close

Вход

Забыли?

вход по аккаунту

?

279

код для вставкиСкачать
Родичев Юрий Андреевич
Информационная безопасность:
нормативно-правовые аспекты
Учебное пособие
Рецензенты:
Ефимов А. В.
Лось В. П.
к. т. н., доцент, председатель УМС по специальности 090105, заместитель начальника факультета информационной безопасности ИКСИ
д. в. н., профессор, председатель УМС по специальности 090102, начальник
факультета информационной безопасности ИКСИ
Заведующий редакцией
Руководитель проекта
Ведущий редактор
Художественный редактор
Корректоры
Верстка
А. Сандрыкин
А. Юрченко
О. Некруткина
С. Маликова
И. Тимофеева, Н. Филатова
Т. Соловьева
ББК 67.629.43я7
УДК 004.3:34(075)
Родичев Ю. А.
Р60
Информационная безопасность: нормативно-правовые аспекты: Учебное пособие. — СПб.: Питер, 2008. — 272 с.: ил.
ISBN 978-5-388-00069-9
В учебном пособии рассмотрены организационные и правовые аспекты в области информационных технологий с учетом изменений законодательства Российской Федерации на конец 2007 года. Представлен обширный справочный материал по основным нормативным правовым актам
Российской Федерации в области информационной безопасности и правовых вопросов, связанных
с использованием информационных технологий; описана организационная структура государственных органов.
Для студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности, слушателей курсов повышения квалификации по проблемам защиты
информации. Рассмотренные вопросы могут быть полезны как техническим специалистам, так и
руководителям, курирующим вопросы обеспечения информационной безопасности.
Допущено Учебно-методическим объединением по образованию в области информационной
безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям 090102 «Компьютерная безопасность», 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».
Все права защищены. Никакая часть данной книги не может быть воспроизведена в какой бы то ни было форме без письменного разрешения владельцев авторских прав.
Информация, содержащаяся в данной книге, получена из источников, рассматриваемых издательством как
надежные. Тем не менее, имея в виду возможные человеческие или технические ошибки, издательство не
может гарантировать абсолютную точность и полноту приводимых сведений и не несет ответственности за
возможные ошибки, связанные с использованием книги.
© ООО «Питер Пресс», 2008
ISBN
978-5-388-00069-9
ООО «Питер Пресс», 198206, Санкт-Петербург, Петергофское шоссе, д. 73, лит. А29.
Налоговая льгота — общероссийский классификатор продукции ОК 005-93, том 2; 95 3005 — литература учебная.
Подписано в печать 25.06.08. Формат 70х100/16. Усл. п. л. 21,93. Тираж 2500. Заказ
Отпечатано по технологии CtP в ОАО «Печатный двор» им. А. М. Горького.
197110, Санкт-Петербург, Чкаловский пр., д. 15.
Ñîäåðæàíèå
Ââåäåíèå . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû . . . . . . . 11
1.1. Íåîáõîäèìîñòü çàùèòû èíôîðìàöèè . . . . . . . . . . . . .
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ . . . . . . . . . . . . . .
1.3. Ñòðóêòóðà èíôîðìàöèîííûõ ðåñóðñîâ . . . . . . . . . . . . .
1.4. Ìîäåëü èíôîðìàöèîííîé áåçîïàñíîñòè . . . . . . . . . . . .
1.5. Ïðàâîâàÿ ìîäåëü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî
îáìåíà . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6. Îñîáåííîñòü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà
â ñåòè Èíòåðíåò . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7. Ñòðóêòóðà íîðìàòèâíûõ ïðàâîâûõ àêòîâ â îáëàñòè
èíôîðìàöèîííîé áåçîïàñíîñòè. . . . . . . . . . . . . . . . . .
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé . .
Êîíòðîëüíûå âîïðîñû ê ãëàâå 1 . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11
17
35
40
. . . . . . . . 44
. . . . . . . . 50
. . . . . . . . 55
. . . . . . . . 60
. . . . . . . . 84
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè . . . . 86
2.1. Îðãàíèçàöèîííàÿ ñòðóêòóðà ãîñóäàðñòâåííîé ñèñòåìû îáåñïå÷åíèÿ
èíôîðìàöèîííîé áåçîïàñíîñòè. . . . . . . . . . . . . . . . . . . . . . . . . . 86
2.2. Ñîâåò Áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . . . . 91
2.3. Êîìèññèÿ Ñîâåòà Ôåäåðàöèè ïî èíôîðìàöèîííîé ïîëèòèêå . . . . . . . . . 95
2.4. Ôåäåðàëüíûå îðãàíû èñïîëíèòåëüíîé âëàñòè â îáëàñòè èíôîðìàòèçàöèè . . 97
2.5. Ìåæâåäîìñòâåííàÿ êîìèññèÿ ïî çàùèòå ãîñóäàðñòâåííîé òàéíû . . . . . . . 98
2.6. Ïðàâèòåëüñòâåííàÿ êîìèññèÿ ïî ôåäåðàëüíîé ñâÿçè . . . . . . . . . . . . . 98
2.7. Ôåäåðàëüíàÿ ñëóæáà áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . 100
2.8. Ôåäåðàëüíàÿ ñëóæáà ïî òåõíè÷åñêîìó è ýêñïîðòíîìó êîíòðîëþ . . . . . . . 104
2.9. Ôåäåðàëüíàÿ ñëóæáà îõðàíû Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . 107
2.10. Ñëóæáà âíåøíåé ðàçâåäêè Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . 110
2.11. Ôåäåðàëüíîå àãåíòñòâî ïî èíôîðìàöèîííûì òåõíîëîãèÿì . . . . . . . . . 111
2.12. Ôåäåðàëüíàÿ ñëóæáà ïî íàäçîðó â ñôåðå ìàññîâûõ êîììóíèêàöèé,
ñâÿçè è îõðàíû êóëüòóðíîãî íàñëåäèÿ . . . . . . . . . . . . . . . . . . . . . . 112
4
Ñîäåðæàíèå
2.13. Ôåäåðàëüíàÿ ñëóæáà ïî èíòåëëåêòóàëüíîé ñîáñòâåííîñòè, ïàòåíòàì
è òîâàðíûì çíàêàì . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.14. Ôåäåðàëüíîå àãåíòñòâî ïî òåõíè÷åñêîìó ðåãóëèðîâàíèþ è ìåòðîëîãèè
2.15. Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè íà óðîâíå ñóáúåêòîâ
Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . . . . . . . . . . . . . .
Êîíòðîëüíûå âîïðîñû ê ãëàâå 2 . . . . . . . . . . . . . . . . . . . . . . . .
. . 113
. . 114
. . 117
. . 120
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå
èíôîðìàöèîííîé áåçîïàñíîñòè. . . . . . . . . . . . . . . 122
3.1. Ìåæäóíàðîäíûå ñòàíäàðòû â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè .
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû Ðîññèéñêîé Ôåäåðàöèè
â îáëàñòè çàùèòû èíôîðìàöèè . . . . . . . . . . . . . . . . . . . . . . .
3.3. Êîíñòèòóöèÿ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . . . . . .
3.4. Êîíöåïöèÿ íàöèîíàëüíîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè . . . .
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè . . .
3.6. Êîíöåïöèÿ èñïîëüçîâàíèÿ èíôîðìàöèîííûõ òåõíîëîãèé â äåÿòåëüíîñòè
ôåäåðàëüíûõ îðãàíîâ èñïîëíèòåëüíîé âëàñòè . . . . . . . . . . . . . . .
3.7. Êîíöåïöèÿ ðåãèîíàëüíîé èíôîðìàòèçàöèè . . . . . . . . . . . . . . .
3.8. Êîíöåïöèÿ ñîçäàíèÿ ñèñòåìû ïåðñîíàëüíîãî ó÷åòà íàñåëåíèÿ
Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.9. Êîíöåïöèÿ çàùèòû ñðåäñòâ âû÷èñëèòåëüíîé òåõíèêè
è àâòîìàòèçèðîâàííûõ ñèñòåì îò íåñàíêöèîíèðîâàííîãî äîñòóïà
ê èíôîðìàöèè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.10. Êîíöåïöèÿ ôîðìèðîâàíèÿ èíôîðìàöèîííîãî îáùåñòâà
â Ðîññèè . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.11. Ñòðàòåãèÿ ðàçâèòèÿ èíôîðìàöèîííîãî îáùåñòâà â Ðîññèè . . . . . . .
3.12. Çàêîí «Îá èíôîðìàöèè, èíôîðìàöèîííûõ òåõíîëîãèÿõ
è î çàùèòå èíôîðìàöèè» . . . . . . . . . . . . . . . . . . . . . . . . . .
3.13. Êîäåêñ Ðîññèéñêîé Ôåäåðàöèè îá àäìèíèñòðàòèâíûõ
ïðàâîíàðóøåíèÿõ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.14. Óãîëîâíûé êîäåêñ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . .
3.15. Ãðàæäàíñêèé êîäåêñ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . .
3.16. Íàëîãîâûé êîäåêñ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . .
3.17. Òàìîæåííûé êîäåêñ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . .
3.18. Òðóäîâîé êîäåêñ Ðîññèéñêîé Ôåäåðàöèè . . . . . . . . . . . . . . . .
3.19. Ôåäåðàëüíûé Çàêîí «Î ãîñóäàðñòâåííîé òàéíå» . . . . . . . . . . . .
3.20. Ôåäåðàëüíûé Çàêîí «Î êîììåð÷åñêîé òàéíå» . . . . . . . . . . . . .
3.21. Ôåäåðàëüíûé Çàêîí «Î òåõíè÷åñêîì ðåãóëèðîâàíèè» . . . . . . . . . .
3.22. Ôåäåðàëüíûé Çàêîí «Îá ýëåêòðîííîé öèôðîâîé ïîäïèñè» . . . . . . .
3.23. Ôåäåðàëüíûé Çàêîí «Î ïåðñîíàëüíûõ äàííûõ» . . . . . . . . . . . . .
3.24. Ôåäåðàëüíûé Çàêîí «Î ñâÿçè» . . . . . . . . . . . . . . . . . . . . .
3.25. Ôåäåðàëüíûé Çàêîí «Î ãîñóäàðñòâåííîé àâòîìàòèçèðîâàííîé
ñèñòåìå Ðîññèéñêîé Ôåäåðàöèè Âûáîðû» . . . . . . . . . . . . . . . . .
3.26. Ôåäåðàëüíûé Çàêîí «Î ðåêëàìå» . . . . . . . . . . . . . . . . . . . .
3.27. Ôåäåðàëüíûé Çàêîí «Î ñðåäñòâàõ ìàññîâîé èíôîðìàöèè» . . . . . . .
3.28. Ôåäåðàëüíûé Çàêîí «Î áåçîïàñíîñòè» . . . . . . . . . . . . . . . . .
. . 122
.
.
.
.
.
.
.
.
125
137
138
139
. . 149
. . 154
. . 156
. . 158
. . 160
. . 162
. . 167
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
174
177
189
197
198
199
202
207
210
213
216
221
.
.
.
.
.
.
.
.
226
232
233
235
5
Ñîäåðæàíèå
3.29. Ôåäåðàëüíûé Çàêîí «Î ëèöåíçèðîâàíèè îòäåëüíûõ âèäîâ
äåÿòåëüíîñòè» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.30. Ôåäåðàëüíûé Çàêîí «Î òðàíñïîðòíîé áåçîïàñíîñòè» . . . . . . .
3.31. Ôåäåðàëüíûé Çàêîí «Îá îïåðàòèâíî-ðîçûñêíîé äåÿòåëüíîñòè» . .
3.32. Ôåäåðàëüíûé Çàêîí «Îá àðõèâíîì äåëå â Ðîññèéñêîé Ôåäåðàöèè»
Êîíòðîëüíûå âîïðîñû ê ãëàâå 3 . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
237
240
243
246
247
Ïðèëîæåíèå. Àíàëèç òåíäåíöèé ðàçâèòèÿ òåîðèè è ïðàêòèêè
êîìïüþòåðíîé áåçîïàñíîñòè . . . . . . . . . . . . . . . . 250
Îñîáåííîñòè ñîâðåìåííîãî ýòàïà ðàçâèòèÿ òåîðèè
êîìïüþòåðíîé áåçîïàñíîñòè . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Ïðàêòè÷åñêèå àñïåêòû ïðèìåíåíèÿ çàùèòû èíôîðìàöèè . . . . . . . . . . . . 256
Ëèòåðàòóðà . . . . . . . . . . . . . . . . . . . . . . . . 269
Èíòåðíåò-ðåñóðñû . . . . . . . . . . . . . . . . . . . . . 272
Памяти моих родителей,
Андрея Васильевича
и Пелагеи Григорьевны, посвящается.
Они не могли обучить меня компьютерным технологиям,
будучи жителями сельской глубинки ушедшего
в историю государства Советский Союз, но я искренне
благодарен им за то, что они научили
меня постоянно учиться и работать.
Тогда суди сам себя, — сказал король. — Это самое трудное.
Себя судить куда трудней, чем других.
Если ты сумеешь правильно судить себя,
значит, ты поистине мудр.
Антуан де Сент-Экзюпери. «Маленький принц»
Ââåäåíèå
Современный этап развития общества характеризуется резко возросшей ролью
информационных процессов во всех сферах деятельности человека. Компьютеры
стали неотъемлемой частью жизни людей разных стран с различным уровнем
развития. С появлением и стремительным развитием глобальной сети Интернет
индустрия обработки информации и организации доступа к ней достигла невиданного ранее масштаба. Развитие систем телекоммуникаций и использование
Internet/Intranet-технологий позволили вывести информатизацию на новый качественный уровень.
Мировое сообщество вступило в новую фазу своего развития — стадию формирования инфо рмационного общества. Характерным признаком такого общества является то, что информационные технологии и телекоммуникации становятся базовыми в экономике и уровень их внедрения в значительной степени
определяет уровень развития страны в целом. Ключевыми составляющими информационного общества являются информация и знания. Информация, а также средства ее хранения, передачи и доступа к ней являются важнейшими стратегическими ресурсами. Информатизация общества становится стратегическим
направлением, предопределяющим экономические и политические приоритеты
в мировом сообществе.
В июле 2000 года странами «Большой восьмерки» была принята Окинавская
хартия глобального информационного общества, подписанная от имени России
президентом, в которой, в частности, говорится: «Информационно-коммуникационные технологии являются одной из самых мощных сил в формировании общества XXI века. Их революционное воздействие затрагивает образ жизни людей,
их образование и работу, а также взаимодействие правительства с гражданским
8
Ââåäåíèå
обществом. Информационные технологии быстро становятся жизненно важным
двигателем роста мировой экономики».
Прорыв в области информатизации невозможен без активной роли государства в формировании «режима наибольшего благоприятствования» для развития всей информационной инфраструктуры. Идеи Окинавской хартии прослеживаются в принятых Федеральных целевых программах «Развитие единой
образовательной информационной среды (2001–2005 годы)» и «Электронная
Россия», а также в принятой Советом Безопасности Российской Федерации
25 июля 2007 года программе «Стратегия развития информационного общества в России».
Утвержденная Постановлением Правительства России от 28 января 2002 года
№ 65 Федеральная целевая программа «Электронная Россия (2002–2010 годы)»
ставит своей целью повышение эффективности экономики за счет внедрения информационно-коммуникационных технологий. Цели и задачи Программы определены с учетом стратегии социально-экономического развития России на период
до 2010 года, основных положений Окинавской хартии глобального информационного общества, Концепции формирования и развития единого информационного пространства России и соответствующих государственных информационных
ресурсов, Доктрины информационной безопасности Российской Федерации.
В выступлении на совещании по вопросам развития информационных технологий 11 января 2005 года в Новосибирском Академгородке президент России
В. В. Путин отметил: «Сегодня бизнес, связанный с информационными технологиями, — один из самых динамичных и высокодоходных секторов мировой экономики, а сами информационные технологии — это мощный рычаг обновления
и повышения конкурентоспособности национальных производств, развития инновационной деятельности».
Процесс формирования глобального информационного общества не только
привел к качественному изменению способов хранения и обработки информации, но и сделал ее одним из ценнейших товаров. В настоящее время информация представляет собой стратегический ресурс, лежащий в основе национального богатства государств с развитыми информационными технологиями.
Наблюдающийся в последние годы процесс бурного развития глобального информационного обмена вызвал все возрастающий размах информационного пиратства, поставил ряд серьезных социальных, политических, психологических,
а также правовых проблем. На передний план выдвигается чрезвычайно важная
и актуальная проблема борьбы с правонарушениями в сфере информационных
технологий и электронным терроризмом в телекоммуникационных сетях.
Защита информации в настоящее время является неразрывной частью процессов информатизации и включает в себя безопасность не только информационных ресурсов, но и аппаратно-программных средств ее хранения, обработки
и передачи. В широком смысле защита информации является комплексной задачей, включающей не только технологические, технические и программные средства, но и комплекс нормативно-правовых и организационных мер.
Мировое сообщество, и в частности Россия, явно отстает от процесса разработки соответствующих правовых норм, регулирующих отношения в сфере ин-
Ââåäåíèå
9
формационных технологий. Анализ состояния информационной безопасности
в России показывает, что ее уровень не соответствует современным потребностям личности, информационного общества и государства. В «Стратегии развития информационного общества в России», утвержденной 25 июля 2007 года
Советом Безопасности Российской Федерации, указано, что «сложившаяся
к настоящему времени система обеспечения информационной безопасности
страны в недостаточной мере способна противостоять современным угрозам, связанным с использованием возможностей информационно-коммуникационных
технологий в террористических и других преступных целях».
Страны «Большой восьмерки» отметили в принятой Окинавской хартиии:
«Международные усилия по развитию глобального информационного общества
должны сопровождаться согласованными действиями по созданию свободного
от преступности и безопасного киберпространства. Мы должны обеспечивать,
чтобы эффективные меры, изложенные в Общих принципах ОЭСР (Организации экономического сотрудничества и развития) по безопасности информационных систем, претворялись в жизнь в целях борьбы с киберпреступностью».
В принятой Федеральной целевой программе «Электронная Россия» среди
факторов, сдерживающих широкое внедрение и эффективное использование информационных технологий в экономике России, названа несовершенная нормативно-правовая база, разрабатывавшаяся без учета возможностей современных
технологий.
В Федеральной целевой программе «Развитие государственной статистики
России в 2007–2011 годах», принятой Постановлением Правительства от 2 октября 2006 года № 595 отмечено: «В условиях перехода страны к информационному
обществу, характеризующемуся ускоренным развитием и широким распространением информационно-коммуникационных технологий, возникает потребность
в системе статистического обеспечения принятия управленческих решений для
выработки государственной политики в этой области.
В основу статистического исследования информатизации должен быть положен системный подход к изучению явлений и процессов, связанных с развитием
и распространением информационно-коммуникационных технологий. Один из
основных принципов такого подхода состоит в том, что информационное общество должно рассматриваться как целостный объект статистического наблюдения. Это предполагает разработку концепции и практическую реализацию статистического мониторинга, охватывающего все аспекты деятельности, связанной
как с производством и распространением продуктов и услуг в сфере информационно-коммуникационных технологий, так и с их использованием в экономике
и сферах общественной жизни».
Стало очевидным, что, для того чтобы создать условия для опережающего
развития и внедрения информационных технологий, необходимо решить целый
ряд вопросов, связанных прежде всего с развитием законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе нормативного закрепления ответственности должностных лиц и граждан по соблюдению требований информационной безопасности.
10
Ââåäåíèå
Следует отметить, что в последние годы в России принят ряд федеральных
законов, указов Президента, постановлений Правительства, государственных
стандартов и других нормативно-правовых актов, касающихся внедрения информационных технологий и обеспечения защиты информации. Ряд принятых ранее
законодательных актов претерпел существенные изменения, вплоть до полной отмены. В связи с этим издание учебной литературы, касающейся нормативно-правовых аспектов информационных технологий, отстает от быстро меняющейся ситуации в этой области.
Данное учебное пособие имеет целью провести анализ современной нормативно-правовой базы в области информационных технологий с учетом изменений законодательства на конец 2007 года. В нем представлен обширный материал по основным законам Российской Федерации, указам Президента, постановлениям
Правительства, а также руководящим документам Гостехкомиссии и Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Пособие ориентировано на студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности, юриспруденции,
аспирантов, слушателей курсов повышения квалификации по проблемам защиты
информации. Затронутые вопросы могут быть полезны также техническим специалистам, занимающимся обеспечением защиты информации, юристам, а также
руководителям разных рангов, курирующим вопросы обеспечения информационной безопасности.
Ãëàâà 1
Èíôîðìàöèÿ êàê îáúåêò
ïðàâîâîé çàùèòû
1.1. Íåîáõîäèìîñòü çàùèòû
èíôîðìàöèè
Реалии современного информационного общества однозначно показывают, что ни
одна сфера жизни цивилизованного государства не может эффективно функционировать без развитой информационной инфраструктуры, широкого применения
аппаратно-программных средств и сетевых технологий обработки информации.
По мере возрастания ценности информации, развития и усложнения средств ее
обработки безопасность общества все в большей степени зависит от безопасности
используемых информационных технологий. Многочисленные публикации последних лет показывают, что способы злоупотреблений информацией, циркулирующей в системах, совершенствуются не менее интенсивно, чем меры защиты
от них. Более того, объектами компьютерных преступлений являются не только
информационные ресурсы, но и сами компьютеры, программное обеспечение, телекоммуникационное оборудование и линии связи.
Проблемы обеспечения информационной безопасности неразрывно связаны
с историей развития компьютерных технологий. Первоначально проблема обеспечения безопасности данных возникла при увеличении количества ЭВМ, расширении областей их применения и круга пользователей. Проблему обеспечения безопасности данных значительно обострило появление и распространение
автоматизированных информационных систем.
12
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Центральной идеей того времени являлось намерение обеспечить безопасность данных механизмами, функционирующими по строго формальным алгоритмам. Для создания таких механизмов использовались технические и в основном программные средства. Программные средства защиты включались
в состав операционных систем или систем управления базами данных. Слабым
звеном разработанных механизмов защиты оказался механизм защиты доступа
пользователя к данным. Поэтому следующим шагом к повышению эффективности защиты стала организация дифференцированного доступа к данным.
В 60-х и 70-х годах XX века основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых на компьютере, и повышении
отказоустойчивых решений в области обработки информации в автоматизированных системах, построенных в основном на базе централизованных систем
и терминального доступа.
В 80-х годах с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, появились первые криптографические стандарты защиты
данных, а также были разработаны критерии оценки безопасности операционных
систем, определяющие различные системы разграничения доступа. В то время
появился термин компьютерная безопасность и были определены ее основные
цели: конфиденциальность, целостность, доступность.
В 90-х годах с интенсивным развитием сетевых компьютерных технологий,
появлением распределенных компьютерных систем и клиент-серверных технологий основные усилия специалистов были направлены на решение задач по
обеспечению безопасности сетевого и межсетевого взаимодействия, разграничению доступа к распределенным ресурсам, комплексному обеспечению безопасности информации в распределенных автоматизированных системах. Средства
защиты стали встроенными в большинство создаваемых промышленных продуктов. В это же время был накоплен опыт расследования и пресечения компьютерных преступлений. Несмотря на развитие теории и реализацию в практических
системах технологий обеспечения компьютерной безопасности, объем ущерба,
наносимого в результате компьютерных инцидентов, возрастал. По-явилось
осознание того, что информационные ресурсы организации или государства являются важным объектом экономической инфраструктуры. Стало понятно, что
обеспечение безопасности объектов информатизации требует привлечения различных ресурсов (людских, организационных, программно-технических) и разработки системы мер и методов защиты. Поэтому в научной литературе, а затем
и в средствах массовой информации стал использоваться термин информационная безопасность (information security).
В конце XX века формируются основы теории обеспечения информационной
безопасности как направления научных исследований. Теория приобретает определенную структуру, организуются специализированные институты и международные сообщества исследователей, проводятся тематические научные конференции.
В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода,
13
1.1. Íåîáõîäèìîñòü çàùèòû èíôîðìàöèè
включающего в себя комплекс взаимосвязанных мер с использованием специальных аппаратно-программных средств, организационных мероприятий, нормативно-правовых актов. Поэтому обеспечение информационной безопасности
компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
q высокие темпы роста парка персональных компьютеров, применяемых в са-
мых разных сферах деятельности, и, как следствие, резкое расширение круга
пользователей, имеющих непосредственный доступ к вычислительным сетям
и информационным ресурсам;
q увеличение объемов информации, накапливаемой, хранимой и обрабатывае-
мой с помощью компьютеров и других средств автоматизации;
q бурное развитие аппаратно-программных средств и технологий, не соответст-
вующих современным требованиям безопасности;
q несоответствие бурного развития средств обработки информации и проработ-
ки теории информационной безопасности, разработки международных стандартов и правовых норм, обеспечивающих необходимый уровень защиты информации;
q повсеместное распространение сетевых технологий, создание единого инфор-
мационно-коммуникационного мирового пространства на базе сети Интернет, которая по своей идеологии не обеспечивает достаточного уровня информационной безопасности.
Ежегодно в мире растет количество правонарушений в информационной сфере. Соответственно, растет и размер ущерба, нанесенного злоумышленниками.
По данным Управления «К» Министерства внутренних дел России, за 2005 год
зарегистрировано 6910 преступлений в сфере компьютерной информации. Успешно расследуется около 49 % компьютерных преступлений. Обвинительные
приговоры выносятся только в 25,5 % случаев.
В табл. 1 представлена статистика преступлений в информационной сфере
за 2003–2004 годы.
Òàáëèöà 1. Ñòàòèñòèêà ïðåñòóïëåíèé â èíôîðìàöèîííîé ñôåðå çà 2003–2004 ãîäû
Ñòàòüÿ Óãîëîâíîãî êîäåêñà
2003 ãîä
2004 ãîä
146. Нарушение авторских и смежных прав
249
528
159. Мошенничество
272
371
165. Причинение имущественного ущерба путем
обмана или путем злоупотребления
доверием
2321
2892
171. Незаконное предпринимательство
5
È
14
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Ñòàòüÿ Óãîëîâíîãî êîäåêñà
2003 ãîä
2004 ãîä
183. Незаконное получение и разглашение
сведений, составляющих коммерческую,
налоговую или банковскую тайну
242
480
187. Изготовление или сбыт поддельных
кредитных либо расчетных карт
1740
1616
242. Незаконное распространение
порнографических материалов или
предметов
123
335
272. Неправомерный доступ
к информации
7053
8002
273. Создание, использование
и распространение вредоносных программ
для ЭВМ или машинных носителей с
такими программами
728
1079
1
11
274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
В 2003 году только на сайт Президента Российской Федерации было осуществлено около 100 000 компьютерных атак (то есть приблизительно по 274 хакерские атаки в день, или 11 атак в час). Всего же число зарегистрированных
атак на интернет-представительства органов государственной власти Российской Федерации в 2003 году превысило 730 000 [9].
Безопасность информации в современных условиях выдвигается на первый
план и становится важнейшим элементом национальной безопасности государства. Информационная безопасность рассматривается как одна из приоритетных
государственных задач.
С 29 марта по 8 апреля 2005 года в Москве прошел международный форум по
обеспечению информационной безопасности, на котором присутствовали ведущие эксперты более чем из 50 стран.
Участники форума отметили следующие важные положения:
1. Системы обеспечения безопасности должны рассматриваться как неотъемлемая составная часть информационно-телекоммуникационных систем.
2. Вопросы обеспечения информационной безопасности являются комплексными. Их решение требует объединения усилий и организации согласованных
мероприятий со стороны органов государственной власти, силовых структур,
научных учреждений, операторских компаний.
3. Для согласованного развития нормативных, юридических, технологических
и организационных элементов кибербезопасности важным фактором становится международное сотрудничество.
Участники форума выделили следующие основные направления совершенствования информационно-коммуникационных систем и информационной безопасности в России:
1.1. Íåîáõîäèìîñòü çàùèòû èíôîðìàöèè
15
1. Дальнейшее совершенствование законодательства в сфере обеспечения информационной безопасности, разработка единого правового понятийного аппарата, подходов к правовому регулированию в сфере информационной безопасности, правоприменительной практики.
2. Консолидация усилий операторов связи и правоохранительных органов по
оперативному реагированию на действия злоумышленников. Необходимость
административного определения базового уровня обеспечения безопасности
операторами связи и принятия его в качестве одного из условий операторской
деятельности.
3. Обеспечение дальнейшего развития теории информационной безопасности
инфокоммуникационных систем.
4. Подготовка специалистов в области современных информационных технологий и технологий обеспечения информационной безопасности.
Следует отметить, что на информационную безопасность Российской Федерации значительное влияние оказали происходящие в последние годы преобразования. Возникли новые факторы, которые необходимо учитывать при оценке
состояния информационной безопасности и определении ключевых проблем
в этой области. Всю совокупность факторов можно разделить на политические,
экономические и организационно-технические.
К основным политическим факторам следует отнести следующие:
q становление новой российской государственности на основе принципов демократии, законности, информационной открытости;
q разрушение ранее существовавшей командно-административной системы государственного управления;
q нарушение информационных связей вследствие образования независимых
государств на территории бывшего СССР;
q низкая общая правовая и информационная культура в российском обществе;
q активизация деятельности международных террористических организаций
и ее направленность на дестабилизацию ситуации в стране, в том числе с использованием средств «информационной войны»;
q изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, эскалация конфликтов вблизи государственной границы Российской Федерации.
Важнейшими экономическими факторами являются:
q переход России на рыночные отношения в экономике, появление множества
отечественных и зарубежных коммерческих структур — производителей и потребителей информации, средств информатизации и защиты информации,
включение информационной продукции в систему товарных отношений;
q критическое состояние отраслей промышленности, производящих средства
информатизации и защиты информации, отставание телекоммуникационной
инфраструктуры от аналогичных структур развитых стран;
q расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры России;
16
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
q появление криминальных структур, их разрастание до угрожающих масшта-
бов, срастание с чиновничьим аппаратом и стремление оказывать влияние на
все уровни руководства государством;
q нарушение хозяйственных связей вследствие распада СССР;
q ослабление научно-технического и технологического потенциала страны, со-
кращение исследований на стратегически важных направлениях, в том числе
в сфере информатизации, и, как следствие, — усиление внешней технологической зависимости.
В «Стратегии развития информационного общества в России», утвержденной
25 июля 2007 года Советом Безопасности Российской Федерации, явно указано,
что в настоящее время «практически отсутствует производство конкурентоспособной продукции микроэлектронной промышленности, телекоммуникационного оборудования и средств вычислительной техники, в результате чего зависимость развития российской информационной инфраструктуры от поставок
зарубежных информационно-коммуникационных технологий значительно превышает критический уровень».
К важнейшим организационно-техническим факторам следует отнести следующие:
q недостаточная нормативно-правовая база информационных отношений, в том
числе в области обеспечения информационной безопасности;
q слабое регулирование государством процессов функционирования и разви-
тия рынка средств информатизации, информационных продуктов и услуг
в России;
q широкое использование не защищенных от утечки информации и несертифи-
цированных импортных аппаратно-программных средств и технологий для
хранения, обработки и передачи информации;
q обострение криминогенной обстановки, рост числа компьютерных преступ-
лений.
Все указанные выше факторы создают целый спектр угроз национальной
безопасности государства. Средством нейтрализации значительной части угроз
является эффективная нормативно-правовая база, регулирующая отношения во
всех сферах информационного общества, и ведущая роль государства в построении комплексной системы информационной безопасности.
Стремительное внедрение компьютерных технологий и телекоммуникаций
в общественную деятельность опережает темпы развития социальных и правовых отношений в информационном обществе. Во всем мире растет количество
законодательных коллизий, связанных с информационной сферой. Человечество
впервые столкнулось с ситуацией, когда широкомасштабная информатизация
вызвала новые отношения в обществе, а существующая законодательная база не
соответствует складывающимся реалиям. Появились новые проблемы, связанные с киберпреступностью, информационной безопасностью, цифровым неравенством. Для решения этих проблем необходима в первую очередь совершенная законодательная база в области информатизации и телекоммуникаций.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
17
1.2. Îñíîâíûå òåðìèíû
è îïðåäåëåíèÿ
Анализ научно-технической литературы в области информационной безопасности, в том числе законодательных актов Российской Федерации, а также отечественных и зарубежных стандартов, показывает, что в области терминологии
не существует пока полного единства трактовок одних и тех же понятий. Поэтому ниже приведены основные определения в области информационной безопасности, как они трактуются в Законах Российской Федерации, руководящих
документах Гостехкомиссии (ныне Федеральной службы по техническому
и экспортному контролю, ФСТЭК), а также государственных стандартах России (ГОСТ Р 50922—96, ГОСТ Р 51275—99 и др.).
Понятие информационной безопасности тесно связано с процессом информатизации общества. По определению ЮНЕСКО, информатизация — это
«развитие и широкомасштабное применение методов и средств сбора, преобразования, хранения и распространения информации, обеспечивающих систематизацию имеющихся и формирование новых знаний, и их использование
обществом в целях его текущего управления и дальнейшего совершенствования и развития». Информатизация общества представляет собой целенаправленный процесс изменения социальной информационной среды. Целью информатизации является повышение эффективности эксплуатации информационных ресурсов общества путем системной компьютеризации всех этапов
жизненного цикла информации.
Защита информации — это деятельность, направленная на предотвращение
утечки защищаемой информации, несанкционированных и непреднамеренных
воздействий на защищаемую информацию.
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов
или требованиями, устанавливаемыми собственником информации. Собственником информации могут быть государство, юридическое лицо, группа физических
лиц, отдельное физическое лицо.
Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации, по защите от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации иностранными разведками.
Защита информации от несанкционированного воздействия — деятельность
по предотвращению воздействия на защищаемую информацию с нарушением
установленных прав и (или) правил на изменение информации, приводящего
к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия — деятельность по
предотвращению воздействия на защищаемую информацию ошибок пользователя, сбоя технических и программных средств информационных систем, а также
18
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
природных явлений или иных нецеленаправленных на изменение информации
воздействий, связанных с функционированием технических средств, систем или
с деятельностью людей, приводящих к искажению, уничтожению, копированию,
блокированию доступа к информации, а также к утрате, уничтожению или сбою
функционирования носителя информации.
Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа — деятельность по
предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать государство, юридическое
лицо, группа физических лиц, в том числе общественная организация, отдельное
физическое лицо.
Защита информации от [иностранной] разведки — деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
Защита информации от [иностранной] технической разведки — деятельность
по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
Защита информации от агентурной разведки — деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации — желаемый результат защиты информации.
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности защиты информации — мера или характеристика
для оценки эффективности защиты информации.
Нормы эффективности защиты информации — значения показателей эффективности защиты информации, установленные нормативными документами.
Организация защиты информации — содержание и порядок действий по обеспечению защиты информации.
Система защиты информации — совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты,
организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации — совокупность действий по разработке и (или) практическому применению способов и средств защиты информации.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
19
Мероприятие по контролю эффективности защиты информации — совокупность действий по разработке и (или) практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления,
предназначенные для обеспечения защиты информации.
Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации — порядок и правила применения определенных
принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] — установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации — порядок
и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и (или)
нормам в области защиты информации.
Средство защиты информации — техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации — техническое, программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям
или нормам эффективности защиты информации.
Организационный контроль эффективности защиты информации — проверка
полноты и обоснованности мероприятий по защите информации требованиям
нормативных документов по защите информации.
Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимый с использованием средств контроля.
Фактор, воздействующий на защищаемую информацию, — явление, действие
или процесс, результатом которых может быть утечка, искажение, уничтожение
защищаемой информации, блокирование доступа к ней.
Объект информатизации — совокупность информационных ресурсов, средств
и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они
20
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации.
Обработка информации — совокупность операций сбора, накопления, ввода,
вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации.
Под информационной безопасностью понимают состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления,
преобразования и уничтожения, а также состояние защищенности информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Под безопасностью информационной системы понимается ее защищенность от
случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток несанкционированного получения информации, модификации или физического разрушения ее компонентов.
В последние годы понятие информационная безопасность распространилось
и на такие объекты, как сложные организационно-технические системы, имеющие информационные компоненты (информационную среду), и собственно информационные системы (ИС) и телекоммуникационные сети (ТС). В ИС и ТС
основными объектами защиты выступают информационные ресурсы и информационная инфраструктура, образующие их информационную среду. Другими
словами, защищенность информационной системы или корпоративной сети
(КС) достигается принятием мер по обеспечению как безопасности (конфиденциальности, целостности и доступности) информации, так и доступности и целостности компонентов и ресурсов системы (сети), то есть ее информационной
среды как совокупности информационных ресурсов и информационной инфраструктуры.
Достоверность информации — свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.
Субъект — это активный компонент системы, который может стать причиной
образования потока информации от объекта к субъекту или изменения состояния системы.
Объект — пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся
в нем информации.
Доступ к информации — ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации — доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
21
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств,
предоставляемых средствами вычислительной техники или автоматизированными системами.
Целостность ресурса или компонента системы — свойство быть неизменным
в семантическом смысле при функционировании системы в условиях случайных
или преднамеренных искажений либо разрушающих воздействий.
Применение при межсетевом взаимодействии открытых каналов передачи
данных создает потенциальную угрозу проникновения злоумышленников.
Если пассивный нарушитель только просматривает доступные ему сообщения,
то активный наряду с прослушиванием может перехватывать, искажать и уничтожать их. Поэтому одной из важных задач обеспечения информационной
безопасности при межсетевом взаимодействии является использование методов и средств, позволяющих одной стороне убедиться в подлинности другой
стороны.
С допуском к информации и ресурсам системы (сети) связана группа таких
понятий, как идентификация, аутентификация, авторизация. С каждым зарегистрированным субъектом системы (сети) связывают некоторую информацию,
однозначно идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, считается законным (легальным).
Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных
идентификаторов. Эта функция выполняется, в первую очередь, когда пользователь делает попытку войти в сеть. Он сообщает системе по ее запросу свой идентификатор, и система проверяет его наличие в своей базе данных.
Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.
Обычно пользователь подтверждает свою идентификацию, вводя в систему
уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат). Идентификация и аутентификация — взаимосвязанные процессы распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит решение системы, можно ли разрешить
доступ к ресурсам системы конкретному пользователю или процессу. После
того как субъект идентифицирован и аутентифицирован, выполняется его авторизация.
При защите каналов передачи данных выполняется взаимная аутентификация
субъектов, то есть взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса при установлении соединения абонентов; термин соединение указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети. Цель данной процедуры — обеспечить уверенность
в том, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.
22
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Авторизация субъекта — это процедура предоставления законному субъекту,
успешно прошедшему идентификацию и аутентификацию, соответствующих
полномочий и доступных ресурсов системы (сети).
Под угрозой безопасности для системы (сети) понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети), или самой системы или сети.
Уязвимость системы (сети) — это любая характеристика компьютерной системы, использование которой может привести к реализации угрозы.
Атака на компьютерную систему (сеть) — это действие, предпринимаемое
злоумышленником с целью поиска и использования той или иной уязвимости
системы. Таким образом, атака — это реализация угрозы безопасности. Противодействие угрозам безопасности — цель, которую призваны выполнить средства
защиты компьютерных систем и сетей.
Политика безопасности — это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы
(сети) от заданного множества угроз безопасности.
Политика безопасности регламентирует эффективную работу средств защиты
корпоративной сети. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности определяет архитектуру системы защиты и реализуется посредством комплексного применения административно-организационных мер, физических мер
и программно-аппаратных средств. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических
средств.
Политика безопасности зависит от способа управления доступом, определяющего порядок доступа к объектам системы. Различают два основных вида политики безопасности: избирательную и полномочную.
Избирательная политика безопасности основана на избирательном способе
управления доступом. Он характеризуется задаваемым администратором множеством разрешенных отношений доступа (например, в виде троек: объект,
субъект, тип доступа). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа,
в которой столбец соответствует объекту системы, а строка — субъекту. На пересечении столбца и строки указывается тип разрешенного доступа субъекта
к объекту. Обычно выделяют такие типы, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т. п.
Полномочная политика безопасности основана на полномочном (мандатном)
способе управления доступом. Она заключается в совокупности правил предоставления доступа, базирующихся на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
23
q все субъекты и объекты системы однозначно идентифицированы;
q каждому объекту системы присвоена метка конфиденциальности, определяю-
щая ценность содержащейся в нем информации;
q каждому субъекту системы присвоен некий уровень допуска, определяющий
максимальное значение метки конфиденциальности информации объектов,
к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциальности. Поэтому самыми защищенными оказываются объекты с наиболее высокими значениями метки
конфиденциальности.
Основным назначением полномочной политики безопасности являются регулирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение утечки информации с верхних уровней
должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние.
Активы — информация или ресурсы, подлежащие защите.
Идентификатор — представление уполномоченного пользователя (например,
строка символов), однозначно его идентифицирующее. Таким представлением
может быть либо полное или сокращенное имя этого пользователя, либо его
псевдоним.
Уполномоченный пользователь — пользователь, которому разрешено выполнять какую-либо операцию.
Продукт — совокупность программных, программно-аппаратных и(или) аппаратных средств информационных технологий (ИТ), предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.
Объект оценки — подлежащий оценке продукт ИТ или система с руководствами администратора и пользователя.
Информационная технология — упорядоченная совокупность аппаратных,
программных, аппаратно-программных средств, систем и информационных процессов.
Носитель информации — физическое лицо или материальный объект, в том
числе физическое поле, в которых информация находит свое отражение в виде
символов, образов, сигналов, технических решений и процессов.
Правило доступа к информации — совокупность правил, регламентирующих
порядок и условия доступа субъекта к информации и ее носителям.
Субъект доступа — лицо или процесс, действия которого регламентируются
правилами разграничения доступа.
Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения
доступа.
Правила разграничения доступа — совокупность правил, регламентирующих
права доступа субъектов доступа к объектам доступа.
24
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Система разграничения доступа — совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных
системах.
Администратор защиты — субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.
Орган защиты информации — административный орган, осуществляющий
организацию защиты информации.
Политика безопасности организации — одно или несколько правил, процедур,
практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.
Цель безопасности — изложенное намерение противостоять установленным угрозам и (или) удовлетворять установленной политике безопасности организации.
Безопасность информации — состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или внешних угроз.
Безопасность информационной технологии — состояние информационной
технологии, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связанный с причинением ущерба здоровью граждан, имуществу физических или юридических лиц, государственному
или муниципальному имуществу.
Конфиденциальность — состояние защищенности информации ограниченного доступа от неправомочного раскрытия.
Целостность — состояние защищенности информации и активов от модификации, подмены, уничтожения неправомочным способом.
Целостность информации — способность средства вычислительной техники
или автоматизированной системы обеспечить неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Доступность — состояние информационной технологии, обеспечивающее
своевременный и надежный доступ к информации и (или) функциональным
возможностям информационной технологии правомочным образом.
Нарушитель правил разграничения доступа — субъект доступа, осуществляющий несанкционированный доступ к информации.
Защита от несанкционированного доступа — предотвращение или существенное затруднение несанкционированного доступа.
Средство защиты от несанкционированного доступа — программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Комплекс средств защиты — совокупность программных и технических
средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Система защиты информации от несанкционированного доступа — комплекс
организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
25
Защищенное средство вычислительной техники (защищенная автоматизированная система) — средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.
Класс защищенности средств вычислительной техники, автоматизированной
системы — определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.
Показатель защищенности средств вычислительной техники — характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности средств вычислительной техники.
Доверие — основание для уверенности в том, что сущность отвечает своим целям безопасности.
Верификация — процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на предмет надлежащего соответствия.
Сертификация уровня защиты — процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.
Матрица доступа — таблица, отображающая правила разграничения доступа.
Уровень полномочий субъекта доступа — совокупность прав доступа субъекта
доступа.
Пароль — идентификатор субъекта доступа, который является его (субъекта)
секретом.
Модель защиты — абстрактное (формализованное или неформализованное)
описание комплекса программно-технических средств и (или) организационных
мер защиты от несанкционированного доступа.
Дискреционное управление доступом — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным
правом доступа может передать это право любому другому субъекту.
Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов
обращаться именно к информации такого уровня конфиденциальности.
Метка конфиденциальности — элемент информации, который характеризует
конфиденциальность информации, содержащейся в объекте.
Средство криптографической защиты информации — средство вычислительной техники, осуществляющее криптографическое преобразование информации
для обеспечения ее безопасности.
Сертификат защиты — документ, удостоверяющий соответствие средства
вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации
и дающий право разработчику на использование и (или) распространение их как
защищенных.
26
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
В Федеральном Законе «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ также введен ряд терминов (Закон утратил силу с 27 июля 2006 года в связи с принятием Закона № 149-ФЗ).
Информация — сведения о лицах, предметах, фактах, событиях, явлениях
и процессах независимо от формы их представления.
Информатизация — организационный социально-экономический и научнотехнический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.
Документированная информация (документ) — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Информационные процессы — процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Информационная система — организационно упорядоченная совокупность
документов (массивов документов) и информационных технологий, в том числе
с использованием средств вычислительной техники и связи, реализующих информационные процессы.
Информационные ресурсы — отдельные документы и отдельные массивы документов, а также документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).
Информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его
личность.
Конфиденциальная информация — документированная информация, доступ
к которой ограничивается в соответствии с законодательством Российской Федерации.
Средства обеспечения автоматизированных информационных систем и их
технологий — программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы;
инструкции и методики; положения, уставы, должностные инструкции; схемы
и их описания, другая эксплуатационная и сопроводительная документация),
используемые или создаваемые при проектировании информационных систем
и обеспечивающие их эксплуатацию.
Собственник информационных ресурсов, информационных систем, технологий
и средств их обеспечения — субъект, в полном объеме реализующий полномочия
владения, пользования, распоряжения указанными объектами в соответствии
с актами.
Владелец информационных ресурсов, информационных систем, технологий
и средств их обеспечения — субъект, осуществляющий владение и пользование
указанными объектами и реализующий полномочия распоряжения в пределах,
установленных законом и (или) собственником.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
27
Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от собственника, владельца или посредника в соответствии
с установленными правами и правилами доступа к информации либо с их нарушением.
В Федеральном Законе 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», пришедшем на смену Закону № 24-ФЗ, сходные понятия представлены в несколько другой трактовке,
а введены определения других терминов.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационные технологии — процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть — технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники.
Обладатель информации — лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Доступ к информации — возможность получения информации и ее использования.
Конфиденциальность информации — обязательное для выполнения лицом,
получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному
кругу лиц.
Распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
Электронное сообщение — информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской
Федерации случаях ее материальный носитель.
Оператор информационной системы — гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы,
в том числе по обработке информации, содержащейся в ее базах данных.
В Законе «О государственной тайне» от 21 июля 1993 года № 5485-I (с учетом последних изменений от 22 августа 2004 года № 122-ФЗ) также приведен
ряд терминов.
28
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Государственная тайна — защищаемые государством сведения в области его
военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых
может нанести ущерб безопасности Российской Федерации.
Носители сведений, составляющих государственную тайну, — материальные
объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Система защиты государственной тайны — совокупность органов защиты
государственной тайны, используемых ими средств и методов защиты сведений,
составляющих государственную тайну, и их носителей, а также мероприятий,
проводимых в этих целях.
Допуск к государственной тайне — процедура оформления права граждан
на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений.
Доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного лица со
сведениями, составляющими государственную тайну.
Гриф секретности — реквизиты, свидетельствующие о степени секретности
сведений, содержащихся в их носителе, проставляемые на самом носителе и (или)
в сопроводительной документации на него.
Средства защиты информации — технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Перечень сведений, составляющих государственную тайну, — совокупность
категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
В Законе «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ) используются следующие основные понятия.
Коммерческая тайна — конфиденциальность информации, позволяющая ее
обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну, — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет
действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании
и в отношении которой обладателем такой информации введен режим коммерческой тайны.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
29
В соответствии с Федеральным Законом от 18 декабря 2006 года № 231-ФЗ
с 1 января 2008 года указанные два термина изложены в следующей редакции:
«Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на
рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну (секрет производства), —
сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».
Режим коммерческой тайны — правовые, организационные, технические
и иные принимаемые обладателем информации, составляющей коммерческую
тайну, меры по охране ее конфиденциальности.
Обладатель информации, составляющей коммерческую тайну, — лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее
режим коммерческой тайны.
Доступ к информации, составляющей коммерческую тайну, — ознакомление
определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения
конфиденциальности этой информации.
Передача информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме
и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности.
Контрагент — сторона гражданско-правового договора, которой обладатель
информации, составляющей коммерческую тайну, передал эту информацию.
Предоставление информации, составляющей коммерческую тайну, — передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения
их функций.
Разглашение информации, составляющей коммерческую тайну, — действие
или бездействие, в результате которого информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том
числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или
гражданско-правовому договору.
30
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
В Законе «О правовой охране программ для электронных вычислительных
машин и баз данных» от 23 сентября 1992 года № 3523-1 приведен также ряд
терминов. Следует отметить, что данный закон утрачивает силу с 01.01.08 г.
в связи с принятием Закона от 18.12.06 № 231-ФЗ «О введении в действие части
четвертой Гражданского Кодекса Российской Федерации».
Программа для ЭВМ — это объективная форма представления совокупности
данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения
определенного результата. Под программой для ЭВМ подразумеваются также
подготовительные материалы, полученные в ходе ее разработки, и порождаемые
ею аудиовизуальные отображения.
База данных — это объективная форма представления и организации совокупности данных (например статей, расчетов), систематизированных таким
образом, чтобы эти данные могли быть найдены и обработаны с помощью
ЭВМ.
Адаптация программы для ЭВМ или базы данных — это внесение изменений,
осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Модификация (переработка) программы для ЭВМ или базы данных — это любые их изменения, не являющиеся адаптацией.
Декомпилирование программы для ЭВМ — это технический прием, включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования программы для ЭВМ.
Воспроизведение программы для ЭВМ или базы данных — это изготовление одного или более экземпляров программы для ЭВМ или базы данных в любой материальной форме, а также их запись в память ЭВМ.
Распространение программы для ЭВМ или базы данных — это предоставление
доступа к воспроизведенной в любой материальной форме программе для ЭВМ
или базе данных, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой
из этих целей.
Выпуск в свет (опубликование) программы для ЭВМ или базы данных — это
предоставление экземпляров программы для ЭВМ или базы данных с согласия
автора неопределенному кругу лиц (в том числе путем записи в память ЭВМ
и выпуска печатного текста) при условии, что количество таких экземпляров
должно удовлетворять потребностям этого круга лиц, принимая во внимание характер указанных произведений.
Использование программы для ЭВМ или базы данных — это выпуск в свет,
воспроизведение, распространение и иные действия по их введению в хозяйственный оборот (в том числе в модифицированной форме). Не признается использованием программы для ЭВМ или базы данных передача средствами массовой информации сообщений о выпущенной в свет программе для ЭВМ или
базе данных.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
31
В Федеральном Законе «О персональных данных» № 152-ФЗ от 26 июля
2006 года используются следующие основные понятия.
Персональные данные — любая информация, относящаяся к определенному
или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц,
дата и место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация.
Оператор — государственный орган, муниципальный орган, юридическое
или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных — действия (операции) с персональными
данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу),
обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга
лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или
предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными
данными, совершаемые оператором в целях принятия решений или совершения
иных действий, порождающих юридические последствия в отношении субъекта
персональных данных или других лиц либо иным образом затрагивающих права
и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных,
в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — информационная система,
представляющая собой совокупность персональных данных, содержащихся
в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных — обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных
данных или наличия иного законного основания.
32
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу
власти иностранного государства, физическому или юридическому лицу иностранного государства.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Федеральным Законом «Об электронной цифровой подписи» от 10 января
2002 года № 1-ФЗ введены, в частности, следующие основные понятия.
Электронный документ — документ, в котором информация представлена
в электронно-цифровой форме.
Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий
идентифицировать владельца сертификата ключа подписи, а также установить
отсутствие искажения информации в электронном документе.
Информационная система общего пользования — информационная система,
которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Владелец сертификата ключа подписи — физическое лицо, на имя которого
удостоверяющим центром выдан сертификат ключа подписи и которое владеет
соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою
электронную цифровую подпись в электронных документах (подписывать электронные документы).
Средства электронной цифровой подписи — аппаратные и (или) программные
средства, обеспечивающие реализацию хотя бы одной из следующих функций:
создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности
электронной цифровой подписи в электронном документе, создание закрытых
и открытых ключей электронных цифровых подписей.
Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для
подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи
с использованием средств электронной цифровой подписи.
1.2. Îñíîâíûå òåðìèíû è îïðåäåëåíèÿ
33
Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой
подписи подлинности электронной цифровой подписи в электронном документе.
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица
удостоверяющего центра, который включает в себя открытый ключ электронной
цифровой подписи и выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Подтверждение подлинности электронной цифровой подписи в электронном
документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи
в электронном документе владельцу сертификата ключа подписи и отсутствия
искажений в подписанном данной электронной цифровой подписью электронном документе.
Пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу
сертификата ключа подписи.
Постановлением Правительства Российской Федерации от 23 января
2006 года № 32 утверждены «Правила оказания услуг связи по передаче данных», которые введены в действие с 1 июля 2006 года. В них содержится ряд определений терминов:
Абонент — пользователь услугами связи по передаче данных, с которым заключен договор об оказании услуг связи по передаче данных при выделении для
этих целей уникального кода идентификации.
Достоверность передачи информации — взаимно однозначное соответствие
пакетов информации, переданных пользовательским (оконечным) оборудованием, являющимся одной стороной установленного соединения по сети передачи
данных, и принятых пользовательским (оконечным) оборудованием, являющимся другой стороной данного соединения.
Пользователь услугами связи по передаче данных — лицо, заказывающее
и (или) использующее услуги связи по передаче данных.
Предоставление доступа к сети передачи данных — совокупность действий
оператора связи сети передачи данных по формированию абонентской линии
и подключению с ее помощью пользовательского (оконечного) оборудования
к узлу связи сети передачи данных или обеспечению возможности подключения к сети передачи данных пользовательского (оконечного) оборудования
с использованием телефонного соединения или соединения по иной сети передачи данных в целях обеспечения возможности оказания абоненту услуг связи
по передаче данных.
34
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Предоставление возможности доступа к услугам связи по передаче данных —
обеспечение одним оператором связи возможности получения его абонентом услуг связи по передаче данных, оказываемых другим оператором связи.
Узел связи сети передачи данных — средства связи, выполняющие функции
систем коммутации.
В «Правилах оказания телематических услуг связи», утвержденных Постановлением Правительства Российской Федерации от 10 сентября 2007 года
№ 575 и введенных в действие с 1 января 2007 года, также содержится ряд определений терминов, причем их трактовка несколько отличается от утвержденных
Постановлением № 32:
Абонент — пользователь телематическими услугами связи, с которым заключен возмездный договор об оказании телематических услуг связи с выделением
уникального кода идентификации.
Вредоносное программное обеспечение — программное обеспечение, целенаправленно приводящее к нарушению законных прав абонента и (или) пользователя, в том числе к сбору, обработке или передаче с абонентского терминала информации без согласия абонента и (или) пользователя либо к ухудшению параметров
функционирования абонентского терминала или сети связи.
Пользователь телематическими услугами связи — лицо, заказывающее и (или)
использующее телематические услуги связи.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационно-телекоммуникационная сеть — технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники.
Предоставление доступа к информационным системам информационно-телекоммуникационной сети — обеспечение возможности приема и передачи телематических электронных сообщений (обмена телематическими электронными сообщениями) между абонентским терминалом и информационной системой
информационно-телекоммуникационной сети.
Предоставление доступа к сети передачи данных — совокупность действий
оператора связи по формированию абонентской линии, подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи
данных либо по обеспечению возможности подключения к сети передачи данных пользовательского (оконечного) оборудования с использованием телефонного соединения или соединения по иной сети передачи данных в целях обеспечения возможности оказания абоненту и (или) пользователю телематических
услуг связи.
Спам — телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту и (или) пользователю без его предварительного согласия и не позволяющее определить отправителя этого сообщения,
в том числе ввиду указания в нем несуществующего или фальсифицированного
адреса отправителя.
1.3. Ñòðóêòóðà èíôîðìàöèîííûõ ðåñóðñîâ
35
Телематическое электронное сообщение — одно или несколько сообщений
электросвязи, содержащих информацию, структурированную в соответствии
с протоколом обмена, поддерживаемым взаимодействующими информационной
системой и абонентским терминалом.
1.3. Ñòðóêòóðà èíôîðìàöèîííûõ
ðåñóðñîâ
Анализ определений понятий «информация» и «информационный ресурс», приведенных в различных источниках, показывает, что в настоящее время отсутствует их единое общепринятое определение.
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации» информация определяется как сведения (сообщения, данные) независимо от формы их представления.
В литературе приводится ряд классификаций информации по различным
признакам и критериям.
В данном разделе приведена классификация информации (информационных
ресурсов) с точки зрения ее правового статуса (рис. 1.3.1). Основанием для такой
классификации является трактовка информации в ряде Федеральных Законов
Российской Федерации, указов Президента и Постановлений Правительства.
В соответствии с Федеральным Законом № 149-ФЗ, вся информация делится
на общедоступную и ограниченного доступа.
Конституция Российской Федерации определяет базовые принципы отношений в информационной сфере и провозглашает реализацию основных информационных прав и обязанностей соответствующих субъектов в порядке обеспечения гарантий информационных прав и свобод. Статья 29 Конституции гласит:
«Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Гарантируется свобода массовой информации. Цензура запрещается».
Правовую основу деятельности в области общедоступной и массовой информации устанавливает Закон № 2124-1 «О средствах массовой информации».
Статьи 140, 144, 237 и 242 Уголовного кодекса Российской Федерации предусматривают соответствующие наказания за ограничения прав на информацию.
Информацию ограниченного доступа можно разделить на информацию, содержащую государственную тайну, и конфиденциальную.
Федеральный Закон «О государственной тайне» от 21 июля 1993 года № 5485-1
(с последующими изменениями) определяет основные понятия и отношения
в сфере информации, содержащей государственную тайну. Он устанавливает
степени секретности информации и соответствующие им грифы секретности
носителей: «особой важности», «секретная» и «совершенно секретная». Правила отнесения сведений к различным степеням секретности определены Постановлением Правительства Российской Федерации от 4 сентября 1995 г. № 870
36
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
«Об утверждении правил отнесения сведений, составляющих государственную
тайну, к различным степеням секретности».
Ðèñ. 1.3.1. Ñòðóêòóðà èíôîðìàöèîííûõ ðåñóðñîâ
Перечень сведений, отнесенных к государственной тайне, определен Указом
Президента Российской Федерации от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (изм. Указами
1.3. Ñòðóêòóðà èíôîðìàöèîííûõ ðåñóðñîâ
37
Президента РФ от 24.01.98 № 61, от 06.06.01 № 659, от 10.09.01 № 1114, от
29.05.02 № 518, от 03.03.05 № 243, от 11.02.06 № 90).
Указом Президента Российской Федерации от 6 марта 1997 года № 188 «Об
утверждении перечня сведений конфиденциального характера» (изм. Указом
Президента РФ от 23.09.05 № 1111) определен перечень сведений конфиденциального характера. Постановлением Правительства Российской Федерации
от 5 декабря 1991 года № 35 «О перечне сведений, которые не могут составлять
коммерческую тайну» (в ред. Постановления Правительства РФ от 03.10.02
№ 731) утвержден соответствующий перечень.
Всю конфиденциальную информацию можно разделить на три группы: персональные данные о личности, сведения личного характера и информацию, содержащую сведения, связанные с производственной и хозяйственной деятельностью.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным Законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
Целью настоящего Федерального Закона является обеспечение защиты прав и человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Вопросы, связанные с обеспечением защиты персональных данных работников,
регулирует также Трудовой кодекс Российской Федерации от 30 декабря
2001 года № 197-ФЗ (глава 14 с изменениями и дополнениями).
Защиту информации, содержащей сведения о личной жизни, обеспечивает
статья 24 Конституции Российской Федерации: «Сбор, хранение, использование
и распространение информации о частной жизни лица без его согласия не допускаются». Уголовный кодекс Российской Федерации предусматривает соответствующее наказание (статья 137) за «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную
тайну, без его согласия либо распространение этих сведений в выступлении, публично демонстрирующемся произведении или средствах массовой информации».
В соответствии с Федеральным Законом № 149-ФЗ, запрещается требовать
от гражданина (физического лица) предоставления информации о его частной
жизни, в том числе информации, составляющей личную или семейную тайну, и
получать такую информацию помимо воли гражданина (физического лица),
если иное не предусмотрено федеральными законами.
Информация, содержащая сведения, связанные с производственной и хозяйственной деятельностью, в законодательных актах Российской Федерации делится на следующие типы: коммерческая тайна, профессиональная тайна, объекты авторского права и смежных прав, объекты патентного права, информация
для служебного пользования.
Правовые вопросы, связанные с информацией, содержащей коммерческую
тайну, регулируются Федеральным Законом «О коммерческой тайне» от 29 июля
2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от
18.12.06 № 231-ФЗ) и статьей 139 Гражданского Кодекса Российской Федерации
от 30 ноября 1994 года № 51-ФЗ (часть 1 с изменениями, внесенными Федеральным Законом от 29.12.06 № 258-ФЗ, часть 2 с изменениями от 18.12.06 № 231-ФЗ,
часть 3 с изменениями, внесенными Федеральными Законами от 18.12.06 № 231-
38
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
ФЗ, от 29.12.06 № 258-ФЗ, часть 4 в соответствии с Федеральным Законом от
18.12.06 № 231-ФЗ вступает в силу с 1 января 2008 года).
Закон определяет перечень сведений, которые не могут составлять коммерческую тайну, круг лиц и организаций, которым необходимо представлять информацию, содержащую коммерческую тайну, а также права обладателя такой информации. Статья 139 Гражданского кодекса гласит: «Информация составляет
служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее
третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности».
Основные принципы правового регулирования авторских и смежных прав определяет Федеральный Закон «Об авторском праве и смежных правах» от 9 июля
1993 года № 5351-1 (с изменениями и дополнениями от 20.07.04 № 72-ФЗ). Однако данный закон утратил силу с 1 января 2008 года в связи с принятием Закона
№ 231-ФЗ от 18 декабря 2006 года о введении в действие части четвертой Гражданского кодекса.
Правовое регулирование объектов промышленной собственности (изобретений, полезных моделей и промышленных образцов) предусматривает
«Патентный Закон» от 23 сентября 1992 года № 3517-1 (с изменениями
и дополнениями от 27.12.00 № 150-ФЗ, от 30.12.01 № 194-ФЗ, от 24.12.02
№ 176-ФЗ, от 07.02.03 № 22-ФЗ, от 02.02.06 № 19-ФЗ). Данный закон также
утрачивает силу с 01.01.2008 в связи с принятием Закона № 231-ФЗ от
18 декабря 2006.
С 1 января 2008 года вместо двух вышеуказанных законов вводится в действие часть четвертая Гражданского кодекса, которая регулирует права на результаты интеллектуальной деятельности и средства индивидуализации.
Ряд законодательных актов Российской Федерации вводят понятие «профессиональная тайна» — конфиденциальные сведения, полученные в результате выполнения профессиональной деятельности. В соответствии с законом №
149-ФЗ, «Информация, полученная гражданами (физическими лицами) при
исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна),
подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда».
В Гражданском кодексе введены понятия «банковская тайна» (статья 857),
«тайна страхования» (статья 946). В состав банковской тайны входят сведения
о счетах, вкладах, операциях и другая информация, полученная сотрудниками
банков при выполнении своих профессиональных обязанностей. Тайну страхования составляют сведения о страхователе. Понятие «банковская тайна» определено
также в Законе «О банках и банковской деятельности» от 2 декабря 1990 года
№ 395-1 (с изменениями и дополнениями от 3.02.1996 № 17-ФЗ).
1.3. Ñòðóêòóðà èíôîðìàöèîííûõ ðåñóðñîâ
39
Федеральным Законом «Об аудиторской деятельности» от 7 августа 2001 года
№ 119-ФЗ введено понятие «аудиторская тайна» — сведения, полученные при
осуществлении аудиторской деятельности. В Законе «О связи» от 7 июля
2003 года № 126-ФЗ введено понятие «тайна связи» — тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и почтовой связи.
Законом «Об адвокатской деятельности и адвокатуре Российской Федерации» от 31 мая 2002 года № 63-ФЗ введено понятие «адвокатская тайна» —
сведения, связанные с оказанием адвокатом юридической помощи своему доверителю.
Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 года № 5487-1 вводят понятие «врачебная тайна» — информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания и иные сведения, полученные при обследовании
и лечении.
Налоговый кодекс Российской Федерации (ч. 1 от 31 июля 1998 года
№ 146-ФЗ, ч. 2 от 5 августа 2000 года № 117-ФЗ) вводит понятие «налоговая
тайна» — сведения о налогоплательщике, полученные налоговым органом.
Порядок доступа к информации определен приказом Федеральной налоговой службы от 3 марта 2003 года № БГ-3-28/96 «Об утверждении порядка
доступа к конфиденциальной информации налоговых органов».
Постановлением Правительства Российской Федерации от 3 ноября 1994 года
№ 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в Федеральных органах исполнительной власти» утверждено соответствующее Положение. Оно определяет общий порядок обращения с документами и другими материальными носителями
информации, содержащими служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им предприятиях, в учреждениях и организациях. К служебной информации ограниченного распространения относится несекретная информация,
касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. На документах, содержащих служебную информацию ограниченного распространения, проставляется пометка
«Для служебного пользования».
Деятельность по защите конфиденциальной информации и информации,
содержащей государственную тайну, является лицензируемой и регулируется
Правительством. Постановлением Правительства Российской Федерации от
15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием
сведений, составляющих государственную тайну, созданием средств защиты
информации, а также с осуществлением мероприятий и (или) оказанием услуг
по защите государственной тайны» (с изм., внесенными Постановлениями
Правительства РФ от 23.04.96 года № 509, от 30.04.97 года № 513, от 29.07.98
№ 854, от 03.10.02 года № 731, от 17.12.04 № 807, от 26.01.07 года № 50) утверждено соответствующее Положение о лицензировании.
40
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Постановлением от 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной
информации» утверждено соответствующее Положение о лицензировании.
1.4. Ìîäåëü èíôîðìàöèîííîé
áåçîïàñíîñòè
С методологической точки зрения при анализе проблем информационной безопасности необходимо выявить субъекты информационных отношений и их интересы, связанные с использованием информационных систем, определить цели
защиты информации, основные угрозы безопасности и возможные уязвимые
места системы. Таким образом, необходима многомерная модель информационной безопасности. В литературе по защите информации описаны различные варианты моделей, с разной степенью точности отражающих все многообразие
форм воздействия на информацию.
С точки зрения правовых отношений структурную модель информационной
безопасности компьютерных систем можно представить в виде схемы, показанной
на рис. 1.4.1.
Основными структурными элементами информационной безопасности компьютерных систем в данной модели являются:
1.
2.
3.
4.
Цели защиты информации.
Субъекты, участвующие в процессах информационного обмена.
Угрозы безопасности информационных систем.
Уровни уязвимости информации и информационной инфраструктуры.
Обеспечение безопасности состоит в достижении трех взаимосвязанных целей — конфиденциальность, целостность и доступность.
Обеспечение конфиденциальности состоит в защите информации в процессе
ее создания, хранения, обработки и обмена по каналам связи от ознакомления
с ней лицами, не имеющими права доступа. Кроме того, авторизованные пользователи системы должны иметь доступ к информации в соответствии с установленными правами.
Обеспечение целостности состоит в защите от преднамеренного или непреднамеренного изменения информации и алгоритмов ее обработки лицами, не
имеющими на то права.
Обеспечение доступности состоит в предоставлении авторизованным пользователям всей имеющейся в системе информации в соответствии с установленными правами доступа.
Основными субъектами в информационных процессах являются: авторы
(собственники) информационных ресурсов, владельцы информации, авторизованные пользователи, неавторизованные пользователи, разработчики информационной системы, обслуживающий персонал, обеспечивающий работоспособ-
1.4. Ìîäåëü èíôîðìàöèîííîé áåçîïàñíîñòè
41
ность программно-технических средств и средств защиты, а также персонал,
занимающийся наполнением системы информацией.
Ðèñ. 1.4.1. Ìîäåëü èíôîðìàöèîííîé áåçîïàñíîñòè
Владельцы информации обязаны построить систему защиты, которая должна
обеспечивать соблюдение авторских прав собственникам информации и предоставлять доступ к информации только авторизованным пользователям в соответствии с их правами.
Неавторизованные пользователи стремятся получить несанкционированный
доступ к информационной системе. Кроме того, возможны каналы утечки информации, заложенные разработчиками информационной системы и известные
только им (недокументированные возможности).
Персонал, занимающийся сопровождением программно-технических средств,
администрированием сети, обеспечением защиты и информационным наполнением, также представляет определенную угрозу несанкционированных утечек
информации, а потому является важным субъектом информационных процессов. Как правило, обслуживающий персонал не всегда имеет полноправный доступ к информации в системе, но имеет практически неограниченный доступ
к аппаратно-программным средствам и телекоммуникациям, обеспечивающим
функционирование всей информационной системы.
Под угрозой безопасности информационных систем понимается потенциально возможное действие, событие или процесс, которые посредством воздействия
42
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
на информацию и другие компоненты системы могут нанести ущерб интересам
субъектов. Прежде всего, по результатам воздействия угрозы бывают пассивные
и активные.
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов сети, не оказывая при этом влияния на ее
функционирование и информационное наполнение.
Активные угрозы имеют целью нарушение нормального функционирования
ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение программного обеспечения, нарушение работы линий связи и т. д. Источником активных угроз, как правило, являются действия злоумышленников.
Активные угрозы безопасности могут быть разделены на естественные и искусственные.
Естественные угрозы — это угрозы, вызванные воздействием на информационные системы объективных физических процессов или стихийных природных
явлений, не зависящих от человека. Естественными угрозами безопасности являются, например, стихийные бедствия, аварии, внезапные отключения электропитания, поломки технических средств и другие не зависящие от человека воздействия. Эти угрозы совершенно не поддаются прогнозированию, и поэтому
меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к рассматриваемому объекту, и под ними
понимаются прежде всего природные катаклизмы. Эти угрозы опасны для всех
элементов информационной системы и могут привести к нарушениям нормальной работы, разрушению системы, уничтожению информации, разрушению аппаратно-программных средств и линий связи.
Искусственные угрозы вызваны действиями человека (антропогенные)
и подразделяются на непреднамеренные (случайные) и преднамеренные. Данная группа угроз самая обширная. Она представляет наибольший интерес
с точки зрения организации защиты, так как действия субъекта всегда можно
оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и в основном зависят от организаторов защиты
информации.
Непреднамеренные угрозы связаны с людьми, непосредственно работающими
с компьютерной системой (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, но без злого умысла). Они вызваны случайными действиями пользователей, ошибками операторов, программистов,
управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы. Часто такие угрозы являются
следствием невыполнения персоналом организационно-технологических правил
и требований внутренних нормативных документов.
Преднамеренные искусственные угрозы делятся на внутренние (со стороны
персонала организации) и внешние (от посторонних лиц и организаций). По
1.4. Ìîäåëü èíôîðìàöèîííîé áåçîïàñíîñòè
43
зарубежной и отечественной статистике, до 70–80 % всех компьютерных преступлений связано с внутренними нарушениями, то есть они осуществляются сотрудниками своей компании. Это обусловлено тем, что свой сотрудник может
реально оценить стоимость той или иной информации. Кроме того, некоторые
сотрудники обладают привилегиями по доступу к информации (либо аппаратнопрограммным средствам и средствам защиты) и могут их использовать в корыстных интересах.
В свою очередь, внешние угрозы подразделяются на локальные (проникновение посторонних лиц в учреждение и доступ их к системе) и удаленные (незаконный доступ к системе через глобальные сети).
Сетевые (или удаленные) атаки характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, вовторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым коммуникациям.
В последние годы все большую угрозу информации в сетях представляют
вирусы, которые распространяются по сетям и могут привести к уничтожению
информации и блокированию функционирования всей информационной системы.
Уязвимость информационных систем можно классифицировать по уровням:
физический, технологический, логический, человеческий, законодательный, организационный.
Физический уровень определяет, насколько эффективно защищены элементы, образующие техническую часть информационной системы: сервера, рабочие
станции, периферийные устройства, коммуникационное оборудование и линии
связи.
Наиболее доступными компонентами сетей являются рабочие станции.
Именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. Поэтому рабочие станции должны
быть надежно защищены от доступа посторонних. Кроме того, средства защиты
должны предотвращать нарушения нормальной настройки рабочих станций
и их функционирования, вызванные непреднамеренными действиями неопытных пользователей.
В особой защите нуждаются такие привлекательные для злоумышленников
элементы сетей, как сервера и активное коммуникационное оборудование.
Внедрение аппаратных и программных закладок в сервера и коммуникационное оборудование открывает дополнительные возможности по несанкционированному удаленному доступу. Закладки могут быть внедрены как с удаленных
станций, так и при ремонте, обслуживании, модернизации серверов, переходе на
новые версии программного обеспечения, смене оборудования непосредственно
в аппаратуру и программы.
Каналы и средства связи также нуждаются в защите. В силу большой пространственной протяженности линий связи через неконтролируемую или слабо
контролируемую территорию практически всегда существует возможность подключения к ним либо вмешательства в процесс передачи данных.
44
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Технологический уровень отражает эффективность защиты аппаратно-программных процедур, обеспечивающих требуемую степень безопасности. Это касается выбора операционных систем, систем управления базами данных (СУБД),
прикладного программного обеспечения, среды доставки информации.
Логический уровень характеризует адекватность логических основ механизма безопасности и организации хранения и кодирования информации.
Человеческий уровень отражает степень квалификации и ответственности
персонала на стадиях проектирования системы и ее эксплуатации (техническое
и программное сопровождение, информационное наполнение, соблюдение требований безопасности).
Законодательный уровень определяет комплекс законодательных и нормативно-правовых актов, регулирующих отношения субъектов в процессах информационного обмена.
Организационный уровень предусматривает комплекс организационных мероприятий, регламентирующий процессы эксплуатации информационной системы. На организационном уровне могут быть использованы морально-этические
средства защиты информации, основанные на использовании моральных и этических норм, господствующих в обществе. Морально-этические нормы могут
быть оформлены в некий свод (устав) правил или предписаний. Эти нормы, как
правило, не являются законодательно утвержденными, но могут считаться обязательными для исполнения.
Организационные и законодательные средства защиты информации предусматривают создание системы нормативно-правовых документов, регламентирующих порядок разработки, внедрения, эксплуатации и защиты ИС, а также ответственность должностных лиц за нарушение установленных правил, законов,
приказов, стандартов и т. п. Они обеспечивают объединение всех используемых
средств защиты в единый механизм.
1.5. Ïðàâîâàÿ ìîäåëü îòíîøåíèé
ñóáúåêòîâ èíôîðìàöèîííîãî
îáìåíà
Развивающееся глобальное информационное общество ставит ряд новых правовых проблем. Одной из таких проблем является определение информации как
объекта гражданского права, требующего соответствующего правового регулирования. В соответствии с современной юридической наукой, объектом гражданских прав является любое объективно существующее, внешнее по отношению
к субъекту благо, воплощающее в себе социальную ценность, за счет которого он
способен удовлетворять свои имущественные и неимущественные интересы.
В современном обществе информация превратилась в ценнейший товар, а обладатель информации может преследовать некоторые имущественные интересы
при информационном обмене, следовательно, сама информация может быть объектом гражданских прав.
1.5. Ïðàâîâàÿ ìîäåëü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà
45
В статье 5 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» явно указано:
«Информация может являться объектом публичных, гражданских и иных правовых отношений».
Статус информации как отдельного объекта гражданских прав зафиксирован
в статье 128 Гражданского кодекса: «К объектам гражданских прав относятся
вещи, включая деньги и ценные бумаги, иное имущество, в том числе имущественные права; работы и услуги; информация; результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность); нематериальные блага».
Однако, в соответствии с Федеральным Законом от 18 декабря 2006 года
№ 231-ФЗ с 1 января 2008 года статья 128 изложена в новой редакции: «К объектам гражданских прав относятся вещи, включая деньги и ценные бумаги, иное
имущество, в том числе имущественные права; работы и услуги; охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальная собственность); нематериальные блага». Как
видим, понятие «информация» из статьи удалено.
В соответствии с Федеральным Законом № 149-ФЗ, под информацией понимаются «сведения (сообщения, данные) независимо от формы их представления»
(статья 2). Для выяснения правовых отношений субъектов информационных обменов под информацией мы будем понимать все информационные ресурсы, хранящиеся в информационных системах и обрабатываемые с помощью компьютерных технологий. Следовательно, в данном смысле информация может содержать
и объекты авторских прав (например, оцифрованные музыкальные произведения,
программы для ЭВМ и др.), и результаты интеллектуальной деятельности, коммерческую тайну, государственную тайну, а также другие виды информации, охраняемые законом.
Это утверждение подтверждается, например, статьей 1225 части 4 Гражданского кодекса, введенного в действие с 1 января 2008 года: «Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации
юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется
правовая охрана (интеллектуальной собственностью), являются: произведения
науки, литературы и искусства; программы для электронных вычислительных машин (программы для ЭВМ); базы данных; фонограммы».
Таким образом, информационные ресурсы информационных компьютерных
систем являются объектом гражданского права. Далее следует определиться
с субъектами в процессах информационного обмена и их отношениями.
Руководящими документами Гостехкомиссии объекты и субъекты в информационных отношениях определены следующим образом: «Субъект — это активный компонент системы, который может стать причиной образования потока информации от объекта к субъекту или изменения состояния системы.
Объект — пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем
информации». Кроме того, документы содержат еще два понятия: «Субъект
доступа — лицо или процесс, действия которого регламентируются правилами
46
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
разграничения доступа. Объект доступа — единица информационного ресурса
автоматизированной системы, доступ к которой регламентируется правилами
разграничения доступа».
В Федеральном Законе «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ (Закон утратил силу с 27 июля
2006 года в связи с принятием Закона № 149-ФЗ) введены понятия «собственник» и «владелец» информационных ресурсов.
«Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами.
Владелец информационных ресурсов, информационных систем, технологий
и средств их обеспечения — субъект, осуществляющий владение и пользование
указанными объектами и реализующий полномочия распоряжения в пределах,
установленных Законом».
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», пришедшем на смену
Закону № 24-ФЗ, в статье 2 вводится другое понятие: «обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам».
В статье 1228 части 4 Гражданского кодекса вводится понятие «автор результата интеллектуальной деятельности»: «Автором результата интеллектуальной
деятельности признается гражданин, творческим трудом которого создан такой
результат. Автору результата интеллектуальной деятельности принадлежит право авторства».
Применительно к нашему определению понятия информационного ресурса
компьютерной информационной системы можно провести аналогию между понятием «автор» и «собственник».
Автор информационного ресурса может передать права владения им другому
лицу (или организации) на соответствующих условиях. Это соответствует статье
1229 Гражданского кодекса: «Правообладатель может по своему усмотрению разрешать или запрещать другим лицам использование результата интеллектуальной
деятельности или средства индивидуализации. Отсутствие запрета не считается
согласием (разрешением)». В этом случае в процессах информационного обмена
появляется другой субъект — «владелец информационного ресурса».
Правовые отношения между собственником и владельцем информационного
ресурса определяются статьями 1233 и 1235 Гражданского кодекса:
«Статья 1233. Распоряжение исключительным правом. Правообладатель
может распорядиться принадлежащим ему исключительным правом на результат интеллектуальной деятельности или на средство индивидуализации любым, не противоречащим закону и существу такого исключительного права
способом, в том числе путем его отчуждения по договору другому лицу (договор об отчуждении исключительного права) или предоставления другому лицу
права использования соответствующих результата интеллектуальной деятель-
1.5. Ïðàâîâàÿ ìîäåëü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà
47
ности или средства индивидуализации в установленных договором пределах
(лицензионный договор).
Статья 1235. Лицензионный договор. По лицензионному договору одна сторона — обладатель исключительного права на результат интеллектуальной деятельности или на средство индивидуализации (лицензиар) — предоставляет или
обязуется предоставить другой стороне (лицензиату) право использования такого результата или такого средства в предусмотренных договором пределах. Лицензиат может использовать результат интеллектуальной деятельности или
средство индивидуализации только в пределах тех прав и теми способами, которые предусмотрены лицензионным договором».
Обладатель (владелец) информации реализует установленные собственником правила и организует доступ пользователей (субъектов) к ресурсам информационной системы. В нормативных документах в области информационной
безопасности под субъектом доступа понимается «лицо или процесс, действия
которого регламентируются правилами разграничения доступа». Под правилами
разграничения доступа понимается «совокупность правил, регламентирующих
права доступа субъектов доступа к объектам доступа».
В соответствии с Законом № 149-ФЗ, под доступом понимается «возможность получения информации и ее использования». Тот же закон регламентирует правила доступа (статья 5): «Информация может свободно использоваться
любым лицом и передаваться одним лицом другому лицу, если федеральными
законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения».
В руководящих документах Гостехкомиссии («Защита от несанкционированного доступа к информации. Термины и определения», 1992 г.) доступ к информации определен несколько по-другому: «ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение».
Тот же документ определяет еще несколько понятий:
«Санкционированный доступ к информации — доступ к информации, не нарушающий установленные правила разграничения доступа.
Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств,
предоставляемых средствами вычислительной техники или автоматизированными системами.
Нарушитель правил разграничения доступа — субъект доступа, осуществляющий несанкционированный доступ к информации».
На основании вышеприведенных понятий с точки зрения доступа к информационным ресурсам в информационных процессах можно выделить еще два субъекта: пользователя и злоумышленника (нарушителя правил разграничения доступа). Под пользователем будем понимать лицо или процесс, осуществляющий
санкционированный доступ к информации. Под злоумышленником будем понимать лицо или процесс, осуществляющий несанкционированный доступ к информации.
Таким образом, все отношения в процессах информационного обмена можно
представить в виде схемы, изображенной на рис. 1.5.1.
48
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Ðèñ. 1.5.1. Ïðàâîâàÿ ìîäåëü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà
Собственник (автор) информационных ресурсов создает информацию, в соответствии с законодательством имеет на нее авторские права и может ее накапливать, обрабатывать и распространять. Он может на основании соответствующих
договоров передать права накопления в информационных системах, обработки
и распространения. В договоре собственник устанавливает права до-ступа, обработки и защиты, которые владелец должен выполнять при организации доступа
к информационным ресурсам.
Владелец ресурсов должен проанализировать возможные угрозы безопасности информации и построить систему защиты таким образом, чтобы обеспечить
1.5. Ïðàâîâàÿ ìîäåëü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà
49
основные цели информационной безопасности: доступность, целостность, конфиденциальность. Для этого владелец использует весь спектр средств защиты
информации — технические, технологические, программные, организационные,
законодательные и другие.
Пользователи информации, получающие санкционированный доступ к информационным ресурсам, должны соблюдать требования законодательных
и нормативных документов, правил, установленных собственником информационных ресурсов, а также регламентов работы с информационными системами,
установленных владельцем для достижения целей безопасности.
Однако, как показывает практический опыт, созданные системы обеспечения
безопасности имеют тенденцию к снижению эффективности со временем. Если
не поддерживать постоянно соответствующий уровень безопасности, используя
весь арсенал возможных средств, то со временем информационная система будет
иметь уязвимости для несанкционированного проникновения. Злоумышленник,
используя уязвимости информационной системы, организует атаки, создавая угрозы безопасности, и в конечном итоге может реализовать несанкционированный доступ к информации.
В теории информационной безопасности есть два понятия, касающиеся степени защищенности: мнимый и реальный уровни безопасности.
Мнимый уровень безопасности — это кажущийся уровень безопасности, возникающий после того, как были проведены первичные мероприятия по безопасности, но не был учтен тот факт, что уровень безопасности по различным причинам имеет тенденцию объективно ослабевать. Данный уровень может сложиться
из слишком большого доверия к возможностям аппаратно-программных средств
обеспечения безопасности и из ложной уверенности в том, что единожды установленный уровень безопасности всегда останется таковым.
Реальный уровень безопасности отражает картину текущего состояния безопасности без принятия дополнительных мер с течением времени.
Циклическое изменение уровней безопасности информационных систем
представлено на рис. 1.5.2. При создании системы безопасности достигается некий уровень Y3. Если с течением времени не предпринимаются меры по анализу
и поддержке системы обеспечения безопасности, то достигнутый уровень Y3 будет мнимым. На самом деле реальный уровень будет снижаться, и может быть
достигнут некий критический порог Y2, при котором наиболее вероятны случаи
несанкционированного доступа.
При выявлении службами безопасности фактов вторжения в систему предпринимается комплекс мер по повышению уровня безопасности. На принятие
таких мер требуется какое-то время (диапазон от Т1 до Т2). Таким образом,
в этом диапазоне времени информационная система будет иметь наибольшее количество уязвимостей. При уровне безопасности ниже Y1 возникает вероятность
не только несанкционированного доступа к информации, но и полного разрушения самой информационной системы (аппаратно-программных средств и технологических процессов) вместе с ее информационными ресурсами.
Злоумышленники используют уязвимости в периоды наименьшего уровня
безопасности (Т1, Т2), предпринимают атаки на информационную систему
50
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
и создают реальные угрозы безопасности информационных ресурсов. При определенном количестве атак злоумышленникам удается реализовать угрозы и получить несанкционированный доступ к информационным ресурсам. Более того,
злоумышленник может не только реализовать доступ к информации, но и изменить процессы обработки информации вплоть до разрушения инфраструктуры
информационной системы.
Ðèñ. 1.5.2. Óðîâíè èíôîðìàöèîííîé áåçîïàñíîñòè
1.6. Îñîáåííîñòü îòíîøåíèé
ñóáúåêòîâ èíôîðìàöèîííîãî
îáìåíà â ñåòè Èíòåðíåò
Общественные отношения субъектов информационного обмена, рассмотренные в предыдущем параграфе, можно упрощенно представить в виде цепочки:
собственник (автор)4владелец4информационный ресурс4пользователь.
Если рассматривать информационную систему учреждения или организации,
то данной цепочкой описываются все отношения субъектов. Более того, в рамках одной организации все субъекты и сам информационный ресурс находятся,
как правило, под юрисдикцией одного государства и корпоративной нормативно-правовой базы. В этом случае государство регулирует все отношения в рамках единой законодательной базы для всех участников информационных отношений. Проще говоря, существует один дом и один хозяин дома, устанавливающий в нем правила.
Однако если рассматривать глобальное информационное пространство, существующее в настоящее время в виде сети Интернет, то границы дома, а также права и обязанности субъектов информационных отношений однозначно определить
невозможно. Все перечисленные выше субъекты отношений, в том числе и сами
информационные ресурсы, могут находиться под юрисдикцией разных государств
и разных правовых систем. Развивающееся глобальное информационное общест-
1.6. Îñîáåííîñòü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà â ñåòè Èíòåðíåò
51
во ставит ряд принципиально новых правовых проблем в связи с лавинообразным
ростом использования сети Интернет. Современный Интернет является глобальным виртуальным информационным пространством, средой обитания определенных социальных групп и совокупности возникающих общественных отношений.
В настоящее время нет единых международных правовых актов, регулирующих
отношения, связанные с использованием сети Интернет. Более того, законодательная база разных государств, касающаяся использования глобального информационного пространства, находится в зачаточном состоянии и во многих случаях
достаточно противоречива.
Таким образом, каждый элемент приведенной выше цепочки может в общем
случае находиться под юрисдикцией определенной страны мира и иметь свой
правовой режим. Разрешение спорных ситуаций приводит к сталкиванию разных интересов субъектов и разных, порой противоречивых, правовых систем.
Это приводит к возникновению неразрешимых в настоящее время проблем:
юрисдикция какого государства распространяется на информационные отношения, в чьем ведении находится тот или иной информационный процесс? В общем случае возможны три варианта правового регулирования: по законодательству страны проживания пользователя, страны проживания собственника
ресурса, страны проживания владельца. В современной юридической науке отношения, связанные с использованием сети Интернет, исследованы фрагментарно. Для выяснения общественных отношений в сети Интернет необходимо определить основные субъекты в процессах информационного обмена.
Если рассматривать все общественные отношения, связанные с использованием
глобального информационного пространства, то приведенная выше цепочка описывает не все субъекты информационных процессов. На самом деле в глобальных информационных процессах задействован еще ряд важнейших субъектов, связанных
с использованием телекоммуникационной инфраструктуры. Таким образом, кроме информационных отношений в сети Интернет возникают еще так называемые
телекоммуникационные отношения. Например, Ю. В. Волковым в диссертации на
соискание ученой степени кандидата юридических наук выделены следующие
субъекты телекоммуникационных отношений: государство и его органы, операторы
связи, пользователи услуг (абоненты). Государство в лице соответствующих органов осуществляет разработку законодательной базы в области авторских прав,
а также лицензирование и контроль деятельности в области телекоммуникаций.
На самом деле в телекоммуникационной сфере существует еще один важнейший субъект — провайдер сети Интернет. Он предоставляет услуги доступа к ресурсам сети и, следовательно, оказывает существенное влияние на отношения
субъектов. Таким образом, кроме информационных отношений в сети Интернет
возникают еще так называемые телекоммуникационные отношения, в которых
задействованы операторы связи и провайдеры услуг Интернет. Телекоммуникационные отношения возникают при создании, развитии и использовании всей
телекоммуникационной инфраструктуры, а также при оказании телекоммуникационных услуг. Предметом права при этом являются отношения между субъектами по поводу строительства объектов телекоммуникационной инфраструктуры, их управления и контроля, организации доступа и оказания услуг.
52
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
В связи с этим отношения субъектов информационных процессов в сети Интернет можно упрощенно представить в виде схемы, представленной на рис. 1.6.1.
Ðèñ. 1.6.1. Îòíîøåíèÿ ñóáúåêòîâ â ñåòè Èíòåðíåò
Телекоммуникационное законодательство Российской Федерации и всего
мирового сообщества в настоящее время не имеет глубокого теоретического
обоснования и базового законодательного акта. Необходимо разработать и принять единый базовый нормативный правовой акт, предметом которого должен
стать весь комплекс общественных отношений в сфере телекоммуникаций.
На сайте http://www.russianlaw.net/law/acts/z47.htm 10 мая 2005 года опубликован проект Федерального Закона «О правовом регулировании оказания интернетуслуг». Целями данного закона являются создание условий для устойчивого развития объемов и качества интернет-услуг, обеспечение информационной безопасности государства, защиты законных интересов Российской Федерации, прав физических и юридических лиц при оказании интернет-услуг. Настоящий Федеральный Закон должен установить правовую основу деятельности по оказанию интернет-услуг, оказываемых под юрисдикцией Российской Федерации.
Проект закона содержит несколько определений терминов: «Интернет», «Потребитель услуги», «Пользователь», «Оператор связи» и ряд других. Глава первая законопроекта содержит статьи, определяющие основные термины, цели,
сферу действия, принципы деятельности в области оказания интернет-услуг,
принципы и основные направления государственной политики в данной сфере,
общие положения о лицензировании в области оказания интернет-услуг, общие
правила исполнения обязанности по передаче данных и другие положения. Среди основных направлений государственной политики указаны принципы, направленные на обеспечение информационной безопасности при оказании и потреблении интернет-услуг.
Глава вторая законопроекта посвящена особенностям правового регулирования отдельных категорий интернет-услуг. Глава третья «Ответственность в сфе-
1.6. Îñîáåííîñòü îòíîøåíèé ñóáúåêòîâ èíôîðìàöèîííîãî îáìåíà â ñåòè Èíòåðíåò
53
ре оказания интернет-услуг» устанавливает ответственность пользователей сети
Интернет и лиц, оказывающих интернет-услуги.
Однако данный закон в Российской Федерации пока не принят.
При постановке и исследовании вопроса о правовом регулировании сети Интернет возникает ряд специальных и общетеоретических проблем. Среди основных общетеоретических проблем необходимо выделить проблемы юрисдикции
сети, правосубъектности лиц, представляющих, распространяющих и потребляющих информацию в сети Интернет, а также проблему определения времени
и места действия в сети Интернет.
Более подробно проблематика правового регулирования телекоммуникационных отношений представлена, например, в диссертации Ю. В. Волкова, защита которой состоялась в феврале 2007 года в диссертационном совете Уральской
государственной юридической академии г. Екатеринбург. С авторефератом диссертации можно ознакомиться на сайте http://www.russianlaw.net/law/doc/ a209.
pdf.
В связи с объективной сложностью регулирования общественных отношений
в сети Интернет и постоянным развитием и совершенствованием информационно-коммуникационных технологий современное предметное законодательство
и правоприменительная практика не успевают отслеживать динамичное развитие
информационного общества. В такой динамичной и комплексной сфере, как сеть
Интернет, приоритетным направлением на сегодняшний день является внедрение
в рамках действующего законодательства механизмов саморегулирования. Такие
механизмы отвечают интересам субъектов соответствующих отношений, ликвидируют часть существующих правовых пробелов в сфере регулирования использования сети Интернет и способствуют оперативному разрешению конфликтов между
организациями, гражданами и государственными органами в связи с использованием информационно-телекоммуникационных технологий.
В настоящее время в Российской Федерации действует ряд нормативно-правовых актов в области правовых вопросов использования сети Интернет. Одним
из первых документов в этой области следует считать Указ Президента Российской Федерации от 6 октября 1998 года № 1189 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного
информационного обмена». Данный Указ был отменен в 2004 году Указом Президента от 12 мая 2004 года № 611 «О мерах по обеспечению информационной
безопасности Российской Федерации в сфере международного информационного обмена» (с изм., внесенными Указами Президента РФ от 22.03.05 года
№ 329, от 03.03.06 года № 175). Он был принят в целях обеспечения информационной безопасности Российской Федерации при осуществлении международного информационного обмена посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет.
В соответствии с Указом, субъектам международного информационного обмена в Российской Федерации предписано не осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых
обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также
54
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
для которых установлены особые правила доступа к информационным ресурсам,
в состав средств международного информационного обмена, в том числе в сеть
Интернет.
Владельцев открытых и общедоступных государственных информационных
ресурсов Указ обязывает осуществлять их включение в состав объектов международного информационного обмена только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность,
в том числе криптографических для подтверждения достоверности информации.
Размещение технических средств, подключаемых к открытым информационным
системам, сетям и сетям связи, включая сеть Интернет, используемым при международном информационном обмене, в помещениях, предназначенных для ведения
переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, может осуществляться только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных
помещениях.
Использование сети Интернет регламентируется также рядом постановлений
Правительства Российской Федерации:
q от 3 июня 1998 года № 564 «Об утверждении Положения о лицензировании
деятельности по международному информационному обмену» (в ред. Постановления Правительства РФ от 03.10.02 № 731);
q от 27 августа 2005 года № 538 «Об утверждении правил взаимодействия опе-
раторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
q от 23 января 2006 года № 32 «Об утверждении правил оказания услуг связи
по передаче данных»;
q от 10 марта 2007 года № 147 «Об утверждении Положения о пользовании
официальными сайтами в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказании услуг для
государственных и муниципальных нужд и о требованиях к технологическим,
программным, лингвистическим, правовым и организационным средствам
обеспечения пользования указанными сайтами».
Использование сети Интернет регламентируется также отраслевыми нормативными документами. Примером могут служить постановления Центральной
избирательной комиссии:
q от 28 февраля 2007 года № 200/1254-4 «О внесении изменений в Положение
об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации “Выборы”»;
q от 28 февраля 2007 года № 200/1255-4 «Об инструкции по размещению дан-
ных государственной автоматизированной системы (ГАС) Российской Федерации “Выборы” в сети Интернет».
В соответствии с указанными документами, не допускается подключение
комплекса средств автоматизации ГАС «Выборы» к сети Интернет. Инструкция устанавливает порядок, объем и технологию выполнения работ в Цен-
1.7. Ñòðóêòóðà íîðìàòèâíûõ ïðàâîâûõ àêòîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
55
тральной избирательной комиссии Российской Федерации и избирательных
комиссиях субъектов Российской Федерации при размещении данных ГАС
«Выборы» в сети общего пользования Интернет.
Одним из последних государственных документов, касающихся проблем использования глобального информационного пространства, явилась принятая
25 июля 2007 года Советом Безопасности Российской Федерации «Стратегия
развития информационного общества в России». В Стратегии отмечена необходимость обеспечения безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры. В числе основных мероприятий, осуществляемых Россией
в рамках международного сотрудничества в области развития информационного общества, отмечена необходимость участия России в определении путей решения вопросов формирования глобального информационного общества, в выработке международных норм и механизмов, регулирующих отношения в области
использования глобальной информационной инфраструктуры, включая вопросы
управления использованием Интернета.
Более подробно с проблематикой правового регулирования отношений в сети
Интернет можно ознакомиться в обширном материале, представленном на сайте
«Право и Интернет»: http://www.russianlaw.net/.
1.7. Ñòðóêòóðà íîðìàòèâíûõ
ïðàâîâûõ àêòîâ â îáëàñòè
èíôîðìàöèîííîé
áåçîïàñíîñòè
Информационные технологии, являясь основой информационного общества,
не могут развиваться в отрыве от других аспектов жизнедеятельности данного
общества. Обретая новые возможности благодаря использованию принципиально новых средств и методов обработки информации, общество получает и новые
проблемы правового, этического и технологического характера. Стремительное
развитие глобального информационного общества требует существенной корректировки его нормативной правовой базы.
Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, постановлений и других документов, регулирующих юридическую ответственность должностных лиц, технических специалистов и пользователей за действия (или бездействие), повлекшие
утечку, утрату или модификацию защищаемой информации, а также злоумышленников за совершение преднамеренного несанкционированного доступа к информации и нарушение процессов ее обработки.
Следует уточнить трактовку понятия «нормативный правовой документ»
в связи с отсутствием его точного юридического определения в законодательстве. Всякий документ (акт), принятый уполномоченным законом органом или
лицом, является правовым, поскольку он регулирует правовые отношения.
56
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Принятые правовые документы могут быть обязательными для исполнения
либо носить рекомендательный характер. Обязательные для исполнения акты
являются нормативными правовыми актами.
Подобная трактовка нормативного правового акта дана в Постановлениях
Пленумов Верховного Суда Российской Федерации № 19 от 25.05.2000 и № 2
от 20.01.2003: «Под нормативным правовым актом понимается изданный в установленном порядке акт уполномоченного на то органа государственной власти, органа местного самоуправления или должностного лица, устанавливающий правовые нормы (правила поведения), обязательные для неопределенного
круга лиц, рассчитанные на неоднократное применение, действующие независимо от того, возникли или прекратились конкретные правоотношения, предусмотренные актом».
Специфика современного этапа развития общества заключается в том, что дальнейшее развитие процессов информатизации зависит не только от технологических
прорывов, но во многом от того, насколько быстро будут корректироваться существующие нормативные акты и разрабатываться новые, соответствующие изменившимся реалиям жизни. Учитывая глобальный характер процессов информатизации, международное сообщество должно предпринимать согласованные действия
по созданию безопасного и свободного от киберпреступности пространства. На сегодняшний день мировое сообщество сформировало единое мнение о том, что эффективное обеспечение информационной безопасности не может быть достигнуто без
согласованных действий по правовому регулированию процессов информатизации
и выработки соответствующих международных нормативных документов.
В настоящее время разработаны и продолжают разрабатываться международные, государственные и ведомственные нормативные акты. Они регламентируют
основные понятия и концепции информационной безопасности на межгосударственном и государственном уровнях, что позволяет ввести единые стандарты
и критерии в области защиты информации.
В соответствии со статьей 15 Конституции Российской Федерации, «Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы.
Если международным договором Российской Федерации установлены иные
правила, чем предусмотренные законом, то применяются правила международного договора». В соответствии с этим международные документы, подписанные
от имени Российской Федерации, имеют приоритет над соответствующими документами федерального уровня.
Структуру нормативных правовых актов в области информационной безопасности можно представить в виде схемы, приведенной на рис. 1.7.1.
Современная база международных актов в области информационной безопасности включает в себя декларации, конвенции, соглашения, рекомендации, а также стандарты. Основными целями использования международных документов
являются:
1. Приведение отечественных нормативных документов в области защиты информации в соответствие с международными.
1.7. Ñòðóêòóðà íîðìàòèâíûõ ïðàâîâûõ àêòîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
57
2. Выработка государственной политики в области информатизации в соответствии с мировыми тенденциями развития глобального информационного общества.
3. Предоставление отечественным разработчикам информационных технологий
средств и методов создания аппаратно-программных средств и технологий,
соответствующих международным стандартам и делающих их конкурентоспособными на международном рынке товаров и услуг.
4. Предоставление соответствующим специалистам правил и критериев оценки
защищенности информационных технологий для различных сфер применения.
5. Подготовка кадров специалистов в области информатизации и информационной безопасности, соответствующих современным потребностям глобального
информационного общества.
Ðèñ. 1.7.1. Ñòðóêòóðà íîðìàòèâíî-ïðàâîâûõ àêòîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
58
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Следует отметить, что Российская Федерация присоединилась к ряду международных конвенций и деклараций, является участницей международных конференций по проблемам информационной безопасности. Международное сотрудничество Российской Федерации в области информационной безопасности
является неотъемлемой частью ее взаимодействия со странами мирового сообщества наряду со сферой экономики, политики, культуры. Основными направлениями международного сотрудничества в области информационной безопасности являются:
1. Координация деятельности государств по борьбе с киберпреступлениями.
2. Обеспечение безопасности международного информационного обмена, разработка единых нормативно-технических документов.
3. Предотвращение использования глобальных телекоммуникаций в качестве
инструмента для применения «информационного оружия» и недопущение
развязывания «информационных войн».
4. Обеспечение защиты конфиденциальной информации в международных информационных системах от несанкционированного доступа со стороны преступных группировок и террористических организаций.
Из всех международных нормативных актов в Российской Федерации в настоящее время используются в основном организационно-технические документы, часть из которых принята в качестве национальных стандартов в области защиты информации (например, ГОСТ Р ИСО/МЭК 15408).
Если касаться национальной нормативной правовой базы, то в целом в области защиты информации в Российской Федерации действуют несколько десятков документов на уровне федеральных законов, указов Президента, постановлений Правительства и других правовых актов. Базовые концептуальные принципы отношений в информационной сфере определяет Конституция Российской
Федерации. В соответствии с действующим порядком, разработка правовых актов, регулирующих отношения в области защиты информации, осуществляется
в рамках государственной системы защиты информации. Основными функциями системы являются:
1. Разработка концепций и единой технической политики в области обеспечения информационной безопасности.
2. Совершенствование и защита отечественной информационной инфраструктуры, интеграция России в международное информационное пространство.
3. Координация деятельности федеральных органов государственной власти,
а также других государственных структур, обеспечивающих решение задач информационной безопасности.
4. Координация разработки нормативно-правовых, нормативно-технических
и организационно-распорядительных документов в области защиты информации.
5. Лицензирование деятельности в сфере информационной безопасности и сертификации средств защиты.
1.7. Ñòðóêòóðà íîðìàòèâíûõ ïðàâîâûõ àêòîâ â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
59
6. Обеспечение конституционных прав и свобод граждан на получение общедоступной информации и обеспечение защиты информации ограниченного доступа (государственная тайна, конфиденциальный характер).
7. Организация системы подготовки кадров, фундаментальных и прикладных
научных исследований в области информационной безопасности.
8. Осуществление международного сотрудничества в области информационной
безопасности, представление интересов Российской Федерации в международных организациях.
9. Предупреждение и пресечение правонарушений в информационной сфере,
осуществление судопроизводства по делам о преступлениях.
Все нормативные документы, действующие в настоящее время в Российской
Федерации, можно разделить по типу на две группы:
1. Документы, составляющие нормативную правовую базу и определяющие правовое пространство в области информатизации и защиты информации (федеральные законы, кодексы, указы Президента, постановления Правительства).
2. Документы, составляющие нормативно-техническую базу в области информационных технологий и защиты информации (стандарты, критерии и другие
документы, непосредственно определяющие организационные и технические
требования по защите информации, порядок их выполнения и контроля эффективности принимаемых мер защиты).
По назначению все документы федерального уровня можно разделить на следующие группы.
1. Документы, составляющие концептуальную основу защиты информации.
2. Пакет федеральных законов и кодексов, определяющих систему защиты информации.
3. Пакет нормативных правовых актов в виде указов Президента, постановлений
Правительства Российской Федерации, межведомственных и ведомственных
(отраслевых) руководящих документов и стандартов, регулирующих механизмы исполнения требований к системе обеспечения информационной безопасности государства.
Среди документов федерального уровня следует особо отметить документы,
регламентирующие порядок лицензирования деятельности по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием и сертификацией средств защиты информации.
Ведомственные нормативные документы разрабатываются в целях развития
и конкретизации положений федеральных документов по защите информации
с учетом ведомственной (отраслевой) специфики.
Органы законодательной и исполнительной власти субъектов Российской
Федерации, а также органы местного самоуправления в пределах своей компетенции также могут разрабатывать нормативные правовые акты в области информационной безопасности. Указанные акты не должны противоречить соответствующим актам федерального и международного уровней.
60
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Согласно требованиям нормативно-правовых документов, на предприятиях
и в учреждениях должен также действовать комплекс мер по обеспечению защиты информации. Этот комплекс должен основываться на нормативно-правовых
и нормативно-технических документах в области защиты информации федерального и отраслевого уровней.
Нормативные документы уровня предприятия, учреждения или организации
разрабатываются в дополнение и в целях конкретизации нормативных правовых
актов, нормативной и методической документации технического характера отраслевого уровня. В состав документов уровня предприятия входят также проектная и эксплуатационная документация по создаваемым и эксплуатируемым
объектам информатизации, инструкции и регламенты по эксплуатации информационных систем и средств защиты, а также организационно-распорядительная
документация предприятия (приказы, распоряжения, должностные инструкции
сотрудников и др.).
В связи с возрастанием важности задач обеспечения информационной безопасности многие предприятия разрабатывают и утверждают в виде специального
документа концепцию информационной безопасности. На основании концепции
затем разрабатывается политика безопасности, которая конкретизирует положения концепции применительно к конкретным функциональным подсистемам
единой информационной системы предприятия.
1.8. Ñóäåáíàÿ ïðàêòèêà
â îáëàñòè êîìïüþòåðíûõ
ïðåñòóïëåíèé
С каждым годом растет количество судебных дел в сфере компьютерных преступлений. Это является свидетельством существенного укрепления правовой базы
в области информационных технологий. Кроме того, судебные органы накопили
достаточно большой опыт и квалификацию по раскрытию преступлений в информационной сфере и доведению их до судебных процессов.
Одно из первых судебных дел в России, связанных с компьютерным преступлением, было рассмотрено в 1983 году. На одном из автомобильных заводов был
изобличен программист, который из мести руководству предприятия умышленно внес изменения в программу, управляющую подачей деталей на главный сборочный конвейер. В программу была вставлена процедура, которая при наступлении определенной даты блокировала работу основной программы. В результате
срабатывания процедуры произошла остановка работы программы, повлекшая
за собой остановку конвейера. Заводу был нанесен существенный материальный
ущерб. За время простоя конвейера не было собрано более сотни автомобилей.
После обнаружения процедуры в теле программы программист был привлечен
к уголовной ответственности.
Однако в то время в уголовном законодательстве не было статьи, связанной
с компьютерными преступлениями. Программист обвинялся по статье 98 ча-
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
61
сти 2 Уголовного кодекса Российской Федерации «Умышленное уничтожение
или повреждение государственного или общественного имущества… причинившее крупный ущерб». На суде программист утверждал, что ничего повреждено
не было, а нарушен был только порядок работы. Такие действия в то время не
подпадали ни под одну статью законодательства. Суд вынес приговор: «три года
лишения свободы условно; взыскание суммы, выплаченной рабочим за время
вынужденного простоя конвейера; перевод с должности программиста на должность сборщика главного конвейера».
В соответствии с сегодняшним законодательством, действия программиста
подпадают под статью 273 части 1 Уголовного кодекса Российской Федерации
«Создание, использование и распространение вредоносных программ для ЭВМ».
Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы
ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение
таких программ или машинных носителей с такими программами наказываются
лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч
рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
В данном случае программист умышленно создал вредоносную программу,
нарушившую технологический процесс.
Ниже приведен ряд приговоров судов по делам, связанным с компьютерными
преступлениями. Часть приговоров дана в сокращении.
На сайте ЗАО «Крафт-С» (http://www.kraft-s.ru) дана выписка из решения
суда по поводу обвинения за неправомерный доступ к охраняемой законом компьютерной информации. Ниже приведена выписка из приговора суда, как она
дана на указанном сайте.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
29 ÿíâàðÿ 2004 ã. Ôåäåðàëüíûé ñóä Ëåíèíñêîãî ðàéîíà
ã. Ñàìàðû â ñîñòàâå:
председательствующего судьи:
Казначеева А. В.
государственного обвинителя:
Шуваркиной М. С.
подсудимого:
Б.
защитника:
Д., представившей удостоверение XXХ
и ордер ХХХХХ,
при секретаре:
Воловиковой Л. М.,
а также:
представителя потерпевшего
от «Крафт-C» — Мушкат О. Б.
потерпевшей:
М.
62
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
законного представителя подсудимого:
Н.,
рассмотрев в открытом судебном
заседании дело по обвинению:
гр. Б., XX.XX.19ХХ г. рождения,
уроженца г. ХХХХХХХХХХ,
имеющего среднее образование,
учащегося на ХХ курсе ХХХХХХХХ,
не женатого, не судимого,
проживающего по адресу:
г. Самара ул. ХХХХХХХХХХ, ХХХ-ХХ,
в совершении преступления,
предусмотренного ч. 1 ст. 272, ч. 1
ст. 165 УК РФ
ÓÑÒÀÍÎÂÈË
Б. обвиняется в том, что он совершил неправомерный доступ к охраняемой
законом компьютерной информации, то есть информации на машинном носителе в ЭВМ, системе ЭВМ или их сети, повлекший модификацию и блокирование информации при следующих обстоятельствах.
Так, он в период с ХХ.ХХ2003 г. по ХХ.ХХ2003 г., обладая достаточными
знаниями в области пользования компьютерной техникой, осуществил несанкционированное проникновение при помощи технических средств
к охраняемой Законом РФ «О правовой охране программ для электронновычислительных машин и баз данных» от 23.09.92, Федеральным Законом
РФ «Об информации, информатизации и защите информации» от
20.02.1995 г. компьютерной информации, находящейся в базе данных серверов ЗАО «Крафт-С». Неправомерный доступ к компьютерной сети Интернет Б. осуществлял, находясь у себя дома по адресу: г. Самара,
ул. ХХХХХХХХХХ, ХХХ-ХХ, используя для связи с ЗАО «Крафт-С»
свой домашний персональный компьютер с модемным устройством и соответствующим программным обеспечением, телефон с номером ХХ-ХХХХ, установленный по месту его жительства, а также реквизиты пользователя сети Интернет: пароль и имя пользователя (логин) —
«ХХХХХХХХ», зарегистрированный в ЗАО «Крафт-С» на имя М., в соответствии с договором ХХХХХ/И от ХХ.ХХ.ХХХХ., осуществлял неправомерный доступ к компьютерной информации, содержащейся на серверах
ЗАО «Крафт-С», являющейся провайдером, то есть организацией, предоставляющей доступ к сети Интернет своим абонентам. С телефонного номера ХХ-ХХ-ХХ Б. за указанный период времени осуществил не менее
ХХ неправомерных выходов в Интернет. Указанные выше действия Б. повлекли изменения статистической информации на сервере ЗАО «КрафтС» об объеме услуг, предоставленных абоненту — М., на имя которой зарегистрированы указанные выше реквизиты, то есть модификацию компьютерной информации.
Своими умышленными действиями Б. совершил неправомерный доступ
к охраняемой законом компьютерной информации, то есть информации на
машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, повлекший блокирование и модификацию информации, то есть совершил преступление, предусмотренное ч. 1 ст. 272 УК
РФ.
Он же совершил причинение имущественного ущерба собственнику путем обмана при отсутствии признаков хищения при следующих обстоятельствах.
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
Так, он, достоверно зная, что доступ в информационную сеть Интернет подлежит оплате провайдеру, предоставляющему данную услугу, и что предоставление доступа в Интернет требует материальных затрат со стороны провайдера, в период с ХХ.ХХ03 г. по ХХ.ХХ03 г., находясь у себя дома по адресу: г. Самара, ул. ХХХХХХХХХХ, ХХХ-ХХ, используя для связи с ЗАО
«Крафт-С» свой домашний персональный компьютер с модемным устройством и соответствующим программным обеспечением, домашний телефон с
номером ХХ-ХХ-ХХ, осуществлял неправомерный доступ в сеть Интернет
по реквизитам, принадлежащим М., приобретенным им незаконным путем.
Своими действиями, направленными на причинение имущественного ущерба без признаков хищения, путем обмана, Б. за указанный период времени
нанес ущерб М. в сумме 673,01 рублей, оплатившей доступ в Интернет провайдеру ЗАО «Крафт-С».
Своими преступными действиями Б. совершил причинение имущественного
ущерба собственнику путем обмана при отсутствии признаков хищения, то
есть совершил преступление, предусмотренное ч. 1 ст. 165 УК РФ.
В судебном заседании подсудимый Б. заявил о своем согласии с предъявленным обвинением и ходатайствовал о постановлении приговора без проведения судебного разбирательства. Государственный обвинитель и потерпевшие согласились с заявленным ходатайством.
Принимая во внимание, что ходатайство о применении особого порядка
принятия судебного решения обвиняемым заявлено добровольно, после
проведения консультаций с защитником, законным представителем, подсудимый осознает характер и последствия заявленного ходатайства, суд считает его подлежащим удовлетворению.
О согласии с предъявленным обвинением свидетельствуют также материалы дела, из которых видно, что Б. полностью признал свою вину по
предъявленному обвинению, обвинение, с которым согласился подсудимый, обосновано, подтверждается доказательствами, собранными по уголовному делу, обстоятельства совершения преступления подсудимым не
оспариваются.
Также при назначении наказания должна применяться ст. 10 УК РФ «Обратная сила уголовного закона», в соответствии с которой должно учитываться максимально предусмотренное наказание по ч. 1 ст. 165 УК РФ (либо лишение свободы до 2 лет), которое было предусмотрено до введения
в действие Федерального Закона «О внесении изменений в Уголовный
кодекс РФ» 162-ФЗ, так как в новой редакции Закона было увеличено максимально предусмотренное в ч. 1 ст. 165 УК РФ наказание (в виде лишения
свободы сроком до 6 лет), в связи с чем из разряда преступлений небольшой тяжести ч. 1 ст. 165 УК РФ перешла в разряд тяжких преступлений,
а уголовный закон, устанавливающий преступность деяния, усиливающий
наказание или иным образом ухудшающий положение лица, обратной силы
не имеет. Само преступление, совершенное подсудимым Б., было совершено до введения в действие Федерального Закона «О внесении изменений
и дополнений в Уголовный кодекс РФ» 162-ФЗ.
При определении вида и меры наказания суд учитывает степень и характер общественной опасности совершенного преступления — преступления небольшой тяжести. Обстоятельства, смягчающие наказание: признание подсудимым своей вины, раскаяние в содеянном, полное возмещение материального вреда, причиненного преступлением. Личность по
месту учебы и жительства характеризуется положительно, ранее не судим. Учитывая совокупность изложенных обстоятельств, личность подсудимого, его поведение в ходе предварительного следствия и в соответствии
63
64
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
со ст. 73 УК РФ, суд считает, что исправление Б. возможно без изоляции
от общества.
На основании изложенного и руководствуясь ст. 316 УПК РФ, суд
ÏÐÈÃÎÂÎÐÈË
Б. признать виновным в совершении преступления, предусмотренного ч. 1
ст. 165 УК РФ и ч. 1 ст. 272 УК РФ, и назначить ему наказание:
по ч. 1 ст. 165 УК РФ — 6 (шесть) месяцев лишения свободы;
по ч. 1 ст. 272 УК РФ — 6 (шесть) месяцев лишения свободы.
В соответствии с ч. 2 ст. 69 УК РФ, окончательное наказание путем полного
сложения назначенных наказаний назначить в виде 1 (одного) года лишения
свободы. В соответствии со ст. 73 УК РФ, данное наказание считать условным, с испытательным сроком 6 (шесть) месяцев.
Обязать Б. не менять постоянного места жительства и учебы без уведомления уголовно-исполнительной инспекции, периодически являться в УИИ
для регистрации. Меру пресечения — подписку о невыезде — до вступления
приговора в законную силу оставить без изменения. Вещественное доказательство, протокол доступа в сеть Интернет, установочные данные и детализация входящих и исходящих соединений абонента ХХ-ХХ-ХХ хранить
при уголовном деле; системный блок Б., хранящийся в УВД г. Самары, после вступления приговора в законную силу вернуть Б.
В иске М. к Б. о взыскании в пользу истицы морального вреда, причиненного преступлением, в размере 10 000 рублей — отказать.
Приговор может быть обжалован в кассационном порядке в Самарском областном суде в течении 10 суток со дня провозглашения.
Председательствующий (подпись) А. В. Казначеев
На сайте http://www.internet-law.ru/intlaw/crime/samara.htm помещен следующий
приговор.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
ã. Ñàìàðà 1 äåêàáðÿ 2004 ãîäà
Судья Кировского районного суда г. Самары Курцева М. М. с участием государственного обвинителя заместителя прокурора прокуратуры Кировского района г. Самары Ремиз Н. Ю., подсудимого САС, его законного
представителя ЧСВ, защитника — адвоката Решетихина В. И., представившего ордер № 053829, удостоверение № 1016, при секретаре Ивановой М. В., рассмотрев материалы уголовного дела в отношении САС,
19.04.88 года рождения, уроженца г. Самары, гражданина РФ, с образованием 9 классов, холостого, не судимого, учащегося в Профессиональном
лицее компьютерных технологий, проживающего по адресу: г. Самара,
пр. МММ, д. ДД, кв. КК, обвиняемого в совершении преступлений, предусмотренных ч. 1 ст. 272, ч. 1 ст. 165 УК РФ,
ÓÑÒÀÍÎÂÈË
САС совершил неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе в ЭВМ,
си-стеме ЭВМ, их сети, повлекший модификацию и блокирование информации при следующих обстоятельствах: САС в период с 01.05.04 по
31.08.04, обладая достаточными знаниями в области пользования компьютерной техникой, имея умысел на несанкционированное проникнове-
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
ние при помощи технических средств к охраняемой законом компьютерной информации, с целью получения неправомерного доступа к компьютерной сети Интернет, находясь у себя дома на пр. МММ, д. ДД, кв. КК
в г. Самаре, используя свой персональный компьютер с установленным
модемным устройством и соответствующим программным обеспечением,
телефон с номером ХХ-ХХ-ХХ, установленный по месту своего жительства, а также реквизиты пользователя сети Интернет: пароль и имя пользователя, зарегистрированные в ЗАО «Крафт-С» на имя ОВВ, осуществлял
неправомерный доступ к компьютерной информации, содержащейся на
серверах ЗАО «Крафт-С». С телефонного номера ХХ-ХХ-ХХ за указанный период времени САС осуществил не менее 180 неправомерных выходов в Интернет. Указанные действия САС повлекли изменение статистической информации на сервере ЗАО «Крафт-С» об объеме услуг, предоставленных абоненту ОВВ, то есть модификацию компьютерной информации.
САС совершил причинение имущественного вреда собственнику путем обмана при отсутствии признаков хищения при следующих обстоятельствах:
САС, достоверно зная, что доступ в информационную сеть Интернет подлежит оплате провайдеру, предоставляющему данную услугу, и что предоставление доступа в сеть Интернет требует материальных затрат со стороны
провайдера, в период с 01.05.04 по 31.08.04, находясь у себя дома, используя свой персональный компьютер, модем, программное обеспечение, телефон, осуществлял выходы в сеть Интернет с использованием логина
leros, полученного им незаконным путем. Своими действиями, направленными на причинение имущественного ущерба без признаков хищения, путем
обмана, САС за указанный период времени нанес ЗАО «Крафт-С»ущерб
в сумме 5000 рублей.
Подсудимый САС свою вину признал полностью, в содеянном раскаялся.
Он показал, что весной 2004 года на одном из сайтов сети Интернет (доступ вначале он осуществлял по карточкам) он обнаружил программу, при
помощи которой можно получить реквизиты доступа в сеть Интернет, которыми пользуются зарегистрированные абоненты. При помощи указанной программы он получил реквизиты доступа (логин leros). С весны и до
конца августа он осуществлял выход в сеть Интернет под данными реквизитами почти каждый день. В папке удаленного доступа на системном
блоке, изъятом в ходе обыска у гр. САС, в ходе осмотра обнаружена информация о реквизитах доступа в сеть Интернет, логин leros, пароль сохранен.
Анализируя добытые по делу доказательства, суд считает, что преступные
действия САС необходимо квалифицировать по ч. 1 ст. 272, ч. 1 ст. 165
УК РФ, так как он совершил неправомерный доступ к охраняемой законом
компьютерной информации, совершил причинение имущественного ущерба
путем обмана при отсутствии признаков хищения. При назначении вида
и меры наказания суд учитывает характер и степень общественной опасности
содеянного, то, что преступления, совершенные САС, являются преступлениями небольшой тяжести, конкретные обстоятельства дела, личность подсудимого, несовершеннолетие и т. д. Учитывая изложенное, суд считает необходимым назначить САС наказание в виде исправительных работ с применением ст. 73 УК РФ.
Руководствуясь ст. 299, 303–304, 307–309 УПК РФ, суд
ÏÐÈÃÎÂÎÐÈË
САС признать виновным в совершении преступлений, предусмотренных ч. 1
ст. 272, ч. 1 ст. 165 УК РФ. По совокупности совершенных преступлений
65
66
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
окончательно назначить наказание — исправительные работы сроком на 7
месяцев с удержанием из заработка 10 процентов ежемесячно в доход государства. На основании ст. 73 УК РФ наказание считать условным, с испытательным сроком 6 месяцев.
ÏÐÈÌÅ×ÀÍÈÅ
Имя подсудимого, его адрес и телефон изменены автором.
Следующий приговор за установку нелицензионных программ опубликован
на сайте: http://www.internet-law.ru/intlaw/crime/prigovor_ustanovka_nelicenz_ms.htm
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
ã. Ìîñêâà 25 ôåâðàëÿ 2004 ã.
Судья Таганского межмуниципального (районного) суда Центрального административного округа г. Москвы Д. с участием государственного обвинителя
Московско-Курской транспортной прокуратуры К., подсудимого Н-ва М. В.,
подсудимого К-на С. А., защитника Л., при секретаре Л., а также с участием
представителя потерпевшего С. и представителя гражданского истца С., рассмотрев материалы уголовного дела в отношении Н-ва М. В., родившегося
30 ноября 1969 года в г. Москве, проживающего по адресу: г. Москва, улица
Домодедовская, дом Х, корпус Х, квартира ХХ, женатого, имеющего высшее
образование, не работающего, не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 2 ст. 146, пп. «б», «в» ч. 3 ст. 146 УК РФ,
К-на С. А., родившегося 29 апреля 1981 года в г. Москве, зарегистрированного по адресу: Москва, улица Юных Ленинцев, дом Х, корпус Х, квартира ХХ,
проживающего по адресу: Москва, улица 1-я Останкинская, дом ХХ, квартира ХХ, не женатого, имеющего высшее образование, не работающего, не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 2
ст. 146, пп. «б», «в» ч. 3 ст. 146 УК РФ,
ÓÑÒÀÍÎÂÈË
Н-в М. В. обвиняется в том, что он совершил незаконное использование
объектов авторского права с причинением крупного ущерба группой лиц по
предварительному сговору.
К-н С. А. обвиняется в том, что он совершил незаконное использование
объектов авторского права с причинением крупного ущерба группой лиц по
предварительному сговору.
Так, в ноябре 2002 года по предварительной договоренности из корыстных
побуждений Н-в М. В. в качестве генерального директора, а К-н С. А. в качестве его заместителя возглавили фиктивную фирму ООО «Альфа Компьютере», созданную с целью оказания незаконных услуг по установке
и предоставлению пользователям нелицензионного программного обеспечения для электронно-вычислительных машин (ЭВМ), права на которое
им не принадлежат, и получения денежных вознаграждений за установки
программ.
Для обеспечения деятельности фирмы и своей и К-на С. А. работы, создания
видимости легальности деятельности Н-в М. В. арендовал нежилое помещение по адресу: г. Москва, улица 1-я Дубровская, д. xx, строение xx, офис xx;
в банковских организациях были открыты расчетные счета фиктивных юридических лиц, составлены прайс-листы, изготовлены печати, нанят персонал,
заключены договора о предоставлении услуг связи (нескольких телефонных
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
линий, каналов связи «Internet»). В средствах массовой информации в целях
привлечения большего количества клиентов от имени нескольких организаций (ООО «Альфа Компьютере», «Мосремкомпьютерс», «Стайлкомпьютерс») ими была размещена реклама деятельности фирмы, содержащая сведения об оказываемых услугах по установке программ для ЭВМ «Windows
95», «Windows 98», «Windows 2000», «Windows NT», «Windows XP», «Office
97», «Office 2000», «Office XP», исключительные имущественные права,
а также права на распространение которых на территории РФ принадлежат
корпорации «Майкрософт» (Microsoft Corporation).
Будучи осведомленными об ответственности за нарушение авторских прав
и смежных прав, желая ее избежать, Н-в М. В. и К-н С. А. разработали схему
деятельности фирмы, скрывающую их причастность к установкам программ
и руководству фирмой. В соответствии с упомянутой схемой, телефонные
операторы в офисе по телефонам 105-55-57, 105-50-33, 276-22-66, 782-81-80,
782-44-11 принимали заказы на установку компьютерных программ и передавали их выезжавшим к клиентам сервис-инженерам. После выполнения заказа полученные от клиентов деньги сервис-инженеры сдавали либо Н-ву
и К-ну, либо другим сотрудникам фирмы для последующей передачи руководителям и использования теми по своему усмотрению.
С целью увеличения прибыли фирмы от незаконной установки контрафактных программ для ЭВМ и введения в заблуждение клиентов и персонала фирмы, Н-в и К-н дали указание сотрудникам фирмы на вопросы клиентов о правовом характере программ отвечать, что это полностью работоспособная «копия лицензии» и у них есть договор с «Майкрософт» на
использование программ. Н-в и К-н закупили чистые компакт-диски и программное обеспечение для записи программ на диски и организовали выдачу выезжающим на исполнение заказов сервис-инженерам диски с записанными на них контрафактными программами.
В период с ноября 2002 года по 8 апреля 2003 года под непосредственным руководством Н-ва и К-на и в соответствии с вышеупомянутой схемой подчиненными им сотрудниками фирмы в Москве и в Московской области в нарушение требований ст. 6, 7, 9, 15, 16, 25, 48 Закона «Об авторском праве
и смежных правах» от 09.07.93 № 5351-1 (в редакции от 19.07.95) были использованы при установках и работе нижеперечисленные программы для
ЭВМ:
3 января 2003 года в дневное время по адресу: г. Москва, улица Газопровода, дом Х, квартира ХХ — «Windows XP Professional» стоимостью 438 долларов США, что эквивалентно 13 919 руб. 64 коп. по курсу ЦБ РФ на указанный день;
3 января 2003 года в дневное время по адресу: Московская область, г. Видное,
улица Советская, дом Х, квартира ХХ — «Windows 98 Russian CD Second
Edition» стоимостью 177 долларов США, что эквивалентно 5625 руб. 06 коп.
по курсу ЦБ РФ на указанный день;
6 января 2003 года в дневное время по адресу: Москва, улица Мусы Джалиля, дом Х, квартира ХХ — «Windows XP Home Edition Russian CD»
стоимостью 157 долларов США, что эквивалентно 4989 рублям 46 коп. по
курсу ЦБ РФ на указанный день;
7 января 2003 года в дневное время по адресу: г. Москва, улица Братеевская, дом Х, квартира ХХ — «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5625 рублям 06 коп. по курсу
ЦБ РФ на указанный день;
10 января 2003 года в дневное время по адресу: г. Москва, Каширский проезд,
дом Х, квартира ХХ — «Windows Millenium Edition Russian CD» стоимостью
67
68
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
159 долларов США, что эквивалентно 5068 руб. 92 коп. по курсу ЦБ РФ на
указанный день;
13 января 2003 в дневное время по адресу: г. Москва, улица Амурская, дом Х,
квартира ХХ — «Windows 98 Russian CD Second Edition» стоимостью
177 долларов США, что эквивалентно 5633 руб. 91 коп. по курсу ЦБ РФ на
указанный день;
14 января 2003 года в дневное время по адресу: Москва, Южнопортовый
проезд, дом Х — «Windows XP Professional» стоимостью 438 долларов
США, что эквивалентно 13 941 руб. 54 коп. по курсу ЦБ РФ на указанный
день;
14 января 2003 года в дневное время по адресу: г. Москва, улица Раменки,
дом Х, квартира ХХ — «Windows 98 Russian CD Second Edition» стоимостью 177 долларов США, что эквивалентно 5633 руб. 91 коп. по курсу ЦБ
РФ на указанный день;
16 января 2003 года примерно в 11–12 часов в офисе ООО «Транспортная
компания «Рустранспорт» по адресу: г. Москва, Карачаровское шоссе,
дом 5 — «Office 2000 Win32 Russian CD» (2 шт.) стоимостью 396 долларов
США каждая, общей стоимостью 792 доллара США; «Office 97» (3 шт.)
стоимостью 396 долларов США каждая, общей стоимостью 1188 долларов
США; «Office Pro 2000 Win32 Russian CD» стоимостью 476 долларов
США; «Office XP Pro Win32 Russian CD» (5 шт.) стоимостью 438 долларов США каждая, общей стоимостью 2190 долларов США; «Windows 98
Russian CD Second Edition» (13 шт.) стоимостью 177 долларов США каждая, общей стоимостью 2301 доллар США; «Windows Millenium Edition
Russian CD» (3 шт.) стоимостью 186 долларов США каждая, общей стоимостью 558 долларов США; «Windows Pro 2000 Russian CD» стоимостью
268 долларов США; «Windows XP Professional Russian CD» (2 шт.) стоимостью 292 доллара США каждая, общей стоимостью 584 доллара США.
Общая стоимость программных продуктов, использованных в «Рустранспорте» составила 8357 долларов США, что эквивалентно 265 919 руб.
74 коп. по курсу ЦБ РФ на указанный день.
Исключительные имущественные права, а также права на распространение перечисленных программных продуктов на территории РФ принадлежат корпорации «Майкрософт» (Microsoft Corporation). За указанный
период своими действиями по распространению контрафактных программ, вытеснивших лицензионные объекты авторского права, Н-в М. В.
и К-н С. А. причинили корпорации «Майкрософт» крупный ущерб в размере 326 000 руб. 24 коп.
Кроме того, Н-в М. В. обвиняется в том, что он совершил незаконное использование объектов авторского права, приобретение, хранение контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере.
Кроме того, К-н С. А. обвиняется в том, что он совершил незаконное использование объектов авторского права, приобретение, хранение контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере.
Так, совершив вышеописанные преступления, несмотря на возбужденное
по результатам проверки деятельности ООО «Альфа Компьютере» уголовное дело и вступление в силу с 8 апреля 2003 года изменений в уголовное
законодательство, ужесточающих ответственность за подобные преступления (ст. 146 УК дополнена частью 3), Н-в М. В. и К-н С. А. не прекратили
преступную деятельность и продолжили осуществлять руководство фирмой, что выявилось в ходе проверочных закупок.
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
Так, за 3 июня 2003 года под непосредственным руководством и в соответствии со схемой деятельности фирмы Н-ва и К-на их подчиненными
по различным адресам в г. Москве в нарушение требований ст. 6, 7, 9, 15,
16, 25, 48 Закона «Об авторском праве и смежных правах» от 09.07.93
№ 5351-1 (в редакции от 19.07.95) были незаконно использованы при установках и работе нижеперечисленные программы для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт» (Microsoft
Corporation):
3 июня 2003 года примерно в 12–13 часов по адресу: г. Москва, улица Михалковская, дом ХХ г.
«Office 2000» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office 97» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Windows XP Professional SP1 Русская версия» (2шт.) стоимостью 438 долларов США каждая, общей стоимостью 876 долларов США.
Общая стоимость вышеперечисленных программ составила 2780 долларов
США, что эквивалентно 85 179 руб. по курсу ЦБ РФ на указанный день.
3 июня 2003 года примерно в 12–13 часов по адресу: г. Москва, Комсомольская площадь, дом Х:
«Office 2000» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office 97» (2 шт.) стоимостью 476 долларов США каждая, общей стоимостью 952 доллара США;
«Office XP Pro Win32 Russian CD» (3 шт.) стоимостью 374 доллара США
каждая, общей стоимостью 1122 доллара США;
«Windows 98 Russian CD Second Edition» (2 шт.) стоимостью 177 долларов
США каждая, общей стоимостью 354 доллара США;
«Windows Millenium Edition Russian CD» (2 шт.) стоимостью 159 долларов
США каждая, общей стоимостью 318 долларов США;
«Windows Pro 2000 Russian CD» (3 шт.) стоимостью 229 долларов США каждая, общей стоимостью 687 долларов США;
«Windows XP Professional SP1 Русская версия» (2 шт.) стоимостью 438
долларов США каждая, общей стоимостью 876 долларов США.
Общая стоимость вышеперечисленных программ составила 5261 доллар
США, что эквивалентно 161 197 руб. 04 коп. по курсу ЦБ РФ на указанный
день.
3 июня 2003 года примерно в 12–13 часов по адресу: г. Москва, проспект
Буденного, дом 32 — «Windows XP Professional» стоимостью 438 долларов
США, что эквивалентно 13 420 руб. 32 коп. по курсу ЦБ РФ на указанный
день.
Кроме того, при неустановленных обстоятельствах до 3 июня 2003 года Н-в и
К-н приобрели для личного использования и записи программ клиентам
фирмы, заведомо зная о его нелицензионном происхождении, компакт-диск с
нижеперечисленными программами, исключительные имущественные права,
а также права на распространение которых на территории РФ принадлежат
корпорации «Майкрософт»:
«Microsoft Windows 98 Second Edition русская версия» стоимостью
177 долларов США;
«Microsoft Windows 98 Second Edition paneuro version» стоимостью 177 долларов США.
69
70
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Общая стоимость двух названных программ составила 354 доллара США,
что эквивалентно 10 846 руб. 56 коп. по курсу ЦБ РФ на 3 июня 2003 года,
когда диск был изъят во время обыска в кабинете Н-ва М. В., где последний
и К-н С. А. хранили его.
Своими действиями по распространению, использованию, приобретению
и хранению контрафактных программ 3 июня 2003 года, вытеснивших лицензионные объекты авторского права, Н-в М.В. и К-н С.А. причинили корпорации «Майкрософт» особо крупный ущерб в размере 270 642 руб.
92 коп.
Общая сумма причиненного действиями Н-ва М.В. и К-на С.А. ущерба за
период с ноября 2002 года по 3 июня 2003 года составила 597 000 руб.
16 коп.
Подсудимый Н-в М. В. в предъявленном обвинении вину признал полностью и с обвинением согласен, заявил ходатайство о применении особого
порядка судебного разбирательства. Подсудимый К-н С. А. в предъявленном обвинении вину признал полностью и с обвинением согласен,
заявил ходатайство о применении особого порядка судебного разбирательства.
В судебном заседании установлено, что предусмотренные уголовно-процессуальным законом условия применения особого порядка судебного разбирательства соблюдены: подсудимый Н-в М. В. и подсудимый К-н С. А. понимают сущность предъявленного им обвинения и осознают характер
и последствия заявленных ими ходатайств, которые были заявлены добровольно и после проведения консультаций с защитником в присутствии последнего.
Суд находит обвинение в незаконном использовании объектов авторского
права с причинением крупного ущерба, группой лиц по предварительному
сговору, а также в незаконном использовании объектов авторского права,
приобретении, хранении контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере, предъявленное Н-ву В. М., обоснованным и подтвержденным доказательствами в уголовном деле.
Суд находит обвинение в незаконном использовании объектов авторского
права с причинением крупного ущерба группой лиц по предварительному
сговору, а также в незаконном использовании объектов авторского права,
приобретении, хранении контрафактных экземпляров произведений в целях сбыта группой лиц по предварительному сговору, в особо крупном размере, предъявленное К-ну С. А., обоснованным и подтвержденным доказательствами в уголовном деле.
Суд квалифицирует действия подсудимого Н-ва В. М. по ч. 2 ст. 146 УК РФ
(в редакции Федерального Закона от 13 июня 1996 года № 63-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по предварительном сговору с К-ным С. А., незаконно использовал объекты авторского права — программы для ЭВМ, исключительные имущественные права,
а также права на распространение которых на территории РФ принадлежат
корпорации «Майкрософт», причинив последней крупный ущерб.
Суд квалифицирует действия подсудимого Н-ва В. М. по пп. «б», «в» ч. 3
ст. 146 УК РФ (в редакции Федерального Закона от 8 декабря 2003 года
№ 162-ФЗ), поскольку он при описанных выше обстоятельствах, действуя
группой лиц по предварительном сговору с К-ным С. А., в особо крупном
размере незаконно использовал объекты авторского права — программы для
ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт»,
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
в целях сбыта приобретал, хранил контрафактные экземпляры названных
выше произведений.
Суд квалифицирует действия подсудимого К-на С. А. по ч. 2 ст. 146 УК РФ
(в редакции Федерального Закона от 13 июня 1996 года № 63-ФЗ), поскольку он при описанных выше обстоятельствах, действуя группой лиц по
предварительном сговору с Н-вым М. В., незаконно использовал объекты
авторского права — программы для ЭВМ, исключительные имущественные
права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт», причинив последней крупный ущерб.
Суд квалифицирует действия подсудимого К-на С. А. по пп. «б», «в» ч. 3
ст. 146 УК РФ (в редакции Федерального Закона от 8 декабря 2003 года
№ 162-ФЗ), поскольку он при описанных выше обстоятельствах, действуя
группой лиц по предварительном сговору с Н-вым М. В., в особо крупном
размере незаконно использовал объекты авторского права — программы
для ЭВМ, исключительные имущественные права, а также права на распространение которых на территории РФ принадлежат корпорации «Майкрософт», в целях сбыта приобретал, хранил контрафактные экземпляры названных выше произведений.
При назначении наказания подсудимым суд учитывает характер и степень
общественной опасности содеянного, данные о личности подсудимых. Нв М. В. ранее не судим; по месту работы не охарактеризован ввиду отсутствия такового; по месту жительства характеризуется как лицо, на которое жалоб не поступало; в содеянном признался и чистосердечно раскаивается, имеет на иждивении малолетнего ребенка, что суд учитывает в качестве смягчающих наказание Н-ва М. В. обстоятельств. К-н С. А. ранее не судим; по
месту работы не охарактеризован ввиду отсутствия такового; по месту жительства характеризуется как лицо, на которое жалоб не поступало; в содеянном признался и чистосердечно раскаивается, что суд учитывает в качестве
смягчающего наказание К-на С. А. обстоятельства.
С учетом изложенного, принимая во внимание длительность и размах преступной деятельности подсудимых, размер причиненного ими материального ущерба, суд считает, что Н-в М. В. и К-н С. А. заслуживают наказания
в виде лишения свободы, при этом считает невозможным применить к ним
ст.73 УК РФ. Вместе с тем, учитывая отмеченные смягчающие наказание
подсудимых обстоятельства, суд считает необходимым назначить им наказание, близкое к минимальному пределу санкций ч. 2 и ч. 3 ст. 146 УК РФ,
а также считает необходимым не назначать им дополнительного наказания
в виде штрафа.
Гражданский иск корпорации «Майкрософт» о взыскании с Н-ва М. В.
и К-на С. А. компенсации за нарушение авторских прав в размере
1 000 000 руб. суд с учетом доказанности вины подсудимых считает обоснованным и подлежащим удовлетворению в полном объеме в соответствии с
подпунктом 5 пункта 1 ст. 49 Закона РФ «Об авторском праве и смежных
правах» от 09.07.93 № 5351-1.
В соответствии с п. 2 ст. 49 того же закона РФ суд считает необходимым
взыскать с Н-ва М. В. и К-на С. А. штраф в доход федерального бюджета
в размере 10 процентов от суммы, присужденной судом в пользу гражданского истца. Суд также считает необходимым разрешить судьбу вещественных доказательств. На основании изложенного и руководствуясь ст. 316
УПК РФ, суд
ÏÐÈÃÎÂÎÐÈË
Признать Н-ва Михаила Владимировича виновным в совершении преступлений, предусмотренных ч. 2 ст. 146, п.п. «б», «в» ч. 3 ст.146 УК РФ, и на-
71
72
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
значить ему наказание в виде лишения свободы: по ч. 2 ст. 146 УК РФ на
3 месяца; по пп. «б», «в» ч. 3 ст. 146 УК РФ на 4 месяца без штрафа.
На основании ст. 69 УК РФ по совокупности путем частичного сложения
наказаний окончательно определить Н-ву М. В. к отбытию наказание в виде
лишения свободы на шесть месяцев без штрафа с отбыванием в колонии поселении.
Признать К-на Сергея Александровича виновным в совершении преступлений, предусмотренных ч. 2 ст. 146, п. п. «б», «в» ч. 3 ст. 146 УК РФ, и назначить ему наказание в виде лишения свободы: по ч. 2 ст. 146 УК РФ на 3 месяца; по пп. «б», «в» ч. 3 ст. 146 УК РФ на 4 месяца без штрафа.
На основании ст. 69 УК РФ по совокупности путем частичного сложения
наказаний окончательно определить К-ну С. А. к отбытию наказание в виде
лишения свободы на шесть месяцев без штрафа с отбыванием в колонии поселении.
Меру пресечения Н-ву М. В. до вступления приговора в законную силу
изменить на заключение под стражу, заключить его под стражу в зале суда. Начало отбывания наказания Н-ву М. В. исчислять с 25 февраля 2004
года.
Меру пресечения К-ну С. А. до вступления приговора в законную силу
изменить на заключение под стражу, заключить его под стражу в зале
суда. Начало отбывания наказания К-ну С. А. исчислять с 25 февраля
2004 года.
Гражданский иск корпорации «Майкрософт» о взыскании компенсации за
нарушение авторских прав на программы для ЭВМ удовлетворить.
Взыскать с Н-ва Михаила Владимировича и К-на Сергея Александровича
солидарно в пользу корпорации «Майкрософт» 1 000 000 (один миллион)
руб.
На основании п. 2 ст. 49 Закона РФ «Об авторском праве и смежных правах»
от 09.07.1993 года № 5351-1 взыскать с Н-ва Михаила Владимировича и К-на
Сергея Александровича солидарно в доход федерального бюджета штраф
в размере 100 000 (ста тысяч) руб.
Вещественные доказательства — документы, хранящиеся в уголовном деле,
оставить при деле, изъятые в ООО «Альфа Компьютере» и у подсудимых
Н-ва М. В. и К-на С. А. предметы, хранящиеся в Московско-Курской транспортной прокуратуре — оставить там же до разрешения уголовного дела, выделенного из настоящего уголовного дела постановлением следователя от
08.12.03 (л. д. 351–352); деньги в сумме 2545 долларов США и 152 431 руб.,
изъятые у К-на С. А., хранящиеся в прокуратуре г. Москвы, обратить в доход государства в уплату штрафа (в сумме 100 000 руб.), оставшуюся часть
перечислить корпорации «Майкрософт» в счет удовлетворения исковых
требований.
Следующий приговор размещен на сайте: http://www.internetlaw.ru/intlaw/
crime/prigovor_markov.htm.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
ã. Òþìåíü 4 àâãóñòà 2005 ã.
Судья Ленинского районного суда г. Тюмени А. с участием государственного
обвинителя помощника прокурора Ленинского АО г. Тюмени И., защитника:
адвоката К., при секретаре В., рассмотрев в особом порядке в открытом судебном заседании уголовное дело № 1-742-05 по обвинению:
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
М-ва Е. Н., родившегося 09.07.73 года в г. Тюмени, русского, гражданина
Российской Федерации, холостого, со средним образованием, военнообязанного, работающего админинистратором в ООО «Кросс», проживающего по
адресу: г. Тюмень, ул. Боровской, д. xx, кв. xx, обвиняемого в совершении
преступления, предусмотренного ч. 1, ст. 273 УК РФ,
ÓÑÒÀÍÎÂÈË
М-в Е. Н., имея умысел на распространение программы для электронно-вычислительных машин (ЭВМ), заведомо приводящей к несанкционированной модификации информации, из корыстных побуждений 16.11.2004 года
в 17 часов 14 минут в помещении шиномонтажной мастерской, расположенной, по ул. Беляева, 21 г. Тюмени, реализуя указанный умысел, для нейтрализации средств защиты программного продукта «1С: Бухгалтерия 7.7
Бухгалтерский учет. Многопользовательская. Редакция 4.4» умышленно
установил на рабочий компьютер, тем самым распространив вредоносную
программу для ЭВМ — «программу-взломщик» («Sable»), необходимую
для несанкционированного доступа и использования данного программного
продукта, не имея на то законных оснований, что повлекло недопустимую
модификацию исполняемого файла базы данных, необходимого для несанкционированного доступа и использования программы «1С: Бухгалтерия 7.7
Бухгалтерский учет. Многопользовательская Редакция 4.4» позволившую
запускать установленный им экземпляр программного продукта «1С: Бухгалтерия 7.7 Бухгалтерский учет. Многопользовательская Редакция 4.4», на
указанном рабочем компьютере без установленного правообладателя; аппаратного ключа защиты HASP (хасп).
Таким образом, М-в Е. Н. 16.11.2004 года, умышленно, незаконно, из корыстных побуждений распространил вредоносную программу «Sable», которая
повлекла несанкционированную модификацию программы для ЭВМ.
С указанным обвинением подсудимый М-в Е. Н. согласился в полном объеме, полностью признал себя виновным.
Учитывая, что указанное преступление относится к категории средней тяжести, М-в Е. Н. свою вину признал в полном объеме и полностью согласился с
предъявленным ему обвинением, что им было добровольно, после предварительной консультации с адвокатом, заявлено ходатайство о применении особого порядка судебного решения, существо которого, как и последствия, подсудимый М-в Е. Н. понимает. Стороны против заявленного ходатайства не
возражают, в связи с чем суд принимает особый порядок принятия судебного
решения по делу. В результате изучения дела суд пришел к выводу, что обвинение М-ву Е. Н. по ст. 273 ч. 1 УК РФ — распространение программы для
ЭВМ, заведомо приводящей к несанкционированной модификации информации, с которым подсудимый согласился, обосновано и подтверждается собранными по делу доказательствами.
При назначении наказания подсудимому суд учитывает характер и степень
общественной опасности совершенного им преступления, данные о личности подсудимого, который по месту жительства характеризуется неудовлетворительно, замечен в употреблении спиртных напитков, по месту работы
в ЗАО «Сибгазстройсервис» характеризуется положительно, по месту работы в ООО «Кросс» характеризуется как квалифицированный специалист,
нарушений трудовой дисциплины не допускает, не судим.
Смягчающих наказание обстоятельств суд не усматривает. Отягчающих наказание обстоятельств судом не установлено.
С учетом обстоятельств дела, личности подсудимого суд считает целесообразным назначить М-ву Е. Н. наказание, не связанное с изоляцией от общества,
73
74
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
по правилам, предусмотренным ч. 7 ст. 316 УПК РФ, применив ст. 73 УК
РФ.
Вещественное доказательство по делу — жесткий диск компьютера, хранящийся в комнате вещественных доказательств УВД Ленинского АО г. Тюмени уничтожить. На основании изложенного, руководствуясь ст. 316, 317
УПК РФ, суд
ÏÐÈÃÎÂÎÐÈË
М-ва Евгения Николаевича признать виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ, и назначить ему наказание в виде лишения свободы сроком на один год со штрафом в размере 5000 (пять
тысяч) руб.
В соответствии со ст. 73 УК РФ, назначенное М-ву Е. Н. наказание в виде
лишения свободы считать условным с испытательным сроком 1 год.
Обязать осужденного периодически являться для регистрации в УВД по
месту жительства, не менять постоянного места жительства и работы без
уведомления специализированного государственного органа, осуществляющего исправление осужденных.
Меру пресечения М-ву Е. Н. в виде подписки о невыезде и надлежащем поведении оставить прежней до вступления приговора в законную силу.
Вещественное доказательство по делу — жесткий диск компьютера, хранящийся в комнате вещественных доказательств УВД Ленинского АО г. Тюмени — уничтожить.
Приговор может быть обжалован в кассационном порядке в Тюменском областном суде в течение 10 суток со дня провозглашения с соблюдением требований ст. 317 УПК РФ путем подачи кассационной жалобы, представления через Ленинский районный суд г. Тюмени.
Ïîñòàíîâëåíèå
Ôåäåðàëüíîãî àðáèòðàæíîãî ñóäà Ìîñêîâñêîãî îêðóãà
îò 15 àâãóñòà 2001 ã. ¹ ÊÃ-À40/4242-01
Федеральный арбитражный суд Московского округа при участии в заседании: от прокурора — Иевлев П. А., удост. № 177; от истца — Симкин Л. С.,
дов. от 06.03.2001 года; от ответчика — Емелин А. В., дов. от 04.10.00 года,
рассмотрев кассационную жалобу ООО «Формоза-Центр» на решение от
17 апреля 2001 года, дополнительное решение от 16 мая 2001 года и постановления от 15 июня 2001 года по делу № А40-33475/00-26-63 Арбитражного суда г. Москвы, установил:
прокурор г. Москвы в защиту государственных и общественных интересов
предъявил в суд иск к обществу с ограниченной ответственностью «Формоза-Центр» о взыскании за нарушение авторских прав в пользу корпорации
«Майкрософт» компенсации в размере 584 430 руб.; в доход федерального
бюджета Российской Федерации штраф в размере 10 % от суммы, присужденной судом в пользу истца.
Арбитражный суд г. Москвы 17.04.01, 16.05.01 года вынес решения по делу
№ А40-33475/00-26-63 об удовлетворении исковых требований. Апелляционная инстанция постановлениями от 15.06.01 оставила решение суда без изменения.
В кассационной жалобе заявитель ставит вопрос об отмене судебных актов,
передаче дела на новое рассмотрение для установления обстоятельств,
имеющих существенное значение.
От прокурора и корпорации поступили отзывы на жалобу.
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
Представитель ООО «Формоза-Центр» поддержал жалобу по изложенным
в ней основаниям, представители прокурора г. Москвы, корпорации «Майкрософт» возражали против удовлетворения жалобы.
Изучив материалы дела, проверив законность обжалуемых судебных актов, заслушав объяснения представителей лиц, участвующих в деле, кассационная инстанция полагает, что решения и постановления не подлежат
отмене.
В обоснование исковых требований прокурор г. Москвы сослался на выявленную в ходе проведенной ОБЭП УВД САО г. Москвы проверки незаконную реализацию ответчиком пяти персональных компьютеров с установленными в них копиями программного продукта «MICROSOFT
WINDOWS 98». В связи с чем просил применить положения п. 1 ст. 18
Закона Российской Федерации от 23.09.92 № 3523-1 «О правовой охране
программ для электронных вычислительных машин и баз данных», а также п. 2 ст. 49 Закона Российской Федерации от 09.07.93 № 5351-1 «Об авторском праве и смежных правах».
При рассмотрении спора судами обеих инстанций установлено, что истец
является обладателем авторских прав на программу ЭВМ «MICROSOFT
WINDOWS 98».
Согласно ст. 3, 4 Закона РФ «О правовой охране программ для электронных вычислительных машин и баз данных», ст. 7 Закона РФ «Об авторском
праве и смежных правах» программы для ЭВМ относятся к объектам авторского права, возникающим в силу их создания и не требующим депонирования, регистрации или соблюдения иных формальностей.
В силу ст. 14 Закона РФ «О правовой охране программ для электронных
и вычислительных машин и баз данных», ст. 30 Закона РФ «Об авторском
праве и смежных правах» использование программы для ЭВМ третьими лицами путем воспроизведения, распространения осуществляется на основании
договора с правообладателем.
Ответчик не подтвердил правомерность использования копии программы.
Безосновательно утверждение заявителя об отсутствии факта продажи программного обеспечения, поскольку материалами дела подтверждается и судом обеих инстанций установлено обратное.
Суд пришел к правильному выводу о том, что ответчиком программа для
ЭВМ продана в целях извлечения прибыли, доказательств иному в деле не
имеется, в кассационной жалобе данное обстоятельство заявителем не опровергается. Неправилен довод жалобы о том, что суд не оценил обстоятельства, изложенные в постановлении об отказе в возбуждении уголовного дела от 11.04.00.
Кассационная инстанция не согласна с утверждением заявителя о принятии судом решений без учета нормы ст. 16 Закона РФ «О правовой охране
программ для электронных и вычислительных машин и баз данных». Данная норма предусматривает возможность без согласия правообладателя
свободной перепродажи или передачи права собственности либо иных
вещных прав на экземпляр программы для ЭВМ или базы данных после
первой продажи.
Согласно п. 5 ст. 6 Закона РФ «Об авторском праве и смежных правах»,
передача права собственности на материальный объект не влечет передачи
авторских прав. Передача неимущественных авторских прав может осуществляться лишь на основании авторского договора. При указанных обстоятельствах судебные акты соответствуют нормам материального права, нарушений норм процессуального права не установлено, кассационная жалоба отклоняется.
75
76
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Руководствуясь ст. 171, 174, 175, 177 Арбитражного процессуального кодекса
Российской Федерации, Федеральный арбитражный суд Московского округа
постановил:
решение от 17 апреля 2001 года, дополнительное решение от 16 мая
2001 года, постановления от 15 июня 2001 года по делу № А40-33475/0026-63 Арбитражного суда г. Москвы оставить без изменения, кассационную
жалобу ООО «Формоза-Центр» — без удовлетворения.
Ïîñòàíîâëåíèå
Ôåäåðàëüíîãî àðáèòðàæíîãî ñóäà Ìîñêîâñêîãî îêðóãà
îò 22 ìàÿ 2002 ã. ¹ ÊÃ-À40/3150-02
Федеральный арбитражный суд Московского округа при участии в заседании: Корпорация «Майкрософт» — Симкин Л. С., дов. б/н от 07.03.02; ОАО
КБ «Петро-Аэро-Банк» — Дьяченко С. А., дов. № 157 от 03.07.01, рассмотрев
кассационную жалобу ОАО КБ «Петро-Аэро-Банк» на решение от 18.02.02
и постановление апелляционной инстанции Арбитражного суда г. Москвы от
16.04.02 по делу № А40-46580/01-110-574, установил:
корпорация «Майкрософт» (США) обратилась в Арбитражный суд г. Москвы с исковым заявлением к ОАО КБ «Петро-Аэро-Банк» о взыскании
компенсации в размере 1 000 000 руб. за нарушение авторских прав.
Решением Арбитражного суда г. Москвы от 18.02.02 по делу № А4046580/01-110-574 исковые требования удовлетворены в части взыскания
компенсации в размере 500 000 руб. В остальной части иска отказано.
Постановлением апелляционной инстанции Арбитражного суда г. Москвы
от 16.04.02 решение суда от 18.02.02 по делу № А40-46580/01-110-574 оставлено без изменения.
В кассационной жалобе на решение от 18.02.02 и постановление апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 по делу
№ А40-46580/01-110-574 ответчик просит отменить указанные судебные
акты, ссылаясь на неправильное применение судом норм материального
права, и принять новое решение об удовлетворении заявленных исковых
требований.
В отзыве на кассационную жалобу истец просит оставить кассационную жалобу без удовлетворения, считая судебные акты законными и обоснованными, а доводы кассационной жалобы несостоятельными.
В заседании кассационной инстанции представитель ответчика поддержал
доводы кассационной жалобы, представитель истца возражал против ее
удовлетворения по основаниям, изложенным в отзыве.
Проверив материалы дела, обсудив доводы кассационной жалобы и представленного на нее отзыва, заслушав представителей лиц, явившихся в заседание, кассационная инстанция не нашла оснований для отмены обжалуемых судебных актов.
Удовлетворяя исковые требования, суд исходил из того, что материалами
дела подтвержден факт незаконного использования ответчиком программных продуктов, исключительные авторские права на которые принадлежат
истцу, что свидетельствует о нарушении его имущественных прав.
Учитывая, что деятельность ответчика как коммерческой организации носит
коммерческий характер, то есть преследует цель извлечения прибыли в качестве основной цели своей деятельности, и что для достижения этой цели ответчик применяет в том числе и программные продукты, права на использование которых не оформлены в установленном законом порядке, суд сделал
правомерный вывод о том, что правообладатель имеет право требовать защиты своих авторских прав на программы для ЭВМ в виде выплаты компенса-
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
ции на основании ст. 18 Закона РФ «О правовой охране программ для ЭВМ
и баз данных» и ст. 49 Закона РФ «Об авторском праве и смежных правах».
Кассационной инстанцией не усматривается нарушений применения норм
материального и процессуального права, допущенных судом при принятии обжалуемых судебных актов и могущих служить основанием для их
отмены.
Доводы, изложенные в кассационной жалобе, внимательно изучены судом,
однако они подлежат отклонению как несостоятельные, не основанные на
надлежащем толковании действующего законодательства и опровергаемые
установленными судом обстоятельствами.
Руководствуясь ст. 171, 174–177 АПК РФ, Федеральный арбитражный суд
Московского округа постановил:
решение от 18.02.02 и постановление апелляционной инстанции Арбитражного суда г. Москвы от 16.04.02 года по делу № А40-46580/01-110-574 оставить без изменения, а кассационную жалобу ОАО КБ «Петро-АэроБанк» — без удовлетворения.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
30 àâãóñòà 2007 ãîäà ã. Ñàìàðà
Судья Кировского районного суда г. Самары Башмакова Т. Ю., с участием
государственного обвинителя старшего помощника прокурора Кировского
района г. Самары Антиповой О. Ю., подсудимого Т_АА, защитника Серебряного М. Л., представившего удостоверение № 1110 и ордер № 5819, при секретаре Стародубовой Т.М., а также представителей потерпевших Сударева А. С. и Барчугина С. В., рассмотрев в открытом судебном заседании материалы уголовного дела № 1-1163 в отношении Т_АА, родившегося
11.12.65 года в г. Самаре, русского, гражданина РФ, с неоконченным высшим
образованием, женатого, имеющего двоих сыновей: М 13 лет и Л 5 лет, работающего директором ООО ПФ «С’ТП», зарегистрированного по адресу:
г. Самара, ул. Сгара-Загора, ХХХ, проживающего по адресу; г. Самара, ул.
Ново-Садовая. ХХХ-ХХ, обвиняемого в совершении преступлений, предусмотренных пп. «б», «г» ч. З ст. 146, ч.1 ст. 273 УК РФ,
ÓÑÒÀÍÎÂÈË
Т_АА совершил незаконное использование объектов авторских прав в крупном размере группой лиц по предварительному сговору с использованием
своего служебного положения при следующих обстоятельствах.
Так, он, имея умысел на незаконное использование объектов авторского
права, а именно: программ для ЭВМ «1С: Предприятие 7.7 (сетевая версия)», правообладателем которой является ЗАО «1С», «Microsoft
Windows XP Professional (Russian)», «Microsoft Office Professional
(Russian)», правообладателем которых является корпорация «Майкрософт», совместно с неустановленным лицом, используя свое служебное
положение, совершил незаконное использование указанных объектов авторских прав путем их незаконного воспроизведения посредством записи
в память ЭВМ, а именно системных блоков компьютеров для дальнейшего
их использования в финансово-хозяйственной деятельности ООО «СТП»
и ООО ПФ «СТП», расположенных по адресу: г. Самара, ул. Олимпийская, ХХ, директором которых он являлся. С этой целью в неустановленное время, но не позднее 04.03.06 Т_АА, используя свое служебное положение, обратился к неустановленному лицу с просьбой воспроизвести
в память находящихся в эксплуатации ООО «СТП» системных блоков
77
78
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
компьютеров заведомо для него нелицензионных версий программы для
ЭВМ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка для
SQL», двух программ «Microsoft Windows XP Professional (Russian)»
и двух программ «Microsoft Office 2002 Professional (Russian)». Неустановленное следствием лицо, выполняя свою заранее обусловленную с Т_АА
роль в совершении преступления, 03.03.06, а также 04.03.06, находясь в помещении ООО «СТП», расположенном по адресу: г. Самара, ул. Олимпийская, ХХ, незаконно, не заключая лицензионного соглашения с указанными правообладателями, воспроизвел в память двух системных блоков компьютеров ООО «СТП» заведомо для него и Т_АА нелицензионные версии
указанных программ, после чего Т_АА, выполняя свою заранее обусловленную с неустановленным преступником роль в совершении преступления, незаконно стал использовать заведомо нелицензионные версии программ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка для
SQL» двух программ «Microsoft Windows XP Professional (Russian)»,
и двух программ «Microsoft Office 2002 Professional (Russian)» в финансово-хозяйственной деятельности ООО «СТП», а позже в деятельности ООО
ПФ «СТП» 05.04.07 года, а также 05.07.07 незаконное использование программ для ЭВМ было выявлено сотрудниками милиции. Таким образом,
Т_АА в период с 03.03.06 по 05.07.07 совместно с неустановленным лицом
незаконно использовал объекты исключительных авторских прав, принадлежащих ЗАО «1С» и корпорации «Майкрософт», а именно программы
для ЭВМ «1С: Предприятие 7.7 (сетевая версия). Комплексная поставка
для SQL», двух программ «Microsoft Windows XP Professional (Russian)»,
и двух программ «Microsoft Office 2002 Professional (Russian)», причинив
ЗАО «1С:» ущерб в сумме 84 000 руб., то есть в крупном размере, и корпорации «Майкрософт» в сумме 31 837 руб. 10 коп.
Подсудимый полностью согласился с предъявленным ему обвинением,
в содеянном раскаялся и заявил суду ходатайство о применении в отношении его особого порядка принятия судебного решения и постановления
приговора без проведения по делу судебного разбирательства. Т_АА заявил
ходатайство добровольно, после консультации с защитником, он осознает
характер и последствия заявленного им ходатайства.
Наказание за инкриминируемое Т_АА деяние не превышает 10 лет лишения свободы.
Государственный обвинитель не возражал против постановления приговора
без проведения по делу судебного разбирательства.
Доказательства, собранные по уголовному делу, получены законным путем,
являются допустимыми, относимыми и достаточными для вывода о виновности подсудимого в полном объеме предъявленного ему обвинения.
В ходе судебного разбирательства государственный обвинитель отказалась
от обвинения, предъявленного Т_АА по ч. 1 ст. 273 УК РФ, о чем вынесено
отдельное постановление.
Назначая наказание, суд учитывает характер и степень общественной опасности содеянного, личность подсудимого, конкретные обстоятельства дела
и считает необходимым назначить ему наказание в виде лишения свободы с
применением ст. 73 УК РФ.
При определении размера назначенного наказания суд руководствуется требованиями ч. 7 ст. 316 УПК РФ и принимает во внимание, что Т_АА по месту
работы характеризуется положительно, смягчающими наказание обстоятельствами суд признает раскаяние в содеянном и наличие двух несовершеннолетних детей на иждивении подсудимого.
На основании изложенного и руководствуясь ст. 316 УПК РФ, суд
ÏÐÈÃÎÂÎÐÈË
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
Т_АА признать виновным в совершении преступления, предусмотренного
пп. «б», «г» ч. 3 ст. 146 УК РФ и назначить ему наказание в виде 1 (одного)
года лишения свободы.
На основании ст. 73 УК РФ назначенное наказание в виде лишения свободы считать условным, с испытательным сроком 1 (один) год, в течение которого условно осужденный должен своим поведением доказать свое исправление.
Обязать Т_АА не менять постоянного места жительства без уведомления
специализированного государственного органа, осуществляющего исправление осужденного, периодически являться в данный орган для регистрации.
Меру пресечения Т_АА — подписку о невыезде и надлежащем поведении —
оставить до вступления приговора суда в законную силу.
Вещественные доказательства: системные блоки компьютеров, хранящиеся
у подсудимого, оставить в распоряжении последнего, жесткие диски (винчестеры), хранящиеся в Кировском РУВД г. Самары, уничтожить.
Приговор может быть обжалован в кассационном порядке в Самарский областной суд в течение 10 суток со дня его провозглашения в соответствии
со ст. 317 УПК РФ. В случае подачи кассационной жалобы, осужденный
вправе ходатайствовать о своем участии и участии защитника в рассмотрении уголовного дела судом кассационной инстанции.
Председательствующий: Т. Ю. Башмакова.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
ã. Ñàìàðà 12.07.2007 ã
Судья Кировского районного суда г. Самары Штейн Э. Г. с участием помощника прокурора Кировского района г. Самары Дрягиной Е. Л.,
подсудимых МНВ и ХАЗ, защитников Дубковой О. А., представившей удостоверение № 346 и ордер № 5499 от 27.06.07 г., и Ханеева Ф. Н., предоставившего удостоверение № 1351 и ордер № 136951 от 25.06.07 при секретаре
Ильиной Э. В.,
рассмотрев материалы уголовного дела № 1-875/07 по обвинению:
МНВ 21.10.1980 г. р., уроженки г. Самара, русской, гражданки РФ, незамужней, имеющей несовершеннолетнего ребенка — дочь Ан 31.05.2004 г. р., со
средне-техническим образованием, неработающей, прож.: г. Самара, ул. Димитрова д. ХХ кв. ХХ, несудимой, в совершении преступления, предусмотренного пп. «б», «в», ч. 3 ст. 146 УК РФ,
ХАЗ 23.07.1983 г. р., уроженки п. Яровой Красноярского района Самарской
области, татарки, гражданки РФ, незамужней, со средне-специальным образованием, не работающей, зарегистрированной: Самарская область, Красноярский район, п. Яровой ул. Озерная, д. Х, кв. Х, проживающей: г. Самара,
пр. Кирова, ХХХ-ХХ (снимает квартиру), несудимой, в совершении преступления, предусмотренного пп. «б», «в» ч. 3 ст. 146 УК РФ
ÓÑÒÀÍÎÂÈË
МИВ и ХАЗ совершили незаконное использование объектов авторского права и хранение контрафактных экземпляров произведений в целях сбыта
группой лиц по предварительному сговору в особо крупном размере.
В феврале 2007 года, более точная дата следствием не установлена, ХАЗ
и МНВ, имея умысел, направленный на незаконное, вопреки воле правообладателей и в нарушение ч. 1 ст. 44 Конституции РФ, ст. 7, 15, 16 Закона РФ «Об авторском праве и смежных правах», использование объектов
79
80
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
авторского права с целью извлечения прибыли, вступили в предварительный преступный сговор на незаконное распространение контрафактных экземпляров произведений — программ для ЭВМ. Так, МНВ, реализуя преступный умысел группы, заведомо зная, что приобретенные ею
для личного использования у не установленного следствием лица в начале февраля 2007 года на «Книжном рынке» г. Самары DVD-диски с записью произведений — программ для ЭВМ «AutoCAD Architectural
Desktop 2007 (Russian)», «AutoCAD 2007 (Russian)», «Microsoft ISA
Server 2006 Standard Edition (Russian)», «Microsoft Windows XP
Professional (Russian)», «Microsoft Office 2003 Professional (Russian)»,
«Microsoft Office FrontPage 2003 (Russian)» являются контрафактными и
запрещены к распространению, имея умысел на незаконное использование авторских прав на произведения — программы для ЭВМ, передала их
ХАЗ на реализацию, сообщив об их контрафактности. ХАЗ, согласно
предварительной договоренности с МНВ, заведомо зная, что переданные
ей МНВ DVD-диски являются контрафактными и запрещены к распространению, незаконно стала их хранить с целью сбыта на витрине магазина ИП «Кисилев», расположенного в ТЦ «СВ Мария» по адресу: г. Самара, ул. Ташкентская-ХХ, продавцом которого она являлась, и предлагать
купить всем желающим. 14.02.07 г. в 14 часов 15 минут в ходе проведения
проверочной закупки сотрудниками УСТМ при ГУВД Самарской области на торговой точке ИП «Кисилев» было выявлено незаконное использование объектов авторского права — хранение в целях сбыта и сбыт контрафактных экземпляров произведений — программ для ЭВМ. В ходе
проверочной закупки ХАЗ. сбыла три DVD-диска с контрафактными
программами «AutoCAD Architectural Desktop 2007 (Russian)»,
«AutoCAD 2007 (Russian)», «Microsoft ISA Server 2006 Standard Edition
(Russian)», «Microsoft Windows XP Professional (Russian)», «Microsoft
Office 2003 Professional (Russian)», «Microsoft Office FrontPage 2003
(Russian)». Своими совместными, незаконными действиями ХАЗ и МНВ
причинили компаниям-правообладателям «Microsoft» и «Autodesk»
ущерб в особо крупном размере на сумму 389 227 рублей 66 коп., а именно: корпорации «Microsoft» — ущерб на сумму 82 899 рублей 45 коп.,
компании «Autodesk» — ущерб на сумму 306 328 рублей 21 коп.
При назначении вида и меры наказания суд учитывает характер и степень общественной опасности совершенных преступлений, личность подсудимого. С
учетом изложенного и указанных выше обстоятельств совершения преступления суд считает необходимым назначить подсудимым наказание в виде лишения свободы. Определяя конкретный размер наказания, суд учитывает,
что подсудимые к уголовной ответственности привлекаются впервые, по месту жительства характеризуются положительно, роль каждого участника преступления. В качестве смягчающих наказание МНВ обстоятельств суд признает наличие у нее на иждивении несовершеннолетнего ребенка, полное
признание вины и раскаяние в содеянном. С учетом данных о личностях подсудимых, смягчающих обстоятельств, роли каждой в совершении преступления, обстоятельств совершения самого преступления суд находит возможным исправление МНВ и ХАЗ без реального отбытия назначенного судом
наказания в виде лишения свободы. В связи с указанным суд считает возможным при назначении наказания применить ст. 73 УК.
Учитывая данные о личности подсудимых, суд считает нецелесообразным
применение к ним дополнительного наказания в виде штрафа.
На основании изложенного, руководствуясь ст. 303–304, 307–310 УПК
РФ, суд
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
ÏÐÈÃÎÂÎÐÈË
МНВ и ХАЗ признать виновными в совершении преступления, предусмотренного пп. «б», «в» ч. 3 ст. 146 УК РФ, и назначить каждой наказание в виде 6 месяцев лишения свободы без штрафа.
В соответствии со ст. 73 УК РФ назначенное МНВ и ХАЗ наказание считать условным, с испытательным сроком 6 месяцев, в течение которого
условно осужденные должны своим поведением доказать свое исправление.
Обязать МНВ и ХАЗ не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего
исправление осужденных, периодически являться в этот орган для регистрации.
Меру пресечения МНВ и ХАЗ до вступления приговора в законную силу оставить прежней — подписку о невыезде и надлежащем поведении.
Вещественные доказательства: 3 DVD-диска, хранящиеся при уголовном
деле — уничтожить.
Приговор может быть обжалован в кассационном порядке в Самарском областном суде через Кировский районный суд г. Самары в течение 10 суток
со дня провозглашения, а осужденным, содержащимся под стражей, — в тот
же срок со дня вручения им копии приговора. В течение 10 суток со дня
вручения копии приговора в случае подачи ими кассационной жалобы осужденные вправе ходатайствовать о своем участии в рассмотрении уголовного дела судом кассационной инстанции, о чем он должен указать в кассационной жалобе.
Председательствующий Э. Г. Штейн.
ÏÐÈÃÎÂÎÐ
Èìåíåì Ðîññèéñêîé Ôåäåðàöèè
10 àâãóñòà 2007 ãîäà ã. Òîëüÿòòè
Мировой судья судебного участка № 19 Автозаводского района г. Тольятти
Стякова Е. В. с участием государственного обвинителя помощника прокурора Автозаводского района г. Тольятти Касатонова А. В., подсудимого
КАА, защитника подсудимого Горьковой М. Б. представившей удостоверение № 1528 и ордер № 343 от 16.05.07, представителей потерпевших ЗАО
«1С» — Сударева А. С., «Корпорации Майкрософт» — Барчугина С. В., при
секретаре Довженко С. А., рассмотрев материалы уголовного дела № 133/07 в отношении подсудимого КАА, 26.03.1967 года рождения, уроженца
г. Тольятти, проживающего: г. Тольятти, б-р Гая, Х-ХХ, зарегистрированного по адресу: г. Тольятти, ул. Революционная, ХХ-ХХХ, гражданина РФ,
имеющего высшее образование, женатого, работающего: ООО «СтимулПлюс» коммерческим директором, военнообязанного АРВК, ранее не судимого, обвиняемого в совершении преступления, предусмотренного ст. 146
ч. 2 УК РФ,
ÓÑÒÀÍÎÂÈË
КАА, являясь учредителем и директором ООО «Фирма «ЛЕГИОН», имея
умысел на незаконное использование объектов авторского права или смежных прав, совершенное в крупном размере, в нарушение требований ч.1
ст. 44 Конституции РФ и ст. 7, 9, 13, 15, 16, 30 Закона РФ «Об авторском
праве и смежных правах», регулирующих отношения в связи с созданием,
использованием, распространением и охраной объектов авторского права
и запрещающих их использование без соответствующего договора и разре-
81
82
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
шения автора, против воли правообладателя и без возмещения ему какоголибо вознаграждения за использование охраняемого законом объекта авторского права, в не установленное следствием время для обеспечения коммерческой деятельности своей организации, в том числе отдела по продаже
сотовых телефонов и предоставлению населению услуг операторов сотовой
связи, расположенного в ТЦ «Березка» по адресу: г. Тольятти, ул. ХХ, ХХ,
установил системный блок ЭВМ. Далее КАА, реализуя преступный умысел,
при неустановленных следствием обстоятельствах, без согласия автора незаконно приобрел, хранил, перевез и установил в память указанного системного блока ЭВМ. Согласно заключению эксперта № 22, 2 экземпляра контрафактного программного обеспечения «Microsoft Windows
Professional», стоимостью 13 312 руб. 99 коп., 1 экземпляр контрафактного
программного обеспечения «Microsoft Office 2002 Professional», стоимостью 9679 руб. 76 коп., 1 экземпляр контрафактного программного обеспечения «Microsoft Office 2003 Professional», стоимостью 10 183 руб. 63 коп.,
исключительные имущественные права на вышеуказанное программное
обеспечение, а также права на распространение на территории РФ принадлежат «Корпорации Майкрософт», а также 1 экземпляр контрафактного
программного обеспечения «1С: Предприятие 7.7 Комплексная поставка
(сетевая версия)», стоимостью 45 000 руб., исключительные имущественные права на вышеуказанное программное обеспечение, а также права на
распространение на территории РФ принадлежат ЗАО «1С». Вышеуказанное контрафактное программное обеспечение КАА незаконно хранил и использовал вплоть до 27 ноября 2006 года, когда сотрудники милиции в ходе
проведения проверки изъяли вышеуказанный системный блок ЭВМ.
Общая стоимость незаконно используемых КАА объектов авторского права
или смежных прав, исключительные имущественные права на которые принадлежат «Корпорации Майкрософт», составила 33 176 руб. 39 коп.
Общая стоимость незаконно используемых КАА объектов авторского права
или смежных прав, исключительные имущественные права на которые принадлежат ЗАО «1С», составила 45 000 руб.
Общая стоимость незаконно используемых КАА объектов авторского права
или смежных прав составила 78 176 руб. 39 коп., что является крупным размером.
В судебном заседании КАА вину свою отрицал полностью.
Однако виновность КАА в инкриминируемом ему деянии подтверждается
следующими показаниями.
Допрошенный в качестве представителя потерпевшего «Корпорации Майкрософт» Барчугин С. В. показал: в ноябре—декабре 2006 года к нему обратились сотрудники милиции, сообщив, что выявлен факт нарушения авторских прав «Корпорации Майкрософт». После проведения экспертизы
был установлен размер ущерба, причиненного правообладателю, который
составил 33 186,239 руб. Признаками контрафактности программного
обеспечения является отсутствие документов и совпадение серийных номеров.
Допрошенный в качестве представителя потерпевшего ЗАО «1С» — Сударев А. С. показал, что программное обеспечение «1С:» является орудием
труда работников бухгалтерии. Приобретая данную программу, преследуется цель получения прибыли. Право на распространение данной программы имеется только у ЗАО «1С:». При приобретении программы в комплекте идет диск, договор, анкета и ключ программы. Приобретая программу,
пользователь подписывает договор и отправляет его в ЗАО «1С:» в прилагаемом конверте. Не постановка на бухгалтерский учет программного
1.8. Ñóäåáíàÿ ïðàêòèêà â îáëàñòè êîìïüþòåðíûõ ïðåñòóïëåíèé
обеспечения является признаком контрафактности программы. Сотрудниками милиции ЗАО «1С:» были извещены о том, что в ООО «Легион» обнаружено контрафактное программное обеспечение «1С:», с которым
отсутствует договор и ключ защиты. Ущерб составляет 45 000 руб. Потерпевший также просит взыскать с подсудимого в соответствии с Законом «Об авторском праве и смежных правах» компенсацию в размере
90 000 руб.
Кроме того, вина КАА подтверждается следующими материалами дела: заключением эксперта № 22 от 31.01.2007 года, согласно которому в системном блоке ЭВМ, изъятом в ООО «Фирма “Легион”», обнаружены программы «Microsoft Windows Professional», «Microsoft Office 2002 Professional»,
«Microsoft Office 2003 Professional» с признаками контрафактности, ущерб
от незаконного использования которых составил 33 176,39 руб., и программного обеспечения «1С: Предприятие 7.7 Комплексная поставка (сетевая версия)», стоимостью 45 000 руб., /л. д. 63–70/.
Ссылки подсудимого на то, что он сам не пользовался и не устанавливал
программное обеспечение, так же не могут свидетельствовать об отсутствии
в его действиях незаконного использования и приобретения программного
обеспечения, так как он, являясь директором ООО «Фирма “Легион”» руководит вверенным ему предприятием в пределах своей компетенции
и в соответствии с уставом данного предприятия является распорядителем
кредитов вверенного ему предприятия, пользуется правом первой подписи
на денежных документах, обладает правом приема и увольнения с работы
рабочих и служащих, несет ответственность за бухгалтерскую отчетность
предприятия. При этом ООО «Фирма “Легион”» создано с целью осуществления предпринимательской деятельности и получения прибыли, в связи
с чем и было установлено программное обеспечение.
Статьей 48 Закона РФ «Об авторском праве и смежных правах» предусмотрено, что нарушителем авторских и смежных прав является физическое или юридическое лицо, которое не выполняет требования указанного
Закона. КАА как директор ООО «Фирма “Легион”» должен нести ответственность за нарушение авторских прав в силу своих должностных полномочий.
Анализируя собранные по делу доказательства, мировой судья находит вину подсудимого в совершении им незаконного использования объектов авторского права или смежных прав, совершенного в крупном размере, доказанной полностью, и его действия квалифицированы верно по ч. 2 ст. 146
УК РФ.
Гражданский иск ЗАО «1С» следует считать обоснованным и подлежащим
удовлетворению в полном объеме, так как он подтвержден материалами
уголовного дела и соответствует ст. 49 Закона «Об авторском праве и смежных правах».
Обстоятельства смягчающие и отягчающие наказание отсутствуют.
При назначении наказания суд учитывает характер и степень общественной опасности совершенного преступления, которое относится к категории преступлений небольшой тяжести, личность подсудимого, который
характеризуется по месту работы положительно, ранее не судим, на учете
в нарко- и психоневрологическом диспансерах не состоит, причиненный
ущерб не возместил, и считает возможным назначить ему наказание, не
связанное с лишением свободы.
Руководствуясь ст. 307–309 УПК РФ, мировой судья
ÏÐÈÃÎÂÎÐÈË
83
84
Ãëàâà 1. Èíôîðìàöèÿ êàê îáúåêò ïðàâîâîé çàùèòû
Признать КАА виновным в совершении преступления, предусмотренного
ч. 2 ст. 146 УК РФ, и назначить ему штраф в доход государства в размере
10 000 руб.
Гражданский иск ЗАО «1С:» удовлетворить в полном объеме и взыскать
с КАА в пользу ЗАО «1С:» денежную сумму в размере 90 000 руб.
Вещественные доказательства — системный блок ООО «Фирма “Легион”»
с контрафактным программным обеспечением, хранящийся в камере хранения вещественных доказательств в прокуратуре Автозаводского района
г. , — уничтожить.
Меру пресечения КАА — подписку о невыезде — оставить до вступления
приговора в законную силу.
На приговор может быть подана жалоба или представление в 10-дневный
срок в Федеральный суд Автозаводского района г. Тольятти через мирового
судью судебного участка № 19 Автозаводского района г. Тольятти.
Мировой судья судебного участка № 19 Автозаводского района г. Тольятти
Стякова Е. В.
В данном разделе приведено всего несколько судебных решений в области
компьютерных преступлений. Большая подборка судебных дел приведена, например, на сайте http://www.internet-law.ru.
Êîíòðîëüíûå âîïðîñû ê ãëàâå 1
1. Какими факторами обусловлена актуальность проблем защиты информации
в информационном обществе?
2. Какие политические, экономические и организационные факторы оказывают
влияние на информационную безопасность Российской Федерации?
3. Дайте определение понятий «информация», «документированная информация», «защита информации», «обладатель информации», «оператор информационной системы», «несанкционированный доступ к информации», «политика безопасности», «конфиденциальность», «целостность», «доступность»,
«государственная тайна», «система защиты государственной тайны», «коммерческая тайна», «база данных», «персональные данные», «конфиденциальность персональных данных», «электронный документ», «электронная цифровая подпись».
4. Какими нормативно-правовыми документами введены определения понятий,
указанных в предыдущем вопросе?
5. Дайте классификацию видов информации, как она определяется законодательством Российской Федерации.
6. Каким законодательным актом регулируются отношения, связанные с информацией, содержащей государственную тайну? Каковы грифы секретности?
7. Какими законодательными актами вводится понятие профессиональной тайны? Назовите виды профессиональной тайны.
8. Каковы основные цели защиты информации?
Êîíòðîëüíûå âîïðîñû ê ãëàâå 1
85
9. Назовите основные субъекты информационных отношений.
10. Приведите классификацию угроз безопасности. Приведите конкретные угрозы каждого вида.
11. Каковы уровни уязвимости информационных систем?
12. Дайте определение понятий «субъект» и «объект» информационных отношений.
13. Дайте определение понятий «собственник» и «владелец» информационных
ресурсов. В чем их различие?
14. Опишите основные функции собственника и владельца в информационных
отношениях.
15. Чем различаются действия злоумышленника и уполномоченного (авторизованного) пользователя в информационных отношениях?
16. Чем вызвано циклическое изменение уровней безопасности информационных
систем?
17. В чем состоят особенности отношений субъектов информационного обмена
в сети Интернет?
18. Опишите структуру нормативно-правовых актов в области информационной
безопасности.
19. Каковы основные цели использования в Российской Федерации международных нормативных документов?
20. Каковы основные направления международного сотрудничества Российской
Федерации в области информационной безопасности?
21. Назовите основные функции государственной системы обеспечения информационной безопасности.
Ãëàâà 2
Ãîñóäàðñòâåííàÿ ñèñòåìà
îáåñïå÷åíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè Ðîññèéñêîé
Ôåäåðàöèè
2.1. Îðãàíèçàöèîííàÿ ñòðóêòóðà
ãîñóäàðñòâåííîé ñèñòåìû
îáåñïå÷åíèÿ èíôîðìàöèîííîé
áåçîïàñíîñòè
Нормативно-правовое обеспечение информационной безопасности представляет собой совокупность законодательных актов и нормативов, регламентирующих общую организацию работ по защите информации и создание систем
защиты информации. Организационное обеспечение информационной безопасности состоит из системы государственных органов и должностных лиц, ответственных за организацию работ и обеспечение информационной безопасности, а также контролирующих и судебных органов, осуществляющих надзор
и решение правовых вопросов в данной области.
Система обеспечения информационной безопасности Российской Федерации
является частью системы обеспечения национальной безопасности государства.
В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 9 сентября 2000 года
№ Пр-1895, отмечено: «Современный этап развития общества характеризуется
2.1. Îðãàíèçàöèîííàÿ ñòðóêòóðà ñèñòåìû èíôîðìàöèîííîé áåçîïàñíîñòè
87
возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации,
а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной
и других составляющих безопасности Российской Федерации. Национальная
безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать».
Организационная структура системы обеспечения информационной безопасности представлена на рис. 2.1.1.
Учитывая глобальный характер процессов информатизации и появление международной киберпреступности, мировое сообщество должно иметь межгосударственные организационные структуры по координации работ в области информационной безопасности.
Основным международным органом является Организация Объединенных
Наций и созданный ею Совет Безопасности. Эти органы координируют усилия
государств по осуществлению мероприятий в области обеспечения информационной безопасности и борьбы с преступлениями в сфере информационных технологий. Спорные вопросы на межгосударственном уровне решает Международный суд.
Система обеспечения информационной безопасности Российской Федерации
строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти федерального уровня, уровня субъектов Российской Федерации, ведомственных структур, а также служб предприятий и организаций.
Основными элементами организационной структуры системы обеспечения
информационной безопасности Российской Федерации на федеральном уровне
являются: Президент Российской Федерации, Совет Безопасности, Совет Федерации, Государственная Дума, Правительство Российской Федерации, федеральные органы исполнительной власти, государственные и межведомственные
комиссии, создаваемые Президентом и Правительством Российской Федерации
для решения вопросов в соответствии с предоставленными им полномочиями,
определяемыми Положениями о комиссиях.
Федеральные министерства и ведомства могут в своем составе создавать соответствующие службы и подразделения для решения вопросов обеспечения информационной безопасности на отраслевом уровне.
Следующим уровнем в системе обеспечения информационной безопасности
являются органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, которые могут также создавать различные комиссии.
Контролирующими и правоохранительными органами федерального уровня,
обеспечивающими соблюдение нормативно-правовых норм, являются: Конституционный Суд, Верховный Суд, Генеральная прокуратура.
88
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
Наконец, нижним уровнем системы обеспечения информационной безопасности являются структурные подразделения и должностные лица предприятий
и организаций.
Ðèñ. 2.1.1. Ñòðóêòóðà îðãàíîâ îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè
Информацию об органах государственной власти Российской Федерации
можно получить на информационном портале «Сервер органов государственной
власти Российской Федерации» http://www.gov.ru. Он содержит ссылки на сайты
федеральных и региональных органов исполнительной власти, а также сайты
Президента, Федерального Собрания (Совета Федерации и Государственной
Думы), Совета Безопасности, Генеральной прокуратуры, Конституционного,
2.1. Îðãàíèçàöèîííàÿ ñòðóêòóðà ñèñòåìû èíôîðìàöèîííîé áåçîïàñíîñòè
89
Верховного и Арбитражного Судов Российской Федерации, Счетной палаты,
Центральной избирательной комиссии.
Президент Российской Федерации (http://www.kremlin.ru) в пределах своих
полномочий создает, реорганизует и руководит органами по обеспечению информационной безопасности, определяет приоритетные направления государственной политики в данной области.
Совет Безопасности Российской Федерации (http://www.scrf.gov.ru) является конституционным совещательным органом, осуществляющим подготовку решений Президента Российской Федерации по вопросам обеспечения защищенности жизненно важных интересов личности, общества и государства
от внутренних и внешних угроз, проведения единой государственной политики в области обеспечения национальной (в том числе информационной) безопасности.
Правовую основу деятельности Совета Безопасности составляют Конституция Российской Федерации, федеральные законы Российской Федерации, международные договоры Российской Федерации, указы и распоряжения Президента
Российской Федерации, а также Положение о Совете Безопасности, утверждаемое Президентом Российской Федерации.
Совет Безопасности проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, разрабатывает важнейшие концептуальные документы в области национальной безопасности и предложения в области обеспечения информационной безопасности, координирует деятельность
органов по обеспечению информационной безопасности, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной
власти субъектов Российской Федерации решений Президента в этой области.
Указом Президента от 28 октября 2005 года № 1244 «Об утверждении Положения о Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности» (с изменениями от 12 июня 2006 года)
утверждено Положение о специальной Межведомственной комиссии при Совете
Безопасности по информационной безопасности.
Палаты Федерального Собрания (Совет Федерации и Государственная Дума)
формируют систему законодательных актов в области информационной безопасности в соответствии с Конституцией Российской Федерации.
Совет Федерации имеет Комитет по вопросам безопасности и обороны и Комиссию по информационной политике. Комиссия по информационной политике
создана Постановлением Совета Федерации от 30 января 2002 года № 106. Ее образование было обусловлено необходимостью детального изучения и мониторинга информационной ситуации, а также требованиями дальнейшего совершенствования законодательной базы в интересах большей ее ориентации на формирование единого информационного пространства, решения других вопросов информационной политики Российской Федерации.
К предмету ведения комиссии были отнесены следующие вопросы правового
обеспечения:
q государственная политика в сфере средств массовой информации, информа-
ционных технологий и информатизации;
90
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
q развитие единого информационного пространства Российской Федерации;
q издательская и полиграфическая деятельность;
q информационный обмен, развитие компьютерных сетей общего пользования;
q распространение периодических изданий, книжной и иной печатной, аудио-
и видеопродукции;
q межгосударственное сотрудничество в информационной сфере.
В составе Государственной Думы сформированы два комитета: Комитет по
безопасности и Комитет по информационной политике.
Правительство Российской Федерации (http://www.government.ru/) координирует деятельность федеральных органов исполнительной власти и органов
исполнительной власти субъектов Российской Федерации, обеспечивает разработку и реализацию федеральных программ в области информационной безопасности.
Функции Правительства определены Федеральным конституционным Законом «О Правительстве Российской Федерации» от 17 декабря 1997 года
№ 2-ФКЗ с последующими уточнениями и изменениями конституционными законами от 31.12.97 № 3-ФКЗ, от 19.06.04 № 4-ФКЗ, от 03.11.04 № 6-ФКЗ, от
01.06.05 № 4-ФКЗ, от 30.01.07 № 1-ФКЗ, от 02.03.07 № 3-ФКЗ.
Федеральные органы исполнительной власти обеспечивают исполнение законодательства, решений Президента и Правительства Российской Федерации
в области обеспечения информационной безопасности. В пределах своей компетенции они разрабатывают нормативные правовые акты в области информационной безопасности и представляют их в установленном порядке Президенту
и в Правительство Российской Федерации.
Указом Президента Российской Федерации от 20 мая 2004 года № 649
«Структура федеральных органов исполнительной власти» (в ред. Указов
Президента от 28.07.04 № 976, от 13.09.04 № 1168, от 11.10.04 № 1304, от
18.11.04 № 1453, от 01.12.04 № 1487, от 22.07.05 № 855, от 05.09.2005 № 1049,
от 03.10.05 № 1158, от 11.05.06 № 473, от 30.06.06 № 658, от 05.02.07 № 119, от
12.03.07 № 320) утверждены следующие службы, связанные с обеспечением
информационной безопасности, руководство которыми осуществляет Президент: Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Федеральная служба охраны, Служба внешней
разведки. В соответствии с данным, Указом Президент руководит также деятельностью министерств внутренних дел, обороны, иностранных дел, юстиции, а также Министерством по делам гражданской обороны, чрезвычайным
ситуациям и ликвидации последствий стихийных бедствий.
Межведомственные и государственные комиссии, создаваемые Президентом
и Правительством Российской Федерации, решают, в соответствии с предоставленными им полномочиями, задачи обеспечения информационной безопасности
Российской Федерации.
Указом Президента Российской Федерации от 8 ноября 1995 года № 1108
создана Межведомственная комиссия по защите государственной тайны, которая является основным органом, координирующим действия государственных
2.2. Ñîâåò Áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
91
структур по вопросам защиты информации. Указом Президента от 6 октября
2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны» заново определены основные направления работы комиссии. Постановлением Правительства от 3 декабря 2004 года № 728 «О персональном составе Межведомственной комиссии по защите государственной тайны» определен
персональный состав комиссии.
Постановлением Правительства Российской Федерации от 13 апреля
2006 года № 213 «О правительственной комиссии по федеральной связи» создана специальная комиссия по федеральной связи и утверждено Положение
о комиссии. К основным функциям Комиссии относится определение приоритетов и основных направлений развития федеральной связи с учетом задач государственного управления, обороны и безопасности государства, обеспечения
правопорядка, координация деятельности федеральных органов исполнительной власти по развитию российской инфраструктуры связи, обеспечению ее
интеграции с международными сетями связи, развитию технологий и средств
защиты информации.
2.2. Ñîâåò Áåçîïàñíîñòè
Ðîññèéñêîé Ôåäåðàöèè
Создание при Президенте Российской Федерации специального конституционного совещательного органа — Совета Безопасности (http://www.scrf.gov.ru) —
обусловлено необходимостью постоянного анализа и стратегического планирования по всему комплексу вопросов безопасности, подготовки проектов решений Президента в соответствующих сферах. Совет Безопасности обеспечивает
условия для реализации Президентом его конституционных полномочий по защите прав и свобод человека и гражданина, охране суверенитета Российской
Федерации, ее независимости и государственной целостности. Совет Безопасности Российской Федерации образован в 1992 году.
Совет Безопасности формируется Президентом Российской Федерации, являющимся его председателем, в соответствии с Конституцией и Федеральным
Законом «О безопасности». В состав Совета Безопасности входят:
q Председатель Совета Безопасности Российской Федерации, которым по долж-
ности является Президент Российской Федерации;
q Секретарь Совета Безопасности Российской Федерации;
q постоянные члены Совета Безопасности и члены Совета Безопасности, вклю-
чаемые в состав Совета Безопасности и исключаемые из него Президентом Российской Федерации по представлению Секретаря Совета Безопасности.
Секретарь Совета Безопасности входит в число постоянных членов Совета
Безопасности и руководит его Аппаратом. Он несет ответственность за обеспечение деятельности Совета Безопасности и исполнение принятых им решений,
осуществляет подготовку и организацию заседаний и оперативных совещаний
Совета. Секретарь Совета Безопасности назначается на должность и освобождает-
92
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
ся от должности Президентом Российской Федерации. Секретарь Совета Безопасности подчиняется непосредственно Президенту Российской Федерации.
В 1999 году Секретарем Совета Безопасности был В. В. Путин.
Аппарат Совета Безопасности является самостоятельным подразделением Администрации Президента и имеет статус управления.
В соответствии с основными задачами и направлениями деятельности, Совет Безопасности образует межведомственные комиссии — основные рабочие
органы Совета. В зависимости от возлагаемых на них задач они могут создаваться по функциональному или региональному признаку, на постоянной или
временной основе. Межведомственные комиссии Совета Безопасности осуществляют подготовку предложений и рекомендаций Совету Безопасности по основным направлениям внутренней и внешней политики в области обеспечения
национальной безопасности, способствуют координации деятельности федеральных органов исполнительной власти и органов исполнительной власти
субъектов Российской Федерации по реализации федеральных программ в области обеспечения национальной безопасности и исполнению решений Совета
Безопасности.
В целях научного обеспечения деятельности Совета Безопасности при нем
образован научный совет. В его состав включаются представители Российской
академии наук, отраслевых академий наук, руководители научных организаций
и образовательных учреждений высшего профессионального образования, а также отдельные специалисты. Организацию и координацию деятельности межведомственных комиссий и научного совета при Совете Безопасности осуществляет Секретарь.
В соответствии с планами, утверждаемыми Председателем, на регулярной основе проводятся заседания Совета Безопасности. В случае необходимости могут
проводиться внеочередные заседания. Повестку дня и порядок рассмотрения вопросов на заседаниях определяет Председатель Совета по представлению Секретаря Совета. Заседания ведет Председатель. Секретарь проводит рабочие совещания с членами Совета Безопасности. Решения Совета Безопасности принимаются
на его заседании постоянными членами Совета Безопасности простым большинством голосов от их общего числа и вступают в силу после утверждения Председателем Совета Безопасности.
Постоянные члены Совета Безопасности обладают равными правами при принятии решений. Члены Совета Безопасности принимают участие в заседаниях Совета Безопасности с правом совещательного голоса.
Положение о Совете Безопасности утверждается Президентом Российской
Федерации. С момента создания Совета Положение изменялось несколько раз.
Последние редакции Положения о Совете Безопасности и его Аппарате утверждены Указом Президента от 7 июня 2004 года № 726. В соответствии с данным Указом, основными задачами Совета Безопасности являются:
q обеспечение условий для реализации Президентом Российской Федера-
ции его конституционных полномочий по защите прав и свобод человека
и гражданина, охране суверенитета Российской Федерации, ее независимости и государственной целостности, организации взаимодействия орга-
2.2. Ñîâåò Áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
93
нов государственной власти, определению основных направлений внутренней и внешней политики государства;
q определение жизненно важных интересов личности, общества и государства
как основных объектов обеспечения национальной безопасности, выявление
внутренних и внешних угроз безопасности этих объектов;
q разработка основных направлений стратегии развития государства, обеспече-
ния национальной безопасности и конкурентоспособности Российской Федерации;
q подготовка предложений Президенту Российской Федерации для приня-
тия главой государства решений по вопросам внутренней и внешней политики Российской Федерации в области обеспечения национальной безопасности;
q подготовка решений по нейтрализации внутренних и внешних угроз безопас-
ности личности, общества и государства;
q подготовка оперативных решений по предотвращению чрезвычайных ситуа-
ций, которые могут привести к существенным социально-политическим, экономическим, военным, экологическим и иным последствиям, и решений по
организации ликвидации последствий чрезвычайных ситуаций;
q подготовка предложений Президенту Российской Федерации о введении, про-
длении или об отмене чрезвычайного положения;
q подготовка предложений по координации деятельности федеральных органов
исполнительной власти и органов исполнительной власти субъектов Российской Федерации в процессе реализации принятых решений в области обеспечения национальной безопасности и оценка их эффективности;
q подготовка предложений Президенту Российской Федерации по реформиро-
ванию существующих либо созданию новых органов обеспечения национальной безопасности;
q решение иных задач в сфере обеспечения национальной безопасности.
Указом Президента Российской Федерации от 28 октября 2005 года № 1244
создана Межведомственная комиссия Совета Безопасности Российской Федерации по информационной безопасности и утверждено соответствующее Положение (с изменениями от 12 июня 2006 года). Она образована в соответствии с Законом Российской Федерации от 5 марта 1992 года № 2446-1 «О безопасности»
и Положением о Совете Безопасности Российской Федерации в целях реализации возложенных на Совет Безопасности задач в области обеспечения информационной безопасности Российской Федерации.
Комиссия создается, реорганизуется и упраздняется Президентом Российской Федерации. Положение о Комиссии и ее состав по должностям утверждаются Президентом Российской Федерации по представлению Секретаря Совета
Безопасности Российской Федерации. В состав Комиссии входят представители
федеральных органов государственной власти, органов государственной власти
субъектов Российской Федерации, других государственных органов, органов местного самоуправления, а также организаций.
94
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
На Комиссию возлагаются следующие функции:
q подготовка предложений и рекомендаций Совету Безопасности по выработке
и реализации основных направлений государственной политики в области
обеспечения информационной безопасности Российской Федерации;
q подготовка предложений Совету Безопасности по координации деятельности
федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации по реализации федеральных целевых
программ и исполнению решений Совета Безопасности в области обеспечения информационной безопасности Российской Федерации;
q анализ информации о состоянии информационной безопасности Российской
Федерации и подготовка рекомендаций Совету Безопасности по совершенствованию системы обеспечения информационной безопасности Российской
Федерации;
q анализ состояния информационной безопасности информационно-телеком-
муникационных систем и сетей критически важных объектов Российской
Федерации и выработка рекомендаций заинтересованным федеральным органам исполнительной власти по повышению уровня их защищенности;
q прогнозирование, выявление и оценка угроз информационной безопасности
Российской Федерации и их источников, подготовка предложений Совету
Безопасности по предотвращению выявленных и недопущению прогнозируемых угроз;
q рассмотрение в установленном порядке проектов федеральных целевых про-
грамм, направленных на обеспечение информационной безопасности Российской Федерации, подготовка соответствующих предложений Совету Безопасности;
q участие в подготовке материалов по вопросам обеспечения информационной
безопасности Российской Федерации для ежегодного послания Президента
Российской Федерации Федеральному Собранию Российской Федерации и
докладов Президента Российской Федерации;
q подготовка предложений Совету Безопасности по вопросам обеспечения ин-
формационной безопасности Российской Федерации;
q подготовка предложений Совету Безопасности по разработке проектов нор-
мативных правовых актов, направленных на обеспечение информационной
безопасности Российской Федерации.
Председатель Комиссии и другие члены Комиссии осуществляют свою деятельность на общественных началах.
Комиссия для осуществления своих функций имеет право:
q взаимодействовать по вопросам, входящим в компетенцию Комиссии, с са-
мостоятельными подразделениями Администрации Президента Российской
Федерации, с соответствующими органами и организациями, запрашивать
и получать от них в установленном порядке необходимые материалы и информацию;
2.3. Êîìèññèÿ Ñîâåòà Ôåäåðàöèè ïî èíôîðìàöèîííîé ïîëèòèêå
95
q пользоваться в установленном порядке банками и базами данных Админист-
рации Президента Российской Федерации и федеральных органов государственной власти;
q использовать государственные, в том числе правительственные, системы свя-
зи и коммуникации;
q привлекать в установленном порядке для осуществления аналитических
и экспертных работ ученых и специалистов;
q подготавливать предложения о заключении в установленном порядке догово-
ров с научно-исследовательскими организациями, учреждениями и специалистами на выполнение работ и исследований в области обеспечения информационной безопасности Российской Федерации;
q обобщать и представлять в Совет Безопасности информацию по вопросам,
входящим в компетенцию Комиссии.
2.3. Êîìèññèÿ Ñîâåòà Ôåäåðàöèè
ïî èíôîðìàöèîííîé ïîëèòèêå
Комиссия Совета Федерации по информационной политике создана Постановлением Совета Федерации Федерального Собрания Российской Федерации от
30 января 2002 года № 106. Создание Комиссии было обусловлено необходимостью детального изучения и мониторинга информационной ситуации, а также
требованиями дальнейшего совершенствования законодательной базы в интересах большей ее ориентации на формирование единого информационного пространства, решения других вопросов информационной политики Российской
Федерации.
К предмету ведения Комиссии отнесены следующие вопросы правового обеспечения:
q государственная политика в сфере средств массовой информации, информа-
ционных технологий и информатизации;
q развитие единого информационного пространства Российской Федерации;
q издательская и полиграфическая деятельность;
q информационный обмен, развитие компьютерных сетей общего пользова-
ния;
q распространение периодических изданий, книжной и иной печатной, аудио-
и видеопродукции;
q межгосударственное сотрудничество в информационной сфере;
q содействие информационному обеспечению деятельности Совета Федерации;
q выполнение федеральных и региональных целевых программ по вопросам ве-
дения Комиссии.
96
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
Задачи членов Комиссии состоят в изучении и обобщении положения дел
в каждом отдельно взятом сегменте инфокоммуникационного сектора экономики, анализе и оценке правоприменительной практики в сфере информации.
Работа ведется совместно с представителями Министерства культуры и массовых коммуникаций Российской Федерации, Федерального агентства по печати
и массовым коммуникациям Российской Федерации, Министерства по информационным технологиям и связи Российской Федерации, Министерства экономического развития и торговли Российской Федерации, Медиасоюза и журналистским
сообществом.
В состав Комиссии входит 35 членов Совета Федерации, которые участвуют
в работе Комиссии в соответствии с предметом ведения, решении текущих
и перспективных вопросов информационной политики Российской Федерации, организации проведения различных мероприятий с участием Комиссии,
подготовке к рассмотрению поступающих законопроектов и других вопросов.
В работе Комиссии, наряду с членами Совета Федерации, принимают участие
представители Администрации Президента и Правительства Российской Федерации, руководители федеральных министерств и ведомств, депутаты Государственной Думы, видные ученые, представители медиасообщества и бизнесструктур, руководители областных средств массовой информации.
В числе наиболее актуальных вопросов, которые обсуждались на заседаниях,
следует отметить следующие:
q «Нормативно-правовая база развития сети Интернет в России»;
q «О законодательном обеспечении развития инфокоммуникационного сектора
экономики России»;
q «Развитие информационно-коммуникационных технологий в общественном
и муниципальном самоуправлении».
На заседаниях Комиссии Совета Федерации по информационной политике
в 2002–2006 гг. был рассмотрен ряд законопроектов, из них на заседания Совета
Федерации были вынесены следующие:
q «О внесении изменений и дополнений в Закон Российской Федерации
«О средствах массовой информации»;
q «О государственной автоматизированной системе Российской Федерации
“Выборы”»;
q «О внесении изменений и дополнений в Федеральный Закон “О связи”»;
q Федеральный Закон «О связи»;
q Федеральный Закон «О коммерческой тайне»;
q Федеральный Закон «О противодействии терроризму»;
q Федеральный Закон «О рекламе».
В целом деятельность Комиссии была направлена на обеспечение эффективной государственной политики в сфере средств массовой информации, информационных технологий и информатизации, в том числе определение основных
направлений развития телекоммуникационного рынка России, оценку возмож-
2.4. Ôåäåðàëüíûå îðãàíû èñïîëíèòåëüíîé âëàñòè â îáëàñòè èíôîðìàòèçàöèè
97
ностей повышения эффективности государственной поддержки отечественного
информационного производства.
2.4. Ôåäåðàëüíûå îðãàíû
èñïîëíèòåëüíîé âëàñòè
â îáëàñòè èíôîðìàòèçàöèè
Новая система и структура федеральных органов исполнительной власти утверждена Указом Президента Российской Федерации от 9 марта 2004 года
№ 314 «О системе и структуре федеральных органов исполнительной власти», а затем Указом от 20 мая 2004 года № 649 «Вопросы структуры федеральных органов исполнительной власти» с последующими изменениями,
внесенными Указами: от 28.07.04 № 976, от 13.09.04 № 1168, от 11.10.04
№ 1304, от 18.11.04 № 1453, от 01.12.04 № 1487, от 22.07.05 № 855, от 05.09.05
№ 1049, от 03.10.05 № 1158, от 11.05.06 № 473, от 30.06.06 № 658, от 05.02.07
№ 119, от 12.03.07 № 320.
В соответствии с вышеназванными указами, выделен ряд Федеральных министерств, служб и агентств, функционально связанных с обеспечением информационной безопасности, руководство деятельностью которых осуществляет
Президент Российской Федерации:
q Федеральная служба по техническому и экспортному контролю (ФСТЭК,
в составе Министерства обороны);
q Служба внешней разведки Российской Федерации (СВР);
q Федеральная служба безопасности Российской Федерации (ФСБ);
q Федеральная служба охраны Российской Федерации (ФСО).
Федеральные министерства, службы и агентства, руководство которыми осуществляет Правительство Российской Федерации:
q Федеральная служба по интеллектуальной собственности, патентам и товар-
ным знакам (в составе Министерства образования и науки);
q Федеральное агентство по техническому регулированию и метрологии
(в составе Министерства промышленности и энергетики Российской Федерации);
q Министерство информационных технологий и связи Российской Федера-
ции, включающее в себя Федеральное агентство по информационным технологиям;
q Федеральная служба по надзору в сфере массовых коммуникаций, связи и ох-
раны культурного наследия.
Кроме того, на уровне федеральных органов исполнительной власти создан
ряд комиссий, в том числе: Межведомственная Комиссия по защите государственной тайны, Правительственная Комиссия по федеральной связи, Правитель-
98
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
ственная Комиссия по противодействию нарушениям в сфере интеллектуальной
собственности, ее правовой охране и использованию.
Указом Президента Российской Федерации от 11 марта 2003 года № 308 упразднено Федеральное агентство правительственной связи и информации при
Президенте Российской Федерации (ФАПСИ) и его функции перераспределены между ФСБ, СВР и ФСО. В составе ФСО образована служба специальной
связи и информации.
2.5. Ìåæâåäîìñòâåííàÿ
Êîìèññèÿ ïî çàùèòå
ãîñóäàðñòâåííîé òàéíû
Межведомственная Комиссия по защите государственной тайны, созданная Указом Президента Российской Федерации от 8 ноября 1995 года № 1108, является
основным органом, координирующим действия государственных структур по вопросам защиты информации. Она действует в рамках государственной системы
защиты информации от утечки по техническим каналам, положение о которой
введено в действие Постановлением Правительства от 15 сентября 1993 года
№ 912-51. В этом Постановлении были определены структура, задачи и функции, а также организация работ по защите информации, содержащей сведения,
составляющие государственную тайну.
Функции Межведомственной Комиссии по защите государственной тайны,
в соответствии с Указом Президента Российской Федерации от 30 марта 1994 г.
№ 614, возложены на государственную техническую комиссию, которая впоследствии переименована в Федеральную службу по техническому и экспортному контролю.
В связи с реорганизацией федеральных органов исполнительной власти
функции Комиссии были уточнены Указом Президента Российской Федерации
от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны». Постановлением Правительства Российской Федерации от 3 декабря 2004 года № 728 утвержден персональный состав Комиссии.
В нее вошли представители министерств обороны, иностранных дел, внутренних
дел, образования и науки, финансов, экономического развития и торговли, Аппарата Президента, Совета Безопасности, ФСБ, ФСО, СВР, ФСТЭК.
2.6. Ïðàâèòåëüñòâåííàÿ
Êîìèññèÿ ïî ôåäåðàëüíîé ñâÿçè
Правительственная Комиссия по федеральной связи была создана Постановлением Правительства Российской Федерации от 13 апреля 2006 года № 213
«О правительственной комиссии по федеральной связи». Этим же постановлением было утверждено Положение о Комиссии.
2.6. Ïðàâèòåëüñòâåííàÿ Êîìèññèÿ ïî ôåäåðàëüíîé ñâÿçè
99
Комиссия является координационным органом, образованным для обеспечения согласованных действий федеральных органов исполнительной власти в области развития и совершенствования федеральной связи. Она руководствуется
в своей деятельности Конституцией Российской Федерации, федеральными
конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, а также Положением о Комиссии.
Основными функциями Комиссии являются:
q определение приоритетов в реализации основных направлений развития феде-
ральной связи с учетом задач государственного управления, обороны и безопасности государства, обеспечения правопорядка, а также с учетом экономических, финансовых и иных возможностей государства;
q координация деятельности федеральных органов исполнительной власти по
развитию российской инфраструктуры связи, обеспечению ее интеграции
с международными сетями связи;
q координация деятельности федеральных органов исполнительной власти
по обеспечению потребностей в услугах связи для нужд государственного
управления, обороны и безопасности государства, обеспечения правопорядка;
q координация деятельности федеральных органов исполнительной власти при
подготовке концепций, федеральных, межотраслевых и отраслевых программ
развития и совершенствования сетей связи, входящих в состав единой сети
электросвязи Российской Федерации, и сети почтовой связи Российской Федерации;
q организация проведения межведомственной экспертизы программ, концеп-
ций, проектов развития сетей связи, входящих в состав единой сети электросвязи Российской Федерации (для сетей связи специального назначения —
в части установленных для них требований и взаимодействия с другими сетями связи единой сети электросвязи Российской Федерации), и сети почтовой
связи Российской Федерации;
q подготовка предложений по вопросам совершенствования законодательства
в области развития и совершенствования федеральной связи;
q рассмотрение, оценка и подготовка рекомендаций по применению новейших
технологий в сетях связи, содействие развитию производства в Российской
Федерации средств связи;
q координация деятельности федеральных органов исполнительной власти по
вопросам развития технологий и средств защиты информации.
Председателем Комиссии является Министр информационных технологий
и связи Российской Федерации, который утверждает ее состав. В состав Комиссии входят представители Министерства информационных технологий и
связи Российской Федерации, аппарата Совета Безопасности Российской Федерации (по согласованию), Комитета Государственной Думы по энергетике,
транспорту и связи (по согласованию), Главного управления специальных
100
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
программ Президента Российской Федерации, Министерства обороны Российской Федерации, Министерства внутренних дел Российской Федерации,
Министерства экономического развития и торговли Российской Федерации,
Министерства транспорта Российской Федерации, Министерства промышленности и энергетики Российской Федерации, Министерства Российской
Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, Службы внешней разведки Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной службы охраны Российской Федерации, Государственной
фельдъегерской службы Российской Федерации, Федеральной антимонопольной службы, Федеральной службы по тарифам, Федеральной службы исполнения наказаний, Федеральной службы по техническому и экспортному
контролю, Федеральной таможенной службы, Федеральной службы по гидрометеорологии и мониторингу окружающей среды, Федерального агентства по
промышленности, Федерального агентства по техническому регулированию и
метрологии, Федерального агентства по печати и массовым коммуникациям,
Федерального космического агентства.
Решения Комиссии являются обязательными для всех федеральных органов
исполнительной власти, представленных в Комиссии.
2.7. Ôåäåðàëüíàÿ
ñëóæáà áåçîïàñíîñòè
Ðîññèéñêîé Ôåäåðàöèè
Структура и функции Федеральной службы безопасности Российской Федерации (ФСБ, http://www.fsb.ru) в последние годы претерпели существенные изменения в соответствии с Указами Президента Российской Федерации.
В 2003 году отменен ряд принятых ранее Указов Президента:
q Указ Президента Российской Федерации от 6 июля 1998 года № 806 «Об ут-
верждении Положения о Федеральной службе безопасности Российской Федерации и ее структуры»;
q Указ Президента Российской Федерации от 4 января 1999 года № 14 «Вопро-
сы Федеральной службы безопасности Российской Федерации»;
q Указ Президента Российской Федерации от 28 августа 1999 года № 1131 «Во-
просы Федеральной службы безопасности Российской Федерации»;
q Указ Президента Российской Федерации от 17 июня 2000 года № 1109
«О внесении изменений в Указ Президента Российской Федерации от
6 июля 1998 года № 806 “Об утверждении Положения о Федеральной службе
безопасности Российской Федерации и ее структуры”»;
q Указ Президента Российской Федерации от 11 июня 2001 года № 694 «Во-
просы Федеральной службы безопасности Российской Федерации».
2.7. Ôåäåðàëüíàÿ ñëóæáà áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
101
q Указ Президента Российской Федерации от 11 августа 2003 года № 960 «Во-
просы Федеральной службы безопасности Российской Федерации» вновь
скорректированы функции ФСБ, а затем уточнены Указами от 11.07.04
№ 870, от 31.08.05 № 1007, от 01.12.05 № 1383, от 12.06.06 № 602, от 27.07.06
№ 799, от 28.12.06 № 1476.
Кроме того, функции ФСБ определены Федеральным Законом от 3 апреля
1995 года № 40-ФЗ «О федеральной службе безопасности» (в ред. федеральных законов от 30.12.99 № 226-ФЗ, от 07.11.00 № 135-ФЗ, от 07.05.02 № 49ФЗ, от 25.07.02 № 116-ФЗ, от 10.01.03 № 4-ФЗ, от 30.06.03 № 86-ФЗ, от
22.08.04 № 122-ФЗ, от 07.03.05 № 15-ФЗ, от 15.04.06 № 50-ФЗ, от 27.07.06
№ 153-ФЗ, с изменениями, внесенными Федеральным Законом от 30.12.01
№ 194-ФЗ). Закон определяет назначение, состав, правовые основы и принципы деятельности Федеральной службы безопасности, направления деятельности, полномочия, силы и средства органов Федеральной службы безопасности, а также порядок контроля и надзора за деятельностью органов
Федеральной службы безопасности.
В соответствии с последними указами, ФСБ России является федеральным
органом исполнительной власти, осуществляющим государственное управление
в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны Государственной границы, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим
основные направления деятельности органов Федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление.
ФСБ России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными
законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации, а также Положением
о ФСБ.
Президент Российской Федерации, в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными
законами, руководит деятельностью ФСБ России, утверждает Положение о Федеральной службе безопасности Российской Федерации и структуру органов
Федеральной службы безопасности.
Правительство Российской Федерации, в соответствии с Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации,
координирует деятельность ФСБ России в части, касающейся взаимодействия
ФСБ России с федеральными органами исполнительной власти.
ФСБ России для выполнения задач создает в установленном порядке структурные подразделения ФСБ России, территориальные органы безопасности,
а также подразделения специального назначения. При ФСБ России действует
Академия криптографии Российской Федерации.
102
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
Основными задачами ФСБ с точки зрения защиты информации являются:
q обеспечение защиты сведений, составляющих государственную тайну, и про-
тиводействия иностранным организациям, осуществляющим техническую
разведку;
q формирование и реализация государственной и научно-технической полити-
ки в области обеспечения информационной безопасности;
q организация обеспечения криптографической и инженерно-технической безо-
пасности информационно-телекоммуникационных систем, а также си-стем
шифрованной, засекреченной и иных видов специальной связи в Российской
Федерации и ее учреждениях за рубежом;
q разработка и реализация мер по обеспечению информационной безопасности
страны и защите сведений, составляющих государственную тайну, осуществление контроля за обеспечением сохранности сведений, составляющих государственную тайну, в федеральных органах государственной власти, органах
государственной власти субъектов Российской Федерации, воинских формированиях и организациях;
q осуществление мер, связанных с допуском граждан к сведениям, составляю-
щим государственную тайну, а также с допуском предприятий, учреждений и
организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, с созданием средств защиты информации и с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны;
q разработка и утверждение нормативных и методических документов по во-
просам обеспечения информационной безопасности информационно-телекоммуникационных систем и сетей критически важных объектов, а также
организация и осуществление контроля за обеспечением информационной
безопасности указанных систем и сетей.
ФСБ координирует деятельность:
q федеральных органов исполнительной власти и организаций по обеспечению
криптографической и инженерно-технической безопасности информационнотелекоммуникационных систем, а также систем шифрованной, засекреченной
и иных видов специальной связи в Российской Федерации и ее учреждениях
за рубежом;
q федеральных органов исполнительной власти в области разработки, про-
изводства, закупки, ввоза в Российскую Федерацию и вывоза из Российской Федерации специальных технических средств, предназначенных для
негласного получения информации в процессе осуществления оперативнорозыскной деятельности, по выявлению нарушений установленного порядка разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза из Российской Федерации
специальных технических средств, предназначенных для негласного получения информации.
2.7. Ôåäåðàëüíàÿ ñëóæáà áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
103
ФСБ определяет порядок осуществления контроля за:
q обеспечением защиты сведений, составляющих государственную тайну, в фе-
деральных органах государственной власти, органах государственной власти
субъектов Российской Федерации, воинских формированиях и организациях,
а также порядок проведения мероприятий, связанных с допуском граждан
к сведениям, составляющим государственную тайну;
q организацией и функционированием криптографической и инженерно-техниче-
ской безопасности информационно-телекоммуникационных систем, шифрованной, засекреченной и иных видов специальной связи, за соблюдением режима
секретности при обращении с шифрованной информацией в шифровальных
подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской
Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам.
Для решения основных задач ФСБ России выполняет следующие функции:
q осуществляет и организует, в соответствии с федеральным законодательством,
сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях
и технических средствах, специальных технических средств, предназначенных
для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов безопасности в этих областях;
q осуществляет регулирование в области разработки, производства, реализации,
эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также
в области предоставления на территории Российской Федерации услуг по шифрованию информации и выявлению электронных устройств, предназначенных
для негласного получения информации, в помещениях и технических средствах;
q осуществляет разработку и производство ручных шифров и ключевых доку-
ментов к шифровальным средствам, снабжение ими федеральных органов государственной власти, органов государственной власти субъектов Российской
Федерации;
q реализует шифр-документы и шифровальные средства, нормативно-техниче-
скую документацию на производство и использование шифровальных средств,
за исключением шифровальных средств, предназначенных для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации;
q обеспечивает выявление на территории Российской Федерации радиоизлуче-
ния передающих радиоэлектронных средств, работа которых представляет угрозу безопасности Российской Федерации, а также радиоизлучения передающих радиоэлектронных средств, используемых в противоправных целях;
104
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
q перехватывает передачи и пресекает работу на территории Российской Феде-
рации средств радиосвязи и других передающих радиоэлектронных средств,
представляющих угрозу безопасности Российской Федерации;
q осуществляет регистрацию и централизованный учет радиоданных и радио-
излучений передающих радиоэлектронных средств;
q участвует в подготовке проектов нормативных правовых актов Российской
Федерации по вопросам, отнесенным к компетенции органов безопасности;
q организует и проводит исследования в области защиты информации, эксперт-
ные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, а также информационно-телекоммуникационных
систем и сетей критически важных объектов; создания специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, а также информационнотелекоммуникационных систем и сетей критически важных объектов;
q осуществляет сбор, хранение, обработку и использование документированной
информации ограниченного доступа для обеспечения контрразведывательной, разведывательной, оперативно-розыскной и иной деятельности, отнесенной федеральным законодательством к компетенции органов безопасности;
q разрабатывает, в установленном порядке создает и использует информацион-
ные системы, системы связи и передачи данных, а также средства защиты информации, в том числе средства криптографической защиты;
q оказывает, в соответствии с федеральным законодательством, содействие ор-
ганизациям в разработке мер по защите коммерческой тайны.
Контроль за деятельностью органов ФСБ осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство
Российской Федерации и судебные органы в пределах полномочий, определяемых
Конституцией Российской Федерации, федеральными конституционными законами и федеральными законами. Надзор за исполнением органами Федеральной
службы безопасности законов Российской Федерации осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.
2.8. Ôåäåðàëüíàÿ ñëóæáà
ïî òåõíè÷åñêîìó
è ýêñïîðòíîìó êîíòðîëþ
Федеральная служба по техническому и экспортному контролю (ФСТЭК,
http://www.fstec.ru) создана Указом Президента Российской Федерации от 16 августа 2004 года № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю». Этим же Указом утверждено Положение о ФСТЭК, которое затем корректировалось Указами Президента от 22.03.05 № 330, от 20.07.05
№ 846, от 30.11.06 № 1321.
2.8. Ôåäåðàëüíàÿ ñëóæáà ïî òåõíè÷åñêîìó è ýêñïîðòíîìó êîíòðîëþ
105
ФСТЭК, ее территориальные органы и подведомственные ей организации являются правопреемниками Государственной технической комиссии при Президенте Российской Федерации, созданной Указом Президента Российской Федерации от 5 января 1992 года № 9 «О создании Государственной технической
комиссии при Президенте Российской Федерации». Функции комиссии были
уточнены Указом Президента от 19 февраля 1999 года № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации».
ФСТЭК является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
q обеспечения безопасности (некриптографическими методами) информации
в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере;
q противодействия иностранным техническим разведкам на территории Рос-
сийской Федерации;
q обеспечения защиты (некриптографическими методами) информации, содер-
жащей сведения, составляющие государственную тайну, иной информации с
ограниченным доступом, предотвращения ее утечки по техническим каналам,
несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения
и блокирования доступа к ней на территории Российской Федерации;
q защиты информации при разработке, производстве, эксплуатации и утилиза-
ции неинформационных излучающих комплексов, систем и устройств;
q осуществления экспортного контроля.
ФСТЭК России является федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности информации в ключевых
системах информационной инфраструктуры, организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации.
Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Министерству обороны
России.
ФСТЭК осуществляет самостоятельно нормативно-правовое регулирование
вопросов в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, технической защиты информации.
ФСТЭК России в своей деятельности руководствуется Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, международными договорами Российской Федерации,
приказами и директивами Министра обороны Российской Федерации в части,
касающейся ФСТЭК России, а также другими нормативными правовыми актами Российской Федерации, касающимися деятельности ФСТЭК России.
106
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти
субъектов Российской Федерации, федеральными органами исполнительной
власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации.
ФСТЭК вносит Президенту Российской Федерации, в Правительство Российской Федерации и Совет Безопасности Российской Федерации предложения
по нормативно-правовому регулированию в области обеспечения безопасности
информации, контролирует эффективность защиты информации в ключевых
системах информационной инфраструктуры, в информационных системах и
объектах, на которых выполняются работы, связанные со сведениями, составляющими государственную и (или) служебную тайну.
ФСТЭК имеет право заслушивать на заседаниях коллегии должностных лиц,
уполномоченных по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры и технической защиты информации.
ФСТЭК России осуществляет следующие полномочия:
1. Разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации.
2. Организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области технической защиты государственной тайны, по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите
конфиденциальной информации, по разработке и (или) производству средств
защиты конфиденциальной информации.
3. Организует проведение работ сертификации средств технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а
также объектов информатизации и ключевых систем информационной инфраструктуры.
4. Организует разработку и согласование федеральных целевых программ обеспечения безопасности информации, технической защиты информации, защиты государственной тайны.
5. Организует разработку программ стандартизации, технических регламентов и национальных стандартов в области обеспечения безопасности информации.
6. Организует проведение межведомственных экспертиз реального уровня безопасности информации.
2.9. Ôåäåðàëüíàÿ ñëóæáà îõðàíû ÐÔ
107
7. Осуществляет международное сотрудничество, участвует в проведении мероприятий по международному информационному обмену, а также в разработке
и реализации программ международного сотрудничества в области защиты
информации.
2.9. Ôåäåðàëüíàÿ
ñëóæáà îõðàíû
Ðîññèéñêîé Ôåäåðàöèè
В соответствии с Указом Президента Российской Федерации от 20 мая 2004
года № 649 «Структура федеральных органов исполнительной власти», руководство деятельностью Федеральной службой охраны (ФСО, http://www.fso.
gov.ru) осуществляет Президент.
Указом Президента Российской Федерации от 7 августа 2004 года № 1013
«Вопросы Федеральной службы охраны Российской Федерации» (с изменениями, внесенными указами Президента от 28.12.04 № 1627, от 22.03.05 № 329, от
01.10.05 № 1146, от 06.10.05 № 1164, от 05.04.06 № 318) проведена реорганизация ФСО и утверждено новое Положение о Службе.
Федеральная служба охраны Российской Федерации является федеральным
органом исполнительной власти, осуществляющим функции по выработке государственной политики, нормативно-правовому регулированию, контролю и надзору в сфере государственной охраны, президентской, правительственной и иных
видов специальной связи и информации, предоставляемых федеральным органам
государственной власти, органам государственной власти субъектов Российской
Федерации и другим государственным органам.
Основными задачами ФСО России являются:
1. Обеспечение безопасности объектов государственной охраны в местах их постоянного и временного пребывания и на трассах проезда.
2. Прогнозирование и выявление угрозы жизненно важным интересам объектов
государственной охраны, осуществление комплекса мер по предотвращению
этой угрозы.
3. Предупреждение, выявление и пресечение противоправных посягательств на
объекты государственной охраны и охраняемые объекты.
4. Предупреждение, выявление и пресечение преступлений и иных правонарушений на охраняемых объектах, в местах постоянного и временного пребывания объектов государственной охраны и на трассах их проезда.
5. Защита охраняемых объектов.
6. Участие в пределах своих полномочий в борьбе с терроризмом.
7. Организация и обеспечение эксплуатации, безопасности, совершенствования специальной связи и информации, предоставляемых государственным
органам.
108
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
8. Участие в разработке и реализации мер по обеспечению информационной
безопасности Российской Федерации, противодействию техническим разведкам и защите сведений, составляющих государственную тайну.
9. Осуществление государственной политики в области правовой информатизации Российской Федерации и координация работ, производимых в этой сфере.
10. Информационно-технологическое и информационно-аналитическое обеспечение государственных органов, техническое обслуживание и программное
сопровождение информационно-телекоммуникационных систем и ситуационных центров, а также информационное обеспечение управления государством в военное время и при чрезвычайных ситуациях.
ФСО России организует в пределах своих полномочий взаимодействие государственных органов обеспечения безопасности и осуществляет координацию
их деятельности в сфере государственной охраны, специальной связи и информации.
На основании и во исполнение Конституции Российской Федерации, федеральных конституционных законов, федеральных законов, актов Президента
Российской Федерации и Правительства Российской Федерации ФСО самостоятельно принимает нормативные правовые акты по вопросам, относящимся к установленной сфере деятельности, в том числе акты, содержащие требования к построению сетей специальной связи, управлению ими, нумерации,
применяемым средствам связи, организационно-техническому обеспечению их
устойчивого функционирования, защите от несанкционированного доступа к ним
и передаваемой посредством их информации.
ФСО России осуществляет следующие функции:
1. Обеспечивает защиту категорированных помещений, организует и проводит
мероприятия по предотвращению утечки информации по техническим каналам в системах специальной связи, информационно-технологических, информационно-аналитических и информационно-телекоммуникационных
системах и на охраняемых объектах, по предотвращению несанкционированного доступа к указанным системам, а также специальные исследования и
проверки технических средств и оборудования, находящихся в ведении
ФСО России.
2. Осуществляет разработку, создание, эксплуатацию и развитие информационных систем, в том числе информационно-телекоммуникационной системы специального назначения в интересах государственных органов, обеспечивающей
информационно-телекоммуникационную поддержку решения задач управления государством в военное время и при чрезвычайных ситуациях, а также используемой в мирное время для информирования Президента Российской Федерации и Правительства Российской Федерации.
3. Участвует в разработке, создании и развитии средств защиты информации,
включая системы специальных технических средств, а также в разработке
нормативно-технической документации по вопросам защиты информации в
системах специальной связи.
2.9. Ôåäåðàëüíàÿ ñëóæáà îõðàíû ÐÔ
109
4. Разрабатывает и реализует единую техническую политику в области оснащения Администрации Президента Российской Федерации, Аппарата Правительства Российской Федерации и палат Федерального Собрания Российской
Федерации средствами связи, в том числе специальной связи, вычислительной техникой, оргтехникой, аудио- и видеоаппаратурой, программными продуктами.
5. Осуществляет информационно-технологическое обеспечение, техническое
обслуживание и программное сопровождение информационно-телекоммуникационных систем для Президента Российской Федерации, Администрации
Президента Российской Федерации, Аппарата Правительства Российской
Федерации, палат Федерального Собрания Российской Федерации, Управления делами Президента Российской Федерации, а также систем официального информирования по электронным коммуникациям о деятельности государственных органов.
6. Обеспечивает оперативный доступ пользователей государственных органов к
внутренним, а также внешним информационным ресурсам, включая зарубежные, в информационных системах, с которыми установлена связь.
7. Осуществляет функции удостоверяющего центра в информационных системах, находящихся в ее ведении; ведет реестр сертификатов ключей подписей
уполномоченных лиц федеральных органов государственной власти.
8. Принимает участие в подготовке экспертных заключений на вносимые Президенту Российской Федерации и в Правительство Российской Федерации
предложения о проведении работ по созданию специальных и защищенных
федеральных систем и сетей информатизации.
Федеральный Закон «О государственной охране» от 7 мая 1996 года № 57-ФЗ
(в редакции федеральных законов от 18.07.97 № 101-ФЗ, от 07.11.00 № 135-ФЗ,
от 07.05.02 № 49-ФЗ, от 30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 29.12.04
№ 191-ФЗ) в общем виде определяет предназначение государственной охраны, устанавливает объекты государственной охраны, полномочия федеральных органов государственной охраны, а также контроль и надзор за их деятельностью.
В соответствии с Законом, федеральные органы государственной охраны входят в состав сил обеспечения безопасности Российской Федерации. Руководство
федеральными органами государственной охраны осуществляют Президент Российской Федерации, а также Правительство Российской Федерации в пределах
своих полномочий.
Контроль за деятельностью федеральных органов государственной охраны
осуществляют Президент Российской Федерации, Федеральное Собрание Российской Федерации, Правительство Российской Федерации и судебные органы
в пределах полномочий, определяемых Конституцией Российской Федерации,
федеральными конституционными законами и федеральными законами. Надзор
за исполнением законов Российской Федерации федеральными органами государственной охраны осуществляют Генеральный прокурор Российской Федерации и уполномоченные им прокуроры.
110
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
2.10. Ñëóæáà âíåøíåé ðàçâåäêè
Ðîññèéñêîé Ôåäåðàöèè
Служба внешней разведки Российской Федерации (СВР России, http:// www.
svr.ru) является составной частью сил обеспечения безопасности и защиты безопасности личности, общества и государства от внешних угроз.
Для достижения этих целей Службе внешней разведки предоставляется ряд
полномочий, определенных Федеральным Законом Российской Федерации
«О внешней разведке» от 10 января 1996 года № 5-ФЗ (в ред. Федеральных
Законов от 07.11.00 № 135-ФЗ, от 30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от
14.02.07 № 20-ФЗ).
Общее руководство органами внешней разведки Российской Федерации осуществляет Президент Российской Федерации.
В соответствии с Постановлением Правительства Российской Федерации от
15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по
защите государственной тайны» (в редакции Постановлений Правительства РФ
от 23.04.96 № 509, от 30.04.97 № 513, от 29.07.98 № 854, от 03.10.02 № 731, от
17.12.04 № 807, от 26.01.07 № 50) СВР уполномочена на ведение лицензионной
деятельности в следующих областях:
1. Допуск предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну (за рубежом).
2. Проведение работ, связанных с созданием средств защиты информации.
3. Осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны.
На СВР как орган, уполномоченный на ведение лицензионной деятельности,
возлагается:
q организация лицензирования деятельности предприятий;
q организация и проведение специальных экспертиз предприятий;
q рассмотрение заявлений предприятий о выдаче лицензий;
q принятие решений о выдаче или об отказе в выдаче лицензий;
q выдача лицензий;
q принятие решений о приостановлении действия лицензии или об ее аннули-
ровании;
q разработка нормативно-методических документов по вопросам лицензирова-
ния;
q привлечение в случае необходимости представителей министерств и ведомств
Российской Федерации для проведения специальных экспертиз;
q ведение реестра выданных, приостановленных и аннулированных лицензий.
2.11. Ôåäåðàëüíîå àãåíòñòâî ïî èíôîðìàöèîííûì òåõíîëîãèÿì
111
В соответствии с законом «О внешней разведке», для осуществления своей
деятельности Служба внешней разведки Российской Федерации может при собственных лицензировании и сертификации приобретать, разрабатывать (за исключением криптографических средств защиты), создавать, эксплуатировать информационные системы, системы связи и системы передачи данных, а также
средства защиты информации от утечки по техническим каналам.
Лицо, допускаемое к сведениям об органах внешней разведки Российской Федерации, проходит процедуру оформления допуска к сведениям, составляющим
государственную тайну.
2.11. Ôåäåðàëüíîå àãåíòñòâî
ïî èíôîðìàöèîííûì
òåõíîëîãèÿì
Федеральное агентство по информационным технологиям (http://www.minsvyaz.ru) создано Указом Президента Российской Федерации от 20 мая 2004 года
№ 649 «Структура федеральных органов исполнительной власти». Постановлением Правительства Российской Федерации от 30 июня 2004 года № 319 «Об
утверждении Положения о Федеральном агентстве по информационным технологиям» утверждено соответствующее Положение об агентстве.
Организационно агентство находится в ведении Министерства информационных технологий и связи Российской Федерации.
Федеральное агентство по информационным технологиям является федеральным органом исполнительной власти, осуществляющим функции по управлению государственным имуществом и оказанию государственных услуг в сфере
информационных технологий, в том числе в части использования информационных технологий для формирования государственных информационных ресурсов
и обеспечения доступа к ним.
Федеральное агентство по информационным технологиям является уполномоченным федеральным органом исполнительной власти в области использования электронной цифровой подписи.
Агентство выполняет следующие функции:
1. Организует подтверждение подлинности электронных цифровых подписей
уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей.
2. Осуществляет обязательную сертификацию информационных технологий,
предназначенных для обработки государственного банка данных о детях, оставшихся без попечения родителей.
3. Организует регистрацию государственных информационных ресурсов
и систем.
4. Осуществляет ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти,
112
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.
5. Осуществляет функции государственного заказчика научно-технических и инвестиционных программ и проектов в установленной сфере деятельности.
6. Взаимодействует в установленном порядке с органами государственной власти иностранных государств и международными организациями в установленной сфере деятельности.
7. Обеспечивает защиту сведений, составляющих государственную тайну,
в процессе деятельности агентства, а также контроль и координацию деятельности находящихся в его ведении учреждений и иных организаций в
указанной области.
Федеральное агентство по информационным технологиям не вправе осуществлять нормативно-правовое регулирование в установленной сфере деятельности
и функции по контролю и надзору, кроме случаев, устанавливаемых указами
Президента Российской Федерации и постановлениями Правительства Российской Федерации.
Агентство организует работу Совета главных конструкторов информатизации регионов Российской Федерации. Данный Совет осуществляет свою деятельность в соответствии с Положением, утвержденным приказом агентства от
25 марта 2005 года № 11. Последний состав Совета утвержден приказом агентства от 21 декабря 2006 года № 83. В состав Совета входят представители органов
исполнительной власти субъектов Российской Федерации, в должностные обязанности которых входят вопросы информатизации и обеспечения информационной безопасности регионов.
2.12. Ôåäåðàëüíàÿ ñëóæáà
ïî íàäçîðó â ñôåðå ìàññîâûõ
êîììóíèêàöèé, ñâÿçè è îõðàíû
êóëüòóðíîãî íàñëåäèÿ
Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (http://www.rosohrancult.ru) создана Указом Президента Российской Федерации от 12 марта 2007 года № 320 «О Федеральной
службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия». В соответствии с Указом данная служба образована путем
слияния двух служб: Федеральной службы по надзору в сфере связи (Россвязьнадзор) и Федеральной службы по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия (Росохранкультура).
Руководство Федеральной службой осуществляет Правительство Российской
Федерации.
2.13. Ôåäåðàëüíàÿ ñëóæáà ïî èíòåëëåêòóàëüíîé ñîáñòâåííîñòè
113
Вышеназванным Указом определено, что «указанная Служба является уполномоченным федеральным органом исполнительной власти, осуществляющим
функции по нормативно-правовому регулированию, контролю и надзору в сфере
средств массовой информации и массовых коммуникаций, информационных технологий, связи и охраны культурного наследия, авторского права и смежных прав,
а также организации деятельности радиочастотной службы».
Более подробно функции службы будут определены в соответствующем Положении, разработка которого поручена Правительству Российской Федерации.
2.13. Ôåäåðàëüíàÿ ñëóæáà
ïî èíòåëëåêòóàëüíîé
ñîáñòâåííîñòè, ïàòåíòàì
è òîâàðíûì çíàêàì
Федеральная служба по интеллектуальной собственности, патентам и товарным
знакам (http://www.fips.ru) создана Постановлением Правительства Российской
Федерации от 7 апреля 2004 года № 178 «Вопросы Федеральной службы по интеллектуальной собственности, патентам и товарным знакам» находится в ведении Министерства образования и науки Российской Федерации.
Постановлением Правительства от 16 июня 2004 года № 299 утверждено Положение о службе (с изменениями, внесенными в соответствии с Постановлением Правительства от 22.04.05 № 247).
Служба является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере правовой охраны и использования объектов интеллектуальной собственности, патентов и товарных знаков
и результатов интеллектуальной деятельности, вовлекаемых в экономический
и гражданско-правовой оборот, соблюдения интересов Российской Федерации,
российских физических и юридических лиц при распределении прав на результаты интеллектуальной деятельности, в том числе создаваемые в рамках международного научно-технического сотрудничества.
Она осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти
субъектов Российской Федерации, органами местного самоуправления, общественными объединениями и иными организациями.
Федеральная служба по интеллектуальной собственности, патентам и товарным знакам осуществляет следующие функции в установленной сфере деятельности:
q организует прием заявок на объекты интеллектуальной собственности, их регистрацию и экспертизу;
q выдает в установленном порядке патенты Российской Федерации на изо-
бретение, полезную модель, промышленный образец, свидетельства Российской Федерации на товарный знак, знак обслуживания, на право поль-
114
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
зования наименованием места происхождения товара, на общеизвестный
в Российской Федерации товарный знак, свидетельства об официальной регистрации программ для ЭВМ, баз данных, топологий интегральных микросхем;
q осуществляет регистрацию договоров о предоставлении права на изобретения,
полезные модели, промышленные образцы, товарные знаки, знаки обслуживания, охраняемые программы для ЭВМ, базы данных, топологии интегральных
микросхем, а также договоров коммерческой концессии на использование объектов интеллектуальной собственности, охраняемых в соответствии с патентным законодательством Российской Федерации;
q осуществляет в установленном порядке проверку деятельности организа-
ций, распоряжающихся правами Российской Федерации на объекты интеллектуальной собственности и результаты интеллектуальной деятельности;
q обеспечивает в пределах своей компетенции защиту сведений, составляющих
государственную тайну;
q осуществляет информационно-методическое обеспечение деятельности ор-
ганов исполнительной власти, осуществляющих правоприменительные
функции в сфере гражданского оборота объектов интеллектуальной собственности;
q на основании и во исполнение Конституции Российской Федерации, феде-
ральных конституционных законов, федеральных законов, актов Президента
Российской Федерации и Правительства Российской Федерации, нормативных правовых актов Министерства образования и науки Российской Федерации издает индивидуальные правовые акты по вопросам, отнесенным к сфере
деятельности Службы.
Служба имеет право пресекать факты нарушения законодательства Российской Федерации в установленной сфере деятельности, а также применять предусмотренные законодательством Российской Федерации меры ограничительного,
предупредительного и профилактического характера, направленные на недопущение и (или) ликвидацию последствий нарушений юридическими лицами и гражданами обязательных требований в установленной сфере деятельности.
Федеральная служба по интеллектуальной собственности, патентам и товарным знакам не вправе осуществлять нормативно-правовое регулирование в установленной сфере деятельности.
2.14. Ôåäåðàëüíîå àãåíòñòâî
ïî òåõíè÷åñêîìó
ðåãóëèðîâàíèþ è ìåòðîëîãèè
В соответствии с Постановлением Правительства Российской Федерации от
2 июня 2003 года № 316, Государственный комитет Российской Федерации по
стандартизации и метрологии (Госстандарт) определен органом, уполномоченным исполнять функции национального органа Российской Федерации по стан-
2.14. Ôåäåðàëüíîå àãåíòñòâî ïî òåõíè÷åñêîìó ðåãóëèðîâàíèþ è ìåòðîëîãèè
115
дартизации, а также функции федерального органа исполнительной власти по
техническому регулированию.
Указом Президента Российской Федерации от 9 марта 2004 года № 314 Государственный комитет Российской Федерации по стандартизации и метрологии
преобразован в Федеральную службу по техническому регулированию и метрологии, его функции по принятию нормативных правовых актов в установленной
сфере деятельности переданы Министерству промышленности и энергетики
Российской Федерации.
В соответствии с Указом Президента Российской Федерации от 20 мая
2004 года № 649, служба преобразована в Федеральное агентство по техническому регулированию и метрологии (http://www.gost.ru), входящее в состав Министерства промышленности и энергетики. Постановлением Правительства РФ от
17 июня 2004 года № 294 «О Федеральном агентстве по техническому регулированию и метрологии» (с изменениями от 27 октября 2004 года) утверждено Положение об агентстве и отменено ранее принятое Постановление от 8 апреля
2004 года № 194 «Вопросы Федеральной службы по техническому регулированию и метрологии».
Агентство организует:
q экспертизу и подготовку заключений по проектам федеральных целевых про-
грамм, а также межотраслевых и межгосударственных научно-технических
и инновационных программ;
q экспертизу проектов национальных стандартов;
q проведение в установленном порядке испытаний средств измерений и утвер-
ждение их типа;
q проведение в установленном порядке поверки средств измерений в Россий-
ской Федерации;
q сбор и обработку информации о случаях причинения вреда вследствие нару-
шения требований технических регламентов, а также информирование приобретателей, изготовителей и продавцов по вопросам соблюдения требований
технических регламентов.
Агентство обеспечивает в пределах своей компетенции защиту сведений, составляющих государственную тайну, осуществляет утверждение и учет национальных стандартов, ведение федерального информационного фонда технических
регламентов и стандартов, единой информационной системы по техническому регулированию, общероссийских классификаторов технико-экономической и социальной информации.
На сайте http://www.technormativ.ru/ содержится информация о всех стандартах и классификаторах Российской Федерации.
Постановлением Правительства Российской Федерации от 1 марта 2005 года
№ 97 «О правительственной комиссии по техническому регулированию»
(в ред. распоряжений Правительства РФ от 28.07.05 № 1063-р, от 24.03.06
№ 414-р, от 28.04.06 № 599-р, от 15.08.06 № 1135-р, Постановления Правительства РФ от 18.01.07 № 26, распоряжения Правительства РФ от 31.03.07
116
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
№ 386-р) создана соответствующая Комиссия, утверждено Положение и персональный состав.
Комиссия является координационным органом, обеспечивающим согласованные действия заинтересованных федеральных органов исполнительной власти
при решении вопросов в области технического регулирования.
Основными задачами Комиссии являются:
q обеспечение согласованных действий федеральных органов исполнительной
власти по реализации государственной политики в сфере технического регулирования;
q рассмотрение вопросов, связанных с оценкой состояния и путей совершенст-
вования технического регулирования;
q координация деятельности федеральных органов исполнительной власти по
обеспечению соответствия технического регулирования интересам российской экономики, уровню развития материально-технической базы и уровню
научно-технического развития, а также международным нормам и правилам;
q рассмотрение вопросов о состоянии дел в области учета случаев причинения
вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей
среде, жизни или здоровью животных и растений с учетом тяжести этого вреда вследствие нарушения требований технических регламентов;
q рассмотрение и подготовка предложений по вопросам совершенствования за-
конодательных и иных нормативных правовых актов в области технического
регулирования;
q обеспечение согласованных действий федеральных органов исполнительной
власти при подготовке концепций технических регламентов, программы разработки технических регламентов и других документов по техническому регулированию;
q организация подготовки аналитических материалов в сфере технического ре-
гулирования;
q рассмотрение и подготовка предложений по уточнению утвержденной Пра-
вительством Российской Федерации Программы разработки технических
регламентов;
q рассмотрение проектов технических регламентов, разногласий по ним меж-
ду федеральными органами исполнительной власти и принятие соответствующих решений по снятию разногласий и внесению проектов технических
регламентов в установленном порядке в Правительство Российской Федерации.
Организационно-техническое обеспечение деятельности Комиссии осуществляет Министерство промышленности и энергетики Российской Федерации. Председателем Комиссии назначен министр промышленности и энергетики.
2.15. Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè íà óðîâíå ñóáúåêòîâ ÐÔ
117
2.15. Îáåñïå÷åíèå èíôîðìàöèîííîé
áåçîïàñíîñòè íà óðîâíå
ñóáúåêòîâ Ðîññèéñêîé
Ôåäåðàöèè
Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения
законодательства, решений Президента и Правительства Российской Федерации
в области обеспечения информационной безопасности, а также по вопросам реализации федеральных программ в этой области. Совместно с органами местного
самоуправления они осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем
обеспечения информационной безопасности, вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации.
Органы местного самоуправления отвечают за соблюдение законодательства
Российской Федерации в области обеспечения информационной безопасности.
Органы судебной власти и прокуратуры субъектов Российской Федерации
осуществляют правосудие по делам о преступлениях, связанных с информационной сферой.
В структуре органов исполнительной власти субъектов Российской Федерации созданы специальные службы и комиссии, деятельность которых направлена на организацию процессов информатизации, а также разработку нормативных правовых актов регионального уровня.
Основным концептуальным документом, определяющим направления работ
в области информатизации, а также обеспечения информационной безопасности
на региональном уровне, является «Концепция региональной информатизации
до 2010 года», одобренная Распоряжением Правительства Российской Федерации от 17 июля 2006 года № 1024-р. В соответствии с Концепцией, одной из основных задач региональной информатизации является обеспечение информационной безопасности региональных и муниципальных информационных систем,
информационно-телекоммуникационной инфраструктуры на территории субъектов Российской Федерации.
На федеральном уровне функционирует также Совет главных конструкторов
информатизации регионов Российской Федерации, созданный приказом Федерального агентства по информационным технологиям от 8 декабря 2005 года
№ 86, который принимает конкретные решения в области информатизации (например, решение от 2 ноября 2006 года № СГК-2/2-2006).
Постановлением Правительства Российской Федерации от 28 января 2002
года № 65 утверждена федеральная целевая программа «Электронная Россия
(2002–2010 годы)». Одной из важнейших задач программы является формирование эффективной нормативной правовой базы в сфере информационно-коммуникационных технологий (ИКТ), регулирующей в том числе вопросы обеспе-
118
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
чения информационной безопасности и реализации прав, гарантированных
Конституцией Российской Федерации.
Реализация Программы позволит преодолеть отставание России от развитых
стран в уровне использования и развития ИКТ, обеспечить равноправное вхождение граждан России в глобальное информационное сообщество на основе соблюдения прав человека, в том числе права на свободный поиск, получение, передачу,
производство и распространение информации, а также права на обеспечение конфиденциальности любой охраняемой законом информации, имеющейся в информационных системах. Одним из результатов Программы станет формирование
единой информационной и телекоммуникационной инфраструктуры для органов
государственной власти и органов местного самоуправления, бюджетных и некоммерческих организаций.
В качестве примера управления региональной информатизацией можно привести структуру органов исполнительной власти и нормативно-правовую базу в
области информатизации Ульяновской области (подробная информация размещена на сайте http://ulgov.ru/power/gov/informatization/).
В составе Правительства Ульяновской области имеется департамент инноваций и информационных технологий. При губернаторе области создан Совет
безопасности. Совет возглавляет секретарь Совета безопасности. В рамках Совета безопасности создана межведомственная комиссия по информационной безопасности и постоянно действующая техническая комиссия по защите информации ограниченного доступа. В муниципальных образованиях также существуют
подразделения по защите информации. Общую структуру органов системы защиты информации можно представить в виде схемы, изображенной на
рис. 2.15.1.
Ðèñ. 2.15.1. Îðãàíû çàùèòû èíôîðìàöèè Óëüÿíîâñêîé îáëàñòè
2.15. Îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè íà óðîâíå ñóáúåêòîâ ÐÔ
119
На уровне Ульяновской области разработана соответствующая законодательная база в области информатизации и защиты информации. Среди законодательных документов можно отметить следующие:
q Концепция информатизации Ульяновской области «Электронный Улья-
новск» на 2004–2010 годы (Постановление главы администрации Ульяновской области от 09.04.04 № 42);
q Закон Ульяновской области № 087-ЗО от 04.10.05 «Об информационных ре-
сурсах и информатизации Ульяновской области»;
q Постановление губернатора Ульяновской области от 09.03.06 «О реестре ин-
формационных ресурсов и систем Ульяновской области и порядке организации информационного взаимодействия (обмена) органов государственной
власти Ульяновской области»;
q Распоряжение правительства Ульяновской области от 13.12.05 № 178-пр
«Об уполномоченном органе по информатизации Ульяновской области»;
q Постановление губернатора Ульяновской области от 15.05.06 № 60 «Об ут-
верждении форм документов для формирования реестра информационных
ресурсов области»;
q Распоряжение губернатора Ульяновской области от 03.08.06 № 497-р «О ко-
ординационном Совете по информатизации Ульяновской области»;
q Распоряжение губернатора Ульяновской области от 22.02.2006 №105-р об
утверждении «Инструкции о порядке пользования вычислительной техникой, программным обеспечением и работе в информационной вычислительной сети администрации губернатора и аппарата правительства Ульяновской области».
Кроме того, правительством области разработан проект муниципальной целевой программы «Автоматизированная информационно-аналитическая система
муниципального образования на 2007–2010 годы».
Реализация концепции информатизации Ульяновской области должна обеспечить решение следующих основных задач:
q стимулирование и организация массового и эффективного использования
информационно-коммуникационных технологий в ключевых областях экономической, социальной и культурной жизни области, включая реализацию
концепции «электронного правительства», создание единой образовательной
информационной среды и т. д.;
q обеспечение доступа к социально значимой информации и базовым информа-
ционно-коммуникационным услугам для всех жителей, независимо от социально-экономического положения, пола и возраста;
q развитие информационно-коммуникационной инфраструктуры области, от-
вечающей современным требованиям и удовлетворяющей потребности населения, органов власти и организаций области в инфо-коммуникационных
услугах;
120
Ãëàâà 2. Ãîñóäàðñòâåííàÿ ñèñòåìà îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòè ÐÔ
q формирование публичных информационных ресурсов, направленных на удов-
летворение информационных потребностей населения и хозяйствующих субъектов области;
q обеспечение необходимого уровня информационной безопасности информа-
ционно-коммуникационной инфраструктуры и информационных ресурсов и
систем области;
q создание условий для развития в области конкурентоспособного производст-
ва информации, информационных технологий и услуг, превращение сектора
ИКТ в важнейшую отрасль экономики Ульяновской области.
В числе приоритетных программ, в соответствии с концепцией указаны проекты, направленные на обеспечение информационной безопасности области, совершенствование нормативно-правовой базы развития информационного общества в Ульяновской области, развитие общеобластных информационных систем,
публичных ресурсов и информационно-коммуникационной инфраструктуры
Ульяновской области.
Одной из основных задач программ является создание системы обеспечения
информационной безопасности. Для решения этой задачи предусмотрено создание нормативно-правовой базы информационной безопасности Ульяновской области. В частности, предусматривается разработка концепции информационной
безопасности области, создание модели угроз информационной безопасности,
разработка Закона Ульяновской области «Об информационной безопасности
Ульяновской области».
Закон Ульяновской области от 04.10.05 № 087-ЗО «Об информационных ресурсах и информатизации Ульяновской области» регулирует отношения, возникающие при:
q формировании и использовании информационных ресурсов Ульяновской об-
ласти, относящихся к государственной собственности Ульяновской области;
q создании и эксплуатации информационных систем, содержащих информаци-
онные ресурсы Ульяновской области;
q реализации планов и программ информатизации Ульяновской области.
В соответствии с Законом, органы государственной власти Ульяновской области и иные организации, участвующие в работах по информатизации Ульяновской области, в формировании и использовании информационных ресурсов,
в создании и эксплуатации информационных систем, обязаны соблюдать требования законодательства Российской Федерации о защите информации и обеспечении информационной безопасности.
С полными текстами документов можно ознакомиться на сайте правительства Ульяновской области.
Êîíòðîëüíûå âîïðîñû ê ãëàâå 2
1. Назовите основные элементы государственной системы обеспечения информационной безопасности Российской Федерации.
Êîíòðîëüíûå âîïðîñû ê ãëàâå 2
121
2. Найдите на сайтах органов исполнительной власти Российской Федерации
нормативно-правовые документы в области информатизации и информационной безопасности.
3. Каковы функции Совета Безопасности Российской Федерации в области обеспечения информационной безопасности?
4. Каковы задачи Межведомственной комиссии Совета Безопасности по информационной безопасности?
5. Опишите деятельность Комиссии Совета Федерации по информационной политике.
6. Деятельность каких федеральных органов исполнительной власти непосредственно связана с обеспечением информационной безопасности Российской
Федерации?
7. Каковы основные задачи Правительственной комиссии по федеральной связи?
8. Опишите основные задачи в области информационной безопасности. Какими
правовыми актами они возложены на ФСБ, ФСТЭК, ФСО, СВР?
9. Каковы задачи и правовые основы деятельности Федерального агентства по
информационным технологиям?
10. Каковы задачи в информационной сфере и правовые основы деятельности
Федеральной службы по надзору в сфере массовых коммуникаций, связи
и охраны культурного наследия?
11. Каковы задачи в информационной сфере и правовые основы деятельности
Федеральной службы по интеллектуальной собственности, патентам и товарным знакам?
12. Каковы задачи в информационной сфере и правовые основы деятельности
Федеральной службы по техническому регулированию и метрологии?
Ãëàâà 3
Íîðìàòèâíî-ïðàâîâîå
îáåñïå÷åíèå èíôîðìàöèîííîé
áåçîïàñíîñòè
3.1. Ìåæäóíàðîäíûå ñòàíäàðòû
â îáëàñòè èíôîðìàöèîííîé
áåçîïàñíîñòè
Уровень развития информационно-коммуникационных технологий в разных
странах различен, поэтому задачи создания систем информационной безопасности и их нормативно-правового обеспечения возникали в разное время. В связи с
этим в разных государствах возник ряд стандартов, которые имели статус государственных. Со временем такие стандарты были доработаны и получили статус
региональных и международных.
Наиболее значительными стандартами в области защиты информации за рубежом являются: «Критерии безопасности компьютерных систем», разработанные министерством обороны США («Оранжевая книга»), «Европейские критерии безопасности информационных технологий», «Федеральные критерии
безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» и, наконец, «Общие критерии безопасности информационных технологий» («Общие критерии»).
Критерии безопасности компьютерных систем, неформально названные
«Оранжевой книгой» по цвету обложки брошюры, были разработаны министерством обороны США в 1983 году с целью определения требований безопасности компьютерных систем военного назначения. Этот документ был первым
3.1. Ìåæäóíàðîäíûå ñòàíäàðòû â îáëàñòè èíôîðìàöèîííîé áåçîïàñíîñòè
123
в области стандартов информационной безопасности. В 1985 году «Оранжевая
книга» была утверждена в качестве правительственного стандарта США.
Стандарт дает определение безопасной компьютерной системы как системы,
поддерживающей управление доступом к информации таким образом, что возможность чтения, записи, создания и удаления информации получают только авторизованные пользователи или процессы, действующие от их имени. В «Оранжевой книге» сформулированы шесть базовых требований безопасности, которым
должны соответствовать компьютерные системы, использующиеся для обработки
конфиденциальной информации:
q Требование 1. Политика безопасности. Система должна поддерживать точ-
но определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом, позволяя эффективно реализовывать разграничение доступа к категорированной информации.
q Требование 2. Метки. С объектами должны быть ассоциированы метки безо-
пасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и (или) режимы доступа
к этому объекту.
q Требование 3. Идентификация и аутентификация. Все субъекты должны
иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа,
подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации
и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения.
q Требование 4. Регистрация и учет. Для определения степени ответственно-
сти пользователей за действия в системе все происходящие в ней события,
имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность.
q Требование 5. Контроль корректности функционирования средств защиты.
Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику
безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной
принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
q Требование 6. Непрерывность защиты. Все средства защиты должны быть
защищены от несанкционированного вмешательства и (или) отключения,
124
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
причем эта защита должна быть постоянной и непрерывной в любом режиме
функционирования системы защиты и компьютерной системы в целом.
Приведенные выше базовые требования к безопасности служат основой для
критериев, образующих единую шкалу оценки безопасности компьютерных
систем.
Концепции, заложенные в «Оранжевой книге», послужили основой для формирования всех появившихся впоследствии стандартов информационной безопасности.
В 1991 году страны Европы разработали стандарт «Критерии безопасности
информационных технологий» (Европейские критерии).
В 1992 году Национальный институт стандартов и технологий США и Агентство национальной безопасности США разработали стандарт «Федеральные
критерии безопасности информационных технологий», призванный заменить
«Оранжевую книгу». Данный стандарт разработан на основе результатов исследований в области обеспечения безопасности информационных технологий и использования «Оранжевой книги».
Возрастающая необходимость консолидации различных национальных стандартов привела к тому, что в 1996 году появилась первая версия стандарта «Общие критерии» (Common Criteria for Information Technology Security Evaluation).
Данный стандарт унифицировал подходы к информационной безопасности телекоммуникационных систем различных стран. В его разработке принял участие
ряд известных национальных организаций США (Агентство национальной безопасности), Канады (Служба безопасности в области передачи данных), Германии
(Федеральное агентство в области информационных технологий), Франции
(Центральная служба безопасности информационных систем), Великобритании
(Группа по безопасности в области электроники и передаче данных). Усилия
этих организаций были объединены в рамках Международной организации по
стандартизации (ISO).
В 1999 году организацией ISO стандарт «Общие критерии» был утвержден
в качестве международного стандарта информационной безопасности ISO/IEC
15408. «Общие критерии» развивают предшествующие стандарты путем введения новых концепций, соответствующих современному уровню развития информационных технологий и требований глобального информационного общества.
«Общие критерии» являются результатом совместных усилий по объединению существующих национальных стандартов в единый согласованный документ и созданию единого международного стандарта оценивания безопасности
информационных технологий. Требования «Общих критериев» охватывают
практически все аспекты безопасности информационных технологий и являются всеобъемлющей энциклопедией информационной безопасности, поэтому их
можно использовать в качестве справочника безопасности информационных
технологий.
С 1 января 2004 года в Российской Федерации принят стандарт ГОСТ Р ИСО/
МЭК 15408—2002 «Методы и средства обеспечения безопасности. Критерии
оценки безопасности информационных технологий», состоящий из трех частей
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
125
и представляющий собой полный аутентичный вариант «Общих критериев».
ФСТЭК России проводит сертификацию продуктов в соответствии с этими документами.
В декабре 2000 года под эгидой ИСО и МЭК был принят международный
стандарт ISO/IEC 17799:2000 «Кодекс установившейся практики для менеджмента информационной безопасности», являющийся британским стандартом
BS 7799-1 от 1999 года.
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå
äîêóìåíòû Ðîññèéñêîé
Ôåäåðàöèè â îáëàñòè
çàùèòû èíôîðìàöèè
Система нормативных правовых актов Российской Федерации в области информационной безопасности состоит из нескольких уровней, от международного до уровня предприятия. К числу международных актов относятся документы, которые подписаны от имени Российской Федерации. Ниже приведен
список основных нормативных правовых документов, касающихся защиты информации.
Международные документы:
1. «Конвенция, учреждающая Всемирную организацию интеллектуальной собственности» (Стокгольм, 14 июля 1967 года, в редакции от 2 октября 1979 года. Вступила в силу для СССР 26 апреля 1970 года).
2. «Всемирная конвенция об авторском праве» (Женева, 6 сентября 1952 года.
Пересмотрена в Париже 24 июля 1971 года. Вступила в силу для СССР 27 мая
1973 года).
3. «Брюссельская конвенция о распространении несущих программы сигналов,
передаваемых через спутники. (Конвенция по спутникам)», 1974 год. Российская Федерация присоединилась 20 января 1989 года.
4. «Бернская конвенция об охране литературных и художественных произведений в редакции 1971 года». Российская Федерация присоединилась 13 марта
1995 года.
5. «Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Ратифицирована Законом Российской
Федерации от 19 декабря 2005 года № 160-ФЗ.
6. «Окинавская хартия глобального информационного общества». Окинава,
22 июля 2000 года.
7. Декларация принципов «Построение информационного общества — глобальная задача в новом тысячелетии». Всемирная встреча на высшем уровне по вопросам информационного общества. Женева, 10 декабря 2003 года.
126
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
8. «Международная конвенция об охране прав исполнителей, изготовителей фонограмм и вещательных организаций» (Рим, 26 октября 1961 года. Вступила
в силу для Российской Федерации 26 мая 2003 года).
9. «Конвенция об охране интересов производителей фонограмм от незаконного
воспроизводства их фонограмм» (Женева, 29 октября 1971 года; вступила в силу для Российской Федерации 13 марта 1995 года).
Концептуальные документы Российской Федерации:
1. «Конституция Российской Федерации» от 12 декабря 1993 года.
2. «Доктрина информационной безопасности Российской Федерации». Утверждена Указом Президента Российской Федерации от 09.09.00. № Пр-1895.
3. «Концепция национальной безопасности Российской Федерации» Утверждена Указом Президента Российской Федерации от 10.01.00 № 24 (изменена
Указом Президента РФ от 10.01.2000 № 24).
4. «Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года». Распоряжение Правительства РФ от 27 сентября 2004 года № 1244-р.
5. «Концепции создания системы персонального учета населения Российской Федерации». Утверждена Распоряжением Правительства РФ от 9 июня 2005 года
№ 748-р.
6. «Концепция региональной информатизации до 2010 года». Одобрена Распоряжением Правительства РФ от 17 июля 2006 года № 1024-р.
7. Руководящий документ «Концепция защиты средств вычислительной техники
и автоматизированных систем от несанкционированного доступа к информации». Утвержден решением Государственной технической комиссии от 30 марта 1992 года.
8. «Стратегия развития информационного общества в России». Утверждена Советом Безопасности Российской Федерации 25.07.07.
9. «Концепция формирования информационного общества в России». Одобрена
решением Государственной комиссии по информатизации при Государственном комитете Российской Федерации по связи и информатизации от 28 мая
1999 г. № 32.
10. «Концепция развития рынка информационных технологий в Российской Федерации» (проект).
Федеральные Законы Российской Федерации:
1. «О средствах массовой информации» от 27 декабря 1991 года № 2124-1 (с изменениями от 13.01.95 № 6-ФЗ, от 06.06.95 № 87-ФЗ, от 19.07.95 № 114-ФЗ,
от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 20.06.00 № 90-ФЗ, от 05.08.00
№ 110-ФЗ, от 04.08.01 № 107-ФЗ, от 21.03.02 № 31-ФЗ, от 25.07.02 № 112ФЗ, от 25.07.02 № 116-ФЗ, от 04.07.03 № 94-ФЗ, от 08.12.03 № 169-ФЗ, от
29.06.04 № 58-ФЗ, от 22.08.04 № 122-ФЗ, от 02.11.04 № 127-ФЗ, от 21.07.05
№ 93-ФЗ, от 27.07.06 № 153-ФЗ, от 16.10.06 № 160-ФЗ).
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
127
2. «О безопасности» от 5 марта 1992 года № 2446-I (с изменениями и дополнениями от 25.12.92. № 4235-1;от 24.12.93. № 2288; от 25.07.02. № 116-ФЗ; от
07.03.05. №15-ФЗ, от 25.07.06 № 128-ФЗ).
3. «О правовой охране программ для электронных вычислительных машин
и баз данных» от 23 сентября 1992 года № 3523-1 (с изменениями и дополнениями от 24.12.02 № 177-ФЗ, от 02.11.04 № 127-ФЗ, от 02.02.06 № 19-ФЗ).
Закон утратил силу с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от
18.12.06 г.
4. «Патентный Закон» от 23 сентября 1992 года № 3517-1 (с изменениями и дополнениями от 27.12.00 № 150-ФЗ, от 30.12.01 № 194-ФЗ, от 24.12.02 № 176ФЗ, от 07.02.03 № 22-ФЗ, от 02.02.06 № 19-ФЗ). Закон утратил силу
с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
5. «О правовой охране топологий интегральных микросхем» от 23 сентября
1992 года № 3526-1 (с изменениями и дополнениями от 09.07.02 № 82-ФЗ, от
02.11.04 № 127-ФЗ, от 02.02.06 № 19-ФЗ). Закон утратил силу с 01.01.08 г.
в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
6. «Об авторском праве и смежных правах» от 9 июля 1993 года № 5351-1 (с изменениями и дополнениями от 20.07.04 № 72-ФЗ). Закон утратил силу
с 01.01.08 г. в связи с принятием Закона № 231-ФЗ от 18.12.06 г.
7. «О государственной тайне» от 21 июля 1993 года № 5485-1 (с изменениями
и дополнениями от 06.10.97 № 131-ФЗ; от 30.06.03 № 86-ФЗ; от 11.11.03
№ 153-ФЗ; от 29.06.04 № 58-ФЗ; от 22.07.04 № 122-ФЗ).
8. «Гражданский кодекс Российской Федерации» от 30 ноября 1994 года № 51-ФЗ
(часть 1 с изм., внесенными Федеральным Законом от 29.12.06 № 258-ФЗ,
часть 2 с изм. от 18.12.06 № 231-ФЗ, часть 3 с изм., внесенными Федеральными Законами от 18.12.06 № 231-ФЗ, от 29.12.06 № 258-ФЗ, часть 4 в соответствии с Федеральным Законом от 18.12.06 № 231-ФЗ вступает в силу с 1 января 2008 года).
9. «Об информации, информатизации и защите информации» от 20 февраля
1995 года № 24-ФЗ (с изменениями и дополнениями от 10 января 2003 года
№ 15-ФЗ). Закон утратил силу в связи с принятием Закона № 149-ФЗ.
10. «О Федеральной службе безопасности» от 3 апреля 1995 года № 40-ФЗ (в ред.
Федеральных законов от 30.12.1999 № 226-ФЗ, от 07.11.2000 № 135-ФЗ, от
07.05.2002 № 49-ФЗ, от 25.07.2002 № 116-ФЗ, от 10.01.2003 № 4-ФЗ, от
30.06.2003 № 86-ФЗ, от 22.08.2004 № 122-ФЗ, от 07.03.2005 № 15-ФЗ, от
15.04.2006 № 50-ФЗ, от 27.07.2006 № 153-ФЗ, с изм., внесенными Федеральным законом от 30.12.2001 № 194-ФЗ).
11. «Об оперативно-розыскной деятельности» от 12 августа 1995 года № 144-ФЗ
(в ред. Федеральных законов от 18.07.97 № 101-ФЗ, от 21.07.98 № 117-ФЗ, от
05.01.99 № 6-ФЗ, от 30.12.99 № 225-ФЗ, от 20.03.01 № 26-ФЗ, от 10.01.03
№ 15-ФЗ, от 30.06.03 № 86-ФЗ, от 29.06.04 № 58-ФЗ, от 22.08.04 № 122-ФЗ,
от 02.12.05 № 150-ФЗ).
128
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
12. «О государственной охране» от 7 мая 1996 года № 57-ФЗ (в ред. Федеральных
Законов от 18.07.97 № 101-ФЗ, от 07.11.00 № 135-ФЗ, от 07.05.02 № 49-ФЗ, от
30.06.03 № 86-ФЗ, от 22.08.04 № 122-ФЗ, от 29.12.04 № 191-ФЗ).
13. «Об участии в международном информационном обмене» от 4 июня
1996 года № 85-ФЗ (с изменениями и дополнениями от 30.06.03. № 86-ФЗ;
от 29.06.04. № 58-ФЗ). Закон утратил силу в связи с принятием Закона
№ 149-ФЗ.
14. «Уголовный Кодекс Российской Федерации» от 13 июня 1996 года № 63-ФЗ
(с последними изменениями и дополнениями от 30.12.06. № 283-ФЗ, от
09.04.07 № 42-ФЗ, от 09.04.07 № 46-ФЗ).
15. «О внешней разведке» от 10 января 1996 года № 5-ФЗ (в ред. Федеральных
Законов от 07.11.00 г. № 135-ФЗ, от 30.06.03 г. № 86-ФЗ, от 22.08.04 г.
№ 122-ФЗ, от 14.02.07 г. № 20-ФЗ).
16. «О лицензировании отдельных видов деятельности» от 8 августа 2001 года
№ 128-ФЗ (с изменениями и дополнениями от 13.03.02. № 28-ФЗ, от
21.03.02 № 31-ФЗ; от 09.12.02. № 164-ФЗ; от 10.01.03. № 17-ФЗ; от 27.02.03.
№ 29-ФЗ; от 11.03.03. № 32-ФЗ; от 26.03.03. №36-ФЗ; от 23.12.03. №185-ФЗ;
от 02.11.04. № 127-ФЗ; от 21.03.05. № 20-ФЗ, от 02.07.05 № 80-ФЗ, от
31.12.05 № 200-ФЗ, от 27.07.06 № 156-ФЗ, от 04.12.06 № 201-ФЗ, от 29.12.06
№ 244-ФЗ, от 29.12.06 № 252-ФЗ, от 05.02.07 № 13-ФЗ).
17. «Кодекс Российской Федерации об административных правонарушениях» от
30 декабря 2001 года № 195-ФЗ (с последними изменениями и дополнениями
от 09.02.07 № 19-ФЗ, от 29.03.07 № 39-ФЗ, от 09.04.07 № 44-ФЗ, от 20.04.07
№ 54-ФЗ).
18. «Трудовой Кодекс Российской Федерации» от 30 декабря 2001 года
№ 197-ФЗ (в ред. Федеральных Законов от 24.07.2002 № 97-ФЗ, от 25.07.02
№ 116-ФЗ, от 30.06.03 № 86-ФЗ, от 27.04.04 № 32-ФЗ, от 22.08.04 № 122-ФЗ,
от 29.12.04 № 201-ФЗ, от 09.05.05 № 45-ФЗ, от 30.06.06 № 90-ФЗ, от 18.12.06
№ 232-ФЗ, от 30.12.06 № 271-ФЗ).
19. «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ.
20. «О техническом регулировании» от 27 декабря 2002 года № 184-Ф3 (с изменениями и дополнениями от 09.05.05. № 45-ФЗ).
21. «О государственной автоматизированной системе Российской Федерации
“Выборы”» от 10 января 2003 года № 20-ФЗ.
22. «Таможенный кодекс Российской Федерации» от 28 мая 2003 года № 61-ФЗ
(в ред. Федеральных Законов от 29.06.04 № 58-ФЗ, от 20.08.04 № 118-ФЗ, от
11.11.04 № 139-ФЗ, от 18.07.05 № 90-ФЗ, от 31.12.05 № 204-ФЗ, от 10.01.06
№ 16-ФЗ, от 18.02.06 № 26-ФЗ, от 30.12.06 № 266-ФЗ, с изм., внесенными Федеральными Законами от 23.12.03 № 186-ФЗ, от 19.12.06 № 238-ФЗ).
23. «О связи» от 7 июля 2003 года № 126-ФЗ (с изменениями и дополнениями от
22.08.04 № 122-ФЗ, от 02.11.04 № 127-ФЗ, от 09.05.05 № 45-ФЗ, от 02.02.06
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
129
№ 19-ФЗ, от 03.03.06 № 32-ФЗ, от 26.07.06 № 132-ФЗ, от 27.07.06 № 153-ФЗ,
от 29.12.06 № 245-ФЗ, от 23.12.03 № 186-ФЗ, от 09.02.07 № 14-ФЗ).
24. «О коммерческой тайне» от 29 июля 2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ).
25. «Об архивном деле в Российской Федерации» от 22 октября 2004 года № 125-ФЗ
(с изменениями и дополнениями от 04.12.06 № 202-ФЗ).
26. «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 года
№ 160-ФЗ.
27. «О рекламе» от 13 марта 2006 года № 38-ФЗ (с изменениями от 09.02.07
№ 18-ФЗ, от 18.12.06 № 231-ФЗ).
28. «О персональных данных» от 27 июля 2006 года № 152-ФЗ.
29. «Об информации, информационных технологиях и о защите информации» от
27 июля 2006 года № 149-ФЗ.
30. «О транспортной безопасности» от 9 февраля 2007 года № 16-ФЗ.
31. «О внесении изменений в статьи 146 и 180 Уголовного Кодекса Российской
Федерации» от 9 апреля 2007 года № 42-ФЗ.
32. «О правовом регулировании оказания интернет-услуг» (проект).
33. «Об электронной торговле» (проект).
Указы Президента Российской Федерации:
1. Указ от 31 декабря 1993 года № 2334 «О дополнительных гарантиях прав граждан на информацию» (в ред. Указов Президента РФ от 17.01.97 № 13, от
01.09.00 № 1606)
2. Указ от 20 января 1994 года № 170 «Об основах государственной политики
в сфере информатизации» (в ред. Указов Президента РФ от 26.07.95 № 764, от
17.01.97 № 13, от 09.07.97 № 710)
3. Указ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (с изм., внесенными Указами Президента
РФ от 24.01.98 № 61, от 06.06.2001 № 659, от 10.09.01 № 1114, от 29.05.02
№ 518, от 03.03.05 № 243, от 11.02.06 № 90).
4. Указ от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных
средств, а также предоставления услуг в области шифрования информации»
(в ред. Указа Президента РФ от 25.07.2000 № 1358).
5. Указ от 8 ноября 1995 года № 1108 «О создании Межведомственной комиссии
по защите государственной тайны».
6. Указ от 9 января 1996 года № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую
Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации»
(в ред. Указа Президента РФ от 30.12.00 № 2111).
130
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
7. Указ от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» (изм., внесенными Указом Президента РФ от
23.09.05 № 1111).
8. Указ от 10 января 2000 года № 24 «Об утверждении концепции национальной
безопасности Российской Федерации» (с изм., внесенными Указом Президента РФ от 10.01.00 № 24).
9. Указ от 9 сентября 2000 года № Пр-1895 «Доктрина информационной безопасности Российской Федерации».
10. Указ от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации».
11. Указ от 11 августа 2003 года № 960 «Вопросы Федеральной службы безопасности Российской Федерации» (в ред. Указов Президента Российской Федерации от 11.07.04 № 870, от 31.08.05 № 1007, от 01.12.05 № 1383, от 12.06.06
№ 602, от 27.07.06 № 799, от 28.12.06 № 1476).
12. Указ от 12 мая 2004 года № 611 «О мерах по обеспечению информационной
безопасности Российской Федерации в сфере международного информационного обмена» (с изм., внесенными Указами Президента РФ от 22.03.05
№ 329, от 03.03.2006 № 175).
13. Указ от 20 мая 2004 года № 649 «Структура федеральных органов исполнительной власти» (в ред. Указов Президента от 28.07.04 № 976, от 13.09.04
№ 1168, от 11.10.04 № 1304, от 18.11.04 № 1453, от 01.12.04 № 1487, от
22.07.05 № 855, от 05.09.05 № 1049, от 03.10.05 № 1158, от 11.05.06 № 473, от
30.06.06 № 658, от 05.02.07 № 119, от 12.03.07 № 320).
14. Указ от 7 июня 2004 года № 726 «Об утверждении Положений о Совете Безопасности Российской Федерации и аппарате Совета Безопасности…» (в ред.
Указа Президента Российской Федерации от 25.07.06 № 763).
15. Указ от 7 августа 2004 года № 1013 «Вопросы Федеральной службы охраны
Российской Федерации» (в ред. Указов Президента РФ от 28.12.04 № 1627, от
22.03.05 № 329, от 01.10.05 № 1146, от 06.10.05 № 1164, от 05.04.06 № 318).
16. Указ от 16 августа 2004 года № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» (с изм., внесенными Указами Президента РФ от 22.03.05 № 330, от 20.07.05 № 846, от 30.11.06 № 1321).
17. Указ от 6 октября 2004 года № 1286 «Вопросы Межведомственной комиссии
по защите государственной тайны».
18. Распоряжение от 16 апреля 2005 года № 151-рп «О перечне должностных лиц
органов государственной власти, наделяемых полномочиями по отнесению
сведений к государственной тайне».
19. Указ от 28 октября 2005 года № 1244 «Об утверждении Положения о Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности» (с изменениями от 12 июня 2006 года).
20. Указ от 12 марта 2007 года № 320 «О Федеральной службе по надзору в сфере
массовых коммуникаций, связи и охраны культурного наследия».
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
131
Постановления Правительства Российской Федерации:
1. От 5 декабря 1991 года № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» (в ред. Постановления Правительства РФ от
03.10.02 № 731).
2. От 3 ноября 1994 года № 1224 «О присоединении Российской Федерации
к Бернской конвенции об охране литературных и художественных произведений в редакции 1971 года и дополнительным протоколам 1 и 2, Конвенции
1971 года об охране интересов производителей фонограмм от незаконного
воспроизводства их фонограмм».
3. От 3 ноября 1994 года № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в Федеральных органах исполнительной власти».
4. От 15 апреля 1995 года № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств
защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с изм., внесенными Постановлениями Правительства РФ от 23.04.96 № 509, от 30.04.97 № 513, от 29.07.98
№ 854, от 03.10.02 № 731, от 17.12.04 № 807, от 26.01.07 № 50).
5. От 4 сентября 1995 года № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».
6. От 26 июня 1995 года № 608 «О сертификации средств защиты информации»
(с изм., внесенными Постановлениями Правительства РФ от 23.04.96 № 509,
от 29.03.1999 № 342, от 17.12.04 № 808).
7. От 28 октября 1995 года № 1050 «Об утверждении инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной
тайне» (в ред. Постановлений Правительства РФ от 08.08.03 № 475, от
15.11.04 № 637).
8. От 28 февраля 1996 года № 226 «О государственном учете и регистрации баз
и банков данных» (в ред. Постановления Правительства РФ от 02.03.05
№ 101).
9. От 1 июля 1996 года № 770 «Об утверждении Положения о лицензировании
деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую
Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических
средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления
оперативно-розыскной деятельности (в ред. Постановления Правительства РФ
от 15.07.02 № 526).
132
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
10. От 3 июня 1998 года № 564 «Об утверждении Положения о лицензировании
деятельности по международному информационному обмену» (в ред. Постановления Правительства РФ от 03.10.02 № 731).
11. От 22 августа 1998 года № 1003 «Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц
из числа иностранных граждан, эмигрантов и реэмигрантов к государственной
тайне».
12. От 10 марта 2000 года № 214 «Об утверждении Положения о ввозе в Российскую Федерацию и вывозе из Российской Федерации специальных технических средств, предназначенных для негласного получения информации, и списка видов специальных технических средств, предназначенных для негласного
получения информации, ввоз и вывоз которых подлежит лицензированию»
(в ред. Постановлений Правительства РФ от 19.10.00 № 800, от 27.11.06
№ 718).
13. От 15 июля 2002 года № 526 «Об утверждении Положения о лицензировании
деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность»
(в ред. Постановлений Правительства РФ от 14.06.05 № 376, от 26.01.07
№ 50).
14. От 23 сентября 2002 года № 691 «Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
15. От 12 февраля 2003 года № 95 «Об утверждении Положения о лицензировании
деятельности по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за
исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
16. От 12 февраля 2003 года № 98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти».
17. От 15 августа 2003 года № 500 «О Федеральном информационном фонде
технических регламентов и стандартов и единой информационной системе
по техническому регулированию» (в ред. Постановления Правительства РФ
от 02.08.05 № 486).
18. От 7 апреля 2004 года № 178 «Вопросы Федеральной службы по интеллектуальной собственности, патентам и товарным знакам».
19. От 16 июня 2004 года № 299 «Об утверждении Положения о Федеральной
службе по интеллектуальной собственности, патентам и товарным знакам».
20. От 17 июня 2004 года № 294 «О Федеральном агентстве по техническому регулированию и метрологии» (с изм. от 27.10.04 г.).
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
133
21. От 30 июня 2004 года № 319 «Об утверждении Положения о Федеральном
агентстве по информационным технологиям».
22. Распоряжение от 27 сентября 2004 года № 1244-р «Концепция использования
информационных технологий в деятельности федеральных органов государственной власти до 2010 года».
23. От 3 декабря 2004 года № 728 «О персональном составе Межведомственной
комиссии по защите государственной тайны».
24. От 31 декабря 2004 года № 896 «Об утверждении перечня средств связи, подлежащих обязательной сертификации».
25. Распоряжение от 9 июня 2005 года № 748-р об утверждении «Концепции
создания системы персонального учета населения Российской Федерации».
26. От 27 августа 2005 года № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность».
27. От 17 ноября 2005 года № 685 «О порядке распоряжения правами на результаты научно-технической деятельности».
28. От 23 января 2006 года № 32 «Об утверждении Правил оказания услуг связи
по передаче данных». Правила введены в действие с 1 июля 2006 года.
29. От 26 января 2006 года № 45 «Об организации лицензирования отдельных видов деятельности» (в ред. Постановления Правительства РФ от 05.05.07
№ 269).
30. От 13 апреля 2006 года № 213 «О Правительственной комиссии по федеральной связи».
31. Распоряжение Правительства РФ от 17 июля 2006 года № 1024-р об одобрении «Концепции региональной информатизации до 2010 года».
32. От 15 августа 2006 года № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
33. От 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
34. От 14 февраля 2007 года № 94 «О государственной информационной системе
миграционного учета».
35. От 20 февраля 2007 года № 116 «Об утверждении правил осуществления контроля и надзора в сфере образования».
36. От 10 марта 2007 года № 147 «Об утверждении Положения о пользовании
официальными сайтами в сети Интернет для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для
государственных и муниципальных нужд и о требованиях к технологическим,
программным, лингвистическим, правовым и организационным средствам
обеспечения пользования указанными сайтами».
37. От 10 сентября 2007 года № 575 «Об утверждении Правил оказания телематических услуг связи». Правила введены с 1 января 2008 года.
134
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Постановления федеральных органов:
1. Приказ ФСБ от 13 ноября 1999 года № 564 «Об утверждении Положений
о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках
соответствия».
2. Положение о порядке регистрации сетевых электронных научных изданий,
публикации в которых учитываются при защите диссертационных работ. Утверждено заместителем министра связи и информатизации 18.04.02.
3. Приказ Федеральной налоговой службы от 3 марта 2003 года № БГ-3-28/96
«Об утверждении порядка доступа к конфиденциальной информации налоговых органов».
4. Приказ Государственного таможенного комитета Российской Федерации
от 13 мая 2004 года № 564 «Об утверждении Положения об организации
проверок информационных систем, информационных технологий и средств
их обеспечения, используемых участниками внешнеэкономической деятельности».
5. Приказ ФСБ от 9 февраля 2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).
6. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Введен в действие с 01.01.2006 г. распоряжением
Банка России от 26 января 2006 года № Р-27.
7. Постановление пленума Верховного суда Российской Федерации от 19 июня
2006 года № 15 «О вопросах, возникших у судов при рассмотрении гражданских дел, связанных с применением законодательства об авторском праве
и смежных правах».
8. Постановление Центральной избирательной комиссии от 28 февраля 2007 года № 200/1254-4 «О внесении изменений в Положение об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации “Выборы”».
9. Постановление Центральной избирательной комиссии от 28 февраля 2007
года № 200/1255-4 «Об инструкции по размещению данных государственной автоматизированной системы Российской Федерации “Выборы” в сети
Интернет».
10. Решение Совета главных конструкторов информатизации регионов Российской Федерации от 2 ноября 2006 года № СГК-2/2-2006.
11. Постановление пленума Верховного суда Российской Федерации от 26 апреля 2007 года № 14 «О практике рассмотрения судами уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав, а также о незаконном использовании товарного знака».
3.2. Îñíîâíûå íîðìàòèâíî-ïðàâîâûå äîêóìåíòû ÐÔ â îáëàñòè çàùèòû èíôîðìàöèè
135
Государственные стандарты:
1. ГОСТ Р 50377—92. Безопасность оборудования информационной технологии,
включая электрическое конторское оборудование.
2. ГОСТ Р 50739—95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
3. ГОСТ Р 50922—96. Защита информации. Основные термины и определения.
4. ГОСТ Р 51171—98. Качество служебной информации. Правила предъявления
информационных технологий на сертификацию.
5. ГОСТ Р 51188—98. Защита информации. Испытания программных средств на
наличие компьютерных вирусов. Типовое руководство.
6. ГОСТ Р 51275—99. Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения.
7. ГОСТ Р 52069.0—2003. Защита информации. Система стандартов. Основные
положения.
8. ГОСТ Р ИСО 7498-1—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
9. ГОСТ Р ИСО 7498-2—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
10. ГОСТ Р ИСО/МЭК 15408-1—2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1.
Введение и общая модель.
11. ГОСТ Р ИСО/МЭК 15408-2—2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.
Функциональные требования безопасности.
12. ГОСТ Р ИСО/МЭК 15408-3—2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.
Требования доверия к безопасности.
13. ГОСТ Р В 50170—92. Противодействие ИТР. Термины и определения.
14. ГОСТ 28689—90. Радиопомехи от ПЭВМ. Нормы и методы испытаний.
15. ГОСТ Р 34.10—94. Системы обработки информации. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой
подписи на базе асимметричного криптографического алгоритма.
16. ГОСТ Р 34.10—2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.
17. ГОСТ Р 34.11—94. Системы обработки информации. Криптографическая защита информации. Функция хеширования.
18. ГОСТ Р ИСО/МЭК 17799—2005. Информационная технология. Практические правила управления информационной безопасностью.
136
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
19. ГОСТ Р ИСО/МЭК ТО 13335-5—2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети.
20. ГОСТ Р 50.1.053—2005. Информационные технологии. Основные термины
и определения в области технической защиты информации.
Руководящие документы Гостехкомиссии:
1. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Утвержден решением Гостехкомиссии от 30 марта 1992 года.
2. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Утвержден решением председателя Гостехкомиссии России от 30 марта 1992 года.
3. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от
несанкционированного доступа к информации». Утвержден решением председателя Гостехкомиссии от 30 марта 1992 года.
4. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Утвержден решением председателя
Гостехкомиссии от 30 марта 1992 года.
5. Руководящий документ «Временное положение по организации разработки,
изготовления и эксплуатации программных и технических средств защиты
информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Утвержден решением председателя Гостехкомиссии от 30 марта 1992 года.
6. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации». Утвержден
решением председателя Гостехкомиссии от 25 июля 1997 года.
7. Руководящий документ «Защита информации. Специальные защитные знаки.
Классификация и общие требования». Утвержден решением председателя
Гостехкомиссии от 25 июля 1997 года.
8. Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Утвержден решением председателя Гостехкомиссии от 4 июня 1999 года
№ 114.
9. Руководящий документ «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий». Введен в действие
Приказом Гостехкомиссии России от 19.06.02 № 187 (Части 1, 2, 3). Соответствует ГОСТ Р ИСО/МЭК 15408—2002.
3.3. Êîíñòèòóöèÿ Ðîññèéñêîé Ôåäåðàöèè
137
10. Руководящий документ «Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 год.
11. Руководящий документ «Безопасность информационных технологий. Руководство по регистрации профилей защиты». Гостехкомиссия России,
2003 год.
12. Руководящий документ «Безопасность информационных технологий. Руководство по формированию семейств профилей защиты». Гостехкомиссия России, 2003 год.
13. Руководящий документ «Руководство по разработке профилей защиты и заданий по безопасности». Гостехкомиссия России, 2003 год.
3.3. Êîíñòèòóöèÿ
Ðîññèéñêîé Ôåäåðàöèè
Конституция Российской Федерации определяет базовые принципы общественных отношений в информационной сфере. Правовым фундаментом, регулирующим отношения в области информации, являются статьи Конституции 15, 23,
24, 29, 44.
Статья 15. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения.
Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой
системы. Если международным договором Российской Федерации установлены
иные правила, чем предусмотренные законом, то применяются правила международного договора.
Статья 23:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение этого права допускается только
на основании судебного решения.
Статья 24:
1. Сбор, хранение, использование и распространение информации о частной
жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
138
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Статья 29:
1. Каждому гарантируется свобода мысли и слова.
2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового
превосходства.
3. Никто не может быть принужден к выражению своих мнений и убеждений
или отказу от них.
4. Каждый имеет право свободно искать, получать, передавать, производить и
распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается.
Статья 44:
1. Каждому гарантируется свобода литературного, художественного, научного,
технического и других видов творчества, преподавания. Интеллектуальная
собственность охраняется законом.
2. Каждый имеет право на участие в культурной жизни и пользование учреждениями культуры, на доступ к культурным ценностям.
3. Каждый обязан заботиться о сохранении исторического и культурного наследия, беречь памятники истории и культуры.
3.4. Êîíöåïöèÿ
íàöèîíàëüíîé áåçîïàñíîñòè
Ðîññèéñêîé Ôåäåðàöèè
Концепция национальной безопасности Российской Федерации утверждена
Указом Президента Российской Федерации от 17 декабря 1997 года № 1300 (в редакции Указа Президента РФ от 10.01.00 № 24). Она является политическим концептуальным документом и отражает систему взглядов на обеспечение в Российской Федерации безопасности личности, общества и государства от внешних
и внутренних угроз во всех сферах жизнедеятельности. В ней сформулировано
понятие национальных интересов России как совокупность сбалансированных
интересов личности, общества и государства в экономической, внутриполитической, социальной, международной, информационной, военной, пограничной, экологической и других сферах.
В соответствии с Концепцией, национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан
в области получения информации и пользования ею, в развитии современных те-
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
139
лекоммуникационных технологий, в защите государственных информационных
ресурсов от несанкционированного доступа.
Следует отметить, что национальные интересы государства в области защиты
информации сформулированы слишком узко. В концепции речь идет только
о государственных информационных ресурсах и о защите только от несанкционированного доступа.
Концепция определяет основные внутренние и внешние угрозы национальной безопасности страны, основные задачи в области обеспечения национальной
безопасности.
Отмечается усиление угроз национальной безопасности Российской Федерации в информационной сфере. Серьезную опасность представляет собой стремление ряда стран к доминированию в мировом информационном пространстве,
вытеснению России с внешнего и внутреннего информационного рынка; разработка рядом государств концепции информационных войн, предусматривающей
создание средств опасного воздействия на информационные сферы других стран
мира; нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Важнейшими задачами обеспечения информационной безопасности Российской Федерации являются:
q реализация конституционных прав и свобод граждан Российской Федерации
в сфере информационной деятельности;
q совершенствование и защита отечественной информационной инфраструкту-
ры, интеграция России в мировое информационное пространство;
q противодействие угрозе развязывания противоборства в информационной
сфере.
3.5. Äîêòðèíà
èíôîðìàöèîííîé
áåçîïàñíîñòè
Ðîññèéñêîé Ôåäåðàöèè
Доктрина информационной безопасности Российской Федерации утверждена
Президентом Российской Федерации 9 сентября 2000 года № Пр-1895. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и
основные направления обеспечения информационной безопасности Российской
Федерации и развивает Концепцию национальной безопасности применительно
к информационной сфере. Согласно Доктрине, информационная безопасность
Российской Федерации является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности
общества и государства.
140
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Доктрина служит основой для:
q формирования государственной политики в области обеспечения информа-
ционной безопасности Российской Федерации;
q подготовки предложений по совершенствованию правового, методического, на-
учно-технического и организационного обеспечения информационной безопасности Российской Федерации;
q разработки целевых программ обеспечения информационной безопасности
Российской Федерации.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и
государства. Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:
q Первая составляющая национальных интересов Российской Федерации в ин-
формационной сфере включает в себя соблюдение конституционных прав
и свобод человека и гражданина в области получения информации и пользования ею.
q Вторая составляющая включает в себя информационное обеспечение госу-
дарственной политики Российской Федерации.
q Третья составляющая национальных интересов Российской Федерации в ин-
формационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение
потребностей внутреннего рынка ее продукцией и выход этой продукции на
мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
q Четвертая составляющая включает в себя защиту информационных ресурсов
от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых на территории России.
Все угрозы информационной безопасности Российской Федерации по своей
общей направленности подразделяются на следующие виды:
q угрозы конституционным правам и свободам человека и гражданина в обла-
сти духовной жизни и информационной деятельности;
q угрозы информационному обеспечению государственной политики Россий-
ской Федерации;
q угрозы развитию отечественной индустрии информации, включая индустрию
средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой
рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
141
q угрозы безопасности информационных и телекоммуникационных средств и
систем.
В Доктрине дается подробный конкретный перечень по каждому виду угроз.
Источники угроз информационной безопасности Российской Федерации
подразделяются на внешние и внутренние. К внешним источникам относятся:
q деятельность иностранных политических, экономических, военных, разведы-
вательных и информационных структур, направленная против интересов
Российской Федерации в информационной сфере;
q стремление ряда стран к доминированию и ущемлению интересов России в
мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
q обострение международной конкуренции за обладание информационными
технологиями и ресурсами;
q деятельность международных террористических организаций;
q увеличение технологического отрыва ведущих держав мира и наращивание
их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
q деятельность космических, воздушных, морских и наземных технических
и иных средств (видов) разведки иностранных государств;
q разработка рядом государств концепций информационных войн, предусмат-
ривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных
ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам относятся:
q критическое состояние отечественных отраслей промышленности;
q неблагоприятная криминогенная обстановка, сопровождающаяся тенденция-
ми сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на
жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
q недостаточная координация деятельности федеральных органов государствен-
ной власти, органов государственной власти субъектов Российской Федерации
по формированию и реализации единой государственной политики в области
обеспечения информационной безопасности Российской Федерации;
q недостаточная разработанность нормативной правовой базы, регулирующей
отношения в информационной сфере, а также недостаточная правоприменительная практика;
q неразвитость институтов гражданского общества и недостаточный государст-
венный контроль за развитием информационного рынка России;
142
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
q недостаточное финансирование мероприятий по обеспечению информацион-
ной безопасности Российской Федерации;
q недостаточная экономическая мощь государства;
q снижение эффективности системы образования и воспитания, недостаточное
количество квалифицированных кадров в области обеспечения информационной безопасности;
q недостаточная активность федеральных органов государственной власти, орга-
нов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений,
в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
q отставание России от ведущих стран мира по уровню информатизации.
В Доктрине отмечается, что анализ состояния информационной безопасности
Российской Федерации показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Сложившееся положение дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения следующих задач:
q разработка основных направлений государственной политики в области обес-
печения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
q развитие и совершенствование системы обеспечения информационной безо-
пасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств
выявления, оценки и прогнозирования угроз информационной безопасности
Российской Федерации, а также системы противодействия этим угрозам;
q разработка федеральных целевых программ обеспечения информационной
безопасности Российской Федерации;
q разработка критериев и методов оценки эффективности систем и средств обес-
печения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
q совершенствование нормативной правовой базы обеспечения информацион-
ной безопасности Российской Федерации;
q установление ответственности должностных лиц и граждан за соблюдение тре-
бований информационной безопасности;
q координация деятельности федеральных органов государственной власти, ор-
ганов государственной власти субъектов Российской Федерации, предприятий, учреждений и организаций независимо от формы собственности в области обеспечения информационной безопасности Российской Федерации;
q развитие научно-практических основ обеспечения информационной безопас-
ности Российской Федерации;
q разработка и создание механизмов формирования и реализации государст-
венной информационной политики России;
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
143
q разработка методов повышения эффективности участия государства в фор-
мировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
q обеспечение технологической независимости Российской Федерации в важ-
нейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность;
q разработка современных методов и средств защиты информации, обеспече-
ния безопасности информационных технологий;
q развитие и совершенствование государственной системы защиты информации
и системы защиты государственной тайны;
q создание и развитие современной защищенной технологической основы управ-
ления государством в мирное время, в чрезвычайных ситуациях и в военное
время;
q расширение взаимодействия с международными и зарубежными органами
и при решении научно-технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
q обеспечение условий для активного развития российской информационной
инфраструктуры, участия России в процессах создания и использования глобальных информационных сетей и систем;
q создание единой системы подготовки кадров в области информационной
безопасности и информационных технологий.
Согласно Доктрине, общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических
документов по вопросам обеспечения информационной безопасности Российской Федерации.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
q создание и совершенствование системы обеспечения информационной безо-
пасности Российской Федерации;
q усиление правоприменительной деятельности органов исполнительной власти,
включая предупреждение и пресечение правонарушений в информационной
сфере, а также выявление, изобличение и привлечение к ответственности лиц,
совершивших преступления и другие правонарушения в этой сфере;
q разработка, использование и совершенствование средств защиты информации
и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
144
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
q создание систем и средств предотвращения несанкционированного доступа
к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных
режимов функционирования систем и средств информатизации и связи;
q выявление технических устройств и программ, представляющих опасность
для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее
хранении, обработке и передаче по каналам связи, контроль за выполнением
специальных требований по защите информации;
q сертификация средств защиты информации, лицензирование деятельности
в области защиты государственной тайны, стандартизация способов и средств
защиты информации;
q совершенствование системы сертификации телекоммуникационного обору-
дования и программного обеспечения автоматизированных систем обработки
информации по требованиям информационной безопасности;
q контроль за действиями персонала в защищенных информационных систе-
мах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
q формирование системы мониторинга показателей и характеристик информа-
ционной безопасности Российской Федерации в наиболее важных сферах
жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
q разработку программ обеспечения информационной безопасности Россий-
ской Федерации и определение порядка их финансирования;
q совершенствование системы финансирования работ, связанных с реализаци-
ей правовых и организационно-технических методов защиты информации,
создание системы страхования информационных рисков физических и юридических лиц.
В Доктрине рассмотрены особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни: экономической, научно-технической, коммуникационной.
Обеспечение информационной безопасности Российской Федерации в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации. Воздействию угроз в сфере экономики наиболее
подвержены:
q система государственной статистики;
q кредитно-финансовая система;
q информационные и учетные автоматизированные системы подразделений фе-
деральных органов исполнительной власти;
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
145
q системы бухгалтерского учета предприятий, учреждений и организаций неза-
висимо от формы собственности;
q системы сбора, обработки, хранения и передачи.
Серьезную угрозу для нормального функционирования экономики в целом
представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций.
Основными мерами по обеспечению информационной безопасности Российской Федерации в сфере экономики являются:
q организация и осуществление государственного контроля за созданием, раз-
витием и защитой систем и средств сбора, обработки, хранения и передачи
информации;
q коренная перестройка системы государственной статистической отчетности
в целях обеспечения достоверности, полноты и защищенности информации;
q разработка национальных сертифицированных средств защиты информации
и внедрение их в системы и средства сбора, обработки, хранения и передачи
экономической информации;
q разработка и внедрение национальных защищенных систем электронных пла-
тежей, а также разработка нормативной правовой базы, регламентирующей их
использование;
q совершенствование нормативной правовой базы, регулирующей информаци-
онные отношения в сфере экономики;
q совершенствование методов отбора и подготовки персонала для работы в си-
стемах сбора, обработки, хранения и передачи экономической информации.
В Доктрине описаны внутренние и внешние угрозы информационной безопасности Российской Федерации в сфере внутренней и внешней политики, намечены основные мероприятия по обеспечению информационной безопасности
в этих сферах.
В области науки и техники наиболее важными объектами обеспечения информационной безопасности Российской Федерации являются:
q результаты фундаментальных, поисковых и прикладных научных исследова-
ний, включая сведения, утрата которых может нанести ущерб национальным
интересам и престижу Российской Федерации;
q открытия, незапатентованные технологии, промышленные образцы, полезные
модели и экспериментальное оборудование;
q научно-технические кадры и система их подготовки;
q системы управления сложными исследовательскими комплексами.
Реальный путь противодействия угрозам информационной безопасности
Российской Федерации в области науки и техники — это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации.
146
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
В общегосударственных информационных и телекоммуникационных системах основными объектами обеспечения информационной безопасности Российской Федерации являются:
q информационные ресурсы, содержащие сведения, отнесенные к государствен-
ной тайне, и конфиденциальную информацию;
q средства и системы информатизации, программные средства, автоматизиро-
ванные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
q технические средства и системы, обрабатывающие открытую информацию, но
размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
q помещения, предназначенные для ведения закрытых переговоров, а также пе-
реговоров, в ходе которых оглашаются сведения ограниченного доступа.
Основными направлениями обеспечения информационной безопасности
Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:
q предотвращение перехвата информации из помещений и с объектов, а также
информации, передаваемой по каналам связи с помощью технических средств;
q исключение несанкционированного доступа к обрабатываемой или хранящей-
ся в технических средствах информации;
q предотвращение утечки информации по техническим каналам, возникающей
при эксплуатации технических средств ее обработки, хранения и передачи;
q предотвращение специальных программно-технических воздействий, вызы-
вающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;
q обеспечение информационной безопасности при подключении общегосудар-
ственных информационных и телекоммуникационных систем к внешним информационным сетям, включая международные;
q обеспечение безопасности конфиденциальной информации при взаимодейст-
вии информационных и телекоммуникационных систем различных классов
защищенности;
q выявление внедренных на объекты и в технические средства электронных уст-
ройств перехвата информации.
Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:
q лицензирование деятельности организаций в области защиты информации;
q аттестация объектов информатизации по выполнению требований обеспече-
ния защиты информации при проведении работ, связанных с использованием
сведений, составляющих государственную тайну;
3.5. Äîêòðèíà èíôîðìàöèîííîé áåçîïàñíîñòè Ðîññèéñêîé Ôåäåðàöèè
147
q сертификация средств защиты информации и контроля эффективности их ис-
пользования, а также защищенности информации от утечки по техническим
каналам систем и средств информатизации и связи;
q введение территориальных, частотных, энергетических, пространственных
и временных ограничений в режимах использования технических средств,
подлежащих защите;
q создание и применение информационных и автоматизированных систем
управления в защищенном исполнении.
В Доктрине указано, что наиболее уязвимыми объектами обеспечения информационной безопасности Российской Федерации в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям),
связанным с развитием таких ситуаций и ходом ликвидации их последствий,
а также система сбора и обработки информации о возможном возникновении
чрезвычайных ситуаций. Особое значение для нормального функционирования
указанных объектов имеет обеспечение безопасности информационной инфраструктуры страны при авариях, катастрофах и стихийных бедствиях.
В Доктрине отмечено, что, учитывая глобальный характер процессов информатизации, международное сотрудничество Российской Федерации в области обеспечения информационной безопасности является неотъемлемой составляющей
политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно
способствовать повышению информационной безопасности всех членов мирового
сообщества, включая Российскую Федерацию.
В разделе «Основные положения государственной политики обеспечения информационной безопасности Российской Федерации» указаны основные принципы такой политики:
q соблюдение Конституции Российской Федерации, законодательства Россий-
ской Федерации, общепризнанных принципов и норм международного права
при осуществлении деятельности по обеспечению информационной безопасности Российской Федерации;
q открытость в реализации функций органов государственной власти, органов
государственной власти с учетом ограничений, установленных законодательством Российской Федерации;
q правовое равенство всех участников процесса информационного взаимодействия, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
q приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных
средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям
в целях соблюдения жизненно важных интересов Российской Федерации.
В качестве одной из важнейших функций государства в сфере обеспечения
информационной безопасности указан контроль за разработкой, созданием, раз-
148
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
витием, использованием, экспортом и импортом средств защиты информации
посредством их сертификации и лицензирования деятельности в области защиты информации.
В Доктрине определены основные функции организационной основы системы обеспечения информационной безопасности Российской Федерации:
q разработка нормативной правовой базы в области обеспечения информаци-
онной безопасности Российской Федерации;
q создание условий для реализации прав граждан и общественных объедине-
ний на разрешенную законом деятельность в информационной сфере;
q определение и поддержание баланса между потребностью граждан, общества
и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
q оценка состояния информационной безопасности Российской Федерации, вы-
явление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения
и нейтрализации этих угроз;
q координация деятельности федеральных органов государственной власти
и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;
q контроль деятельности федеральных органов государственной власти и орга-
нов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;
q предупреждение, выявление и пресечение правонарушений, связанных с по-
сягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
q развитие отечественной информационной инфраструктуры, а также индуст-
рии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынках;
q организация разработки федеральной и региональных программ обеспечения
информационной безопасности и координация деятельности по их реализации;
q проведение единой технической политики в области обеспечения информа-
ционной безопасности Российской Федерации;
q организация фундаментальных и прикладных научных исследований в об-
ласти обеспечения информационной безопасности Российской Федерации;
q защита государственных информационных ресурсов, прежде всего в феде-
ральных органах государственной власти и органах государственной власти
субъектов Российской Федерации, на предприятиях оборонного комплекса;
q обеспечение контроля за созданием и использованием средств защиты инфор-
мации посредством обязательного лицензирования деятельности в данной
сфере и сертификации средств защиты информации;
3.6. Êîíöåïöèÿ èñïîëüçîâàíèÿ èíôîðìàöèîííûõ òåõíîëîãèé
149
q совершенствование и развитие единой системы подготовки кадров, исполь-
зуемых в области информационной безопасности Российской Федерации;
q осуществление международного сотрудничества в сфере обеспечения инфор-
мационной безопасности, представление интересов Российской Федерации в
соответствующих международных организациях.
В четвертом разделе Доктрины определены основные элементы организационной основы системы обеспечения информационной безопасности Российской
Федерации:
q Президент;
q Совет Федерации;
q Государственная Дума;
q Правительство;
q Совет Безопасности;
q федеральные органы исполнительной власти;
q межведомственные и государственные комиссии;
q органы исполнительной власти субъектов Российской Федерации;
q органы местного самоуправления;
q органы судебной власти;
q общественные объединения;
q граждане.
По каждому из элементов организационной структуры определены основные
функции.
3.6. Êîíöåïöèÿ èñïîëüçîâàíèÿ
èíôîðìàöèîííûõ òåõíîëîãèé
â äåÿòåëüíîñòè ôåäåðàëüíûõ
îðãàíîâ èñïîëíèòåëüíîé âëàñòè
Концепция использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года разработана Министерством информационных технологий и связи Российской Федерации во исполнение
решения Правительства Российской Федерации (протокол заседания Правительства Российской Федерации от 11 сентября 2003 года № 33, раздел II, п. 2) и одобрена распоряжением Правительства Российской Федерации от 27 сентября 2004
года № 1244-р.
Настоящая Концепция определяет основные приоритеты, принципы и направления реализации единой государственной политики в сфере использования информационных технологий в деятельности федеральных органов государственной
власти в соответствии с задачами модернизации государственного управления.
150
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Основной целью использования информационных технологий, определенных
Концепцией, является повышение эффективности механизмов государственного
управления на основе создания общей информационно-технологической инфраструктуры, включающей государственные информационные системы и ресурсы,
а также средства, обеспечивающие их функционирование, взаимодействие между собой, с населением и организациями в рамках предоставления государственных услуг.
Настоящая Концепция основана на результатах анализа основных проблем
в сфере использования информационных технологий в деятельности федеральных органов государственной власти, она учитывает мировой опыт и сложившуюся практику их применения в государственном управлении. Важную роль
в повышении эффективности использования информационных технологий играет федеральная целевая программа «Электронная Россия (2002–2010 годы)»,
утвержденная Постановлением Правительства Российской Федерации от 28 января 2002 года № 65, реализация которой позволяет сформировать необходимые предпосылки для внедрения информационных технологий на качественно
новом уровне.
Государственная политика в сфере использования информационных технологий направлена на решение следующих основных задач:
q реализация стратегических приоритетов в использовании информационных
технологий в государственном управлении, формирование единого механизма межведомственной координации реализации государственных программ
и проектов создания государственных информационных систем и ресурсов
в соответствии с целями социально-экономического развития;
q формирование общей информационно-технологической инфраструктуры для
обеспечения деятельности федеральных органов государственной власти;
q распространение практики предоставления гражданам и организациям досту-
па к открытой информации о деятельности федеральных органов государственной власти, соответствующим государственным информационным ресурсам, в том числе через сеть Интернет;
q организация интерактивного информационного обслуживания граждан и ор-
ганизаций с использованием современных информационных технологий;
q обеспечение информационной безопасности деятельности федеральных орга-
нов государственной власти и элементов информационно-технологической инфраструктуры;
q развитие единой защищенной телекоммуникационной инфраструктуры для
государственных нужд, системы удостоверяющих центров в области электронной цифровой подписи и электронной среды взаимодействия, обеспечивающей эффективный межведомственный информационный обмен;
q разработка стандартов в сфере использования информационных технологий
в деятельности федеральных органов государственной власти, создания государственных информационных систем, их интеграции и совместного использования в рамках создания общего информационного пространства федеральных органов государственной власти;
3.6. Êîíöåïöèÿ èñïîëüçîâàíèÿ èíôîðìàöèîííûõ òåõíîëîãèé
151
q централизованное создание общих государственных информационных ресур-
сов (регистров, кадастров, реестров, классификаторов), обеспечение доступности соответствующих данных на межведомственном уровне, а также для
граждан и организаций в соответствии с требованиями, установленными законодательством Российской Федерации;
q построение единой системы управления процессом использования информа-
ционных технологий в деятельности федеральных органов государственной
власти;
q создание единой системы мониторинга и контроля эффективности использо-
вания информационных технологий в деятельности федеральных органов государственной власти;
q реализация комплексных программ подготовки и повышения квалификации
государственных служащих в части использования информационных технологий, развитие необходимой образовательной инфраструктуры и методического обеспечения;
q совершенствование законодательной и иной нормативной правовой базы в
целях повышения эффективности использования информационных технологий в деятельности федеральных органов государственной власти с учетом
международной практики;
q защита интеллектуальной собственности, недопущение использования в дея-
тельности федеральных органов государственной власти программного обеспечения, не имеющего соответствующей лицензионной поддержки.
Концепция определяет основные приоритеты в следующих областях:
q социально-экономического развития;
q государственного управления;
q обеспечения информационной открытости;
q информационной безопасности;
q формирования общего информационного пространства и защищенной ин-
формационной среды федеральных органов государственной власти;
q разработки единых требований к основным элементам информационно-тех-
нологического обеспечения;
q создания общегосударственных информационных ресурсов;
q повышения квалификации государственных служащих в области информа-
ционных технологий;
q совершенствования нормативной правовой базы в сфере использования ин-
формационных технологий;
q обеспечения защиты интеллектуальной собственности в сфере использова-
ния информационных технологий.
В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации, обеспечение необходимого уровня безопасности
государственных информационных систем и ресурсов, их целостности и конфи-
152
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
денциальности основано на применении единых требований защиты информации
от несанкционированного доступа или изменения, воздействия компьютерных
атак и вирусов, а также на использовании сертифицированных отечественных
средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.
В Концепции указано, что применение криптографических средств защиты
информации является обязательным для информационных систем и ресурсов,
содержащих сведения, составляющие государственную тайну.
Основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов
государственной власти выбраны:
q обеспечение комплексного подхода к решению задач информационной безо-
пасности;
q разработка модели угроз информационной безопасности;
q определение технических требований и критериев определения критических
объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований;
q обеспечение эффективного мониторинга состояния информационной безо-
пасности;
q совершенствование нормативной правовой и методической базы в области
защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и
ресурсов;
q проведение уполномоченными федеральными органами государственной
власти аттестации государственных информационных систем и ресурсов,
контроль их соответствия требованиям информационной безопасности;
q создание физически обособленного телекоммуникационного сегмента специ-
ального назначения, обеспечивающего возможность обмена в электронном
виде информацией, содержащей государственную тайну;
q развитие средств защиты информации, систем обеспечения безопасности элек-
тронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных
средств обработки информации общего применения, систем удостоверяющих
центров в области электронной цифровой подписи, а также систем их сертификации и аудита.
Концепцией определено, что в рамках совершенствования нормативной правовой базы необходимо обеспечить принятие новой редакции Федерального Закона
от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите
информации», систематизировать и унифицировать терминологию, употребляемую в действующих и разрабатываемых нормативных актах.
3.6. Êîíöåïöèÿ èñïîëüçîâàíèÿ èíôîðìàöèîííûõ òåõíîëîãèé
153
ÏÐÈÌÅ×ÀÍÈÅ
Вместо закона № 24-ФЗ 27 июля 2006 года принят новый Федеральный Закон
«Об информации, информационных технологиях и о защите информации»
№ 149-ФЗ.
Концепция указывает на необходимость обеспечения использования лицензионных программно-технических средств в деятельности федеральных органов
государственной власти на основе ускоренной разработки отечественных программно-технических средств и их применения в государственных информационных системах и ресурсах. В целях повышения эффективности работы в этой
сфере в ежегодном докладе об использовании современных информационных
технологий в деятельности федеральных органов государственной власти предусматривается представление материалов об объемах применения лицензионных
программно-технических средств, а также о выявленных фактах нарушения прав
интеллектуальной собственности. Материалы по указанной проблеме ежегодно
представляются на рассмотрение Правительственной комиссии по противодействию нарушениям в сфере интеллектуальной собственности.
В результате реализации настоящей Концепции до 2010 года ожидается:
q утверждение основополагающих стандартов в сфере использования инфор-
мационных технологий в деятельности федеральных органов государственной власти;
q внедрение информационных технологий, обеспечивающих для федеральных
органов государственной власти возможность интерактивного информационного обслуживания граждан и организаций;
q подключение федеральных органов государственной власти и их территори-
альных управлений к единой защищенной телекоммуникационной инфраструктуре, формируемой для государственных нужд;
q интеграция ведомственных информационных систем на основе общих стан-
дартов и требований в рамках общего информационного пространства, обеспечение эффективного и защищенного информационного обмена и электронного взаимодействия федеральных органов государственной власти между
собой, с населением и организациями;
q внедрение систем электронного документооборота с использованием элек-
тронной цифровой подписи в федеральных органах государственной власти,
в том числе и на межведомственном уровне;
q внедрение в федеральных органах государственной власти и их территори-
альных подразделениях комплексных информационных систем управления
кадровыми, финансовыми и материально-техническими ресурсами;
q повышение квалификации пользователей и обслуживающего персонала по
использованию информационных технологий, организация обучения государственных служащих федеральных органов государственной власти на специальных курсах повышения квалификации;
154
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
q формирование основных государственных информационных ресурсов, харак-
теризующих ключевые объекты государственного управления, а также обеспечение доступа к ним на межведомственном уровне;
q обеспечение поэтапного перевода открытой архивной информации федераль-
ных органов государственной власти в электронный вид;
q обеспечение доступа граждан к информации о деятельности федеральных ор-
ганов государственной власти;
q обеспечение основных потребностей федеральных органов государственной
власти в персональных компьютерах, серверах, периферийном оборудовании,
локальных сетях, компьютеризированной телефонии, а также в базовом
и прикладном лицензионном программном обеспечении;
q применение сети Интернет в деятельности федеральных органов государст-
венной власти;
q увеличение доли программных продуктов отечественного производства, ис-
пользуемых в деятельности федеральных органов государственной власти.
Правительством утвержден план мероприятий по реализации Концепции.
Полный текст Концепции опубликован на сайте: http://www.russia¹law.¹et/
law/acts/z42.htm.
3.7. Êîíöåïöèÿ ðåãèîíàëüíîé
èíôîðìàòèçàöèè
Распоряжением Правительства Российской Федерации от 17 июля 2006 года
№ 1024-р одобрена «Концепция региональной информатизации до 2010 года».
Концепция направлена на реализацию государственной политики в сфере региональной информатизации в соответствии с задачами модернизации государственного управления и социально-экономического развития регионов Российской Федерации. Основными целями региональной информатизации являются:
q повышение эффективности управления социально-экономическим развити-
ем субъектов Российской Федерации;
q обеспечение доступа населения и организаций к информации о деятельности
органов государственной власти субъектов Российской Федерации и их участия в процессе общественной экспертизы проектов решений в сфере региональной информатизации и эффективности их реализации;
q улучшение качества государственного управления в органах государственной
власти субъектов Российской Федерации;
q создание условий для развития информационно-телекоммуникационной ин-
фраструктуры, отвечающей современным требованиям и обеспечивающей
потребности населения в информации, а также потребности органов государственной власти субъектов Российской Федерации в информации и информационном взаимодействии;
3.7. Êîíöåïöèÿ ðåãèîíàëüíîé èíôîðìàòèçàöèè
155
q обеспечение информационной безопасности региональных и муниципальных
информационных систем, информационно-телекоммуникационной инфраструктуры на территории субъектов Российской Федерации.
Государственная политика в сфере региональной информатизации основывается на следующих принципах:
q использование информационных технологий для решения приоритетных за-
дач социально-экономического развития субъектов Российской Федерации,
совершенствование системы управления субъектов Российской Федерации,
обеспечение прав и свобод граждан;
q информационная открытость программ и проектов региональной информати-
зации для общества;
q стандартизация, унификация и обеспечение совместимости отдельных реше-
ний в рамках региональной информатизации;
q гармонизация нормативной правовой и методической базы, регламентирую-
щей процессы региональной информатизации, с федеральным законодательством;
q обеспечение безопасности информационных систем, их защиты, сохранности,
целостности и достоверности;
q обеспечение прав граждан и организаций на доступ к создаваемой информа-
ции;
q обеспечение государственного и общественного контроля за деятельностью
органов государственной власти субъектов Российской Федерации по сбору
и хранению информации, а также по организации доступа к ней.
Одним из основных направлений реализации государственной политики
в сфере региональной информатизации является создание в регионе комплекса
государственных и муниципальных информационных систем, обеспечивающих
поддержку деятельности органов государственной власти субъектов Российской
Федерации и органов местного самоуправления, а также объединяющих их на
основе общей информационно-технологической инфраструктуры региона (электронное правительство региона).
Важнейшим условием развития региональной информатизации является наличие региональной законодательной базы в сфере информационных и коммуникационных технологий, обеспечивающей эффективное функционирование
электронного правительства региона.
В целях эффективной координации деятельности по реализации программ
и проектов региональной информатизации создается Совет региональной информатизации при федеральном органе исполнительной власти, обеспечивающем нормативное правовое регулирование в сфере информационных технологий.
Реализация настоящей Концепции осуществляется в три этапа — 2006, 2008,
2010 годы. Для каждого этапа в Концепции определены конкретные задачи.
156
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
В приложении к Концепции региональной информатизации изложены основные принципы функциональных подсистем и элементов инфраструктуры электронного правительства региона.
В целях обеспечения защиты электронного правительства региона, его отдельных подсистем, региональных информационных систем и информационного
обмена от несанкционированного доступа, изменения и хищения, а также в целях борьбы с компьютерными вирусами и предотвращения утечек информации
должна быть сформирована единая политика обеспечения информационной
безопасности и реализована соответствующая подсистема.
Политика обеспечения информационной безопасности должна устанавливать:
q общую модель угроз в сфере информационной безопасности электронного
правительства региона;
q классификацию объектов электронного правительства региона по необхо-
димому уровню обеспечения защиты информации и общие требования
к ним;
q критерии отнесения объектов системы электронного правительства региона
к системам, требующим защиты, и перечень необходимых мер по обеспечению их защиты;
q порядок согласования требований к отдельным подсистемам электронного
правительства региона, а также аттестации объектов электронного правительства региона;
q порядок доступа к подсистемам электронного правительства региона.
Подсистема обеспечения информационной безопасности электронного правительства региона должна включать в себя функции осуществления доступа к
подсистемам, регистрации и учета действий пользователей при работе с системой, мониторинга нарушений в области информационной безопасности, обеспечения антивирусной защиты, а также защиты информации при ее передаче и обработке с использованием сертифицированных средств.
3.8. Êîíöåïöèÿ ñîçäàíèÿ
ñèñòåìû ïåðñîíàëüíîãî
ó÷åòà íàñåëåíèÿ
Ðîññèéñêîé Ôåäåðàöèè
Распоряжением Правительства Российской Федерации от 9 июня 2005 года
№ 748-р одобрена «Концепция создания системы персонального учета населения Российской Федерации». Концепция разработана Министерством экономического развития и торговли Российской Федерации совместно с Министерством информационных технологий и связи Российской Федерации и другими
3.8. Êîíöåïöèÿ ñîçäàíèÿ ñèñòåìû ïåðñîíàëüíîãî ó÷åòà íàñåëåíèÿ ÐÔ
157
заинтересованными федеральными органами исполнительной власти с участием
Центральной избирательной комиссии Российской Федерации.
Система персонального учета представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного
самоуправления, государственных и муниципальных организаций в части сбора,
хранения, передачи и использования персональных данных граждан.
Взаимодействие автоматизированных систем учета осуществляется на основе
единых форматов обмена данными с учетом требований по обеспечению информационной безопасности.
Система позволит обеспечить единый порядок сбора и использования персональных данных, а также создать систему персонального учета на основе интеграции автоматизированных систем учета в рамках единого информационного
пространства.
Создание системы персонального учета осуществляется в соответствии со
следующими основными принципами:
q доступ к персональным данным и работа с ними на основании существующих
и разрабатываемых регламентов, утверждаемых в соответствии с федеральными законами;
q организация взаимодействия и информационного обмена автоматизирован-
ных систем учета между собой в рамках системы персонального учета на основе общих методических и технологических принципов и стандартов;
q защита персональных данных в соответствии с законодательством Россий-
ской Федерации и требованиями по обеспечению информационной безопасности.
В целях создания нормативной правовой базы для развития и функционирования системы персонального учета необходимо регламентировать отношения,
связанные с:
q функционированием и статусом баз персональных данных;
q формированием и законодательным закреплением перечня персональных дан-
ных, необходимых для однозначного установления их соответствия конкретному физическому лицу;
q введением идентификатора персональных данных;
q определением полномочий пользователей системы персонального учета;
q защитой персональных данных;
q взаимодействием государственных органов и населения в части сбора и пере-
дачи персональных данных.
Создание системы персонального учета предполагается осуществить в три этапа. Ориентировочный срок создания системы — 7 лет.
158
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
3.9. Êîíöåïöèÿ çàùèòû
ñðåäñòâ âû÷èñëèòåëüíîé òåõíèêè
è àâòîìàòèçèðîâàííûõ ñèñòåì
îò íåñàíêöèîíèðîâàííîãî
äîñòóïà ê èíôîðìàöèè
Руководящий документ «Концепция защиты средств вычислительной техники
и автоматизированных систем от несанкционированного доступа к информации» утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года.
Настоящий документ излагает систему взглядов и основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Концепция предназначена для заказчиков, разработчиков
и пользователей средств вычислительной техники (СВТ) и автоматизированных систем (АС), которые используются для обработки, хранения и передачи
требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение
следующих задач:
q выработка требований по защите СВТ и АС от НСД к информации;
q создание защищенных от НСД к информации СВТ и АС;
q сертификация защищенных СВТ и АС.
Ниже перечислены основные принципы защиты от НСД в соответствии
с Концепцией:
1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите
от НСД к информации.
2. Защита СВТ обеспечивается комплексом программно-технических средств.
3. Защита АС обеспечивается комплексом программно-технических средств
и поддерживающих их организационных мер.
4. Защита АС должна обеспечиваться на всех технологических этапах обработки
информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
5. Программно-технические средства защиты не должны существенно ухудшать
основные функциональные характеристики АС (надежность, быстродействие,
возможность изменения конфигурации АС).
6. Неотъемлемой частью работ по защите является оценка эффективности
средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
3.9. Êîíöåïöèÿ çàùèòû ñðåäñòâ âû÷èñëèòåëüíîé òåõíèêè è àâòîìàòèçèðîâàííûõ ñèñòåì
159
7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть периодическим либо инициироваться
по мере необходимости пользователем АС или контролирующими органами.
Концепция определяет четырехуровневую модель нарушителя в АС как субъекта, имеющего доступ к работе со штатными средствами АС.
1. Самый низкий уровень возможностей ведения диалога в АС — запуск задач
(программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
2. Второй уровень определяется возможностью создания и запуска собственных
программ с новыми функциями по обработке информации.
3. Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы
и на состав и конфигурацию ее оборудования.
4. Высший уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС,
вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
Основные способы НСД классифицируются следующим образом:
q непосредственное обращение к объектам доступа;
q создание программных и технических средств, выполняющих обращение
к объектам доступа в обход средств защиты;
q модификация средств защиты, позволяющая осуществить НСД;
q внедрение в технические средства СВТ или АС программных или техниче-
ских механизмов, нарушающих предполагаемую структуру и функции СВТ
или АС и позволяющих осуществить НСД.
Обеспечение защиты СВТ и АС осуществляется системой разграничения
доступа субъектов к объектам доступа путем реализации правил разграничения
доступа (ПРД) субъектов и их процессов к данным и техническим средствам.
Система разграничения доступа должна выполнять следующие функции:
q идентификацию и аутентификацию субъектов и поддержание привязки субъ-
екта к процессу, выполняемому для субъекта;
q регистрацию действий субъекта и его процесса;
q предоставление возможностей исключения и включения новых субъектов
и объектов доступа, а также изменение полномочий субъектов;
q реакцию на попытки НСД, например сигнализацию, блокировку, а также вос-
становление после НСД;
q тестирование;
q очистку оперативной памяти и рабочих областей на магнитных носителях по-
сле завершения работы пользователя с защищаемыми данными;
q учет выходных печатных и графических форм и твердых копий;
q контроль целостности программной и информационной части системы.
160
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Основными характеристиками технических средств защиты являются:
q степень полноты и качество охвата правил разграничения доступа в реализо-
ванной системе разграничения доступа (СРД);
q состав и качество обеспечивающих средств для СРД;
q гарантии правильности функционирования СРД и обеспечивающих ее
средств.
Организация работ по защите СВТ и АС от НСД к информации должна быть
частью общей организации работ по безопасности информации. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС,
формулируемых заказчиком и согласуемых с разработчиком. Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты (КСЗ).
Организационные мероприятия для АС реализуются заказчиком. Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.). По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС
требованиям по защите и дающий право разработчику на использование и (или)
распространение их как защищенных.
3.10. Êîíöåïöèÿ ôîðìèðîâàíèÿ
èíôîðìàöèîííîãî îáùåñòâà
â Ðîññèè
Концепция разработана в 1999 году по инициативе Государственного комитета
Российской Федерации по связи и информатизации и Комитета Государственной Думы по информационной политике и связи и одобрена решением Государственной комиссии по информатизации от 28 мая 1999 года № 32. Целью Концепции является определение российского пути перехода (или построения) к
информационному обществу, основных условий, положений и приоритетов государственной информационной политики, обеспечивающих его реализацию.
В Концепции отмечено, что в настоящее время осознаны предпосылки и реальные пути формирования и развития информационного общества в России. К характерным чертам и признакам информационного общества следует отнести:
q формирование единого информационно-коммуникационного пространства
России как части мирового информационного пространства, полноправное
участие России в процессах информационной и экономической интеграции
регионов, стран и народов;
q становление и в последующем доминирование в экономике новых технологи-
ческих укладов, базирующихся на массовом использовании перспективных
информационных технологий, средств вычислительной техники и телекоммуникаций;
3.10. Êîíöåïöèÿ ôîðìèðîâàíèÿ èíôîðìàöèîííîãî îáùåñòâà â Ðîññèè
161
q создание и развитие рынка информации и знаний;
q возрастание роли информационно-коммуникационной инфраструктуры в си-
стеме общественного производства;
q повышение уровня образования, научно-технического и культурного разви-
тия за счет расширения возможностей систем информационного обмена на
международном, национальном и региональном уровнях;
q создание эффективной системы обеспечения прав граждан и социальных ин-
ститутов на свободное получение, распространение и использование информации как важнейшего условия демократического развития.
Концепция определяет, что стратегической целью перехода к информационному обществу является создание развитой информационно-коммуникационной
среды общества и интеграция России в мировое информационное сообщество.
Концепция определяет основные роли государства в обеспечении процесса
перехода к информационному обществу. Оно юридически и технологически
обеспечивает права на доступ к информации и информационным ресурсам для
всего населения, а также охрану персональных данных, гарантирует гражданам
предоставление постоянно расширяющегося набора информационных услуг,
осуществляет целенаправленное использование информационных и коммуникационных технологий для расширения диалога власти и граждан. Должно быть
обеспечено активное участие России в международном разделении труда на мировом рынке информационно-коммуникационных средств, продуктов и услуг,
в разработке международных стандартов и правовых положений в этой области,
в реализации международных проектов и программ информатизации.
Нельзя не отвечать на новые вызовы международной, национальной, общественной и личной безопасности, порождаемые движением к информационному обществу. Речь идет о подготовке и принятии широкомасштабных международноправовых соглашений, ставящих под контроль производство и распространение
информационных технологий в качестве оружия, о координации деятельности
в сфере борьбы с информационным терроризмом и компьютерными преступлениями, о действенных мерах защиты информационных ресурсов, составляющих
национальное достояние, интеллектуальной собственности и авторских прав на
материалы, распространяемые по мировым открытым сетям.
Концепция определяет особенности и возможные пути перехода России к информационному обществу.
Основой российского пути должны стать:
q информатизация всей системы общего и специального образования и после-
дующих форм подготовки и переподготовки специалистов;
q формирование и развитие индустрии информационных и коммуникацион-
ных услуг, в том числе домашней компьютеризации, ориентированной на
массового потребителя;
q обеспечение сферы информационных услуг духовным содержанием, отвечаю-
щим российским культурно-историческим традициям, в том числе организация мощного русскоязычного сектора в Интернете.
162
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Концепция определила основные направления реализации предлагаемого
пути, и в частности:
q формирование и развитие информационно-коммуникационной инфраструк-
туры страны, обеспечивающей реализацию процессов создания, хранения,
распространения и использования информации и обеспечение доступа к ней
широких слоев населения;
q совершенствование и развитие системы национальных информационных ре-
сурсов и технологий доступа к ним;
q создание и развитие новых информационных, компьютерных и телекоммуни-
кационных технологий, обеспечивающих реализацию процессов сбора, накопления, хранения, передачи и доставки информации, ее целостность, доступность и конфиденциальность;
q совершенствование и развитие системы информационного законодательства
и механизмов его реализации;
q совершенствование и развитие системы обеспечения личной и общественной
безопасности в информационной сфере, предотвращение угроз использования новых информационных технологий в качестве оружия, информационного терроризма и информационного криминала;
q государственная поддержка систем массовой подготовки и переподготовки
кадров для работы в информационных и коммуникационных системах нового
поколения.
3.11. Ñòðàòåãèÿ ðàçâèòèÿ
èíôîðìàöèîííîãî îáùåñòâà
â Ðîññèè
Проект «Стратегии развития информационного общества в России» подготовлен
Министерством информационных технологий и связи с участием института развития информационного общества. Данный проект был представлен 25 июля
2007 года на заседании Совета Безопасности Российской Федерации министром
Мининформсвязи Л. Д. Рейманом.
В своем вступительном слове Президент Российской Федерации В. В. Путин отметил, что развитие информационного общества — это системная
и долгосрочная задача, в решении которой сходится целый ряд проблем: от
развития конкурентоспособности экономики до укрепления обороноспособности страны. Президент выразил убеждение, что «в России сейчас есть все
возможности, чтобы к 2015 году войти в число стран — лидеров глобального
информационного общества, но достижение такого ориентира потребует четко скоординированной работы органов власти, представителей бизнеса и гражданского общества».
Президент счел целесообразным создать при Президиуме Совета по науке,
технологиям и образованию Комиссию по вопросам развития информационного
3.11. Ñòðàòåãèÿ ðàçâèòèÿ èíôîðìàöèîííîãî îáùåñòâà â Ðîññèè
163
общества. Он дал поручение до 1 октября 2007 года подготовить решение по ее
персональному составу и направлениям работы. Президент отметил, что уже
четверть российских семей имеет компьютеры. Число же пользователей Интернета перевалило за 25 миллионов человек. А до конца текущего года все российские школы должны получить широкополосный доступ к Интернету.
Президент выделил ряд принципиальных моментов, связанных с представленным проектом. Данный документ должен послужить основой подготовки
конкретных программ как в центре, так и на местах. Причем эти программы
должны касаться всех направлений: от разработок и производства IT-технологий до их внедрения. Использование информационных технологий должно служить обязательным критерием эффективности работы ведомств, властей регионов и органов местного самоуправления, для чего необходимо выработать
объективные оценочные показатели развития и внедрения этих технологий.
Была отмечена необходимость стимулирования производства отечественной ITпродукции, что позволит последовательно решать вопрос импортозамещения,
потому что данная отрасль имеет прямой выход на некоторые аспекты, связанные с национальной безопасностью.
Как сообщил Л. Д. Рейман, «Стратегия развития информационного общества
в России» — это ответ России на новые вызовы, связанные с развитием постиндустриальной информационной инфраструктуры. Документ устанавливает общие стратегические ориентиры развития до 2015 года. «Важнейшими приоритетами Стратегии являются: реализация на практике конституционных прав
граждан на доступ к информации, обеспечение равных возможностей для получения базовых услуг связи вне зависимости от территории или региона, где проживают наши граждане, стимулирование дальнейшего распространения и массового применения информационных технологий в социально-экономической
сфере», — подчеркнул министр. К 2010 году мы должны обеспечить 100-процентный уровень доступности для граждан базовых телекоммуникационных услуг на всей территории страны, а также в три раза увеличить количество пользователей услуг широкополосного доступа к сети Интернет. Сегодня Россия
занимает 52 место в международных рейтингах, и благодаря реализации рассматриваемой стратегии к 2015 году Россия должна войти в двадцатку лидеров
глобального информационного общества, а по показателю доступности информационной и телекоммуникационной инфраструктуры для граждан и организаций — войти в десятку стран-лидеров.
По итогам заседания Совет Безопасности Российской Федерации утвердил
«Стратегию развития информационного общества в России».
Полный текст документа можно найти на сайте Совета безопасности: http://
www.scrf.gov.ru/documents/87.html.
В первой части документа дается характеристика информационного общества как нового этапа развития человечества. Вместе с тем, наряду с преимуществами, общество получило ряд проблем. Интенсивное развитие информационно-коммуникационных технологий создает новые возможности для реализации
угроз национальной безопасности, связанных с нарушением установленных режимов использования информационных и коммуникационных систем, ущем-
164
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
лением конституционных прав граждан, использованием возможностей современных информационных технологий для осуществления враждебных, а также
террористических и других преступных действий.
Во второй части Стратегии дается анализ состояния развития информационного общества в России. Наряду с достижениями отмечено, что уровень развития
российской информационной инфраструктуры, использования информационнокоммуникационных технологий в общественном производстве и государственном
управлении не в полной мере соответствует задачам диверсификации экономики,
повышения конкурентоспособности страны, благосостояния и качества жизни
граждан, укрепления обороноспособности и безопасности, а также существенно
уступает развитым странам мира. Практически отсутствует производство конкурентоспособной продукции микроэлектронной промышленности, телекоммуникационного оборудования и средств вычислительной техники, в результате чего зависимость развития российской информационной инфраструктуры от поставок
зарубежных информационно-коммуникационных технологий значительно превышает критический уровень. Сложившаяся к настоящему времени система обеспечения информационной безопасности страны в недостаточной мере способна противостоять современным угрозам, связанным с использованием возможностей
информационно-коммуникационных технологий в террористических и других
преступных целях. Слабо налажена координация деятельности государственных
органов и негосударственных организаций в области обеспечения безопасности
информационных и коммуникационных систем, используемых на ключевых объектах инфраструктуры страны.
В третьей части Стратегии излагается ее назначение и политико-правовая основа. Отмечено, что Стратегия предназначена для использования при подготовке концептуальных, доктринальных, программных и иных документов, определяющих цели, принципы и направления деятельности государственных органов
и негосударственных организаций по решению проблем интенсификации постиндустриального развития России. При подготовке Стратегии учтены основные положения Окинавской хартии глобального информационного общества,
а также ряд других международных документов.
Четвертая часть Стратегии определяет цели и принципы развития информационного общества. Целями развития информационного общества в России являются:
1. Повышение устойчивости общественного развития, конкурентоспособности
страны, благосостояния и качества жизни граждан.
2. Укрепление государственных гарантий реализации конституционных прав
человека и гражданина в информационном обществе, создание равных возможностей по доступу к информации и информационно-коммуникационным
технологиям.
3. Повышение качества образования и здравоохранения.
4. Создание условий для сохранения и развития культурного разнообразия
и самобытности народов, проживающих на территории Российской Федерации.
3.11. Ñòðàòåãèÿ ðàçâèòèÿ èíôîðìàöèîííîãî îáùåñòâà â Ðîññèè
165
5. Повышение эффективности государственного управления.
6. Противодействие угрозам использования потенциала информационно-коммуникационных технологий для нанесения ущерба национальным интересам
России.
Развитие информационного общества в Российской Федерации базируется
на следующих принципах:
q сотрудничество и партнерство государства, бизнеса и гражданского обще-
ства;
q опережающее развитие информационной инфраструктуры общества;
q создание благоприятной среды для развития информационной инфраструк-
туры;
q обеспечение гражданам доступа к информации, идеям и знаниям, к использо-
ванию информационно-коммуникационных технологий;
q укрепление доверия и безопасности при использовании информационно-
коммуникационных технологий;
q обеспечение свободы массовой информации и независимости средств массо-
вой информации;
q содействие развитию глобального информационного общества;
q международное сотрудничество.
Пятая часть Стратегии определяет основные мероприятия по достижению целей развития информационного общества в России. В частности, противодействие
угрозам использования потенциала информационно-коммуникационных технологий для нанесения ущерба национальным интересам России предполагает реализацию следующих основных мероприятий:
q содействие реализации проектов, направленных на противодействие распро-
странению информации, возбуждающей социальную, расовую, национальную
или религиозную ненависть и вражду, пропагандирующей социальное, расовое, национальное, религиозное или языковое превосходство, а также совершенствование правоприменительной практики в этой области;
q развитие системы информирования российской и зарубежной общественности
по социально значимым проблемам экономического и социально-политического развития, поддержания конструктивного диалога между государством, бизнесом и гражданским обществом, расширение использования информационнокоммуникационных технологий для решения этой задачи;
q обеспечение, на основе объединения усилий государственных и негосудар-
ственных организаций, безопасности функционирования информационных
и коммуникационных систем ключевых объектов инфраструктуры России,
повышения защищенности корпоративных и индивидуальных информационных систем, а также информационных и коммуникационных систем, используемых средствами массовой информации для информирования населения;
166
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
q обеспечение безопасности функционирования российских информационных
и коммуникационных систем в составе глобальной информационной инфраструктуры;
q формирование системы международной информационной безопасности;
q создание условий для развития современных информационных технологий за-
щиты информации, аппаратных и программных средств их реализации;
q создание правовых и иных условий для применения информационно-комму-
никационных и иных наукоемких технологий двойного назначения при решении задач обеспечения обороноспособности страны, безопасности государства и правопорядка;
q совершенствование национальной системы противодействия преступности, ис-
пользующей возможности информационно-коммуникационных технологий
для нанесения ущерба интересам граждан, общества и государства, подготовки
и осуществления террористических актов и иных преступных деяний;
q совершенствование системы координации деятельности федеральных орга-
нов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления в области обеспечения информационной безопасности, организации государственного заказа
на научные исследования и опытно-конструкторские работы, использования
их результатов, формирования и реализации единой технической политики;
q развитие системы подготовки специалистов по вопросам обеспечения инфор-
мационной безопасности;
q совершенствование систем защиты сведений, составляющих государственную
тайну, обеспечения безопасности других сведений ограниченного доступа,
накапливаемых и создаваемых в государственных органах, органах местного
самоуправления и образуемых ими организациях;
q совершенствование правоприменительной практики в области противодейст-
вия незаконному обороту объектов интеллектуальной собственности;
q совершенствование системы определения перспективных направлений ис-
пользования потенциала информационно-коммуникационных технологий
для обеспечения обороноспособности страны и безопасности государства, охраны правопорядка, финансирования деятельности по их реализации.
План мероприятий включает в себя также распространение компьютерной
грамотности и культуры информационной безопасности.
Шестая часть Стратегии посвящена международному сотрудничеству в области развития информационного общества. План мероприятий по данному направлению предусматривает, в частности:
q участие России в определении путей решения вопросов формирования гло-
бального информационного общества, в выработке международных норм
и механизмов, регулирующих отношения в области использования глобальной информационной инфраструктуры, включая вопросы управления использованием Интернета;
3.12. Çàêîí «Îá èíôîðìàöèè, èíôîðìàöèîííûõ òåõíîëîãèÿõ è î çàùèòå èíôîðìàöèè»
167
q совершенствование взаимодействия национальных правоохранительных ор-
ганов в области выявления, пресечения и ликвидации последствий использования потенциала глобальных информационно-коммуникационных технологий в террористических и иных преступных целях, защиты прав на объекты
интеллектуальной собственности;
q содействие защите прав российских правообладателей за рубежом;
q продолжение международного переговорного процесса в целях определения
возможных совместных мер по устранению существующих и потенциальных
угроз международной информационной безопасности военно-политического,
террористического или иного преступного характера и содействия формированию соответствующих международных механизмов, в том числе правовых.
Седьмая часть Стратегии посвящена вопросам ее реализации и определяет
некоторые контрольные показатели. Отмечено, что в результате реализации
Стратегии к 2015 году Россия должна добиться существенного прогресса в диверсификации своей экономики, укреплении государственных гарантий прав
и свобод человека и гражданина в области информации, повышении эффективности государственного управления и системы обеспечения безопасности национальных интересов в информационной сфере.
Контрольными показателями по противодействию угрозам использования
потенциала информационно-коммуникационных технологий для нанесения
ущерба национальным интересам России являются следующие:
q количество преступлений, совершаемых с использованием информационно-
коммуникационных технологий, — устойчивая тенденция к сокращению;
q обеспеченность рынка труда специалистами по информационной безопасно-
сти — 100 %;
q выполнение требований по обеспечению безопасности информационно-ком-
муникационных систем, используемых на ключевых объектах инфраструктуры России, — 100 %.
Достижение определенных Стратегией контрольных показателей развития
информационного общества позволит России войти в число стран, лидирующих
в области постиндустриального развития, а также существенно укрепить ее информационную безопасность.
3.12. Çàêîí «Îá èíôîðìàöèè,
èíôîðìàöèîííûõ òåõíîëîãèÿõ
è î çàùèòå èíôîðìàöèè»
Закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ принят 27 июля 2006 года. В связи с принятием данного Закона
утратил силу Закон «Об информации, информатизации и защите информации»
от 20 февраля 1995 года № 24-ФЗ.
168
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Разработчики нового Федерального Закона исходили из того, что информационная сфера — одна из наиболее динамичных и быстро развивающихся сфер
общественных отношений, нуждающихся в адекватном правовом регулировании. Принятые во второй половине 90-х годов законодательные акты уже не
отвечают современному состоянию общественных отношений и реалиям использования информационных технологий и информационно-телекоммуникационных сетей, по отдельным вопросам вступают в противоречие с более поздними актами, тормозят развитие информационного общества. Стала очевидной
необходимость корректировки прежних законов, и в первую очередь базового
Закона об информации от 1995 года.
Федеральный Закон № 149-ФЗ регулирует отношения при осуществлении
права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий, а также при обеспечении защиты информации. Разработка нового базового законодательного акта обусловлена необходимостью унификации принципов и правил взаимодействия
в данной сфере, устранения в ней ряда пробелов и приближения законодательства Российской Федерации к международной практике регулирования информационных отношений. Новый Закон определяет правовой статус различных категорий информации, закрепляет положения в области создания и эксплуатации
информационных систем, общие требования к использованию информационнотелекоммуникационных сетей, а также принципы регулирования общественных
отношений, связанных с использованием информации.
Новый Федеральный Закон закладывает правовую основу создания и эксплуатации государственных и иных информационных систем. Он призван законодательно закрепить принципы использования информационно-телекоммуникационных сетей, в том числе при международном информационном обмене,
установить основные правила и перечень способов защиты прав на информацию,
защиты самой информации.
Статья 1 определяет круг правоотношений, регулируемых Федеральным
Законом:
1. Отношения, связанные с осуществлением права на поиск, получение, передачу, производство и распространение информации.
2. Отношения, связанные с применением информационных технологий.
3. Отношения, связанные с обеспечением защиты информации.
Ранее действовавший Закон об информации от 1995 года регулировал отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации.
Новый Федеральный Закон использует более общую формулировку, которая основана на норме, содержащейся в Конституции Российской Федерации.
В статье 2 вводится ряд понятий: информация, информационные технологии,
информационная система, обладатель информации, информационно-телекоммуникационная сеть, доступ к информации, конфиденциальность информации,
3.12. Çàêîí «Îá èíôîðìàöèè, èíôîðìàöèîííûõ òåõíîëîãèÿõ è î çàùèòå èíôîðìàöèè»
169
предоставление информации, распространение информации, оператор информационной системы, электронное сообщение, документированная информация.
В ранее действовавшем Законе об информации от 1995 года под информацией понимались сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их предоставления. В новом Федеральном Законе
определение информации представлено в более общем виде — информацией являются любые сведения (сообщения, данные) независимо от формы их предоставления.
Статья содержит уточненное определение понятия «информационная система». В ранее действовавшем Законе об информации от 1995 года под информационной системой понималась организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с
использованием средств вычислительной техники и связи, реализующих информационные процессы. В новом Законе информационная система — совокупность
содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Статья 2 закрепляет в законодательстве новый термин — «информационнотелекоммуникационная сеть». Она представляет собой технологическую систему, предназначенную для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Вместо ранее используемых понятий «собственник информационных ресурсов» и «владелец информационных ресурсов» в Законе введено понятие «обладатель информации», под которым понимается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по какимлибо признакам.
Закон об информации 1995 года содержал довольно общее определение понятия «конфиденциальная информация» и рассматривал ее как документированную информацию, доступ к которой ограничивается в соответствии с законодательством РФ. В Законе № 149-ФЗ введено понятие «конфиденциальность
информации» — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим
лицам без согласия ее обладателя.
Статья 2 вводит также понятия «предоставление информации» и «распространение информации», которые отличаются друг от друга кругом лиц, на которых направлены указанные действия. В случае предоставления информации такой круг конкретно определен, а в случае распространения информации ее
получение или передача направлены на неопределенный круг лиц. Дано определение термина «электронное сообщение» — информация, переданная или полученная пользователем информационно-телекоммуникационной сети.
Новым является также понятие «оператор информационной системы» — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации
информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
170
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Статья 3 определяет принципы, на которых основывается правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации:
1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к информации только федеральными законами;
3) открытость информации о деятельности государственных органов и органов
местного самоуправления и свободный доступ к такой информации, кроме
случаев, установленных федеральными законами;
4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6) достоверность информации и своевременность ее предоставления;
7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его
согласия;
8) недопустимость установления нормативными правовыми актами каких-либо
преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных
технологий для создания и эксплуатации государственных информационных
систем не установлена федеральными законами.
Статья 4 определяет, что законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на
Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального Закона и других регулирующих
отношения по использованию информации федеральных законов. Российская
Федерация является участником международных договоров, касающихся информации, информационных технологий и защиты информации. В качестве примеров
можно привести следующие документы: Европейская конвенция об информации
(ETS № 62, заключена в Лондоне 7 июня 1968 года); Соглашение о обмене научно-технической информацией и Соглашение об обмене экономической информацией (заключены в Минске 26 июня 1992 года); Соглашение о сотрудничестве
в области информации (заключено в Бишкеке 9 октября 1992 года); Соглашение
об обмене информацией в области внешнеэкономической деятельности (заключено в Москве 24 сентября 1993 года); Конвенция о сотрудничестве в области культуры, образования, науки и информации в Черноморском регионе (заключена
в Стамбуле, 6 марта 1993 года); Соглашение о сотрудничестве в формировании
информационных ресурсов и систем, реализации межгосударственных программ
государств — участников Содружества Независимых Государств в сфере информатизации (заключено в Москве, 24 декабря 1999 года); Конвенция о преступно-
3.12. Çàêîí «Îá èíôîðìàöèè, èíôîðìàöèîííûõ òåõíîëîãèÿõ è î çàùèòå èíôîðìàöèè»
171
сти в сфере компьютерной информации (ETS № 185, заключена в Будапеште 23
ноября 2001 года); Соглашение между Министерством информационных технологий и связи Российской Федерации и Министерством экономики и труда Федеративной Республики Германия о сотрудничестве в области информационных
технологий и связи (заключено в Ганновере 11 апреля 2005 года) и другие.
Некоторые законы Российской Федерации, указы президента и Постановления Правительства также регулируют деятельность, касающуюся информации, информационных технологий и защиты информации. Так, глава 13 Кодекса Российской Федерации об административных правонарушениях от
30 декабря 2001 года № 195-ФЗ (в редакции от 09.02.2007 № 19-ФЗ) устанавливает ответственность за административные правонарушения в области связи и информации. Федеральным Законом от 27 июля 2006 года № 152-ФЗ
«О персональных данных» регулируются отношения, связанные с обработкой
персональных данных. Указ Президента РФ от 20 января 1994 года № 170
«Об основах государственной политики в сфере информатизации» (в ред. от
9 июля 1997 года) установил, что основными направлениями государственной политики в сфере информатизации являются обеспечение единства государственных стандартов в сфере информатизации, их соответствие международным рекомендациям и требованиям.
Статья 5 декларирует свободу на использование и передачу информации,
если это не ограничено федеральным законодательством. В зависимости от категории доступа к информации она подразделяется на общедоступную и ограниченного доступа. Статья содержит классификацию информации в зависимости
от порядка ее предоставления или распространения:
q свободно распространяемая информация, например, посредством средств
массовой информации;
q информация, предоставляемая по соглашению лиц, участвующих в соответст-
вующих отношениях;
q информация, которая, в соответствии с федеральными законами, подлежит
предоставлению или распространению;
q информация, распространение которой в Российской Федерации ограничива-
ется или запрещается.
Статья 6 определяет субъекты, которые могут быть обладателями информации: граждане (физические лица), юридические лица, Российская Федерация, ее
субъекты, муниципальные образования. Статья устанавливает также права и
обязанности обладателя информации. Обладатель информации, в частности,
вправе разрешать или ограничивать доступ к информации, определять порядок
и условия такого доступа, передавать информацию другим лицам по договору
или на ином установленном законом основании.
В обязанности обладателя включено принятие мер по защите информации.
Обладатель информации, ставшей общедоступной по его решению, вправе
требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации (статья 7).
172
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Статья 8 устанавливает право физических и юридических лиц на поиск и получение информации при соблюдении требований законодательных актов. Она
дает право гражданам на получение информации, непосредственно затрагивающей их права и свободы, устанавливает принцип открытости информации о деятельности государственных органов и органов местного самоуправления, а также
содержит перечень сведений, доступ к которым не может быть ограничен, и перечень информации, доступ к которой предоставляется бесплатно.
Статья 8 определяет возможность возмещения убытков, если они нанесены
в результате неправомерного отказа в доступе к информации, несвоевременного
ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации.
Статья 9 определяет ограничения доступа к информации. Закреплен запрет на требование от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и на получение такой информации помимо воли
гражданина.
Статья определяет, что условия отнесения информации к сведениям, составляющим государственную, коммерческую, служебную и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами. Например,
статья 139 части первой ГК РФ устанавливает правовой режим служебной
и коммерческой тайны. Банковская тайна определена Федеральным Законом от
2 декабря 1990 года № 395-1 «О банках и банковской деятельности». Налоговая
тайна рассматривается статьей 102 части первой Налогового Кодекса РФ от
31 июля 1998 года № 146-ФЗ.
Статья 12 определяет государственное регулирование в сфере применения
информационных технологий:
1. Регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий.
2. Развитие информационных систем различного назначения.
3. Создание условий для эффективного использования в Российской Федерации
информационно-телекоммуникационных сетей, в том числе сети Интернет
и иных подобных информационно-телекоммуникационных сетей.
Статья 15 посвящена использованию информационно-телекоммуникационных сетей. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной
практики деятельности саморегулируемых организаций в этой области. Передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и
охране объектов интеллектуальной собственности. Передача информации может
3.12. Çàêîí «Îá èíôîðìàöèè, èíôîðìàöèîííûõ òåõíîëîãèÿõ è î çàùèòå èíôîðìàöèè»
173
быть ограничена только в порядке и на условиях, которые установлены федеральными законами.
Статья 16 посвящена вопросам защиты информации. Защита информации
представляет собой принятие правовых, организационных и технических мер,
направленных:
q на обеспечение защиты информации от неправомерного доступа, уничтоже-
ния, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой
информации;
q на соблюдение конфиденциальности информации ограниченного доступа;
q на реализацию права на доступ к информации.
Обладатель информации, оператор информационной системы в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить:
1. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
2. Своевременное обнаружение фактов несанкционированного доступа к информации.
3. Предупреждение неблагоприятных последствий нарушения порядка доступа
к информации.
4. Недопущение воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование.
5. Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа
к ней.
6. Постоянный контроль за обеспечением уровня защищенности информации.
Статья 17 определяет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой
информации, вправе обратиться в установленном порядке за судебной защитой
своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
В случае если распространение определенной информации ограничивается
или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
q по передаче информации, предоставленной другим лицом, при условии ее пе-
редачи без изменений и исправлений;
q по хранению информации и обеспечению доступа к ней при условии, что это
лицо не могло знать о незаконности распространения информации.
174
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
3.13. Êîäåêñ Ðîññèéñêîé Ôåäåðàöèè
îá àäìèíèñòðàòèâíûõ
ïðàâîíàðóøåíèÿõ
Кодекс Российской Федерации об административных правонарушениях № 195ФЗ (с последними изменениями и дополнениями от 09.02.07 № 19-ФЗ, от
29.03.07 № 39-ФЗ, от 09.04.07 № 44-ФЗ, от 20.04.07 № 54-ФЗ) принят 30 декабря 2001 года.
Кодекс основывается на Конституции Российской Федерации, общепризнанных принципах и нормах международного права и международных договорах Российской Федерации. Если международным договором Российской Федерации установлены правила иные, чем предусмотренные законодательством
об административных правонарушениях, то применяются правила международного договора.
Глава 13 Кодекса посвящена административным нарушениям в области связи и информации.
Статья 13.1 устанавливает ответственность за самовольную установку или
эксплуатацию узла проводного вещания. Статья 13.2 — за самовольное подключение к сети электрической связи оконечного оборудования. Статья 13.3 — за самовольное проектирование, строительство, изготовление, приобретение, установку или эксплуатацию радиоэлектронных средств и (или) высокочастотных
устройств. Статья 13.4 — за нарушение правил проектирования, строительства,
установки, регистрации или эксплуатации радиоэлектронных средств и (или)
высокочастотных устройств. Статья 13.5 — за нарушение правил охраны линий
или сооружений связи. Статья 13.6 — за использование несертифицированных
средств связи либо предоставление несертифицированных услуг связи. Статья
13.7 — за несоблюдение установленных правил и норм, регулирующих порядок
проектирования, строительства и эксплуатации сетей и сооружений связи. Статья 13.8 — за изготовление, реализацию или эксплуатацию технических средств,
не соответствующих стандартам или нормам, регулирующим допустимые уровни индустриальных радиопомех. Статья 13.9 — за самовольные строительство
или эксплуатацию сооружений связи. Статья 13.11 — за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Статья 13.12 посвящена ответственности за следующие нарушения правил
защиты информации:
q нарушение условий, предусмотренных лицензией на осуществление деятель-
ности в области защиты информации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных
размеров оплаты труда (МРОТ), на должностных лиц — от пяти до десяти
МРОТ, на юридических лиц — от пятидесяти до ста МРОТ;
3.13. Êîäåêñ ÐÔ îá àäìèíèñòðàòèâíûõ ïðàâîíàðóøåíèÿõ
175
q использование несертифицированных информационных систем, баз и банков
данных, а также несертифицированных средств защиты информации, если
они подлежат обязательной сертификации (за исключением средств защиты
информации, составляющей государственную тайну), влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ
с конфискацией несертифицированных средств защиты информации или без
таковой, на должностных лиц — от десяти до двадцати МРОТ, на юридических лиц — от ста до двухсот МРОТ с конфискацией несертифицированных
средств защиты информации или без таковой;
q нарушение условий, предусмотренных лицензией на проведение работ, свя-
занных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации,
составляющей государственную тайну, осуществлением мероприятий и (или)
оказанием услуг по защите информации, составляющей государственную
тайну, влечет наложение административного штрафа на должностных лиц в
размере от двадцати до тридцати МРОТ, на юридических лиц — от ста пятидесяти до двухсот МРОТ;
q использование несертифицированных средств, предназначенных для защиты
информации, составляющей государственную тайну, влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока
МРОТ, на юридических лиц — от двухсот до трехсот МРОТ с конфискацией
несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой;
q грубое нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без
образования юридического лица, в размере от десяти до пятнадцати МРОТ
или административное приостановление деятельности на срок до девяноста суток, на должностных лиц — от десяти до пятнадцати МРОТ, на юридических
лиц — от ста до ста пятидесяти МРОТ или административное приостановление деятельности на срок до девяноста суток.
ÏÐÈÌÅ×ÀÍÈÅ
Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности.
Статья 13.13 определяет ответственность за незаконную деятельность в области защиты информации:
q занятие видами деятельности в области защиты информации (за исключением
информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение
(такая лицензия), в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан в размере от
176
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
пяти до десяти МРОТ с конфискацией средств защиты информации или без
таковой, на должностных лиц — от двадцати до тридцати МРОТ с конфискацией средств защиты информации или без таковой, на юридических лиц — от
ста до двухсот минимальных размеров оплаты труда с конфискацией средств
защиты информации или без таковой;
q занятие видами деятельности, связанной с использованием и защитой инфор-
мации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации,
составляющей государственную тайну, без лицензии влечет наложение административного штрафа на должностных лиц в размере от сорока до пятидесяти
МРОТ, на юридических лиц — от трехсот до четырехсот МРОТ с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой
информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от
пяти до десяти МРОТ, на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.
Статья 13.15. Злоупотребление свободой массовой информации. Изготовление и (или) распространение теле-, видео-, кинопрограмм, документальных и художественных фильмов, а также относящихся к специальным средствам массовой информации информационных компьютерных файлов и программ
обработки информационных текстов, содержащих скрытые вставки, воздействующие на подсознание людей и (или) оказывающие вредное влияние на их здоровье, влечет наложение административного штрафа на граждан в размере от
двадцати до двадцати пяти МРОТ с конфискацией предмета административного
правонарушения, на должностных лиц — от сорока до пятидесяти МРОТ с конфискацией предмета административного правонарушения, на юридических лиц
— от четырехсот до пятисот МРОТ с конфискацией предмета административного правонарушения.
Статьи 23.44, 23.45 и 23.46 определяют органы и должностных лиц, рассматривающих дела об административных правонарушениях. Такими лицами (от
имени соответствующих органов), в частности, являются:
q главный и старшие государственные инспекторы Российской Федерации по
надзору за связью и информатизацией, заместители главного инспектора;
q руководитель федерального органа исполнительной власти, уполномоченно-
го в области обеспечения безопасности Российской Федерации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители;
q руководитель федерального органа исполнительной власти, уполномоченно-
го в области обороны, его заместители;
3.14. Óãîëîâíûé êîäåêñ ÐÔ
177
q руководитель федерального органа исполнительной власти, уполномоченно-
го в области внешней разведки, его заместители;
q руководитель федерального органа исполнительной власти, уполномоченно-
го в области противодействия техническим разведкам и технической защиты
информации, его заместители, руководители территориальных органов указанного федерального органа исполнительной власти, их заместители;
q руководители подразделений федеральных органов исполнительной власти,
уполномоченных в области обеспечения безопасности Российской Федерации, обороны Российской Федерации, внешней разведки, противодействия
техническим разведкам и технической защиты информации, осуществляющих лицензирование видов деятельности, которые связаны с использованием
и защитой сведений, составляющих государственную тайну.
3.14. Óãîëîâíûé êîäåêñ
Ðîññèéñêîé Ôåäåðàöèè
Уголовный кодекс Российской Федерации принят 13 июня 1996 года № 63-ФЗ
(с последними изменениями и дополнениями от 30 декабря 2006 года № 283-ФЗ,
от 09.04.07 № 42-ФЗ, от 09.04.07 № 46-ФЗ). Он основывается на Конституции
Российской Федерации и общепризнанных принципах и нормах международного права.
Задачами настоящего Кодекса являются: охрана прав и свобод человека
и гражданина, собственности, общественного порядка и общественной безопасности, окружающей среды, конституционного строя Российской Федерации от
преступных посягательств, обеспечение мира и безопасности человечества,
а также предупреждение преступлений. Для осуществления этих задач настоящий Кодекс устанавливает основание и принципы уголовной ответственности,
определяет, какие опасные для личности, общества или государства деяния признаются преступлениями, и устанавливает виды наказаний и иные меры уголовно-правового характера за совершение преступлений.
В Уголовном кодексе вопросам безопасности информации посвящен ряд
статей.
Статья 137. Нарушение неприкосновенности частной жизни. Незаконное собирание или распространение сведений о частной жизни лица, составляющих
его личную или семейную тайну, без его согласия либо распространение этих
сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан. В этой же статье предусмотрено наказание за незаконные производство, сбыт или приобретение в целях сбыта
специальных технических средств, предназначенных для негласного получения
информации.
Статья 140. Отказ в предоставлении гражданину информации. Неправомерный отказ должностного лица в предоставлении собранных в установленном
178
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо
ложной информации, если эти деяния причинили вред правам и законным интересам граждан.
Статья 144. Воспрепятствование законной профессиональной деятельности
журналистов путем принуждения их к распространению либо к отказу от распространения информации.
Статья 146. Нарушение авторских и смежных прав. Присвоение авторства
(плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю. Незаконное использование объектов авторского права или смежных
прав, а равно приобретение, хранение, перевозка контрафактных экземпляров
произведений или фонограмм в целях сбыта, совершенные в крупном размере.
Если указанное деяние совершено лицом с использованием своего служебного
положения, то, в соответствии с Законом № 42-ФЗ от 9.04.07 предусматривается
наказание лишением свободы на срок до шести лет (вместо пяти).
Статья 147. Нарушение изобретательских и патентных прав. Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной
модели или промышленного образца до официальной публикации сведений о
них, присвоение авторства или принуждение к соавторству, если эти деяния
причинили крупный ущерб.
Статья 159. Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием.
Статья 171. Незаконное предпринимательство. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации,
а равно представление в орган, осуществляющий государственную регистрацию
юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований
и условий, если это деяние причинило крупный ущерб гражданам, организациям
или государству либо сопряжено с извлечением дохода в крупном размере.
Статья 183. Незаконные получение и разглашение сведений, составляющих
коммерческую, налоговую или банковскую тайну:
q собирание сведений, составляющих коммерческую, налоговую или банков-
скую тайну, путем похищения документов, подкупа или угроз, а равно иным
незаконным способом;
q незаконное разглашение или использование сведений, составляющих ком-
мерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
Статья 237. Сокрытие информации об обстоятельствах, создающих опасность
для жизни или здоровья людей. Сокрытие или искажение информации о событиях, фактах или явлениях, создающих опасность для жизни или здоровья людей либо для окружающей среды, совершенные лицом, обязанным обеспечивать
3.14. Óãîëîâíûé êîäåêñ ÐÔ
179
население и органы, уполномоченные на принятие мер по устранению такой
опасности, указанной информацией.
Глава 28 Кодекса посвящена преступлениям в сфере компьютерной информации.
Статья 272. Неправомерный доступ к компьютерной информации. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине
(ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы
ЭВМ, системы ЭВМ или их сети, наказывается штрафом в размере до двухсот
тысяч рублей или в размере заработной платы или иного дохода осужденного за
период до восемнадцати месяцев, либо исправительными работами на срок от
шести месяцев до одного года, либо лишением свободы на срок до двух лет.
То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух
лет, либо исправительными работами на срок от одного года до двух лет, либо
арестом на срок от трех до шести месяцев, либо лишением свободы на срок до
пяти лет.
Неправомерный доступ к компьютерной информации — это несанкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомления, которое позволяет
распоряжаться этой информацией (уничтожать, блокировать, модифицировать
и т. д.) и создает опасность как для самой информации, так и для интересов собственника или иного законного пользователя.
Предметом неправомерного доступа к компьютерной информации является
охраняемая законом компьютерная информация. Законодательством Российской Федерации охраняются такие виды информации, как сведения, отнесенные
к государственной тайне (Закон «О государственной тайне»), информация, непосредственно затрагивающая права и свободы гражданина (тайна частной или
семейной жизни), персональные данные (Закон «О персональных данных»), сведения, составляющие тайну следствия и судопроизводства; служебные сведения,
доступ к которым ограничен органами государственной власти в соответствии
с гражданским законодательством, сведения, связанные с профессиональной
деятельностью (врачебная, нотариальная, адвокатская, банковская тайна и т. п.),
сведения, связанные с коммерческой деятельностью (Закон «О коммерческой
тайне») и т. д.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению
работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами,
180
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
наказываются лишением свободы на срок до трех лет со штрафом в размере до
двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от
трех до семи лет.
Понятие тяжких последствий является оценочным и зависит от особенностей
каждого конкретного преступления. Отнесение преступных последствий к тяжким входит в компетенцию суда. К ним можно отнести такие последствия, как
гибель одного человека и более, причинение тяжкого вреда здоровью хотя бы одного человека, причинение крупного имущественного ущерба (в том числе
в виде упущенной выгоды); утрата уникальной либо особо ценной информации,
дезорганизация работы предприятия.
Под вредоносной программой следует понимать такое программное средство,
которое было создано для выполнения несанкционированных собственником
и другими законными пользователями информации, ЭВМ, системы ЭВМ или их
сети функций. Вредоносной программой следует считать уже скомпилированный текст программы, то есть программа должна находиться в электронном виде
и быть способной осуществлять вредоносные функции. Написание же текста
программы без ее компилирования следует квалифицировать как покушение на
создание вредоносной программы.
Под распространением вредоносных программ для ЭВМ подразумевается
предоставление доступа к программе для ЭВМ в компилированном виде, в том
числе сетевыми (например, по сети Интернет) и иными способами (продажа подобных программ через электронные магазины).
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их
сети. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,
имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение,
блокирование или модификацию охраняемой законом информации ЭВМ, если
это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на
срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до
двухсот сорока часов, либо ограничением свободы на срок до двух лет.
Во второй части данной статьи определено: «то же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до
четырех лет».
Нарушение правил эксплуатации может выражаться в несоблюдении, ненадлежащем соблюдении или прямом нарушении правил, обеспечивающих
сохранность информации и целостность (работоспособность) компьютерного
оборудования. Нарушение правил может быть совершено как действием, так
и бездействием (невыполнение виновным требований, закрепленных в правилах).
Статья не содержит конкретных технических требований к эксплуатации
ЭВМ и отсылает к инструкциям и правилам, определяющим порядок работы на
компьютерах.
3.14. Óãîëîâíûé êîäåêñ ÐÔ
181
Под правилами эксплуатации компьютерной системы следует понимать как
правила, которые могут быть установлены компетентным государственным органом, так и правила технической эксплуатации и правила работы с программами,
установленные изготовителями ЭВМ и периферийных устройств. Правила могут быть установлены разработчиками программ, сетевыми администраторами,
а также владельцем компьютерной системы (например, запрет служащим на использование не прошедших проверку на «вирусы» дискет и других носителей
информации).
Правила определяют порядок пользования ЭВМ, системой ЭВМ и сетью
ЭВМ, а также иными машинными носителями. В правилах эксплуатации ЭВМ
могут быть установлены как требования технического характера (напряжение,
влажность, механическое и химическое воздействие и т. п.), так и положения, регулирующие работу с программными продуктами (последовательность подачи
команд или выполнения процедур, запрет на выполнение каких-либо операций,
обязательное выполнение определенных процедур при наступлении определенных обстоятельств и т. д.).
Правила могут содержаться в нормативно-правовых актах, ведомственных
положениях, правилах, установленных в конкретных организациях, технических
описаниях и инструкциях по эксплуатации, инструкциях по использованию программ для ЭВМ и др.
Ответственность за нарушение правил может наступать только в том случае,
если эти правила были приняты надлежащим образом (разработаны специалистами и подписаны руководителем учреждения, подразделения и т. п.), закреплены (как правило, на бумажном носителе) и доведены до пользователя (чаще под
роспись).
Статья 275. Государственная измена. Государственная измена, то есть шпионаж, выдача государственной тайны либо иное оказание помощи иностранному
государству, иностранной организации или их представителям в проведении
враждебной деятельности в ущерб внешней безопасности Российской Федерации, совершенная гражданином Российской Федерации, наказывается лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода
осужденного за период до трех лет либо без такового.
ÏÐÈÌÅ×ÀÍÈÅ
Лицо, совершившее преступления, предусмотренные настоящей статьей, а также
статьями 276 и 278 настоящего Кодекса, освобождается от уголовной ответственности, если оно добровольным и своевременным сообщением органам власти или иным
образом способствовало предотвращению дальнейшего ущерба интересам Российской Федерации и если в его действиях не содержится иного состава преступления.
Статья 276. Шпионаж. Передача, а равно собирание, похищение или хранение в целях передачи иностранному государству, иностранной организации или
их представителям сведений, составляющих государственную тайну, а также передача или собирание по заданию иностранной разведки иных сведений для использования их в ущерб внешней безопасности Российской Федерации, если эти
182
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
деяния совершены иностранным гражданином или лицом без гражданства, наказываются лишением свободы на срок от десяти до двадцати лет.
Статья 283. Разглашение государственной тайны.
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе или работе, если эти сведения стали достоянием других лиц, при отсутствии признаков государственной измены, наказывается арестом на срок от четырех до шести месяцев либо
лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до
трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью
на срок до трех лет.
Статья 284. Утрата документов, содержащих государственную тайну. Нарушение лицом, имеющим допуск к государственной тайне, установленных правил
обращения с содержащими государственную тайну документами, а равно с предметами, сведения о которых составляют государственную тайну, если это повлекло по неосторожности их утрату и наступление тяжких последствий, наказывается ограничением свободы на срок до трех лет, либо арестом на срок от
четырех до шести месяцев, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной
деятельностью на срок до трех лет или без такового.
В связи с вопросами, возникшими в судебной практике при рассмотрении
уголовных дел о нарушении авторских, смежных, изобретательских и патентных
прав (статьи 146, 147, 180 УК РФ), Пленум Верховного Суда Российской Федерации принял Постановление от 26 апреля 2007 года № 14 «О практике рассмотрения судами уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав, а также о незаконном использовании товарного знака»,
в котором дал судам ряд разъяснений. Ниже приведены основные положения
Постановления.
1. При решении вопроса о виновности лица в совершении преступления, предусмотренного статьей 146 УК РФ, суду надлежит установить факт нарушения
этим лицом авторских или смежных прав и указать в приговоре, какое право автора или иного правообладателя, охраняемое какой именно нормой закона Российской Федерации, было нарушено в результате совершения преступления.
При этом судам следует учитывать, что помимо автора произведения (физического лица, творческим трудом которого создано произведение) или обладателей смежных прав (исполнителей, производителей фонограмм, организаций
эфирного и кабельного вещания) потерпевшими по уголовным делам о преступлениях, предусмотренных статьей 146 УК РФ, могут являться иные лица
(как физические, так и юридические), которым авторское право или смежные
права принадлежат на основании закона, переходят по наследству либо по договору.
3.14. Óãîëîâíûé êîäåêñ ÐÔ
183
2. При рассмотрении уголовных дел о нарушении авторских и смежных прав судам следует учитывать, что авторское право распространяется как на обнародованные, так и на необнародованные произведения науки, литературы и искусства, являющиеся результатом творческой деятельности и существующие
в какой-либо объективной форме (письменной, устной, звуко- или видеозаписи, изобразительной, объемно-пространственной).
Судам надлежит исходить из того, что, в соответствии с гражданским законодательством, авторское право реализуется в отношениях, связанных с созданием
и использованием произведений науки, литературы и искусства, смежные (с авторскими) права в отношениях, связанных с созданием и использованием фонограмм, исполнением, организацией передач эфирного вещания и др.
Устанавливая факт присвоения авторства или незаконного использования
объектов авторских и смежных прав, суды должны иметь в виду, что на идеи,
методы, процессы, системы, способы, концепции, принципы, открытия авторское право не распространяется, а следовательно, на них не распространяются
и предусмотренные статьей 146 УК РФ средства уголовно-правовой защиты.
В соответствии с законом Российской Федерации, объектами авторского права не являются: официальные документы (законы, другие нормативные акты,
судебные решения, иные тексты законодательного, административного и судебного характера), а также их официальные переводы; государственные символы и знаки (флаги, гербы, ордена, денежные знаки и иные государственные
символы и знаки); произведения народного творчества; сообщения о событиях и фактах, имеющие информационный характер (например, сообщения
о новостях дня, расписания движения транспортных средств), в связи с чем
воспроизведение, распространение или иное их использование любым способом не образует состава преступления, предусмотренного статьей 146 УК РФ.
3. При установлении факта нарушения авторских прав путем присвоения авторства (плагиата), предусмотренного частью 1 статьи 146 УК РФ, суду надлежит иметь в виду, что указанное деяние может состоять, в частности, в объявлении себя автором чужого произведения, выпуске чужого произведения
(в полном объеме или частично) под своим именем, издании под своим именем произведения, созданного в соавторстве с другими лицами, без указания
их имени.
Незаконным, по смыслу статьи 146 УК РФ, следует считать умышленное использование объектов авторских и смежных прав, осуществляемое в нарушение
положений действующего законодательства Российской Федерации, которым
регулируются отношения, возникающие в связи с созданием и использованием
произведений науки, литературы и искусства, фонограмм, исполнений, постановок, передач организаций эфирного или кабельного вещания.
Устанавливая факт незаконного использования объектов авторских и смежных прав, суд должен выяснить и указать в приговоре, какими именно действиями были нарушены права авторов произведений, их наследников, исполнителей, производителей фонограмм, организаций кабельного и эфирного
вещания, а также иных обладателей этих прав.
184
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
Такими действиями могут являться совершаемые без согласия автора или обладателя смежных прав воспроизведение (изготовление одного или нескольких экземпляров произведения либо его части в любой материальной форме,
в том числе запись произведения или фонограммы в память ЭВМ, на жесткий
диск компьютера), продажа, сдача в прокат экземпляров произведений или
фонограмм, публичный показ или публичное исполнение произведения, обнародование произведений, фонограмм, исполнений, постановок для всеобщего
сведения посредством их передачи по радио или телевидению (передача
в эфир), распространение в сети Интернет, перевод произведения, его переработка, переработка фонограммы, модификация программы для ЭВМ или базы
данных, а также иные действия, совершенные без оформления в соответствии
с законом договора либо соглашения.
Разрешая вопрос о наличии в действиях лица составов преступлений, предусмотренных статьями 146, 147 и 180 УК РФ, суды должны учитывать положения гражданского законодательства о том, что использование результатов
интеллектуальной деятельности и приравненных к ним средств индивидуализации юридического лица, являющихся объектом исключительных прав
(интеллектуальной собственностью), может осуществляться третьими лицами только с согласия правообладателя.
При этом судам надлежит иметь в виду, что действующим законодательством
установлено использование произведения или объектов смежных прав без согласия автора либо иного правообладателя и (или) без выплаты соответствующего вознаграждения (например, дальнейшее распространение экземпляров
правомерно опубликованного произведения, если они введены в оборот посредством их продажи, воспроизведение гражданином исключительно в личных целях или цитирование в научных, полемических, критических или информационных целях правомерно обнародованных чужих произведений в объеме,
оправданном целью цитирования, включая воспроизведение отрывков из газетных и журнальных статей в форме обзоров печати).
4. Разъяснить судам, что под экземпляром произведения следует понимать копию произведения, изготовленную в любой материальной форме, в том числе
в виде информации, зафиксированной на машиночитаемом носителе (CDи DVD-диске, МР3-носителе и др.). Экземпляр фонограммы представляет собой копию на любом материальном носителе, изготовленную непосредственно или косвенно с фонограммы и включающую все звуки или часть звуков, зафиксированных в этой фонограмме (звуковой записи исполнений или иных
звуков).
Судам следует иметь в виду, что экземпляры произведений или фонограмм
считаются контрафактными, если изготовление, распространение или иное их
использование, а равно импорт таких экземпляров нарушает авторские и права, охраняемые в соответствии с законодательством Российской Федерации.
Разрешая вопрос о том, является ли экземпляр произведения контрафактным,
суд должен оценивать все фактические обстоятельства дела в частности, обстоятельства и источник приобретения лицом указанного экземпляра, право-
3.14. Óãîëîâíûé êîäåêñ ÐÔ
185
вые основания его изготовления или импорта, наличие договора о передаче
(предоставлении) права пользования (например, авторского или лицензионного договора), соответствие обстоятельств использования произведения условиям этого договора (выплата вознаграждения, тираж и т. д.), заключение
экспертизы изъятого экземпляра произведения.
5. Исходя из части 2 статьи 146 УК РФ необходимым условием наступления
уголовной ответственности за приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм является совершение
указанных деяний в целях сбыта.
Приобретение контрафактных экземпляров произведений или фонограмм состоит в их получении лицом в результате любой сделки по передаче права собственности, хозяйственного ведения или оперативного управления (например, в результате купли-продажи, мены либо при получении указанных
предметов в качестве вознаграждения за проделанную работу, оказанную услугу или как средства исполнения долговых обязательств).
Под хранением контрафактных экземпляров произведений или фонограмм
следует понимать любые умышленные действия, связанные с фактическим их
владением (на складе, в местах торговли, изготовления или проката, в жилище, тайнике и т. п.), а под перевозкой — умышленное их перемещение любым
видом транспорта из одного места нахождения в другое, в том числе в пределах одного и того же населенного пункта.
Сбыт контрафактных экземпляров произведений или фонограмм заключается в их умышленном возмездном или безвозмездном предоставлении другим
лицам любым способом (например, путем продажи, проката, бесплатного распространения в рекламных целях, дарения, размещения произведений в сети
Интернет). Наличие у лица цели сбыта может подтверждаться, в частности,
нахождением изъятых контрафактных экземпляров в торговых местах, пунктах проката, на складах и т. п., количеством указанных предметов.
Предусмотренные частями 2 и 3 статьи 146 УК РФ незаконное использование
объектов авторского права или смежных прав, а равно приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм
в целях сбыта следует считать оконченными преступлениями с момента совершения указанных действий в крупном (особо крупном) размере независимо от наступления преступных последствий в виде фактического причинения
ущерба правообладателю.
6. Лицо может быть привлечено к уголовной ответственности по части 1 ст. 146,
по статьям 147 и 180 УК РФ только при условии причинения крупного ущерба правообладателям указанных в них объектов интеллектуальной собственности и средств индивидуализации.
В соответствии с примечанием к статье 169 УК РФ, ущерб, причиненный деяниями, указанными в статье 180 УК РФ, считается крупным, если он превышает двести пятьдесят тысяч рублей.
Учитывая, что применительно к части 1 статьи 146 и статье 147 УК РФ ущерб,
который может быть признан судом крупным, в законе не указан, суды при его
186
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
установлении должны исходить из обстоятельств каждого конкретного дела
(например, из наличия и размера реального ущерба, размера упущенной выгоды, размера доходов, полученных лицом в результате нарушения им прав на
результаты интеллектуальной деятельности или на средства индивидуализации). При этом следует учитывать положения статьи 15 Гражданского кодекса
Российской Федерации, в соответствии с которой, если лицо, нарушившее
право, получило вследствие этого доходы, лицо, право которого нарушено,
вправе требовать возмещения наряду с другими убытками упущенной выгоды
в размере не меньшем, чем такие доходы.
7. По части 2 статьи 146 УК РФ уголовная ответственность наступает лишь
в случае незаконного использования лицом объектов авторского права или
смежных прав, а равно приобретения, хранения, перевозки контрафактных экземпляров произведений или фонограмм в целях сбыта в крупном размере,
а по пункту «в» части 3 этой статьи — в особо крупном размере.
В соответствии с примечанием к статье 146 УК РФ, указанные деяния признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышает пятьдесят тысяч рублей, а в особо
крупном размере — двести пятьдесят тысяч рублей.
Устанавливая признаки крупного или особо крупного размера деяний, предусмотренных частями 2 и 3 статьи 146 УК РФ, следует исходить из розничной
стоимости оригинальных (лицензионных) экземпляров произведений или
фонограмм на момент совершения преступления, исходя при этом из их количества, включая копии произведений или фонограмм, принадлежащих различным правообладателям.
При необходимости стоимость контрафактных экземпляров произведений
или фонограмм, а также стоимость прав на использование объектов интеллектуальной собственности может быть установлена путем проведения экспертизы (например, в случаях, когда их стоимость еще не определена правообладателем).
Если деяниями виновного, формально подпадающими под действие части 1
статьи 146, статей 147 и 180 УК РФ, причинен ущерб, не превышающий пределы крупного размера, либо если они совершены в размере, не превышающем пределы крупного (части 2 и 3 статьи 146 УК РФ), содеянное может повлечь за собой гражданско-правовую или административную ответственность
по части 1 или 2 статьи 7.12 либо по статье 14.10 Кодекса Российской Федерации об административных правонарушениях.
8. При квалификации действий виновных по пункту «б» части 3 статьи 146, по
части 2 статьи 147 и по части 3 статьи 180 УК РФ как совершенных группой
лиц по предварительному сговору суду следует устанавливать, какие конкретно действия совершены каждым из исполнителей и другими соучастниками
преступления.
По смыслу части 2 статьи 35 УК РФ, уголовная ответственность за совершение преступления группой лиц по предварительному сговору наступает
3.14. Óãîëîâíûé êîäåêñ ÐÔ
187
и в тех случаях, когда, согласно предварительной договоренности, каждый из
соучастников совершает часть действий, входящих в объективную сторону
указанных составов преступлений (например, по заранее состоявшейся договоренности одни соучастники приобретают контрафактные экземпляры произведений или фонограмм в целях сбыта, другие хранят, перевозят либо непосредственно сбывают их).
9. По пункту «г» части 3 статьи 146 УК РФ подлежит уголовной ответственности лицо, использующее для совершения преступления служебное положение. Им может быть как должностное лицо, обладающее признаками, предусмотренными примечанием 1 к статье 285 УК РФ, так и государственный или
муниципальный служащий, не являющийся должностным лицом, а также
иное лицо, отвечающее требованиям, предусмотренным примечанием 1 к статье 201 УК РФ (например, руководитель предприятия любой формы собственности, поручающий своим подчиненным незаконно использовать авторские или смежные права).
10. При квалификации действий виновных по делам о преступлениях, предусмотренных статьями 146, 147 и 180 УК РФ, не должен учитываться причиненный потерпевшему моральный вред, в том числе связанный с подрывом
его деловой репутации.
Требования о компенсации морального вреда могут быть рассмотрены в рамках уголовного дела путем разрешения предъявленного потерпевшим гражданского иска.
11. Обратить внимание судов на необходимость выполнения требований статьи
60 УК РФ о назначении лицам, виновным в нарушении прав на результаты
интеллектуальной деятельности и на средства индивидуализации, справедливого наказания в соответствии с характером и степенью общественной опасности преступления, обстоятельствами его совершения и личностью виновного.
Судам надлежит учитывать, в частности, характер и степень нарушений охраняемых законом прав на результаты интеллектуальной деятельности и средства индивидуализации, роль лица в совершении преступления, размер причиненного ущерба.
Исходя из положений части 3 статьи 47 УК РФ, если указанные преступления
были совершены с использованием виновным своего служебного положения,
судам следует обсуждать вопрос о лишении виновного права занимать определенные должности или заниматься определенной деятельностью, имея в виду,
что эта мера может назначаться в качестве дополнительного наказания и в тех
случаях, когда она не предусмотрена соответствующей статьей Особенной
части Уголовного кодекса Российской Федерации.
12. Обратить внимание судов на то, что оборот контрафактных экземпляров произведений или фонограмм нарушает охраняемые федеральным законодательством авторские и смежные права, в связи с чем указанные экземпляры произведений или фонограмм подлежат конфискации и уничтожению без какойлибо компенсации (за исключением случаев передачи конфискованных
контрафактных экземпляров произведений или фонограмм обладателю
188
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
авторских или смежных прав, если это предусмотрено действующим в момент
вынесения решения по делу федеральным законом).
13. В соответствии со статьями 25 и 28 УПК РФ суд вправе принять решение
о прекращении уголовного дела на основании статьи 76 УК РФ в отношении
лица, впервые совершившего преступление, предусмотренное частями 1 и 2 статьи 146 или частями 1 и 2 статьи 180 либо статьей 147 УК РФ, если оно примирилось с потерпевшими и загладило причиненный им вред, либо прекратить
уголовное преследование лица на основании статьи 75 УК РФ в связи с деятельным раскаянием.
При этом до принятия решения о прекращении дела суд должен убедиться
в том, что причиненный потерпевшему в результате преступления вред действительно заглажен. Кроме того, виновному лицу должны быть разъяснены последствия такого решения, а также право возражать против прекращения уголовного дела либо уголовного преследования.
14. Разрешая дела о нарушении прав на результаты интеллектуальной деятельности и средства индивидуализации, следует учитывать, что права на указанные
объекты интеллектуальной собственности иностранных физических и юридических лиц пользуются защитой в порядке, предусмотренном федеральным
законом, наравне с физическими и юридическими лицами Российской Федерации в силу международных договоров Российской Федерации или на основе принципа взаимности.
В соответствии с частью 4 статьи 15 Конституции Российской Федерации,
частями 2 и 3 статьи 5 Федерального Закона от 15 июля 1995 года № 101-ФЗ
«О международных договорах Российской Федерации», судам при разрешении вопроса о том, имело ли место нарушение изобретательских и патентных
прав либо незаконное использование товарного знака, надлежит иметь в виду,
что если международным договором Российской Федерации установлены
иные правила, чем предусмотренные законом, то применяются правила международного договора.
15. При рассмотрении уголовных дел об указанных преступлениях судам следует учитывать положения Федерального закона от 18 декабря 2006 года
№ 231-ФЗ «О введении в действие части четвертой Гражданского Кодекса
Российской Федерации», в соответствии с которыми Патентный закон Российской Федерации, законы Российской Федерации «Об авторском праве
и смежных правах», «О правовой охране программ для электронных вычислительных машин и баз данных», «О товарных знаках, знаках обслуживания
и наименованиях мест происхождения товаров» и ряд других законов и правовых нормативных актов, регулирующих вышеуказанные отношения, признаются утратившими силу с 1 января 2008 г. Права на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации с
1 января 2008 г. охраняются в соответствии с частью четвертой Гражданского
кодекса Российской Федерации.
При этом исходя из требований статьи 9 Федерального Закона «О введении
в части четвертой Гражданского кодекса Российской Федерации» авторство,
3.15. Ãðàæäàíñêèé êîäåêñ ÐÔ
189
имя автора и неприкосновенность произведений науки, литературы и искусства, а также авторство, имя исполнителя и неприкосновенность исполнения
охраняются в соответствии с правилами статей 1228, 1267 и 1316 ГК РФ независимо от того, предоставлялась ли правовая охрана таким результатам интеллектуальной деятельности в момент их создания. Охрана авторства, имени
автора и неприкосновенности произведений науки, литературы и искусства,
а также авторства, имени исполнителя и неприкосновенности исполнения
осуществляется на основании правил указанных статей Гражданского кодекса
Российской Федерации, если соответствующее посягательство совершено после введения в действие части четвертой данного Кодекса.
При рассмотрении уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав, а также о незаконном использовании товарного
знака, совершенных до 1 января 2008 года, судам необходимо учитывать, что, согласно статье 5 указанного Закона, автор произведения или иной первоначальный правообладатель определяется в соответствии с законодательством, действовавшим на момент создания произведения.
3.15. Ãðàæäàíñêèé êîäåêñ
Ðîññèéñêîé Ôåäåðàöèè
Гражданский Кодекс Российской Федерации от 30 ноября 1994 года № 51-ФЗ
состоит из четырех частей. Часть 1 от 30 ноября 1994 года № 51-ФЗ с изменениями, внесенными Федеральным Законом от 29.12.06 № 258-ФЗ, часть 2 от
26 января 1996 года № 14-ФЗ с изменениями от 18.12.06 № 231-ФЗ, часть 3 от
26 ноября 2001 года № 146-ФЗ с изменениями от 18.12.06 № 231-ФЗ, от 29.12.06
№ 258-ФЗ. Часть 4 Кодекса принята Федеральным Законом № 230-ФЗ от 18 декабря 2006 года и, в соответствии с Федеральным Законом от 18 декабря 2006
года № 231-ФЗ, вступает в силу с 1 января 2008 года.
В связи с принятием части 4 Кодекса с 1 января 2008 года утрачивают силу
следующие Законы:
q от 23 сентября 1992 года № 3520-1 «О товарных знаках, знаках обслуживания
и наименованиях мест происхождения товаров»;
q от 23 сентября 1992 года № 3523-1 «О правовой охране программ для элек-
тронных вычислительных машин и баз данных»;
q от 23 сентября 1992 года № 3526-1 «О правовой охране топологий интеграль-
ных микросхем»;
q от 9 июля 1993 года № 5351-1 «Об авторском праве и смежных правах»;
q от 6 августа 1993 года № 5605-1 «О селекционных достижениях».
Гражданский кодекс определяет правовое положение участников гражданского оборота, основания возникновения и порядок осуществления права собственности и других вещных прав, прав на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации (интеллектуальных
190
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
прав), регулирует договорные и иные обязательства, а также другие имущественные и личные неимущественные отношения, основанные на равенстве, автономии воли и имущественной самостоятельности участников.
С точки зрения защиты информации Кодекс вводит понятие банковской тайны (статья 857) и тайны страхования (статья 946).
Сведения, составляющие банковскую тайну, могут быть предоставлены только
самим клиентам или их представителям, а также представлены в бюро кредитных
историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом.
Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении
этих лиц.
До принятия части 4 Кодекса статья 138 регулировала отношения в сфере интеллектуальной собственности, статья 139 определяла понятие служебной и тайны. В связи с принятием части 4 Кодекса с 1 января 2008 года обе статьи утрачивают силу.
Четвертая часть Гражданского кКодекса посвящена правам на результаты интеллектуальной деятельности и средства индивидуализации. Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются:
произведения науки, литературы и искусства, программы для электронных вычислительных машин (программы для ЭВМ), базы данных, исполнения, фонограммы, сообщение в эфир или по кабелю радио- или телепередач, изобретения,
полезные модели, промышленные образцы, селекционные достижения, топологии интегральных микросхем, секреты производства (ноу-хау), фирменные наименования, товарные знаки и знаки обслуживания, наименования мест происхождения товаров, коммерческие обозначения.
Издание нормативных правовых актов в целях регулирования отношений
в интеллектуальной собственности, связанных с объектами авторских и смежных прав, осуществляет уполномоченный федеральный орган исполнительной
власти, осуществляющий нормативно-правовое регулирование в сфере авторского права и смежных прав.
Издание нормативных правовых актов в целях регулирования отношений
в интеллектуальной собственности, связанных с изобретениями, полезными моделями, промышленными образцами, программами для ЭВМ, базами данных,
топологиями интегральных микросхем, товарными знаками и знаками обслуживания, наименованиями мест происхождения товаров, осуществляет уполномоченный федеральный орган исполнительной власти, осуществляющий нормативно-правовое регулирование в сфере интеллектуальной собственности.
Глава 70 Кодекса посвящена регулированию отношений в области авторского
права. К объектам авторских прав отнесены и программы для ЭВМ, которые охраняются как литературные произведения (статья 1259). Для возникновения,
осуществления и защиты авторских прав не требуется регистрации произведе-
3.15. Ãðàæäàíñêèé êîäåêñ ÐÔ
191
ния или соблюдения каких-либо иных формальностей. В отношении программ
для ЭВМ и баз данных возможна регистрация, осуществляемая по желанию правообладателя.
В соответствии со статьей 1261, авторские права на все виды программ для
ЭВМ (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме, включая исходный
текст и объектный код, охраняются так же, как авторские права на произведения
литературы. Программой для ЭВМ является представленная в объективной
форме совокупность данных и команд, предназначенных для функционирования
ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки
программы для ЭВМ, и порождаемые ею аудиовизуальные отображения.
Правообладатель в течение срока действия исключительного права на программу для ЭВМ или на базу данных может по своему желанию зарегистрировать такую программу или такую базу данных в федеральном органе исполнительной власти по интеллектуальной собственности.
Программы для ЭВМ и базы данных, в которых содержатся сведения, составляющие государственную тайну, государственной регистрации не подлежат.
Лицо, подавшее заявку на государственную регистрацию (заявитель), несет ответственность за разглашение сведений о программах для ЭВМ и базах данных,
в которых содержатся сведения, составляющие государственную тайну, в соответствии с законодательством Российской Федерации.
Согласно статье 1273, допускается без согласия автора или иного правообладателя воспроизведение гражданином исключительно в личных целях правомерно обнародованного произведения, за исключением:
1) воспроизведения произведений архитектуры в форме зданий и аналогичных
сооружений;
2) воспроизведения баз данных или их существенных частей;
3) воспроизведения программ для ЭВМ, кроме случаев, предусмотренных статьей 1280 настоящего Кодекса;
4) репродуцирования книг (полностью) и нотных текстов;
5) видеозаписи аудиовизуального произведения при его публичном исполнении
в месте, открытом для свободного посещения, или в месте, где присутствует
значительное число лиц, не принадлежащих к обычному кругу семьи;
6) воспроизведения аудиовизуального произведения с помощью профессионального оборудования, не предназначенного для использования в домашних условиях.
В случае когда библиотека предоставляет экземпляры произведений, правомерно введенные в гражданский оборот, во временное безвозмездное пользование, такое пользование допускается без согласия автора или иного правообладателя и без выплаты вознаграждения. При этом выраженные в цифровой форме
экземпляры произведений, предоставляемые библиотеками во временное безвозмездное пользование, в том числе в порядке взаимного использования биб-
192
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
лиотечных ресурсов, могут предоставляться только в помещениях библиотек
при условии исключения возможности создания копии этих произведений
в цифровой форме (статья 1274).
В соответствии со статьей 1280, лицо, правомерно владеющее экземпляром
программы для ЭВМ или экземпляром базы данных (пользователь), вправе без
разрешения автора или иного правообладателя и без выплаты дополнительного
вознаграждения:
1. Внести в программу для ЭВМ или базу данных изменения исключительно
в целях их функционирования на технических средствах пользователя и осуществлять действия, необходимые для функционирования такой программы
или базы данных, в соответствии с их назначением, в том числе запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), а также
осуществить исправление явных ошибок, если иное не предусмотрено договором с правообладателем;
2. Изготовить копию программы для ЭВМ или базы данных при условии, что
эта копия предназначена только для архивных целей или для замены правомерно приобретенного экземпляра, в случаях, когда такой экземпляр утерян,
уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована в иных целях, чем
цели, указанные в подпункте 1 настоящего пункта, и должна быть уничтожена, если владение экземпляром такой программы или базы данных перестало
быть правомерным.
Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без
согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях
определения идей и принципов, лежащих в основе любого элемента программы
для ЭВМ, путем осуществления действий, предусмотренных пунктом 1 настоящей статьи.
Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без
согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать
программу для ЭВМ) или поручить иным лицам осуществить эти действия, если
они необходимы для достижения способности к взаимодействию независимо
разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении
следующих условий:
1. Информация, необходимая для достижения способности к взаимодействию,
ранее не была доступна этому лицу из других источников.
2. Указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию.
3. Информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо
3.15. Ãðàæäàíñêèé êîäåêñ ÐÔ
193
разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для
достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться
для разработки программы для ЭВМ, по своему виду существенно схожей
с декомпилируемой программой для ЭВМ, или для осуществления другого
действия, нарушающего исключительное право на программу для ЭВМ.
Заключение лицензионных договоров о предоставлении права использования
программы для ЭВМ или базы данных допускается путем заключения каждым
пользователем с соответствующим правообладателем договора присоединения,
условия которого изложены на приобретаемом экземпляре программы или базы
данных либо на упаковке этого экземпляра. Начало использования программы
или базы данных пользователем, как оно определяется этими условиями, означает его согласие на заключение договора.
Согласно статье 1296, в случае когда программа для ЭВМ или база данных
создана по договору, предметом которого было ее создание (по заказу), исключительное право на такую программу или такую базу данных принадлежит заказчику, если договором между подрядчиком (исполнителем) и заказчиком не
предусмотрено иное.
В случае, когда исключительное право на программу для ЭВМ или базу данных принадлежит заказчику, подрядчик (исполнитель) вправе, поскольку договором не предусмотрено иное, использовать такую программу или такую базу
данных для собственных нужд на условиях безвозмездной простой (неисключительной) лицензии в течение всего срока действия исключительного права.
В случае когда, в соответствии с договором между подрядчиком (исполнителем) и заказчиком, исключительное право на программу для ЭВМ или базу данных принадлежит подрядчику (исполнителю), заказчик вправе использовать такую программу или такую базу данных для собственных нужд на условиях
безвозмездной простой (неисключительной) лицензии в течение всего срока
действия исключительного права.
Если программа для ЭВМ или база данных создана при выполнении договора
подряда или договора на выполнение научно-исследовательских, опытно-конструкторских или технологических работ, которые прямо не предусматривали ее
создание, исключительное право на такую программу или такую базу данных
принадлежит подрядчику (исполнителю), если договором между ним и заказчиком не предусмотрено иное.
В этом случае заказчик вправе, если договором не предусмотрено иное, использовать созданную таким образом программу или базу данных в целях, для
достижения которых был заключен соответствующий договор, на условиях простой (неисключительной) лицензии в течение всего срока действия исключительного права без выплаты за это использование дополнительного вознаграждения. При передаче подрядчиком (исполнителем) исключительного права на
программу для ЭВМ или базу данных другому лицу заказчик сохраняет право
использования программы или базы данных.
194
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
В случае когда, в соответствии с договором между подрядчиком (исполнителем) и заказчиком, исключительное право на программу для ЭВМ или базу данных передано заказчику либо указанному им третьему лицу, подрядчик (исполнитель) вправе использовать созданную им программу или базу данных для
собственных нужд на условиях безвозмездной простой (неисключительной) лицензии в течение всего срока действия исключительного права, если договором
не предусмотрено иное.
Статья 1299 посвящена техническим средствам защиты авторских прав:
1. Техническими средствами защиты авторских прав признаются любые технологии, технические устройства или их компоненты, контролирующие доступ к
произведению, предотвращающие либо ограничивающие осуществление действий, которые не разрешены автором или иным правообладателем в отношении произведения.
2. В отношении произведений не допускается:
1) осуществление без разрешения автора или иного правообладателя действий, направленных на то, чтобы устранить ограничения использования
произведения, установленные путем применения технических средств защиты авторских прав;
2) изготовление, распространение, сдача в прокат, предоставление во временное безвозмездное пользование, импорт, реклама любой технологии,
любого технического устройства или их компонентов, использование таких технических средств в целях получения прибыли либо оказание соответствующих услуг, если в результате таких действий становится невозможным использование технических средств защиты авторских прав
либо эти технические средства не смогут обеспечить надлежащую защиту
указанных прав.
3. В случае нарушения положений, предусмотренных пунктом 2 настоящей статьи, автор или иной правообладатель вправе требовать по своему выбору от
нарушителя возмещения убытков или выплаты компенсации в соответствии
со статьей 1301 настоящего Кодекса, кроме случаев, когда настоящим Кодексом разрешено использование произведения без согласия автора или иного
правообладателя.
В соответствии со статьей 1301, в случаях нарушения исключительного права на произведение автор или иной правообладатель, наряду с использованием
других применимых способов защиты и мер ответственности, вправе требовать
по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации:
q в размере от десяти тысяч до пяти миллионов рублей, определяемом по ус-
мотрению суда;
q в двукратном размере стоимости экземпляров произведения или в двукрат-
ном размере стоимости права использования произведения, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за
правомерное использование произведения.
3.15. Ãðàæäàíñêèé êîäåêñ ÐÔ
195
Глава 71 Кодекса определяет права, смежные с авторскими. Интеллектуальные права на результаты исполнительской деятельности (исполнения), на фонограммы, на сообщение в эфир или по кабелю радио- и телепередач (вещание организаций эфирного и кабельного вещания), на содержание баз данных, а также
на произведения науки, литературы и искусства, впервые обнародованные после
их перехода в общественное достояние, являются смежными с авторскими правами (смежными правами).
Кодекс определяет условия использования объектов смежных прав. В частности, использованием считается воспроизведение объекта смежных прав, то есть
изготовление одного и более экземпляра или части. При этом запись на электронном носителе, в том числе запись в память ЭВМ, также считается воспроизведением, кроме случая, когда такая запись является временной и составляет неотъемлемую и существенную часть технологического процесса, имеющего
единственной целью правомерное использование записи или правомерное доведение фонограммы до всеобщего сведения.
Статья 1333 определяет, что изготовителем базы данных признается лицо,
организовавшее создание базы данных и работу по сбору, обработке и расположению составляющих ее материалов. При отсутствии доказательств иного изготовителем базы данных признается гражданин или юридическое лицо, имя или
наименование которого указано обычным образом на экземпляре базы данных
и (или) его упаковке.
Статья 1334 определяет исключительное право изготовителя базы данных.
Изготовителю базы данных, создание которой (включая обработку или представление соответствующих материалов) требует существенных финансовых,
материальных, организационных или иных затрат, принадлежит исключительное право извлекать из базы данных материалы и осуществлять их последующее
использование в любой форме и любым способом (исключительное право изготовителя базы данных). Изготовитель базы данных может распоряжаться указанным исключительным правом. При отсутствии доказательств иного базой
данных, создание которой требует существенных затрат, признается база данных, содержащая не менее десяти тысяч самостоятельных информационных элементов (материалов), составляющих содержание базы данных.
Никто не вправе извлекать из базы данных материалы и осуществлять их последующее использование без разрешения правообладателя, кроме случаев, предусмотренных настоящим Кодексом. При этом под извлечением материалов понимается перенос всего содержания базы данных или существенной части
составляющих ее материалов на другой информационный носитель с использованием любых технических средств и в любой форме.
Исключительное право изготовителя базы данных признается и действует независимо от наличия и действия авторских и иных исключительных прав изготовителя базы данных и других лиц на составляющие базу данных материалы,
а также на базу данных в целом как составное произведение.
Лицо, правомерно пользующееся базой данных, вправе без разрешения правообладателя извлекать из такой базы данных материалы и осуществлять их последующее использование в личных, научных, образовательных и иных некоммерческих целях в объеме, оправданном указанными целями, и в той мере,
196
Ãëàâà 3. Íîðìàòèâíî-ïðàâîâîå îáåñïå÷åíèå èíôîðìàöèîííîé áåçîïàñíîñòè
в которой такие действия не нарушают авторские права изготовителя базы данных и других лиц.
Использование материалов, извлеченных из базы данных, способом, предполагающим получение к ним доступа неограниченного круга лиц, должно сопровождаться указанием на базу данных, из которой эти материалы извлечены. Исключительное право изготовителя базы данных возникает в момент завершения
ее создания и действует в течение пятнадцати лет, считая с 1 января года, следующего за годом ее создания.
Глава 72 Кодекса регулирует отношения в сфере патентного права. В соответствии со статьей 1345 Кодекса, интеллектуальные права на изобретения, полезные модели и промышленные образцы являются патентными правами. Автору
изобретения, полезной модели или промышленного образца принадлежат исключительное право и право авторства.
Параграф 7 описывает особенности правовой охраны и использования секретных изобретений. Подача заявки на выдачу патента на секретное изобретение (заявка на секретное изобретение), рассмотрение такой заявки и обращение с ней осуществляются с соблюдением законодательства о государственной
тайне. Заявки на секретные изобретения, для которых установлена степень секретности «особой важности» или «совершенно секретно», а также на секретные
изобретения, которые относятся к средствам вооружения и военной техники
и к методам и средствам в области разведывательной, контрразведывательной
и оперативно-розыскной деятельности и для которых установлена степень секретности «секретно», подаются в зависимости от их тематической принадлежности в уполномоченные Правительством Российской Федерации федеральные органы исполнительной власти (уполномоченные органы). Заявки на иные
секретные изобретения подаются в федеральный орган исполнительной власти
по интеллектуальной собственности. Сведения о заявках и патентах на секретные изобретения, а также об относящихся к секретным изобретениям изменениях в Государственном реестре изобретений Российской Федерации не публикуются. Передача сведений о таких патентах осуществляется в соответствии
с законодательством о государственной тайне.
Глава 74 Кодекса регулирует права на топологии интегральных микросхем.
Топологией интегральной микросхемы является зафиксированное на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы и связей между ними. Топология, содержащая
сведения, составляющие государственную тайну, государственной регистрации
не подлежит.
Глава 75 Кодекса регулирует права на секрет производства (ноу-хау). Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе
о результатах интеллектуальной деятельности в научно-технической сфере,
а также сведения о способах осуществления профессиональной деятельности,
которые имеют действительную или потенциальную коммерческую ценность
в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного
доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
3.16. Íàëîãîâûé êîäåêñ ÐÔ
197
Статья 1470 регулирует отношения, связанные со служебным секретом производства. Исключительное право на секрет производства, созданный работником
в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю. Гражданин, которому в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя стал изв