штраф)

уголовную (штраф, лишение свободы)

 

3. Правовое положение архивов и библиотек по законодательству России

Архивы несут  ответственность перед государством и гражданами в документальном подтверждении  их юридических прав и социальных гарантий. Документ выступает формой, организующей содержание любой информации: законодательной, научной, художественной и проч. – и, тем самым, способствует осуществлению социальных функций, реализация которых возможна только в обществе.

Разные социокультурные  сообщества заинтересованы в сохранении определенной информации о себе (положительной  преимущественно), что отражается в  традициях и специфике отбора, комплектования, собирания, хранения и  особенно доступа и использования  ретроспективной документной информации. Степень свободы доступа к  информации в обществе, государстве является важным показателем его развития, которая опосредованно влияет на поведение личности и органов власти.

 

Важным элементом, регулирующим функционирование информа-ционно-архивной сферы, выступает архивное законодательство.

Складывание архивного законодательства в РФ началось с первых лет его создания. В настоящее время в России насчитывается более 100 законодательных  актов, в той или иной степени  регламентирующих правоотношения в  архивной сфере. Центральное место в ряду нормативных актов занимает Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», который регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов# независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.

Законодательство  Российской Федерации, непосредственно  регламентирующее деятельность библиотек, состоит из следующих основных нормативно-правовых актов:

1) Основ законодательства Российской  Федерации о культуре,

2) Федерального закона "О библиотечном  деле",

3) Федерального закона "Об обязательном  экземпляре документов",

4) Федерального закона "Об информации, информатизации и защите информации" и некоторых других актов.

 

4. Обеспечение информационной безопасности в предпринимательских отношениях

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или  искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

   Таким образом, правильный  с методологической точки зрения  подход к проблемам информационной  безопасности начинается с выявления  субъектов и интересов субъектов,  связанных с использованием информационных  систем. Для иллюстрации достаточно  сопоставить режимные военные  организации и коммерческие структуры.  В данной работе информационная  безопасность рассматривается с  точки зрения наиболее массовой  – коммерческой – категории  пользователей. 

 Информационная  безопасность не сводится исключительно  к защите информации. Субъект  информационных отношений может  пострадать (понести убытки) не только  от несанкционированного доступа,  но и от поломки системы,  вызвавшей перерыв в обслуживании  клиентов. Более того, для многих  открытых организаций (например, учебных) собственно защита информации  не стоит на первом месте. 

Для того чтобы  освоить основы обеспечения информационной безопасности, необходимо владеть понятийным аппаратом. Раскрытие некоторых  ключевых терминов не самоцель, важно  формирование начальных представлений  о целях и задачах защиты информации.

Под безопасностью  информации понимается такое ее состояние, при котором исключается возможность  просмотра, изменения или уничтожения  информации лицами, не имеющими на это  права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между  объектами вычислительной техники.

Под защитой  информации понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей.

Конфиденциальность  – сохранение в секрете критичной  информации, доступ к которой ограничен  узким кругом пользователей (отдельных  лиц или организаций).

 Целостность  – свойство, при наличии которого  информация сохраняет заранее  определенные вид и качество.

Доступность – такое состояние информации, когда она находится в том  виде и месте, какие необходимы пользователю, и в то время, когда она ему  необходима.

 Целью  защиты информации является сведение  к минимуму потерь в управлении, вызванных нарушением целостности  данных, их конфиденциальности или  недоступности информации для  потребителей.

Приведенная совокупность определений достаточна для формирования общего, пока еще  абстрактного взгляда на построение системы информационной безопасности. Для уменьшения степени абстракции и формирования более детального замысла необходимо знание основных принципов организации системы  информационной безопасности.

Принципы  построения системы информационной безопасности. Современный опыт решения  проблем информационной безопасности показывает, что для достижения наибольшего  эффекта при организации защиты информации необходимо руководствоваться  рядом принципов.

Первым и  наиболее важным является принцип непрерывности  совершенствования и развития системы  информационной безопасности. Суть этого  принципа заключается в постоянном контроле функционирования системы, выявлении  ее слабых мест, возможных каналов  утечки информации и несанкционированного доступа, обновлении и дополнении механизмов защиты в зависимости от изменения  характера внутренних и внешних  угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Таким образом, обеспечение  информационной безопасности не может  быть разовым мероприятием.

Вторым является принцип комплексного использования  всего арсенала имеющихся средств  защиты во всех структурных элементах  производства и на всех этапах технологического цикла обработки информации. Комплексный  характер защиты информации обусловлен действиями злоумышленников. Здесь  правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.

 

5.Защита  прав человека и гражданина  в сфере массовой информации  и телекоммуникаций

 

Под защитой  прав человека подразумевается защита личности, охрана прав и свобод человека и гражданина, охрана здоровья граждан, санитарно-эпидемиологического благополучия населения, защита общественной нравственности, охрана окружающей среды, установленного порядка осуществления государственной  власти, общественного порядка и  общественной безопасности, собственности, защита законных экономических интересов  физических и юридических лиц, общества и государства.

   Статья 22.Права и обязанности  субъектов в области защиты  информации

1.Собственник документов, массива документов, информационных систем или уполномоченные им лица… устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

2.Владелец документов, массива  документов, информационных систем  обеспечивает уровень защиты  информации в соответствии с  законодательством Российской Федерации.

3.Риск, связанный с использованием  несертифицированных информационных  систем и средств их обеспечения,  лежит на собственнике (владельце)  этих систем и средств.

Риск, связанный с использованием информации,  полученной из несертифицированной  системы, лежит на потребителе информации.

4.Собственник документов, массива  документов, информационных систем  может обращаться в организации,  осуществляющие сертификацию средств  защиты информационных систем  и информационных ресурсов, для  проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива  документов, информационных систем  обязан оповещать собственника  информационных ресурсов и (или)  информационных систем обо всех  фактах нарушения режима защиты  информации.

Законом предусматривается защита прав субъектов в сфере информационных процессов и информатизации 

Каждый имеет право свободно искать, получать, передавать, производить  и распространять информацию любым  законным способом». Право свободного поиска и получения информации означает право каждого обращаться к органам  государственной власти, общественным объединениям, органам и организациям, частным фирмам, другим структурам по вопросам, затрагивающим основные права и свободы, провозглашенные  Конституцией РФ, а также получения  у них запрашиваемой информации. Право передавать информацию означает право свободного обмена информацией  каждого с каждым. Право производить  и распространять информацию означает свободу каждого на творчество и  интеллектуальную деятельность, сопровождаемую созданием новой или производной  информации, а также на свободу  широкого распространения произведенной  информации всеми законными способами.  
Эти права могут быть ограничены только законом. Право на получение информации от государственных органов и органов местного самоуправления также закреплено в ст. 33 Конституции РФ:  
«Граждане Российской Федерации имеют право обращаться лично, а также направлять индивидуальные и коллективные обращения в государственные органы и органы местного самоуправления».  
Право на получение информации от государственных органов и органов местного самоуправления возлагает на эти структуры обязанность по подготовке и предоставлению запрашиваемой информации, что и закреплено в ст. 24 Конституции РФ: «2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы-, если иное не предусмотрено законом».В порядке осуществления права на поиск и получение информации. Свобода творчества и интеллектуальной деятельности, право на интеллектуальную собственность, полученную в результате творчества, закрепляются в следующих статьях Конституции РФ.

 

6.Реклама  как объект информационных правовых  отношений

 

Рекламу по разному определяют с позиции  ее принадлежности к тому или иному  виду объектов гражданских прав, но все известные подходы можно  в целом, свести к двум основным. Одни полагают, что реклама, это информация, обладающая квалифицирующими признаками, понимая под ней рекламные  данные, что соответствует формулировке приведенной в ст. 2 Закона "О  рекламе". Другие, считают, что реклама  это способ информирования; форма  распространения информации; форма неличного общения , и т.п. Т.е. подразумевают под рекламой определенную деятельность, которая по своей гражданско-правовой природе справедливо относится учеными к числу услуг.

"В современном  мире информация уже давно  приобрела товарный характер" и определенную коммерческую ценность, т.е. встала в один ряд с вещами и иными объектами гражданских прав. Однако следует отметить, что не деятельность, является разновидностью нематериальных благ, а информационные данные (сведения). Именно они должны пониматься под информацией по смыслу ст. 128 ГК РФ. Поэтому, представляется справедливым указание В.С. Ема на то, что "ее (информации – Э.С.) товарный характер и коммерческая ценность отнюдь не превращает ее в вещь" , она является самостоятельным объектом, в том числе и объектом правообладания. Обмен данными стал одним из ключевых моментов в общественном взаимодействии. Это полностью согласуется с мнением о том, что информация является объективным свойством материального мира и существует независимо от сознания и воли людей, а социальный характер приобретает в процессе реализации тех или иных отношений , с той лишь оговоркой, что информация в этом случае должна, пониматься как данные. Эти обстоятельства характеризуют такие данные (разновидностью которых являются рекламные данные) .

 

7.Конфиденциальная  информация как объект правовых  отношений.

 

Под объектами  гражданских прав понимаются те блага (как материальные, так и нематериальные), по поводу которых складываются гражданские  правоотношения. Правовое регулирование  объектов гражданских прав осуществляется подразделом 3 раздела 1 ГК РФ.

В соответствии со ст. 128 ГК РФ выделяются следующие виды объектов гражданских  прав:

1) имущество - вещи, включая деньги  и ценные бумаги, а также имущественные  права; 

2) работы и услуги (действия);

3) информация с момента вступления  в силу части четвертой Гражданского  кодекса Российской Федерации  от 18 декабря 2006 г. N 230-ФЗ (1 января 2008 г.) исключается из перечня объектов  гражданских прав. Информация, составляющая  коммерческую тайну (секрет производства), отнесена к объектам следующего  вида, т.е. к интеллектуальной  собственности; 

4) результаты интеллектуальной  деятельности, в том числе исключительные  права на них (интеллектуальная  собственность); в редакции, действующей  с 1 января 2008 г., - охраняемые результаты  интеллектуальной деятельности  и приравненные к ним средства  индивидуализации (интеллектуальная  собственность);

5) нематериальные блага.

Информация  как предмет отношений различных  субъектов является объектом внимания и отраслей публичного, и отраслей частного права. Многие вопросы информации, информационных ресурсов являются объектом норм международного права.

Что касается информационных ресурсов пли их отдельных элементов как предмета правовых отношений, то здесь на первом месте находится такой институт права, как правовой режим.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список использованной литературы

1.Бачило И.Л. О праве собственности на информационные ресурсы //Информационные ресурсы России. - 1997. №4.-С.19-23.

2.Волчинская Е. Невеселый юбилей //Дело и право. -1996. -№3.-С.21-30.

Вольдман Ю. Комментарий Закона РФ "О рекламе" //Хоз-во и пра-во.-1997.-№ 9.-С. 3-15.

3.Герасимов Б.М. Проблемы российского информационного законодатель-ства// Информационные ресурсы России. -1996. -№6 .-С.9-13.

4.Гражданское право. В 2-х т. T.1: Учебник/ Под ред. Е.А. Сухано-ва. -М.; Изд-во БЕК, 1993.- 384 с.

5.Грибов А.Ю. Ошибки законодательства. Тезисы о сущности денег и цен-ных бумаг //Юрист.-1997.-№ 9.-С.18-22.

6.Дозорцев В.А. Информация как объект исключительного права //Дело и право.-1996.-№ 4.-С.27-35.

7.Копылов В.А. Информация и собственность //Информационные ресурсы России.-1996.-№3. -С. 10-12.