close

Вход

Забыли?

вход по аккаунту

?

2420.Правовые основы информационной безопасности

код для вставкиСкачать
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ОРЛОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ОРЛОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ПРАВОВЫЕ ОСНОВЫ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Рекомендовано Учебно-методическим объединением вузов
Российской Федерации по образованию в области
историко-архивоведения в качестве учебника
для студентов высших учебных заведений,
обучающихся по специальностям
090103 «Организация и технология защиты информации»
и 090104 «Комплексная защита объектов информатизации»
Орел 2009
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
УДК 002.6::34](075)
ББК 67.401.114я7
П68
Рецензенты:
доктор юридических наук, кандидат технических наук, профессор,
начальник кафедры Нижегородской академии МВД России
В.И. Шаров,
доктор технических наук, профессор, начальник факультета информа-
ционных технологий Московского университета МВД России
А.С. Овчинский
П68
Правовые основы информационной безопасности: учебник / Ю.А. Белевская, А.П. Фисун, В.А. Минаев, В.А. Зернов,
В.Т. Еременко, И.С. Константинов, А.В. Коськин, С.В. Дворянкин; под общей научной редакцией А.П. Фисуна, В.А. Минаева,
Ю.А. Белевской. – Орел: ОрелГТУ, ОГУ, 2009. – 349 с.
ISBN 978-5-93932-303-1
В учебнике рассматриваются вопросы правового регулирования
защиты информации и обеспечения информационной безопасности
социотехнических систем, представляющих объекты информатизации, особенности формирования комплексной отрасли информационного права и части его законодательства по обеспечению информационной безопасности социотехнических систем, являющегося
одним из эффективных инструментов правового регулирования конституционных прав и свобод личности. Раскрываются основные понятия информационной сферы и ее информационной безопасности,
информации как объекта правового регулирования, ее особенности,
института информационного права – информационной безопасности
объектов информатизации.
Книга предназначена для специалистов, аспирантов и студентов,
изучающих информационное право и правовые основы обеспечения
информационной безопасности объектов информатизации, а также
вопросы правового регулирования прав и свобод личности в информационной сфере.
УДК 002.6::34](075)
ББК 67.401.114я7
 ОрелГТУ, 2009
 ОГУ, 2009
ISBN 978-5-93932-303-1
2
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
СОДЕРЖАНИЕ
ГЛАВА 1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
ГЛАВА 2.
2.1.
2.2.
2.3.
ГЛАВА 3.
3.1.
3.2.
ПРЕДИСЛОВИЕ
ВВЕДЕНИЕ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
КАК ОПРЕДЕЛЯЮЩИЙ КОМПОНЕНТ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИИ
Место информационной безопасности в системе
национальной безопасности России: понятие, структура и содержание
Назначение, структура, методы правового обеспечения защиты информации
Информация, информационные системы и ресурсы –
объекты правового регулирования информатизации
информационной безопасности
Основные термины, определения и правовые категории информационной безопасности объектов информатизации
Понятие и виды защищаемой информации
по законодательству Российской Федерации
Правовые основы защиты государственной, коммерческой, служебной, профессиональной и личной тайны, персональных данных
Контрольные вопросы
РОЛЬ ПРАВА В РЕГУЛИРОВАНИИ КОМПЛЕКСА
ОТНОШЕНИЙ В СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ
Отрасли права, обеспечивающие законность в области
защиты информации
Конституция и Гражданский кодекс Российской Федерации о правах и обязанностях граждан России в
сфере обеспечения информационной безопасности
Международное законодательство в области защиты
информации
Контрольные вопросы
ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ПОДРАЗДЕЛЕНИЙ ЗАЩИТЫ ИНФОРМАЦИИ
Основные понятия, положения, организационная
структура системы государственного лицензирования
Аттестация объектов информатизации
по требованиям безопасности информации
3
6
8
16
16
22
48
58
78
87
93
94
94
100
104
112
113
113
119
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
3.3. Основные понятия и система сертификации продукции и услуг в сфере информационной безопасности
127
3.4. Особенности сертификации средств защиты информации по требованиям безопасности
3.5. Аккредитация испытательных лабораторий и органов
по сертификации средств защиты информации
Контрольные вопросы
ГЛАВА 4. КОММЕРЧЕСКАЯ ТАЙНА В СИСТЕМЕ ЗАКРЕПЛЕНИЯ ПРАВА ПРЕДПРИЯТИЯ НА ЗАЩИТУ ИНФОРМАЦИИ
В НОРМАТИВНЫХ ДОКУМЕНТАХ
4.1. Коммерческая тайна как вид защищаемой конфиденциальной информации: понятие, содержание, виды,
правовые категории, основные положения базового
закона
4.2. Методические положения по определению и отнесению сведений, составляющих коммерческую тайну
4.3. Методические положения по определению содержания объекта защиты коммерческой тайны
4.4. Основные положения по защите коммерческой тайны
Контрольные вопросы
ГЛАВА 5. ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
С ИСПОЛЬЗОВАНИЕМ ТЕХНИЧЕСКИХ СРЕДСТВ
5.1. Особенности правового регулирования общественных
отношений при использовании современных технических средств обработки информации и при разработке
шифрсредств
5.2. Правовое регулирование использования электронной
цифровой подписи и защиты информации в системах
и средствах электронного документооборота
5.3. Статус и организация деятельности удостоверяющих
центров
5.4. Правовое регулирование защиты информации
в системах связи
5.5. Использование персональных данных владельцев доменных имен сети Интернет и проблемы защиты конституционных прав граждан на неприкосновенность
персональных данных
4
135
143
146
147
147
157
165
169
175
176
176
190
197
204
212
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 6.
6.1.
6.2.
6.3.
ГЛАВА 7.
7.1.
7.2.
7.3.
7.4.
7.5.
ГЛАВА 8.
8.1.
8.2.
8.3.
8.4.
Контрольные вопросы
ИНТЕЛЛЕКТУАЛЬНЫЙ ПРОДУКТ
КАК ОБЪЕКТ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ И ПРЕДМЕТ ЗАЩИТЫ
Понятие интеллектуальной собственности, ее виды и
объекты образования (авторские и лицензионные договоры)
Основы авторского права
Основные положения патентного права
Контрольные вопросы
ПРАВОНАРУШЕНИЯ В СФЕРЕ КОМПЬЮТЕРНОЙ
ИНФОРМАЦИИ
Понятия и классификация видов компьютерных правонарушений
Криминалистические характеристики компьютерных
преступлений
Криминалистические аспекты проведения расследования преступлений в сфере компьютерной информации
Особенности допросов
Особенности проведения экспертизы в области
компьютерной информации
Контрольные вопросы
ВИДЫ И УСЛОВИЯ ПРИМЕНЕНИЯ ПРАВОВЫХ
НОРМ УГОЛОВНОЙ, ГРАЖДАНСКО-ПРАВОВОЙ,
АДМИНИСТРАТИВНОЙ И ДИСЦИПЛИНАРНОЙ
ОТВЕТСТВЕННОСТИ ЗА РАЗГЛАШЕНИЕ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ И НЕВЫПОЛНЕНИЕ
ПРАВИЛ ЕЕ ЗАЩИТЫ
Понятие и виды юридической ответственности
за нарушение правовых норм в области защиты информации
Уголовная ответственность за нарушение правовых
норм
в сфере информационной безопасности
Административная ответственность за нарушение
правовых норм в сфере информационной безопасности
Особенности юридической ответственности
за нарушение правовых норм информационной безопасности в области трудовых и гражданскоправовых отношений
Контрольные вопросы
5
218
219
219
225
233
244
245
245
251
271
280
287
291
293
293
301
308
310
311
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 9. ПРАВОВЫЕ ПРОБЛЕМЫ, СВЯЗАННЫЕ С ЗАЩИТОЙ ПРАВ ОБЛАДАТЕЛЕЙ СОБСТВЕННОСТИ НА
ИНФОРМАЦИЮ И РАСПОРЯЖЕНИЕ ИНФОРМАЦИЕЙ
9.1. Факторы и проблемы правового регулирования в сфере информационной безопасности
9.2. Состояние и закономерности практики правового регулирования информационной безопасности
9.3. Направления развития теоретических аспектов законодательства в сфере информационной безопасности
312
312
324
329
333
ЛИТЕРАТУРА
6
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ПРЕДИСЛОВИЕ
Учебник разработан в рамках программ учебных дисциплин
«Правовое обеспечение информационной безопасности» и «Правовая
защита информации» соответствующих действующих государственных образовательных стандартов высшего профессионального образования по специальностям 090104 «Комплексная защита объектов
информатизации» и 090103 «Организация и технология защиты информации».
Цель учебника – представление системных знаний в области зарождающейся комплексной отрасли информационного права и его
правовых основ информационной безопасности личности, общества,
государства.
С учетом этого системно изложены актуальные вопросы правового обеспечения информационной безопасности объектов информатизации, представляющие инструментарий, направленный на эффективное правовое регулирование конституционных прав и свобод человека и гражданина в информационной сфере и сфере обеспечения
их информационной безопасности.
Учебник содержит систематизированную, педагогически отобранную и представленную в виде учебного материала научнопрактическую информацию по теоретическим основам и отрасли информационного права, а также правового регулирования комплексной
защиты и обеспечения информационной безопасности личности, общества, государства, используемых ими информационных систем различных классов.
Структура книги включает девять глав, в которых раскрыто место информационной безопасности в системе национальной безопасности России, уточнены роль и место основных положений вопросов
правового регулирования и обеспечения информационных отношений.
В ходе изложения материала систематизированы направления
развития государственной системы правового регулирования, рассмотрены основные положения государственного регулирования деятельности юридических лиц в информационной сфере и области обеспечения ее информационной безопасности, а также проводимой государственной политики, направленной на всестороннее обеспечение
качественной информацией, информационными услугами и продуктами человека, органы публичной власти. Показана роль права в
регулировании комплекса отношений в сфере защиты информации,
обрабатываемой социотехническими системами современного информационного общества. Раскрыты вопросы юридической ответственности за нарушение правовых норм в информационной
сфере и в сфере обеспечения информационной безопасности.
7
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Для активизации самоконтроля полученных знаний предлагаются
контрольные вопросы, ответы на которые помогут студентам систематизировать свои знания.
Авторы благодарят за подготовку материалов для учебника:
А.Н. Косилова (главы 4, 9), Р.А. Фисуна (главы 1, 4, 5), Д.А. Цветова (п. 5.5),
В.А. Лобанову (п.п. 1.3, 1.4, главы 5, 7).
Авторский коллектив: Ю.А. Белевская (предисловие, введение,
главы 1 – 9), А.П. Фисун (предисловие, главы 1, 3, 5, 7), В.А. Минаев
(главы 3, 5, 7), В.А. Зернов (главы 5, 7), В.Т. Еременко (пп. 1.3, 1.4, главы 5, 7), С.В. Дворянкин (главы 3, 5, 7), И.С. Константинов
(п. 1.4, глава 7), А.В. Коськин (п. 1.4, глава 7).
8
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ВВЕДЕНИЕ
Первоочередной задачей современного информационного общества является эффективное обеспечение свободного поиска, получения, производства и распространения информации для каждого члена
общества, развитие средств массовой информации, формирование
общедоступных информационных ресурсов, предоставление доступных информационных услуг, обеспечение условий создания, ра звития и функционирования информационных систем, формирование
единого информационного пространства страны и его интеграция в
мировое информационное пространство. Важным направлением развития информационного общества является развитие нормативного
правового базиса, регулирующего в целом обществ енные информационные и в частности отношения, связанные с обеспечением конституционных прав и свобод человека и гражданина, в части предоставления информационных услуг и продуктов требуемого кач ества, в том числе удовлетворяющих требованиям полноты, достоверности, своевременности и безопасности, как основы обеспечения безопасности личности, общества и государства. Надлежащее обеспечение этих прав и их защита являются одним из условий и необходимым
признаком существования и развития информационного общества,
основа которого – особый субъект, представляющий творческую, самостоятельную личность, ощущающую свое достоинство и ответственность; личность, которой гарантированы все права человека.
При этом актуальность проблемы правового регулирования общественных отношений в области информационной безопасности социотехнических систем и процессов в них обусловлена повышением
роли информации во всех сферах и видах деятельности личности, общества и государства в условиях воздействия внешних и внутренних
угроз, развитием новых информационных отношений, требующих соблюдения и защиты прав, законных интересов субъектов в информационной сфере. Частным и важным подтверждением актуальности,
необходимости решения этой проблемы являются нормы действующей Конституции России, которая закрепляет ряд положений, связанных с правом на информацию и нуждающихся в дальнейшем развитии. Кроме того, статьями 71 и 72 Конституции закреплены нормы,
которые касаются общих вопросов ведения и полномочия РФ и ее
субъектов в части регулирования информации и связи, также требующих дальнейшего развития. Реализация указанных норм возможна
только при наличии развития теоретических и методологических основ новой отрасли информационного права. Поэтому ответом на чрезвычайно высокие требования личностно ориентированного информационного общества и правового государства, в которых человек, его
9
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
права и свободы должны составлять высшую ценность государства,
является переоценка существующих подходов к пониманию места и
значимости отраслей, подотраслей, институтов права и их способности своевременно и эффективно осуществлять регулирование основных прав и свобод личности в информационной сфере, которые пр инято называть информационными правами.
Наряду с положительными процессами развития человека, общества и государства, развитие информационного общества на основе
широкого использования новых информационных технологий влечет
за собой и отрицательные последствия, обусловленные ростом правонарушений в области информационной безопасности, что предопределяет формирование и развитие соответствующего научнометодологического и правового базиса, обеспечивающего эффективное решение этих проблем. Первоочередным в этом ряду является
развитие соответствующего законодательства и совершенствование
подготовки и переподготовки квалифицированных специалистов, обладающих системными знаниями в области правового регулирования
процессов обеспечения информационной безопасности личности, общества, государства, и используемых ими информационных автоматизированных и телекоммуникационных систем.
В современном мировом сообществе информационная сфера
становится не только важнейшей сферой деятельности внутри страны
и международного сотрудничества, но и объектом соперничества, с ущественного воздействия со стороны более развитых в данной области сообществ. Это предопределяет приоритет развития и обеспечения информационной безопасности информационной сферы страны,
содержание которой составляют известные направления:
 формирование и развитие защищенной информационной инфраструктуры страны;
 реализация права на информацию в информационных сетях;
 защита личности, общества, государства от разрушающего
воздействия недоброкачественной информации;
 защита интеллектуальной собственности, зафиксированной
в различных формах и на различных носителях, в том числе – в современных информационных технологиях;
 защита конфиденциальной информации различной степени
важности, в том числе персональных данных независимо от методов,
способов, форм их представления, средств и технологий обработки;
 использование возможностей современных информационных
технологий для формирования и развития новых форм деятельности,
образования, воспитания, формирования правосознания в информационной сфере информационной безопасности;
10
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 защита прав потребителей информации и информационных
услуг, развитие конкуренции в информационной индустрии;
 формирование эффективной системы юридической ответственности за правонарушения в информационной сфере;
 стандартизация, унификация методов, способов, средств и
мер обеспечения информационной безопасности информационной
сферы;
 международное сотрудничество, координация работ по проблемам создания и реализации глобального защищенного информационного общества.
Решение проблемы развития информационной сферы в части
обеспечения информационной безопасности личности, общества и
государства неразрывно связано с решением проблемы обеспечения
национальной безопасности России в силу следующего: взаимосвязи
вопросов обеспечения национальных интересов страны с задачами по
соблюдению конституционных прав и свобод граждан в области получения и использования информации, развития современных телекоммуникационных технологий, защиты государственных информационных ресурсов от несанкционированного доступа; рассмотрение в качестве составного компонента информационной сферы вопросов правового регулирования информационных общественных отношений, в том числе отношений в области обеспечения информационной безопасности, осуществляется через решение задач обеспечения конституционных прав и свобод граждан Российской Федерации в
сфере
информационной
деятельности,
совершенствования
и защиты отечественной информационной инфраструктуры, интеграции России в мировое информационное пространство, противодействия угрозе развязывания противоборства в информационной сфере.
Эффективное решение проблемы обеспечения информационной
безопасности неразрывно связано с реализацией комплексной защиты
информации, которая представляет соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий,
мер и программ защиты информации, их взаимосвязей, способствующих реализации целей, концептуального подхода к вопросам временного функционирования и структурного построения системы информационного обеспечения и защиты.
Для эффективной реализации рассмотренных направлений формирования и развития современного информационного общества
и его информационной безопасности служит соответствующая эффективная система права, в которой важное место принадлежит нормам и
институтам права, определяющим содержание и направления правового регулирования проблем национальной безопасности страны.
Прежде всего, это касается одной из фундаментальных отраслей –
11
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
конституционного права, которое, наряду с актуальными в настоящее
время вопросами приоритета прав и свобод человека, государственной
власти, на первое место ставит проблему «государственных состояний
и режимов», важнейшей составной частью которой является проблема, представляющая комплекс задач обеспечения безопасности как в
целом, так и информационной безопасности личности, общества и
государства. Это подтверждается динамикой развития законодательства в информационной сфере и сфере информационной безопасности
и, прежде всего, базовых федеральных законов, концепций безопасности и информационной безопасности России.
Особая роль в реализации комплекса задач обеспечения информационной безопасности принадлежит вопросам их правового регулирования, или правовой защите, значение которой определяется:
 повышением роли информации, информационных ресурсов
и средств ее обработки в едином информационном пространстве;
 широким применением современных информационных технологий;
 трансформацией сложившихся, традиционных для права социально-экономических, политических и других норм и отношений;
 развитием и появлением новых отношений, отражающих специфику, особенности и правила взаимоотношений субъектов информационной сферы и их разнообразие.
Совершенствование правового базиса регулирования информационных прав сегодня неразрывно связано с устойчивой тенденцией
развития рынка информационных продуктов и услуг, формирования
международного информационного пространства как составной части
информационной сферы, обуславливает и определяет эффективность
развития и существования материально-энергетической сферы общества и государства, а следовательно, и его политических институтов,
их устойчивое безопасное развитие и целостность. А это, в свою очередь, формирует новые общественные отношения, называемые информационными, которые представляют правоотношения, связанные
с осуществлением информационных процессов, т.е. процессов сбора,
обработки, накопления и распространения информации. Рост осознания значения информационных прав и отношений, которые сочетают
различные методы их регулирования, требует формирования новых
подходов к различным отраслям права, прежде всего конституционного, которое регулирует наиболее важные общественные отношения, в
том числе информационные.
Вышеизложенное дает основание обосновывать необходимость
первоочередного развития конституционной концепции прав и свобод
человека и гражданина развивающегося информационного общества
посредством активного проведения государственной политики
в
12
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
информационной сфере и сфере информационной безопасности, в части формирования нормативного правового базиса, эффективно регулирующего информационные отношения.
Проблема соблюдения прав личности в информационной сфере
является приоритетным направлением исследований в отечественной
и зарубежной юридической науке. Тем не менее большинство работ
по указанной проблеме касаются общетеоретических вопросов, в которых недостаточно затрагиваются государственно-правовые и методологические основы соблюдения прав личности в информационной
сфере. А их законодательное закрепление не всегда свидетельствует
о возможности реализации конституционных прав и свобод личности.
Между тем формальное признание самых широких прав и свобод не означает, что у человека сразу же появится возможность в полном объеме пользоваться основными информационными правами.
Следует иметь в виду, что определенная часть нормативных актов издается не для фактической реализации, а в целях создания видимости,
например, демократического общества, а также не реализуется в связи
с их несоответствием реальным общественным отношениям. Кроме
того, необходимо учитывать и тот факт, что информационная сфера, в
которой соблюдаются и осуществляются все права и законные интересы личности, общества и государства, неразрывно связана с
развитием и совершенствованием определенного массива законодательства (информационного), которое способно, в отличие от существующих нормативных правовых актов, адекватно и быстро реагировать на появление новых информационных отношений и эффективно
их регулировать.
В науке и практике четко сложилось представление о конституционном праве как ведущей отрасли права и законодательства. Конституция
РФ является Основным законом государства и обладает прямым действием на всей территории России. Конституционное право регулирует
наиболее важные общественные отношения, определяет общие положения и принципы правового статуса личности, общества и государства и
его содержание. Тем не менее в рамках развивающихся отношений в информационной сфере конституционное право и законодательство, закрепляя лишь общие, декларативные положения, не учитывают возрастающую роль и значение информации как основного ресурса государства,
широкое использование новых информационных технологий, соответствующее развитие информационного права. В рамках этих определяющих факторов существующие правоотношения в различных отраслях
права приобретают совершенно иное содержание. Конституционное,
гражданское, уголовное и другие отрасли права, в большей части регулирующие объектно-субъектные правоотношения в материальноэнергетической сфере, по сути, являются информационными.
Такое утверждение вполне справедливо в силу следующих оче13
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
видных известных посылок:
 понимания содержания объекта информационных отношений –
информации как атрибута одного из универсальных свойств материально-энергетического мира;
 понимания информации как кибернетической категории,
определяющей действие в отношении материально-энергетического
мира.
Исходя из этого, можно утверждать, что в материальноэнергетической сфере любое правоотношение возникает по поводу
информации, конкретных сведений, в том числе ее сбора, получения,
распространения, накопления и т.п. Любое законодательство основано
на конкретной информации, представляющей собой сведения о конкретных государственно-правовых явлениях, процессах, системах,
подлежащих регулированию в различных сферах и видах деятельности личности, общества и государства.
Таким образом, одной из первоочередных задач, стоящих перед
органами государственной власти в области регулирования конституционных прав и свобод человека и гражданина в информационной
сфере, является разрешение противоречий между реально существующим (закрепленным в Конституции РФ и действующем законодательстве) и необходимым качеством правового регулирования, а следовательно, и защищенности информационных интересов (потребностей) личности в информационной сфере, т.е. в представлении качественной информации, в том числе в обеспечении информационной
безопасности личности, общества и государства и используемых ими
информационных систем.
Решение этой основной задачи предполагает развитие информационного права в целом и его составной части – правового регулирования обеспечения информационной безопасности как науки, отрасли
и законодательства, как основного инструментария, позволяющего
адекватно реагировать на опережающие различные правоотношения,
рост новых информационных технологий и все возрастающую роль
информации, а также процессов, методов, средств и мероприятий
обеспечения ее безопасности.
С учетом вышеизложенных положений авторами предлагается
использовать информационный подход к пониманию отрасли права
и законодательства. Сущность такого подхода заключается в определении концепции развития правового регулирования конституционных прав и свобод человека и гражданина в информационной сфере
посредством формирования информационного права как отрасли
и законодательства с возможностью рассмотрения информационного
права как интегрирующей существующих отраслей, в том числе
с
возможностью перехода ее к ведущей, системообразующей отрасли
14
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
права и законодательства.
В рамках этого концептуального взгляда новое содержание приобретают вопросы, связанные с правовым регулированием обеспечения информационной безопасности личности, общества и государства
и их информационных систем, направленной на формирование механизма гарантированной защиты прав, свобод и законных интересов
личности в информационной сфере, реализацию прав граждан, иных
участников правоотношений на свободное получение, распространение, использование, защиту информации, защиту интеллектуальной
собственности, а также защиту от разрушающего воздействия информации на человека и информационные системы.
Многообразие предметов правового регулирования в области
обеспечения информационной безопасности, в свою очередь, обусловливает актуальность и своевременность решения проблемы развития комплексной отрасли информационного права. С учетом этого,
а также в силу известных взглядов на информационное право как систему охраняемых государством социальных норм и отношений, возникающих в информационной сфере, можно утверждать, что обеспечение информационной безопасности искомой сферы направлено на
основной объект правового регулирования – общественные отношения, называемые информационными, возникающими при организации, обеспечении, осуществлении информационных процессов по созданию, сбору, обработке, накоплению, хранению, поиску, распространению и потреблению информации, информационных продуктов
и услуг.
Предметом возникающих информационных отношений является информация, обладающая определенным статусом защиты, т.е. защищаемая информация и информационные ресурсы независимо от
видов и форм их представления. Этот статус информации достигается
комплексом организационных, технических и иных способов, мер
и средств защиты, в основе которых лежит их правовое регулирование, обеспечивающих заданное качество информации, в частности ее
безопасность и в целом информационную безопасность личности, общества и государства, а также их информационных систем различных
классов.
Одним из основных инструментов обеспечения рассматриваемой информационной безопасности служит соответствующий нормативный правовой базис, в основе формирования и развития которого
лежат научно-теоретические аспекты правового регулирования процесса обеспечения информационной безопасности. С учетом существования большого количества работ отечественных и зарубежных
ученых, отражающих различные теоретические аспекты правового
обеспечения информационной безопасности, авторы считают, что
15
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
в качестве первоочередных для решения современной наукой и практикой являются следующие проблемы и задачи:
 осмысление и развитие существующей практики обеспечения
информационной безопасности в рамках одной из фундаментальной
отрасли права – конституционного права;
 уточнение предметной области, метода, принципов, содержания информационного права и информационной безопасности личности, общества, государства;
 уточнение места организационного и правового обеспечения
в общей системе обеспечения информационной безопасности личности, общества и государства;
 систематизация понятийного аппарата правовых и организационных основ информационного обеспечения и информационной безопасности;
 формирование структуры законодательства страны в области
информационной безопасности;
 разработка механизма реализации, научно-практических
предложений и рекомендаций по повышению эффективности правового и организационного управления обеспечением информационной
безопасности.
16
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
КАК ОПРЕДЕЛЯЮЩИЙ КОМПОНЕНТ
НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИИ
1.1. Место информационной безопасности в системе
национальной безопасности России:
понятие, структура и содержание
Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так
и со стороны преступных элементов и граждан, не имеющих доступа
к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей
личности, общества и самого государства, обеспечение их информационной безопасности (ИБ). При этом под информационной безопасностью личности, общества, государства и современных автоматизированных и телекоммуникационных систем понимается состояние защищенности информационной среды, соответствующей интересам (потребностям) личности, общества и государства в информационной сфере, при котором обеспечиваются их формирование, использование и возможности развития независимо от наличия внутренних и внешних угроз.
Информационная безопасность определяется способностью государства (общества, личности):
 обеспечить с определенной вероятностью достаточные и защищенные информационные ресурсы и потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
 противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные с ети и другие технические источники информации;
 вырабатывать личностные и групповые навыки и умения безопасного поведения;
 поддерживать постоянную готовность к адекватным мерам
в информационном противоборстве, кем бы оно ни было навязано.
Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный
информационный ресурс является сегодня одним из главных источни17
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ков экономической и военной мощи государства. Проникая во все
сферы деятельности государства, информация приобретает конкретное политическое, материальное и стоимостное выражение. На этом
фоне все более актуальный характер приобретают вопросы обеспечения ИБ Российской Федерации как неотъемлемого элемента национальной безопасности, а защита информации превращается в одну из
приоритетных государственных задач.
В любой стране ИБ придается особое значение. В своем развитии эта задача проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств добывания сведений (в частности, разведки), правового режима государства и его
реальных усилий по обеспечению защиты информации.
Важным этапом становления и совершенствования такой системы в нашей стране явился период 70–80-х годов ХХ века. С началом
70-х годов в разведывательной деятельности ведущих стран мира
началось широкомасштабное применение технических средств разведки. 80-е годы, ознаменовавшись бурным научно-техническим прогрессом, особенно в военной области, дали новые импульсы в дальнейшем наращивании возможностей технических средств иностранных разведок: до 70 % разведывательной информации добывалось
в то время с помощью технических средств.
Сложившаяся обстановка потребовала совершенствования системы мер противоборства иностранным разведкам. Задачей государственной важности и одной из составных частей в общей системе мер
по сохранению государственной и служебной тайны стало противодействие техническим разведкам.
К началу 90-х годов произошли качественные изменения в военно-политической и научно-технической сфере, заставившие во многом пересмотреть государственную политику в области защиты информации в целом.
Во-первых, информационные технологии принципиально изменили объем и важность информации, циркулирующей в технических
средствах ее передачи и обработки.
Во-вторых, в России отошла в прошлое фактическая государственная монополия на информационные ресурсы, в частности, получило конституционное закрепление право гражданина искать, получать и распространять информацию.
В-третьих, прежний административный механизм управления
защитой информации стал неэффективен, в то же время необходимость межведомственной координации в этой сфере объективно возросла.
В-четвертых, в связи с усиливающимся включением России
в международное разделение труда, укреплением экономических,
18
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
культурных, гуманитарных контактов с другими странами многие режимно-ограничительные меры, облегчающие защиту информации,
например система регионов, закрытых для посещения иностранными
гражданами, стали неприемлемы.
В сложившихся условиях с учетом существующих угроз ИБ
личности, общества и государства важным является рассмотрение
проблем и задач обеспечения ИБ, составляющей неотъемлемую часть
обеспечения национальной безопасности любого государства мирового сообщества на новом этапе своего развития – этапе формирования
информационного общества. Характерным признаком такого общества
служит явная обусловленность экономического, социального и научного развития страны широким внедрением новых информационных
технологий, обеспечивающих эффективную информатизацию общества. Последняя, в свою очередь, гарантирует информационную безопасность общества, в том числе обеспечивает его качественной информацией, информационными продуктами, услугами и знаниями, являющимися сегодня одними из главных ресурсов страны.
Информатизация личности, общества – это важнейшее стратегическое направление деятельности государства, определяющее стабильное и безопасное социально-экономическое и политическое развитие и
приоритеты во всех сферах, в том числе в информационной, и видах
деятельности в мировом сообществе.
Подтверждением этому служит принятие ведущими странами
мира и Россией ряда нормативных правовых актов и иных документов:
 2000 г. – «Окинавская хартия глобального информационного
общества» (от имени России подписана Президентом РФ);
 2000 г. – Концепция национальной безопасности Российской
Федерации;
 2000 г. – федеральная целевая программа «Развитие единой
образовательной информационной среды (2001 – 2005 годы)»;
 2002 г. – федеральная целевая программа «Электронная Россия на 2002 – 2010 годы» (утверждена Постановлением Правительства
России от 28 января 2002 года № 65);
 2007 г. – Стратегия развития информационного общества
в России (утверждена 25 июля 2007 года Советом безопасности Российской Федерации) и др.
В Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 17.12.97 № 1300 (в ред.
от 10.01.2000), которая отражает «Окинавскую хартию глобального
информационного общества», система национальных интересов России
определяется совокупностью интересов:
19
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 личности – состоят в реальном обеспечении конституционных прав и свобод, личной безопасности, в повышении качества и
уровня жизни, в физическом, духовном и интеллектуальном развитии;
 общества – включают в себя упрочение демократии, достижение и поддержание общественного согласия, повышение созидательной активности населения и духовное возрождение России;
 государства – состоят в защите конституционного строя, суверенитета и территориальной целостности России, в установлении
политической, экономической и социальной стабильности, в безусловном исполнении законов и поддержании правопорядка, в развитии международного сотрудничества на основе партнерства.
Концепция определяет национальные интересы России и в информационной сфере. Они обусловливают необходимость сосредоточения усилий общества и государства на решении таких задач, как:
 соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею;
 защита национальных духовных ценностей;
 пропаганда национального, культурного наследия, норм
морали и общественной нравственности;
 обеспечение права граждан на получение достоверной информации;
 развитие современных телекоммуникационных технологий.
Планомерная деятельность государства по реализации этих задач
позволит Российской Федерации стать одним из центров мирового развития в XXI в. В то же время недопустимо использование информации для
манипулирования массовым сознанием. Необходима защита государственного информационного ресурса от утечки важной политической,
экономической, научно-технической и военной информации.
В соответствии с данной концепцией важнейшими задачами
обеспечения ИБ являются:
1) установление необходимого баланса между потребностью
в свободном обмене информацией и допустимыми ограничениями ее
распространения;
2) совершенствование информационной структуры, ускорение
развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки
и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
3) разработка соответствующей нормативной правовой базы и координация при ведущей роли Федерального агентства правительственной связи и информации при Президенте РФ деятельности
20
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
федеральных органов государственной власти и других органов, решающих задачи обеспечения ИБ;
4) развитие отечественной индустрии телекоммуникационных
и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
5) защита государственного информационного ресурса, прежде
всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.
Доктрина информационной безопасности Российской Федерации от 09.09.2001 № Пр-1895 представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ Российской Федерации. Она служит основой:
 для формирования государственной политики в области обеспечения ИБ Российской Федерации;
 подготовки предложений по совершенствованию правового,
методического, научно-технического и организационного обеспечения ИБ;
 разработки целевых программ обеспечения ИБ Российской
Федерации.
По структуре доктрина состоит из четырех разделов и 11 глав.
В первом разделе «Информационная безопасность Российской
Федерации» дается понятие ИБ, выделяются национальные интересы
личности, общества и государства в информационной сфере. В доктрине они уточнены более подробно, чем в Концепции национальной
безопасности.
Стратегические и текущие задачи внутренней и внешней политики государства по обеспечению ИБ формируются на основе нижеперечисленных интересов в информационной сфере:
- личности – заключаются в реализации конституционных прав
человека и гражданина на доступ к информации, использовании информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а
также в защите информации, обеспечивающей личную безопасность;
- общества – состоят в обеспечении интересов личности в этой
сфере, упрочении демократии, создании правового социального гос ударства, достижении и поддержании общественного согласия, в духовном обновлении России;
- государства – заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения
незыблемости конституционного строя, суверенитета и территориаль21
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ной целостности России, политической, экономической и социальной
стабильности, в безусловном обеспечении законности и правопорядка,
развитии равноправного и взаимовыгодного международного сотрудничества.
Определяются виды угроз ИБ и их источники. Они также, в отличие от Концепции национальной безопасности, подробно уточнены.
Во втором разделе «Методы обеспечения информационной безопасности»:
 устанавливаются общие методы обеспечения ИБ Российской
Федерации;
 раскрываются особенности обеспечения ИБ России в различных сферах общественной жизни;
 определяется международное сотрудничество в сфере обеспечения ИБ.
В третьем разделе «Основные положения государственной политики обеспечения информационной безопасности Российской Федерации» содержатся:
 принципы обеспечения государственной политики;
 первоочередные мероприятия по реализации государственной
политики обеспечения ИБ Российской Федерации.
Четвертый раздел «Организационная основа системы обеспечения информационной безопасности Российской Федерации» закрепляет основные функции системы обеспечения ИБ и ее организационную
основу.
В доктрине определены особенности обеспечения информационной безопасности в сфере:
 экономики;
 внутренней и внешней политики;
 науки и техники;
 духовной жизни;
 общегосударственных информационных и телекоммуникационных систем;
 обороны;
 правоохранительной и судебной, а также в условиях чрезвычайных ситуаций.
Это первая попытка законодательного закрепления направлений
деятельности государства по обеспечению ИБ. Нет необходимости говорить о значении такого закрепления, потому что оно касается всех
сфер деятельности государства и занимает практически приоритетное
место в системе национальной безопасности.
22
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
1.2. Назначение, структура, методы правового
обеспечения защиты информации
Государственная система правового регулирования информационной безопасности представляет собой совокупность федеральных
и иных органов управления, осуществляющих воздействие на информационные правоотношения с помощью юридических форм, методов и средств, направленное на обеспечение ИБ информационных ресурсов.
Создание правовой основы ИБ в целях обеспечения эффективного использования информационных ресурсов и защиты интересов
государства является безотлагательной задачей и непосредственно
связано с защитой конституционных прав и свобод личности, обеспечением безопасности России и надежным функционированием всех
систем управления. Информационная безопасность включает:
 защиту общества от отрицательных последствий информатизации;
 обеспечение правовой защиты от злоумышленников;
 соблюдение прав человека, интересов личности, организаций, государства, правопорядок отношений в области информатизации;
 использование техники и технологий в этой сфере.
Для обеспечения ИБ необходимо создание соответствующих органов, организаций, ведомств и обеспечение их эффективного функционирования. Совокупность этих органов составляет систему безопасности.
В соответствии с Законом о безопасности систему безопасности,
а следовательно, и ИБ образуют:
 органы законодательной, исполнительной и судебной власти;
 государственные, общественные и иные орган изации
и объединения;
 граждане, принимающие участие в обеспечении безопасности;
 законодательство, регламентирующее отношения в сфере безопасности.
Указанный закон закрепляет лишь организационную структуру
системы безопасности. Сама же система обеспечения безопасности
намного шире и затрагивает не только правовые аспекты. Поэтому
при ее формировании необходимо учитывать не только субъекты безопасности, но и:
 объекты ИБ Российской Федерации;
 связи и отношения между ними, организацию их деятельности;
 формы, методы и средства обеспечения ИБ.
23
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
В результате анализа действующих нормативных правовых актов
в качестве субъектов обеспечения безопасности, представляющих
организационную структуру системы ИБ, выделены следующие компоненты:
1) федеральные органы государственной власти;
2) органы государственной власти субъектов РФ;
3) органы местного самоуправления, решающие задачи в облас-ти обеспечения ИБ в пределах своей компетенции;
4) государственные и межведомственные комиссии и советы,
специализирующиеся на решении проблем обеспечения ИБ;
5) структурные и межотраслевые подразделения по защите
конфиденциальной информации органов государственной власти Российской Федерации, а также структурные подразделения предприятий, осуществляющие работы с использованием сведений, отнесенных
к государственной тайне, или специализирующиеся на проведении
работ в области защиты информации;
6) научно-исследовательские, проектные и конструкторские
организации, выполняющие работы по обеспечению ИБ;
7) учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения ИБ;
8) граждане, общественные и иные организации, обладающие
правами и обязанностями по обеспечению ИБ в установленном законом порядке.
Основными функциями системы ИБ Российской Федерации являются:
 разработка и реализация стратегии обеспечения ИБ;
 создание условий для реализации прав граждан и организаций
на разрешенную законом деятельность в информационной сфере;
 оценка состояния ИБ в стране; выявление источников внутренних и внешних угроз ИБ; определение приоритетных направлений
предотвращения, парирования и нейтрализации этих угроз;
 координация и контроль деятельности системы обеспечения
ИБ;
 организация разработки федеральных и ведомственных программ обеспечения ИБ и координация работ по их реализации;
 проведение единой технической политики в области обеспечения ИБ;
 организация фундаментальных, поисковых и прикладных
научных исследований в области ИБ;
 обеспечение контроля за созданием и использованием средств
защиты информации посредством обязательного лицензирования дея-
24
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тельности в области защиты информации и сертификации средств защиты информации;
 осуществление международного сотрудничества в сфере ИБ,
представление интересов Российской Федерации в соответствующих
международных организациях.
Главной целью системы ИБ является защита конституционных
прав и свобод граждан.
Анализ структуры и функций системы ИБ с учетом сложившейся системы разделения властей позволил выявить полномочия
субъектов обеспечения ИБ.
Государство является главным и основным субъектом обеспечения ИБ в лице Президента РФ, Федерального собрания РФ, Правительства РФ, органов судебной власти, Совета безопасности РФ, Федеральной службы по техническому и экспортному контролю (ФСТЭК)
России, специализированных федеральных органов исполнительной
власти России (ФСБ, ФСО, ФПС, СВР).
Общее руководство субъектами обеспечения ИБ осуществляет
Президент РФ. К его полномочиям в этой сфере относятся:
 осуществление руководства и взаимодействия органов государственной власти;
 контроль и координация деятельности органов обеспечения ИБ;
 определение жизненно важных интересов Российской Федерации в информационной сфере;
 выявление внутренних и внешних угроз этим интересам;
 установление основных направлений стратегии обеспечения ИБ.
Федеральное Собрание РФ формирует на основе Конституции
РФ законодательную базу в сфере ИБ.
Правительство РФ в пределах своих полномочий:
 обеспечивает руководство государственными органами;
 организует и контролирует разработку и реализацию меропри-ятий по обеспечению ИБ министерствами и другими подведомственными ему органами.
Органы судебной власти также являются субъектами обеспечения ИБ – они осуществляют судебную защиту граждан, права которых
были нарушены в связи с деятельностью по обеспечению ИБ, правосудие по делам о преступлениях в информационной сфере.
Особая роль в обеспечении безопасности государства, в том
числе информационной, принадлежит Совету безопасности РФ. Это
конституционный орган, не обладающий статусом федерального органа исполнительной власти, но наделенный достаточными полномочиями в сфере обеспечения безопасности. Совет безопасности является единственным совещательным органом при Президенте РФ, созда-
25
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ние которого предусмотрено действующей Конституцией РФ. Главными задачами Совета безопасности РФ являются:
 разработка проектов указов и иных правовых актов по основ-ным направлениям внутренней, внешней и военной политики в
сфере обеспечения безопасности;
 подготовка предложений по координации деятельности федеральных органов государственной власти в процессе реализации
принятых решений в сфере обеспечения ИБ;
 разработка предложений по совершенствованию системы
обеспечения ИБ;
 проведение государственной политики в сфере ИБ.
Не менее важное место принадлежит Федеральной службе по
техническому и экспортному контролю (ФСТЭК) России. Являясь
федеральным органом исполнительной власти, она осуществляет:
 единую государственную политику в области технической
защиты информации;
 утверждение нормативно-методических документов по технической защите информации;
 межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты информации, содержащей
сведения, составляющие государственную или служебную тайну;
 прогнозирование развития сил, средств и возможностей технических разведок, выявление угроз безопасности информации;
 предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней;
 специальные работы по технической защите информации и др.
К системе специализированных федеральных органов исполнительной власти, обеспечивающих безопасность, относится и Федеральная служба безопасности РФ (ФСБ России), которая осуществляет государственное управление в сфере обеспечения безопасности РФ и реализует основные направления деятельности органов ФСБ.
К ее главным задачам относятся:
 информирование государственных органов власти об угрозах
безопасности Российской Федерации;
 обеспечение защиты сведений, составляющих государственную тайну;
 проведение во взаимодействии с другими службами мероприятий по обеспечению безопасности и др.
Федеральная служба охраны РФ (ФСО России) также относится к субъектам обеспечения безопасности. Ее главной функцией
является обеспечение безопасности лиц, которые подлежат государственной охране. Кроме этого ФСО, как субъект обеспечения без26
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
опасности, в том числе некоторых аспектов информационной, в части
обеспечения правительственной связи и информации, является составной частью сил обеспечения безопасности РФ и входит в систему
органов федеральной исполнительной власти, которые обеспечивают
высшие органы государственной власти Российской Федерации, органы государственной власти субъектов РФ, центральные органы федеральной исполнительной власти, Совет безопасности РФ, организации, предприятия, учреждения специальными видами связи и информации. Совместно с ФСБ она участвует в организации и обеспечении
деятельности центральных органов федеральной исполнительной власти, организаций, предприятий, учреждений средствами криптографической и инженерно-технической безопасности и шифрованной
связи в России и ее учреждениях за рубежом, а также осуществляет
в рамках своих полномочий государственный контроль за этой деятельностью.
К субъектам обеспечения безопасности относятся и другие силовые федеральные министерства и ведомства. Так, в составе ФСБ
Федеральная пограничная служба РФ (ФПС России) в рамках осуществления своих основных функций по охране государственной границы, территориального моря, континентального шельфа, государственных границ государств – участников СНГ также решает задачи
обеспечения ИБ.
Безопасность Российской Федерации на территории зарубежных
государств и соответственно ИБ обеспечивается Службой внешней
разведки РФ (СВР России). В ее компетенцию входит разведывательная деятельность в политической, экономической, экологической и
иных сферах.
Одной из специфических является охранительная функция государства, большей частью принадлежащая органам внутренних дел,
которые являются также субъектами обеспечения безопасности. Министерство внутренних дел РФ (МВД России) возглавляет систему
органов внутренних дел России, в которую входят территориальные
органы МВД России в субъектах Федерации – министерства внутренних дел республик в составе России, Главное управление, управления
и отделы внутренних дел, внутренние войска. В нее также входят различные службы, подразделения, учебные заведения, предприятия,
учреждения, организации. МВД России осуществляет государственное управление в сфере защиты прав и свобод человека и гражданина,
реализует основные направления деятельности органов внутренних
дел. Его основные задачи – следующие:
 разработка и принятие в пределах своей компетенции мер по
защите прав и свобод человека и гражданина, защите объектов независимо от форм собственности, обеспечение общественного порядка
и общественной безопасности;
27
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 принятие мер по совершенствованию деятельности органов
внутренних дел;
 совершенствование нормативно-правовой базы деятельности
органов внутренних дел;
 улучшение работы с кадрами, их профессиональной подготовки и др.
Таким образом, организационную основу системы ИБ РФ составляют Президент РФ, Федеральное Собрание РФ, Правительство РФ, Совет безопасности РФ, федеральные органы исполнительной власти, органы судебной власти, органы государственной власти
субъектов РФ, органы местного самоуправления. Кроме того, государство в соответствии с действующим законодательством обеспечивает безопасность каждого гражданина как на территории РФ, так
и за ее пределами.
Другие органы государственного управления (министерства, ведомства) в пределах своей компетенции:
 определяют перечень охраняемых сведений;
 обеспечивают разработку и осуществление технически и экономически обоснованных мер по защите информации на подведомственных предприятиях;
 организуют и координируют проведение НИОКР в области
защиты информации в соответствии с государственными (отраслевыми) программами;
 разрабатывают отраслевые документы по защите информации;
 контролируют выполнение на предприятиях отрасли установленных норм и требований по защите информации;
 создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;
 организуют подготовку и повышение квалификации специалистов по защите информации.
Осуществляют указанные функции в составе органов государственного управления научно-технические подразделения (центры)
защиты информации и контроля. На предприятиях, выполняющих
оборонные и иные секретные работы, данные подразделения координируют деятельность в этом направлении научных и структурных
производственных подразделений предприятия, участвуют в разработке и реализации мер по защите информации, осуществляют контроль эффективности этих мер. Кроме того, в отраслях промышленности и регионах страны создаются и функционируют:
28
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 лицензионные центры, осуществляющие организацию и
контроль за лицензионной деятельностью в области оказания услуг по
защите информации;
 органы по сертификации средств вычислительной
техники (СВТ) и средств связи;
 испытательные центры по сертификации конкретных видов продукции по требованиям безопасности информации;
 органы по аттестации объектов информационной безопасности.
При создании государственной системы организационноправового регулирования выявились новые проблемы ИБ и защиты
информации. Это защита:
 права личности на частную жизнь (в том числе защита персональных данных), конституционных прав личности на тайну переписки, переговоров, личную тайну;
 коммерческой тайны в предпринимательской и финансовой
деятельности путем законодательного установления механизмов защиты и обеспечения добросовестной конкуренции;
 технических и программных средств информатики от злоумышленника, ошибочных действий персонала и техногенных воздействий.
Реализация механизмов защиты перечисленных объектов безопасности стала актуальной проблемой именно в настоящее время.
Объективными условиями для развития этих аспектов проблемы безопасности являются:
 переход к рыночной модели экономики, требующий создания
эффективной защиты предпринимателя от криминогенных угроз
и недобросовестной конкуренции, в том числе промышленного шпионажа;
 необходимость защиты национального информационного ресурса при включении российских систем в международные системы
и сети;
 рост степени возможного ущерба при отказе оборудования
АСУ потенциально опасных производств в результате некомпетентных действий персонала или техногенных катастроф;
 возникновение новых форм общественных отношений в сфере
бизнеса (электронные деньги, электронная подпись, электронная биржа, электронное соглашение с правом юридической силы и т. д.).
Новыми эти вопросы являются потому, что с расширением числа участников правоотношений начинают учитывать интересы не
только государства, но и коллективов и частных лиц. Появляется
необходимость правового регулирования их отношений. Интересы
юридических лиц, действующих в условиях рыночных отношений,
29
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
отличаются от прежней, монопольной позиции государства, прежде
всего, тем, что в основе этих интересов лежит острая необходимость
обезопасить себя (свой коммерческий интерес) от риска и угроз. Важным является то, что в этом случае государство само начинает выступать в качестве субъекта, также требующего защиты от риска
и
угроз. Если же эти угрозы реализуются, то субъекту причиняется
ущерб в виде прямых финансовых потерь или упущенной выгоды.
По фактам преступлений в финансовой сфере были собраны
статистические данные последних лет. Анализ наиболее крупных преступлений, связанных с хищением валютных и денежных средств во
Внешэкономбанке по поддельным финансовым документам, дает основания полагать, что статистика финансовых компьютерных преступлений не будет отличаться от аналогичной статистики в западных
странах. Близкими оказываются и побудительные мотивы этих преступлений.
Таким образом, к настоящему времени сформировались направления, требующие законодательной поддержки:
 защита персональных данных;
 борьба с компьютерной преступностью, в первую очередь
в финансовой сфере;
 защита коммерческой тайны и обеспечение благоприятных
условий для предпринимательской деятельности;
 защита государственных секретов;
 создание системы взаимных финансовых расчетов в электронной форме с элементами цифровой подписи;
 обеспечение безопасности АСУ потенциально опасных производств;
 страхование информации и информационных систем;
 сертификация и лицензирование в области безопасности, контроль безопасности информационных систем;
 организация взаимодействия в сфере защиты данных со странами – членами СНГ и другими государствами.
Анализ современного состояния информационной безопасности в России показывает, что ее уровень в настоящее время не в полной мере соответствует жизненно важным потребностям личности, общества и государства.
К негативным факторам, осложняющим решение задач обеспечения ИБ, относятся:
 обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение;
30
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 несовершенство нормативно-правовой базы, отсутствие действенных механизмов регулирования информационных отношений
в обществе и государстве;
 слабое обеспечение органов государственной власти и управления полной, достоверной и своевременной информацией, неразвитость информационных отношений в сфере предпринимательства;
 недостаточная защищенность государственного информационного ресурса и слабость мер по обеспечению сохранности государственных секретов в органах государственной власти и управления;
 необеспеченность прав граждан на информацию, манипулирование информацией, вызывающее неадекватную реакцию населения
и ведущее в ряде случаев к политической нестабильности в обществе.
Такое положение дел в области обеспечения ИБ требует безотлагательного решения ряда ключевых проблем. Их решение должно
сводиться к следующему:
 формированию нормативной правовой базы обеспечения
ИБ, в том числе разработке реестра информационного ресурса, регламента информационного обмена для органов государственной власти
и управления, нормативному закреплению ответственности должностных лиц и граждан по соблюдению требований ИБ;
 формированию системы ИБ и как ее части системы правового
регулирования, обеспечивающей реализацию государственной политики в этой области;
 разработке механизмов реализации прав граждан на информацию;
 исследованию форм и способов цивилизованного воздействия
государства на формирование общественного сознания.
Таким образом, для формирования эффективной системы правового регулирования ИБ и защиты информации необходима концепция, которая позволит проводить в стране единую, обеспечивающую
сбалансированность интересов личности и государства политику
в области ИБ.
Несовершенство законодательства по вопросам информации
и информатизации в России определяет необходимость комплексного
подхода к формированию и разработке единой концепции правового
обеспечения этого процесса с учетом соотношения законодательства в
области информатизации и всей системы законодательства РФ.
При создании правовой основы процесса информатизации необходимо учитывать:
 состояние и состав международных норм в области информатизации;
31
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 состояние отечественного законодательства в этой и смежных
областях;
 формирование системы законодательства с охватом всех ее
уровней, обеспечением преемственности и совместимости норм в законах разного уровня – конституционных, общих, специальных;
 последовательный выход на развитие ведомственных и местных нормативных актов с опорой на законодательную основу;
 создание механизмов, обеспечивающих организацию, применение, действенность законодательной базы информатизации.
Направления создания правовой базы должны затрагивать все
уровни законодательства России. Например, конституционно должны
быть закреплены и оформлены права граждан, организаций, государства на информацию и последовательно обеспечены во всех законах –
о собственности, правах граждан, гражданстве, предпринима-тельстве
и т. д.
Вопросы информации, информационного обеспечения обязательно должны присутствовать в законах о разделении компетенции
и правовом статусе различных государственных систем, органов и организаций государственного устройства по вертикали и горизонтали.
Нормативные правовые акты в области информатизации должны быть ориентированы на создание условий в организации и упор ядочение самой информации, управление государственными информационными ресурсами, обеспечение процесса включения современных
технологий во все направления информатизации, создание систем защиты и обработки информации, установление гарантий и т. д. Кроме
федерального законодательства вопросы информатизации должны
быть учтены в законодательстве субъектов РФ.
Важное место в правовом обеспечении информатизации должны
занимать подзаконные нормативные акты, отражающие процессы информатизации и защиты информации.
Обязательной составной частью рассматриваемой структуры системы законодательства является правоохранительное законодательство, включающее нормы об ответственности за правонарушение при работе с информацией.
Проблема формирования законодательства в области информации связана с характеристикой как самого информационного
законодательства, так и его части – законодательства в сфере ИБ.
Весь массив актов, который относится к информационному законодательству, характеризуется в литературе по-разному: «отрасль
права», «информационное право», «компьютерное право». Распространена трактовка «специальное право». Следуя логике авторов данного определения, специальной следует признать любую отрасль законодательства [57, с. 70-71; 59].
32
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Некоторые ученые считают, что использование понятия «информационное право» преждевременно [101]. Они исходят из позиции, что в теории права четко сформулированы критерии, позволяющие рассматривать тот или иной нормативно-правовой массив в качестве отрасли права. Отрасль права объединяет ряд правовых институтов; для нее характерно наличие ряда базовых законов, выделение
принципов, разделение на общую и особенную части, наличие методов правового регулирования, механизма применения. Одним из важных показателей выделения законодательного массива в самостоятельную отрасль права является наличие самостоятельных принципов
и так называемой критической массы нормативных правовых актов.
Исходя из этого правильное решение данной проблемы – отнесение
нормативно-правового массива по информатизации к понятию «отрасль законодательства».
Отрасль законодательства – это массив нормативных правовых актов в определенной сфере, не достигший уровня отрасли права,
хотя и обладающий определенной степенью единства и достаточно
большим количеством нормативных правовых актов, входящих
в него. Отрасль законодательства включает в себя не только законы
как акты высшей юридической силы, но и подзаконные нормативные
правовые акты.
Ряд авторов выдвигают концепцию «компьютерного права» [101].
Они относят к этой области правовое регулирование общественных
отношений, связанных с производством и использованием компьютеров в различных областях. Однако концепция «компьютерного права»
вызывает ряд возражений. Прежде всего, объекты «компьютерного
права» не образуют целостного единства. К тому же данная концепция не находит поддержки у законодателя.
Наряду с этим существует еще одна проблема – формирование
научных представлений об объекте информационного законодательства. Этим объектом являются информационные отношения.
Тенденцию обособления информационных отношений отмечает Ю.М.
Батурин. В.А. Копылов выделяет конституционные информационные
отношения, т. е. отношения, объективно существующие на уровне
Конституции РФ. А.Б. Агапов предпринял попытку классификации
информационных отношений. Понятие и термин «информационные
отношения» получили законодательное закрепление. Под ними понимаются отношения по поводу сбора, накопления, хранения и использования информации. Это определение является неполным, так как не
охватывает все информационные процессы, по поводу которых и возникают информационные правоотношения.
Информационные правоотношения – это отношения, возникающие по поводу сбора, обработки, накопления, хранения, поиска,
33
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
распространения, использования информации, информационных ресурсов и регулируемые нормами информационного законодательства.
Указанные отношения возникают при осуществлении информационных процессов. Таким образом, отнесение массива нормативных правовых актов в сфере информации и информатизации к понятию «отрасль законодательства» является вполне обоснованным.
Законодательство в сфере ИБ должно состоять из базового закона и набора нормативных правовых актов, формируемых в его развитие. Ведь регулировать всю совокупность отношений в области ИБ
одним законом нецелесообразно; в этом случае оно окажется громоздким, перегруженным частными нормами. Кроме того, при формировании структуры законодательства в информационной сфере
необходимо учитывать, как минимум, две особенности.
Первая особенность заключается в принципах построения законодательства в сфере информации и информатизации. Межпарламентская ассамблея государств – участников СНГ приняла Рекомендательный законодательный акт «О принципах регулирования информационных отношений в государствах – участниках Межпарламентской ассамблеи». В этом акте впервые были определены следующие
принципы:
 законодательное закрепление права граждан, организаций,
государства на свободный поиск, получение, использование и распространение информации и гарантии реализации этого права, за исключением случаев, установленных национальным законодательством;
 установление правового режима информации;
 обеспечение доступности информации, не отнесенной законом в установленном порядке к информации с ограниченным доступом;
 установление правовых форм защиты информации и гарантий
ИБ, а также защиты авторских и иных прав в области информационных отношений.
Эти принципы применимы и для законодательства в сфере ИБ,
однако для информационного законодательства первые два принципа
являются частными. Они могут применяться только для информационных правоотношений.
Для информационного законодательства должны быть сформулированы принципы:
 равенства субъектов информационных отношений;
 ИБ и защиты информации;
 свободы информации с установлением ограничений доступа
к отдельным видам информации и информационных ресурсов.
34
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Вторая особенность состоит в учете существующих классификаций и систематизаций нормативных правовых актов. Система нормативных правовых актов современных государств неоднородна. Это объясняется особенностями форм государственного правления, многовековыми традициями отдельных стран, национальными и
другими факторами. Тем не менее подавляющее большинство нормативно-правовых актов строится по признаку степени юридической силы акта. Акты нижестоящих органов государственной власти в интересах стабильности общественной жизни, ее оптимальной организованности должны соответствовать предписаниям актов вышестоящих
органов. Все коллизии, противоречия между подзаконными актами в цивилизованном государстве разрешает закон, обладающий
высшей юридической силой.
Таким образом, при формировании законодательства в сфере ИБ
необходимо учитывать не только его принципы, но и принципы всего
информационного законодательства.
Проблема обеспечения информационной безопасности рассматривается как проблема защиты интересов личности, общества и государства в информационной сфере. Организация такой защиты во многом связана с противодействием факторам и условиям, которые несут
опасность интересам личности, общества и государства в рассматриваемой сфере и которые принято называть угрозами ИБ.
Согласно Закону о безопасности, под угрозой безопасности понимается совокупность условий и факторов, создающих опасность
жизненно важным интересам личности, общества и государства.
Концепция национальной безопасности РФ не дает определения угрозы, но называет некоторые из угроз в информационной сфере. Так,
опасность представляют:
 стремление ряда стран к доминированию в мировом информационном пространстве;
 вытеснение государства с внутреннего и внешнего информационного рынка;
 разработка рядом государств концепции информационных
войн;
 нарушение нормального функционирования информационных систем;
 нарушение сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Это так называемые внешние угрозы, которые обусловлены
конкурентным характером развития межгосударственных и международных отношений. Соответственно, существуют и внутренние
угрозы, связанные во многом с недостаточным проведением экономических, социально-политических и иных преобразований в сфере
35
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ИБ. Концепция национальной безопасности называет их в качестве
предпосылок возникновения угроз. С учетом этих предпосылок к источникам внутренних угроз можно отнести:
 отставание России в сфере информатизации органов государственной власти;
 несовершенство системы организации государственной власти по формированию и реализации единой государственной политики обеспечения ИБ;
 криминализацию общественных отношений, рост организованной преступности;
 увеличение масштабов терроризма;
 обострение межнациональных и осложнение внешних отношений.
Для нейтрализации информационных угроз существует исторически сложившаяся система сохранения государственной тайны,
включающая подсистемы:
 криптографической сети конфиденциальной связи;
 противодействия иностранным техническим разведкам;
 обеспечения режима секретности на закрытых государственных объектах.
Наряду с традиционными приоритетами иностранных технических разведок в сферу их интересов все в большей мере вовлекаются
вопросы технологий, финансов, торговли, ресурсов, доступ к которым
открывается в связи с конверсией, развитием международных интеграционных процессов, широким внедрением компьютерных технологий. Из существующих информационных угроз наиболее актуальными являются угрозы экономической безопасности предприятий и
фирм, определяемые недобросовестной конкуренцией, экономическим и промышленным шпионажем. Последний существовал всегда.
Промышленный шпионаж представляет собой несанкционированную передачу конфиденциальной технологии, материалов, продукции, информации о них.
Методы и способы ведения шпионажа остаются неизменными
на протяжении многих столетий развития общества и государства.
При этом меняются только средства и формы его ведения. К таким
методам относятся: подкуп, шантаж, деятельность послов-шпионов,
перехват сообщений, представленных на различных носителях (магнитные носители, письма и др.).
Что касается анализа полученной информации, то все осталось
без изменений. Им занимается специалист (или группа), осуществляющий аналитико-синтетическую переработку информации,
в
том числе с использованием новых информационных технологий.
36
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Развитие техники вплоть до начала ХХ в. не влияло на средства
несанкционированного получения информации: сверлили дырки
в стенах и потолках, использовали потайные ходы и полупрозрачные
зеркала, устраивались у замочных скважин и под окнами. С появлением телеграфа и телефона стали использовать технические средства
получения информации. В 30 – 40-е годы появились диктофоны, миниатюрные фотоаппараты, различные радиомикрофоны.
С развитием новых информационных технологий осуществляется перехват гигантского количества сообщений, влияя на все сферы
социально-экономического развития общества, в том числе на развитие промышленности.
Анализ результатов исследований угроз информации позволяет
утверждать, что одной из основных угроз государственной безопасности Российской Федерации являются попытки западных спецслужб
добывать конфиденциальные сведения, составляющие государственную, промышленную, банковскую и другие виды тайн. Ведущие западные страны продолжают модернизировать и развивать свои разведывательные службы, совершенствовать техническую разведку,
наращивать ее возможности.
Существуют также угрозы, непосредственно воздействующие
на обрабатываемую конфиденциальную информацию. Система угроз
безопасности представляет собой реальные или потенциально возможные действия или условия, приводящие к хищению, искажению,
несанкционированному доступу, копированию, модификации, изменению, уничтожению конфиденциальной информации и сведений
о самой системе и, соответственно, к прямым материальным убыткам.
При этом угрозы сохранности информации определяются случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды, надежностью функционирования средств обработки информации, а также преднамеренным корыстным воздействием несанкционированных пользователей, целью которых является
хищение, уничтожение, разрушение, модификация содержания и использование обрабатываемой информации. Различают несколько вариантов классификации угроз (рис. 1.1).
Проявление угроз характеризуется рядом закономерностей. Вопервых, это незаконное овладение конфиденциальной информацией,
ее копирование, модификация, уничтожение в интересах злоумышленников с целью нанесения ущерба.
Кроме этого непреднамеренные действия обслуживающего персонала и пользователей также наносят определенный ущерб.
37
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Персоналу
Материальным
Финансовым
Информационным
Угрозы ресурсам
Другие угрозы
Подключение к каналам
связи
Несанкционированный
доступ
Перехват электромагнитных
излучений
Просмотр вводимых
данных и листингов
Хищение магнитных и других
носителей информации
Просмотр "мусора"
Внесение изменений
в аппаратуру
Угрозы со стороны
пользователей ТСОИ и ЭВТ
Угрозы со стороны нарушителей
Умышленные факторы
УГРОЗЫ СОХРАННОСТИ ИНФОРМАЦИИ
Естественные факторы
по природе возникновения
Несчастные
случаи
(чрезв. пр.)
Стихийные
бедствия
Пожары
Ураган
Аварии
Наводнение
Взрывы
Землетрясение
Другие
Другие
Случайные
воздействия
Ошибки, сбои
процесса
подготовки
Действие
ЭМП и
др. полей
Ошибки, сбои
процесса
обработки
Ошибки в ОС
Ошибки в
программах
пользователей
Концептуальные и
внедренческие
ошибки
Ошибки
ввода данных
Ошибки, сбои,
отказы
аппаратуры
Ошибки
пользователей
Ошибки
операторов
Рис. 1.1. Классификация угроз безопасности
Во-вторых, основными путями реализации угроз информации
и ее безопасности выступают:
 использование агентурных источников в органах управления и защиты информации;
 вербовка должностных лиц органов управления, организаций,
предприятий и т. д.;
 перехват и несанкционированный доступ к информации с использованием технических средств разведки;
38
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 применение преднамеренного программно-математического
воздействия;
 подслушивание конфиденциальных переговоров в служебных
помещениях, транспорте и других местах их ведения.
Основными факторами воздействия угроз, обусловливающими
информационные потери и приводящими к различным видам ущерба,
возрастанию убытков от неправомерных действий, являются:
 несчастные случаи, вызывающие выход из строя оборудования и информационных ресурсов (пожары, взрывы, аварии, удары,
столкновения, падения, воздействия химических или физических
сред);
 поломки элементов средств обработки информации;
 последствия природных явлений (наводнения, бури, молнии,
землетрясения и др.);
 кражи, преднамеренная порча материальных средств;
 аварии и выход из строя аппаратуры, программного обеспечения, баз данных;
 ошибки накопления, хранения, передачи, использования информации;
 ошибки восприятия, чтения, интерпретации содержания информации, соблюдения правил, ошибки как результат неумения,
оплошности, наличие помех, сбоев и искажений отдельных элементов
и знаков или сообщения;
 ошибки эксплуатации: нарушение защиты, переполнение
файлов, ошибки языка управления данными, ошибки при подготовке
и вводе информации, ошибки операционной системы, программирования, аппаратные ошибки, ошибки толкования инструкций, пропуск
операций и др.;
 концептуальные ошибки внедрения;
 злонамеренные действия в материальной сфере;
 разглашение сведений персоналом;
 убытки социального характера (уход, увольнение, забастовка и др.).
Информационный ущерб в ряде случаев может быть оценен
в зависимости от вида потерь. Это могут быть:
1) потери, связанные с компенсацией или возмещением утраченных, похищенных материальных средств, которые включают:
 стоимость компенсации возмещения другого косвенно утраченного имущества;
 стоимость ремонтно-восстановительных работ;
 расходы на анализ и исследование причин и величины ущерба;
 другие расходы;
39
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
2) дополнительные расходы на персонал, обслуживающий технические средства обработки конфиденциальной информации, восстановление информации, возобновление работы информационных
систем по сбору, хранению, обработке, контролю данных, в том числе
расходы:
 на поддержку информационных ресурсов ТСОИ;
 обслуживающий персонал, не связанный с обработкой информации;
 специальные премии, расходы на перевозку и др.;
3) эксплуатационные потери, связанные с ущербом банковских интересов или финансовыми издержками, потерей клиентов, заказчиков, требующие дополнительных расходов на восстановление:
банковского доверия; размеров прибыли; утерянной клиентуры; доходов организации и др.:
 утрата фондов или порча имущества, не подлежащего восстановлению, которые снижают финансовые возможности (деньги, ценные бумаги, денежные переводы и др.);
 расходы и потери, связанные с возмещением морального
ущерба, обучением, экспертизой и др.
Анализируя количественные данные потерь, можно сделать вывод о том, что убытки от злонамеренных действий, и особенно от экономического шпионажа, непрерывно возрастают и являются наиболее
значимыми. Выводы западных экспертов показывают, что утечка 20
% ко м м ер ч ес ко й инфо р м ации в 60 с луч ая х из 100 пр ив о д ит к банкротству фирмы.
Подводя итоги краткого анализа существующих угроз конфиденциальной информации, можно выделить два направления воздействия угроз, снижающих безопасность информации.
Первое, традиционно сложившееся в рамках защиты конфиденциальных сведений, представляет собой воздействия, способствующие несанкционированному доступу к этим сведениям. Второе, развившееся в рамках широкого понимания проблем ИБ, связано с использованием современных технических и организационных систем,
а также с участием людей, коллективов людей и общества в целом
и их подверженностью внешним негативным информационным воздействиям.
Так, теоретически доказано, а практикой многократно подтверждено, что психика и мышление человека подвержены внешним информационным воздействиям и при их надлежащей организации возникает возможность программирования поведения человека. Более того, в последнее время ведутся разработки методов и средств компьютерного проникновения в подсознание, для того чтобы оказывать на
него глубокое воздействие. Поэтому актуальной является проблема не
40
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
только защиты информации, но и защиты от разрушающего воздействия информации, приобретающей международный масштаб и стратегический характер. В силу изменения концепции развития стратегических вооружений, определяющей, что вооруженное решение мировых проблем становится невозможным, все более прочно входит в
обиход понятие информационной войны. Сейчас эффективность
наступательных средств информационной войны, информационного
оружия превосходит эффективность систем защиты информации.
Представляют интерес угрозы утраты охраняемых свед ений в ходе информационных процессов, участники которых представляют противоположные интересы. Анализ этих угроз позволил
выявить ряд их характерных признаков. В большинстве случаев активные действия сторон вполне осознанны и целенаправленны. К таким действиям относятся:
 разглашение конфиденциальной информации ее обладателем;
 утечка информации по различным, главным образом, техническим каналам;
 несанкционированный доступ к конфиденциальной информации разными способами.
Разглашение информации – это умышленные или неосторожные действия должностных лиц и граждан, которым в установленном порядке были доверены соответствующие сведения по работе,
приведшие к оглашению охраняемых сведений, а также передача таких сведений по открытым техническим каналам. Разглашение выражается в сообщении, передаче, представлении, пересылке, опубликовании, утере и оглашении любыми иными способами конфиденциальной информации лицам и организациям, не имеющим права
доступа к охраняемым секретам. Оно может происходить по многим
каналам, в том числе через почтовые отправления, радио, телевидение, печать и т. п. Разглашение возможно в ходе деловых встреч, бесед, при обсуждении совместных работ, в договорах, письмах и документах, при деловых встречах и др. Во время таких мероприятий
партнеры ведут интенсивный обмен информацией. Именно при общении между ними устанавливаются «доверительные» отношения, приводящие к оглашению коммерческих секретов.
Как правило, факторами, способствующими разглашению конфиденциальной информации, являются:
 слабое знание (или незнание) требований по защите конфиденциальной информации;
 ошибочность действий персонала из-за низкой производственной квалификации;
 отсутствие системы контроля за оформлением документов,
подготовкой выступлений, рекламы и публикаций;
41
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 злостное, преднамеренное невыполнение требований по защите коммерческой тайны.
Разглашение конфиденциальной информации неизбежно приводит к материальному и моральному ущербу.
Утечку информации в общем виде можно рассматривать как
бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена. При этом природа утечки охраняемой информации характеризуется как обстоятельствами происхождения, так
и причинами, условиями возникновения утечки.
Неправомерному овладению конфиденциальной информацией
вследствие неудовлетворительного управления персоналом со стороны должностных лиц, организаций и ведомств способствуют следующие обстоятельства:
 склонность сотрудников организации к излишней разговорчивости – 32 %;
 стремление сотрудников зарабатывать деньги любыми способами и любой ценой – 24 %;
 отсутствие в фирме службы безопасности (СБ) –14 %;
 привычка сотрудников делиться друг с другом информацией о своей служебной деятельности – 12 %;
 бесконтрольное использование в фирме информационных систем – 10 %;
 предпосылки возникновения конфликтных ситуаций в коллективе вследствие отсутствия психологической совместимости сотрудников, случайного подбора кадров, отсутствия работы руководителя по сплочению коллектива и др. – 8 %.
Также утечка охраняемой информации обусловлена наличием
соответствующих условий, связанных:
 c появлением конкурента (злоумышленника), который интересуется такой информацией и затрачивает определенные силы и
средства для ее приобретения;
 несовершенством норм по сохранению коммерческих секретов, а также нарушением этих норм, отступлением от правил
обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими
конфиденциальную информацию;
 разными факторами и обстоятельствами, которые складываются в процессе научной, производственной, рекламной, издательской, информационной и иной деятельности организации и создают
предпосылки для утечки сведений, составляющих различные виды
тайн.
К таким факторам и обстоятельствам могут, например, относиться:
42
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 недостаточное знание работниками правил защиты соответствующего вида тайны и непонимание необходимости их тщательного
соблюдения;
 утрата удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей – 12 %;
 пронос без разрешения работников службы безопасности на
территорию организации кино-, звуко-, фото- и видеозаписывающей,
радиопередающей, принимающей и множительно-копировальной аппаратуры личного пользования; недонесение о фактах возможной
утечки секретных сведений руководству подразделения и СБ; в ынос с предприятия секретных документов и изделий без разрешения
руководителя организации или начальника СБ – 4 %;
 неправильное определение грифа секретности документа (изделия) – 3 %;
 несвоевременное направление документов для пр иобщения
к делу с отметками об исполнении и с резолюцией начальника подразделения; оставление открытыми и неопечатанными после окончания
работы помещений (спецхранилищ) – 3 %;
 оставление секретных документов на рабочих столах при выходе из помещения, нарушение установленного порядка ознакомления
прикомандированных лиц с секретными документами и изделиями,
перевозка секретных документов и изделий личным и общественным
транспортом и перемещение с ними в места, не связанные с выполнением заданий, – 2 %;
 неправильное оформление секретных документов в печать; несоблюдение порядка отчетности перед СБ за числящиеся за исполнителем документы и изделия при увольнении, перед уходом в отпуск, выездом в командировки; несвоевременное сообщение в кадровую службу об изменениях анкетных и автобиографических данных; ведение
переговоров по секретным вопросам по незащищенным линиям связи;
выполнение секретных работ на дому; снятие копий с секретных документов или производство выписок из них без письменного разрешения
начальника СБ;
 передача и взятие без расписки секретных документов и изделий – 1 % по каждому случаю.
Причинами неправомерного овладения конфиденциальной информацией могут быть следующие обстоятельства:
 использование неаттестованных технических средств обработки конфиденциальной информации;
43
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими
мерами;
 текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;
 нарушения, не попадающие в поле зрения администрации
и службы безопасности.
Это могут быть:
 ознакомление лиц с конфиденциальными документами, изделиями, работами, не входящими в круг их служебных обязанностей;
 направление адресатам конфиденциальных документов, к которым они не имеют отношения;
 подготовка конфиденциальных документов на неучтенных
носителях;
 нарушение порядка работы с конфиденциальными документами, изделиями, который не допускает их обзор посторонними лицами;
 несвоевременное сообщение в СБ данных о внеслужебных
связях с родственниками, проживающими за границей или выезжающими за границу на постоянное место жительства;
 посещение без разрешения руководства организации посольств, консульств, иностранных частных компаний и фирм;
 установление радиосвязи с радиолюбителями иностранных
государств;
 использование конфиденциальных сведений в несекретной
служебной переписке, технических заданиях, статьях, докладах и выступлениях;
 преждевременная публикация научных и других работ, которые могут расцениваться на уровне изобретений или открытий или
опубликование которых запрещено в установленном порядке;
 сообщение устно или письменно кому бы то ни было, в том
числе родственникам, конфиденциальных сведений, если это не вызвано служебной необходимостью;
 сообщение каких-либо сведений о проводимых конфиденциальных работах при обращении по личным вопросам с жалобами,
просьбами и предложениями в федеральные государственные органы
власти, органы власти субъектов РФ и органы местного самоуправления.
Кроме того, утечке информации способствуют стихийные бедствия, катастрофы, неисправности, отказы, аварии технических
средств и оборудования.
Способы несанкционированного доступа (НСД) как проблему
утечки конфиденциальной информации предлагается рассматривать
44
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
со следующих позиций. Вопрос обеспечения защиты от НСД связан с проблемой сохранности не только информации как вида интеллектуальной собственности, но физических и юридических лиц, их
имущественной собственности и личной безопасности. Известно, что
такая деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных
потоков. Как только информация представляет определенную цену,
факт ее получения злоумышленником приносит ему определенный
доход, ослабляя тем самым возможности конкурента. Отсюда главная
цель противоправных действий – получение информации о составе,
состоянии и деятельности объекта конфиденциальной информации
для удовлетворения своих информационных потребностей в корыстных целях и внесение изменений в состав информации. Такое действие может привести к дезинформации в определенных сферах деятельности и отражаться, в частности, на учетных данных, результатах
решения управленческих задач.
Более опасной угрозой является уничтожение накопленных информационных массивов в документальной или магнитной форме
и программных продуктов в среде автоматизированной системы обработки данных. Уничтожение – это противоправное действие,
направленное на нанесение материального и информационного ущерба конкуренту со стороны злоумышленника.
Таким образом, рассмотренные угрозы в отношении информации, за исключением последней, как правило, нацелены и ведут к получению злоумышленником конфиденциальной информации. Анализ
традиционных приемов и методов получения конфиденциальной информации позволил выделить наиболее характерные источники и методы ее получения, которые в общем виде описывают действия субъектов правовых отношений в сфере обеспечения ИБ:
 сбор информации, содержащейся в средствах массовой информации, включая официальные документы;
 использование сведений, распространяемых служащими конкурирующих организаций;
 документы, отчеты консультантов, финансовые отчеты и документы, выставочные экспонаты и проспекты и др.;
 изучение продукции конкурирующих и других организаций,
представляющих интерес для соответствующих видов разведки, использование данных, полученных во время бесед с обслуживающим
персоналом;
 замаскированные опросы и «выуживание» информации у
служащих организации на научно-технических конгрессах;
 непосредственное наблюдение, осуществляемое скрытно;
 беседы о найме на работу (без намерений приема их на работу);
45
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 наем на работу служащего конкурирующей фирмы или организации для получения требуемой информации;
 подкуп служащего;
 подслушивание переговоров, ведущихся в служебных и иных
помещениях, перехват телеграфных сообщений, подслушивание телефонных разговоров;
 кража чертежей, документов и т. д.;
 шантаж, вымогательство и др.
Рассмотренные источники и методы не являются исчерпывающими, однако они позволяют сгруппировать все вероятные источники утечки информации следующим образом:
 персонал, имеющий доступ к конфиденциальной информации;
 документы, содержащие эту информацию;
 технические средства и системы обработки и нформации,
в том числе линии связи, по которым она передается.
Анализ зарубежных публикаций по источникам утечки информации в коммерческих фирмах позволил выявить, что, несмотря на
высокий процент каналов, связанных с использованием для добывания сведений технических средств разведки и различных технологических приемов, персонал остается одной из главных причин и одним
из источников утечки конфиденциальной информации. В литературе
приводятся примерные процентные соотношения по каналам утечки
информации:
 подкуп, шантаж, переманивание служащих, внедрение агентов
– около 43;
 подслушивание телефонных переговоров – около 5;
 съем информации с каналов «втемную» – около 24;
 кража документов – около 10;
 проникновение в ПЭВМ – около 18.
Для раскрытия характеристик правонарушений, совершаемых в информационной сфере, существенное значение имеют характеристики вероятных каналов утечки информации, которые определяются наличием соответствующих источников конфиденциальной
информации. Такую классификацию целесообразно рассматр ивать с учетом того, что обработка конфиденциальной информации
осуществляется в организациях, представляющих собой сложные системы организационно-технического типа, функционирующие в
условиях внешних воздействий и внутренних изменений состояния.
При этом независимо от рассматриваемых воздействий на конфиденциальную информацию и систему ее обработки возникающие каналы
утечки информации проявляются через такие правонарушения. Эти
46
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
каналы можно сгруппировать в рамках рассмотренных трех основных
групп вероятных источников утечки информации.
Так, первая группа – персонал, имеющий доступ к конфиденциальной информации,– представляет собой людские потоки и является важнейшей группой возможных каналов утечки информации.
По распространенности возможные каналы утечки информации этой
группы характеризуются следующими показателями:
 прием и увольнение работников предприятия – 32 %;
 посещение предприятия командированными лицами – 28 %;
 проведение совещаний по секретным вопросам – 15 %;
 ведение секретных работ в рабочих помещениях – 15 %;
 допуск, доступ и обращение с секретной (конфиденциальной)
информацией – 14 %;
 выезд специалистов за границу – 10 %;
 организация пропускного и внутриобъектового режима – 8 %;
 прохождение практики студентами – 7 %;
 посещение международных выставок – 7 %;
 обучение на курсах повышения квалификации – 5 %;
 подготовка постановлений и решений, приказов и других документов – 4 %.
Типовые нарушения при приеме и увольнении персонала:
 прием на работу лиц без оформления допуска в установленном порядке;
 доступ персонала к конфиденциальной информации в нарушение установленных требований;
 несвоевременное и неполное ознакомление персонала с требованиями нормативных правовых актов по обеспечению ИБ;
 неудовлетворительные знания нормативных правовых актов;
 увольнение персонала, являющегося носителем конфиденциальной информации.
Характерные нарушения при посещении предприятий командированными лицами:
 допуск командированных лиц с ведома руководителей подразделений к конфиденциальным работам и документам без соответствующего оформления разрешения;
 невыполнение требований инструкций для внутренних объектов по сопровождению прибывших в подразделения командированных лиц;
 отсутствие в предписаниях отметок о действительно выданной информации представителям других предприятий;
47
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 прием командированных лиц с предписаниями, в которых отсутствуют основания командирования (номер и дата хозяйственного договора, технического задания (ТЗ) совместного плана НИОКР и др.);
 неустановление степени конфиденциальности м атериалов,
к которым допускается командированное лицо.
Нарушения, связанные с проведением служебных совещаний:
 проведение совещаний без соответствующего разрешения руководителя предприятия или его заместителей;
 допуск на совещание лиц, не имеющих отношения к обсуждаемым вопросам и участие которых не вызывается служебной необходимостью;
 несоблюдение очередности рассмотрения вопросов конфиденциального характера;
 несоблюдение требований режима внутреннего объекта при
проведении совещаний;
 фотографирование, демонстрация конфиденциальных изделий, фильмов без согласования с СБ;
 звукозапись выступлений участников совещания на носителе,
не учтенном в СБ;
 направление тетрадей (записей) секретного характера в учреждения, которых эти сведения непосредственно не касаются;
 недостаточное знание работниками, участвующими в приеме
командированных лиц, требований инструкции о порядке приема командированных лиц (об этом заявили около 45 % опрошенных лиц).
Нарушения при ведении конфиденциальных работ в рабочих помещениях заключаются в отсутствии обеспечения:
 специальными средствами защиты конфиденциальной информации, связи, звукозаписи, звукоусиления, переговорными и телевизионными устройствами;
 средствами изготовления и размножения документов;
 средствами пожарной и охранной сигнализации;
 системами электронной часофикации, электрооборудов ания и другими дополнительными техническими средствами защиты,
исключающими утечку информации за счет побочных электромагнитных излучений и наводок.
Такие каналы утечки, как доступ и обращение с конфиденциальной информацией, образуются за счет расширения круга лиц, имеющих допуск к документам, изделиям, техническим заданиям.
Нарушения в организации пропускного и внутриобъектового
режима включают:
 утрату удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (шкафов), личных печатей – 12 %;
48
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 пронос без разрешения СБ на территорию предприятия
кино- и фотоаппаратуры, радиопередающей и принимающей, а также
множительно-копировальной аппаратуры личного пользования;
 вынос с предприятия секретных документов и изделий без
разрешения;
 оставление незакрытыми и неопечатанными после работы
помещений (хранилищ).
Каналы утечки конфиденциальных сведений за счет неправильной организации прохождения технологической и преддипломной
практики студентов проявляются в следующем: студенты вузов
и
учащиеся средних специальных учебных заведений после прохождения практики не зачисляются на постоянную работу, где они проходили практику и ознакомились со сведениями, составляющими государственную или коммерческую тайну, и другие причины.
Характерные нарушения при решении задач от раслевого и межотраслевого характера:
 включение конфиденциальных сведений в открытые документы с целью упрощения порядка доставки и согласования документов;
 ведение секретных записей в личных блокнотах, записных
книжках;
 ознакомление с конфиденциальными работами и сведениями
лиц, в круг служебных обязанностей которых они не входят;
 направление адресатам конфиденциальных документов, к которым они не имеют отношения.
1.3. Информация, информационные системы и ресурсы –
объекты правового регулирования информатизации
информационной безопасности
Анализ отечественного и зарубежного законодательства позволяет рассматривать информацию как объект публично- и частноправовых общественных отношений. С учетом этого, рассматривая отечественное гражданское законодательство, необходимо обращать внимание на аспект, связанный с юридической защитой информации как
объекта права собственности. Такой подход к информации объясняется тем, что, с одной стороны, историческим и традиционным объектом права собственности является материальный объект, с другой –
информация, не являясь материальным объектом окружающего мира,
неразрывно связана с материальным носителем: это мозг человека или
отчужденные от человека материальные носители (книга, дискета и
др.).
49
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Рассматривая информацию как отражение действительности
объектом окружающего мира, можно говорить об информации как об
абстрактной субстанции, которая существует сама по себе, но ни хранение, ни передача информации без материального носителя невозможны. Как объект права собственности информация копируема (тиражируема) за счет материального носителя, а также легко перемещается от одного субъекта права собственности к следующему без очевидного (заметного) нарушения права собственности на информацию.
Но перемещение материального объекта права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первоначальным субъектом права собственности. При этом очевидно нарушение его права собственности, которое имеет место лишь в случае неправомерного перемещения того или иного материального объекта.
Опасность копирования и перемещения информации усугубляется тем, что она обычно отчуждаема от собственника, т. е. хранится и
обрабатывается в сфере доступности большого числа субъектов, не
являющихся субъектами права собственности на эту информацию.
Сюда относятся, например, автоматизированные системы, в том числе
сети. Возникает сложная система взаимоотношений между субъектами права собственности, обусловливающая способы их реализации и,
следовательно, направления формирования системы правовой защиты, которые обеспечивают предотвращение нарушений прав собственности на информацию.
Рассмотрение информации как объекта правового регулирования различных сфер деятельности личности, общества и государства,
в том числе сферы ИБ, неразрывно связано с уточнением понятия
и
сущности правовой информации, прежде всего потому, что именно
правовой информацией оперируют органы государственной власти
при принятии управленческих решений.
До 70-х годов термин «правовая информация» в юридической
литературе не использовался. Все информационные проблемы права
решались в рамках понятий «источник права», «правовой материал»,
«правовые акты», «правовые документы» и т. п.
Правовая информация является разновидностью информации,
поэтому все признаки (свойства), характерные для информации, присущи и правовой информации. Сферы деятельности личности, общества и государства предопределяют многообразие содержания правовой информации. Она представляет собой многофункциональный
объект, создается и потребляется во всех сферах деятельности, обеспечивает решение многочисленных задач, стоящих перед различными
субъектами (органами государственной власти, местного самоуправления и др.). Источниками правовой информации могут быть правовые нормы, институты, отрасли права, законодательство в целом.
50
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Правовая информация имеет свои специфические особенности
(свойства), определяющие ее содержание и выделяющие ее в самостоятельное понятие. Эти свойства обусловливают место и роль информации в правовой системе, механизм обеспечения общественных отношений в информационной сфере и сфере ИБ. Таких свойств несколько:
 физическая неотчуждаемость информации. Физически подобная информация не может быть отчуждена от ее производителя
или передающего субъекта. Поэтому при ее передаче другому лицу
процесс отчуждения информации должен заменяться передачей прав
на ее использование, и информация уже передается вместе с этими
правами;
 обособляемость информации. Информация существует в виде
знаков, волн, вследствие чего она обособляется от своего производителя и существует независимо и отдельно от него;
 информационная вещь. Информация всегда отображается на
материальном объекте и состоит из самой информации и ее носителя.
В этой связи появляется сложное понятие «информационная вещь»
(«информационный объект»);
 распространение информации. Информация может распространяться в неограниченном количестве экземпляров без изменения
ее содержания;
 организационная форма. Информация всегда представляется
в определенных формах – документах, массивах, библиотеках, фондах и т. п.
Перечисленные свойства должны отражать содержание правовой информации. Оно обусловливается также характером общественных отношений, методами их регулирования. При этом эффективность регулирования отношений в информационной сфере определяется действенностью правовых норм, зависящих от свойств правовой
информации. Важно отметить, что смысловое содержание правовой
информации формирует ее прагматическую ценность, которая состоит
в обязательности правовых норм для личности, общества и государства.
В настоящее время продолжается работа по созданию информационных автоматизированных систем, цель которых – обеспечение граждан, органов государственной власти достоверной и сво евременной правовой информацией. Для создания таких систем большое значение имеет классификация правовой информации. Более
наглядной, так как она осуществляется с выбором оснований, является
следующая классификация правовой информации:
51
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 по видам источников информации – люди, документы, публикации, технические носители, продукция, технические средства обеспечения производственной деятельности;
 роли информации в правовой системе – нормативная правовая
и ненормативная правовая;
 степени доступа к информации – открытая, ограниченного
доступа;
 степени официальности – официальная и неофициальная;
 объектам оборота – информация как объект самостоятельного оборота, информация, сопровождающая деятельность субъектов;
 по видам информации – массовая, о гражданах, конфиденциальная, статистическая, архивная;
 организационным формам представления – документальная,
архивный документ, информационные ресурсы, информационные
продукты;
 виду носителя – бумажная, магнитная, электронная;
 источнику возникновения – первичная, вторичная;
 видам нормативных правовых актов – законная, подзаконная.
Приведенная классификация правовой информации дает определенное представление об информации как об объекте сложных,
многоплановых общественных отношений в информационной сфере
и сфере ИБ. Такие отношения называются информационными.
Информация, являясь атрибутом материи и характеристикой
движения, существует объективно в пространстве и времени. В науке
пока отсутствует общепринятое понятие информации, что при вело к многообразию его дефиниций – от простого (информация есть
информация – не материя и не энергия) до более емкого, закрепленного в законе. Для понимания содержания феномена информации как
объекта информатизации, являющейся неотъемлемой частью и объектом правоотношений современного информационного общества,
в том числе сферы обеспечения информационной безопасности личности, общества и государства, применяемых ими информационных
систем необходимо пользоваться сложившимся в теории и практике
права понятийным базисом, в основе которого лежит центральное понятие информации, сообщающей сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
С учетом содержания понятия информации, определенного Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации,
информационных технологиях и о защите информации», где информация – это сведения (сообщения, данные) независимо от формы их пред52
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ставления, а также ряда классификаций информации по различным
признакам и критериям, определенных в этом же законе и других
нормативных правовых актах, известные ученые и специалисты классифицируют информацию и представляют информационные ресурсы с
точки зрения правового статуса информации (рис. 1.2).
Указанным выше законом информация в наиболее общем виде
классифицируется на общедоступную и ограниченного доступа.
Информационные ресурсы,
информация
«О средствах массовой
информации»,
УК, Конституция,
№ 149-Ф3
Общедоступная
Конфиденциальная
«О персональных
данных»,
Трудовой кодекс
«Об информации,
информационных
технологиях и о защите
информации»
(№ 149-Ф3)
Ограничение доступа
«О государственной
тайне»
Содержащая
государственную тайну
Персональные
данные
Особой важности
Конституция России,
УК, ст. 137, 152-Ф3
Личного характера
Секретная
Связанная
с хозяйственной
деятельностью
Совершенно
секретная
«О коммерческой тайне»,
ст. 139 ГК, УК
Коммерческая
тайна
ст. 139 ГК, Пост.
Правит. № 1223
Для служебного
пользования
№ 149-Ф3, Налог. кодекс, УК
Объекты авторского
права
Профессиональная
тайна
ч. 4 ГК
Объекты патентного права
Рис. 1.2. Структура информационных ресурсов
При этом Конституция Российской Федерации в части этой классификации определяет (ст. 29) базовые принципы отношений в информационной сфере и провозглашает реализацию основных информаци53
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
онных прав, свобод, гарантий и обязанностей субъектов информационных отношений, где определено, что:
 каждый имеет право свободно искать, получать, передавать,
производить и распространять информацию любым законным способом;
 перечень сведений, составляющих государственную тайну,
определяется федеральным законом;
 гарантируется свобода массовой информации;
 цензура запрещается.
Одним из базовых правовых актов, положенных в основу общественных отношений в области общедоступной и массовой информации, является Закон «О средствах массовой информации» (№ 2124-1).
При этом необеспечение соответствующих конституционных прав
и свобод в отношении информации общего доступа предполагает уголовную ответственность (ст.ст. 140, 144, 237 и 242 УК РФ), и предусматриваются соответствующие наказания за ограничения прав на
информацию.
В свою очередь, информацией ограниченного доступа считается
информация, обладающая статусом определенной конфиденциальности, т.е. имеющая режим тайны, в том числе государственной, служебной, коммерческой, банковской, личной и др. Регулирование общественных отношений в части обращения с такой информацией осуществляется соответствующими законами.
Одним из первых таких законов в новейшей истории России стал
Федеральный закон «О государственной тайне» от 21 июля 1993 года №
5485-1, который действует до настоящего времени, имея ряд изменений.
В этом законе:
1) определено содержание основных терминов, определений
и норм, регулирующих общественные отношения в современном информационном обществе, использующем информацию ограниченного
доступа, представляющую сведения, содержащие государственную
тайну;
2) установлены степени секретности информации и соответствующие им грифы секретности носителей: «особой важности», «секретная» и «совершенно секретная»;
3) общие правила отнесения сведений к различным степеням
секретности;
4) обобщенный перечень сведений, отнесенных к государственной тайне.
Более детально правила отнесения сведений к различным степеням секретности были установлены соответствующими Правилами,
утвержденными Постановлением Правительства Российской Федерации от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения
54
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сведений, составляющих государственную тайну, к различным степеням секретности», а обобщенный перечень был впервые детализирован
как «Перечень сведений, отнесенных к государственной тайне» Указом
Президента Российской Федерации от 30 ноября 1995 года № 1203 «Об
утверждении перечня сведений, отнесенных к государственной тайне»
с последующими изменениями (Указы Президента РФ от 24.01.98 №
61, от 06.06.01 № 659, от 10.09.01 № 1114, от 29.05.02 № 518, от
03.03.05 № 243, от 11.02.06 № 90).
Остальные сведения ограниченного доступа были определены
Указом Президента Российской Федерации от 6 марта 1997 года №
188 «Об утверждении перечня сведений конфиденциального характера» с последующим изменением (Указ Президента РФ от 23.09.05 №
1111).
Кроме этого были определены другие сведения и утвержден соответствующий перечень сведений, которые не составляли коммерческую тайну (Постановление Правительства Российской Федерации от
5 декабря 1991 года № 35 «О перечне сведений, которые не могут составлять коммерческую тайну» в ред. Постановления Правительства
РФ от 03.10.02 № 731).
Принятие указанных выше нормативных правовых актов позволило всю конфиденциальную информацию разделить на три группы:
 персональные данные о личности;
 сведения личного характера;
 информация, содержащая сведения, связанные с производственной и хозяйственной деятельностью.
Что же касается информации, представляющей сведения, связанные с обработкой персональных данных, то возникающие при этом
отношения регулируются Федеральным законом «О персональных
данных» от 27 июля 2006 года № 152-ФЗ. Основная цель этого закона
– обеспечение защиты прав человека и гражданина при обработке его
персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Кроме этого вопросы, связанные с обеспечением защиты персональных данных работников, регулирует Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ, в части главы 14.
Важно отметить, что законодательство регулирует общественные информационные отношения в части обеспечения конституционных прав человека на защиту информации, содержащей свед ения
о личной жизни. Так, статья 24 Конституции Российской Федерации
гарантирует, что сбор, хранение, использование и распространение
информации о частной жизни лица без его согласия не допускаются. В
свою очередь, уголовное законодательство России предусматривает соот55
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ветствующее наказание за «незаконное собирание или распространение
сведений о частной жизни лица, составляющих его личную или семейную
тайну, без его согласия либо распространение этих сведений в выступлении, публично демонстрирующемся произведении или средствах массовой информации» (ст. 137 УК РФ).
Действующим Федеральным законом «Об информации, информационных технологиях и защите информации» (№ 149-ФЗ) запрещается требовать от гражданина (физического лица) представления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
В Российском законодательстве принято классифицировать информацию, содержащую сведения, связанные с производственной
и хозяйственной деятельностью, на следующие виды:
 коммерческая тайна;
 профессиональная тайна;
 объекты авторского права и смежных прав;
 объекты патентного права;
 информация для служебного пользования.
К нормативным правовым актам, регулирующим вопросы, связанные с информацией, содержащей коммерческую тайну, относятся:
 Федеральный закон «О коммерческой тайне» от 29 июля
2004 года № 98-ФЗ (с изменениями и дополнениями от 02.02.06
№
19-ФЗ, от 18.12.06 № 231-ФЗ);
 статья 139 ГК РФ от 30 ноября 1994 года № 51-ФЗ (часть
1 с изменениями, внесенными Федеральным законом от 29.12.06
№ 258-ФЗ, часть 2 с изменениями от 18.12.06 № 231-ФЗ, часть 3 с изменениями, внесенными Федеральными законами от 18.12.06 № 231ФЗ, от 29.12.06 № 258-ФЗ, часть 4 в соответствии с Федеральным законом от 18.12.06 № 231-ФЗ, вступившим в силу с 1 января 2008 года).
Закон определяет перечень сведений, которые не могут составлять
коммерческую тайну, круг лиц и организаций, которым необходимо
представлять информацию, содержащую коммерческую тайну, а также
права обладателя такой информации.
Впервые в новейшей истории России в ст.139 ГК было определено содержание понятия коммерческой (служебной) тайны, которое более десяти лет, до принятия Федерального закона «О коммерческой
тайне» использовалось в правовой практике.
Информация составляет служебную или коммерческую тайну
в случае, когда информация имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам, к
56
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
До принятия и вступления в силу с 1 января 2008 года в связи
с принятием Закона № 231-ФЗ от 18 декабря 2006 года о введении
в действие части четвертой Гражданского кодекса почти 15 лет в правовой практике использовались принципы правового регулирования авторских и смежных прав, определенные в Федеральном законе «Об авторском праве и смежных правах» от 9 июля 1993 года № 5351-1 (с изменениями и дополнениями от 20.07.04 № 72-ФЗ).
Регулирование общественных отношений в области объектов
промышленной собственности (изобретения, полезные модели и промышленные образцы) обеспечивал Патентный закон от 23 сентября
1992 года № 3517-1 (с изменениями и дополнениями от 27.12.00 №
150-ФЗ, от 30.12.01 № 194-ФЗ, от 24.12.02 № 176-ФЗ, от 07.02.03 №
22-ФЗ, от 02.02.06 № 19-ФЗ), который также утратил силу с
01.01.2008 г. в связи с принятием Закона № 231-ФЗ от 18 декабря 2006
г. о введении в действие части четвертой Гражданского кодекса, которая регулирует права на результаты интеллектуальной деятельности и
средства индивидуализации.
Действующим законодательством Российской Федерации определено содержание понятия профессиональной тайны, представляющей конфиденциальные сведения, полученные в результате выполнения профессиональной деятельности. Так, ранее названным законом №
149-ФЗ принято следующее определение: информация, полученная
гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими
определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Информация, составляющая профессиональную тайну, может быть представлена третьим лицам в соответствии с федеральными
законами и (или) по решению суда.
В сфере банковской деятельности Гражданским кодексом также
определен институт тайны – банковская тайна (ст. 857), тайна страхования (ст. 946).
В состав банковской тайны входят сведения о счетах, вкладах,
операциях и другая информация, полученная сотрудниками банков при
выполнении своих профессиональных обязанностей.
Тайну страхования составляют сведения о страхователе.
Кроме Гражданского кодекса, понятие банковской тайны определено в Законе «О банках и банковской деятельности» (от 2 декабря
1990 года № 395-1, с изменениями и дополнениями от 3.02.1996 № 17ФЗ).
57
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Федеральным законом «Об аудиторской деятельности» от 7 августа 2001 года № 119-ФЗ введено понятие аудиторской тайны:
аудиторская тайна – сведения, полученные при осуществлении
аудиторской деятельности.
Федеральным законом «О связи» (от 7 июля 2003 года
№ 126-ФЗ) введено понятие тайны связи:
тайна связи – тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электро- и почтовой связи.
Закон «Об адвокатской деятельности и адвокатуре Российской
Федерации» от 31 мая 2002 года № 63-ФЗ ввел понятие адвокатской
тайны:
адвокатская тайна – сведения, связанные с оказанием адвокатом юридической помощи своему доверителю.
Один из видов личной тайны – врачебная тайна – определен
в «Основах законодательства Российской Федерации об охране здоровья граждан» от 22 июля 1993 года № 5487-1:
врачебная тайна – информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания
и иные сведения, полученные при обследовании и лечении.
Налоговым кодексом Российской Федерации (ч. 1 от 31 июля
1998 года № 146-ФЗ, ч. 2 от 5 августа 2000 года № 117-ФЗ) введено
понятие налоговой тайны:
налоговая тайна – сведения о налогоплательщике, полученные
налоговым органом.
При этом порядок доступа к информации определен приказом
Федеральной налоговой службы от 3 марта 2003 года № БГ-3-28/96
«Об утверждении порядка доступа к конфиденциальной информации
налоговых органов».
Существующий режим служебной тайны в деятельности федеральных органов исполнительной тайны определен Постановлением
Правительства Российской Федерации от 3 ноября 1994 года № 1233
«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах
исполнительной власти». Данное положение:
 устанавливает общий порядок обращения с документами
и другими материальными носителями информации, содержащими
служебную информацию ограниченного распространения, в федеральных органах исполнительной власти, а также на подведомственных им
предприятиях, в учреждениях и организациях;
 определяет служебную информацию ограниченного распространения, к которой относится несекретная информация, касающаяся
деятельности организаций, ограничения на распространение которой
58
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
диктуются служебной необходимостью. На документах, содержащих
служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».
Особенность деятельности по защите конфиденциальной информации и информации, содержащей государственную тайну ,
состоит в том, что она является лицензируемой и регулируется
правительством. Постановлением Правительства Российской Федерации от 15 апреля 1995 года № 333 «О лицензировании деятельности
предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную
тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» (с изменениями, внесенными Постановлениями Правительства РФ от 23.04.96 года № 509, от 30.04.97 года № 513, от
29.07.98 № 854, от 03.10.02 года № 731, от 17.12.04 № 807, от 26.01.07
г. № 50) утверждено соответствующее Положение о лицензировании.
Постановлением от 31 августа 2006 года № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты
конфиденциальной информации» утверждено соответствующее Положение о лицензировании.
1.4. Основные термины, определения и правовые категории
информационной безопасности объектов информатизации
Развивающееся информационное право как законодательство,
отрасль права и правовая наука, а также его правовое обеспечение информационной безопасности личности, общества и государства, информационных систем, объектов информатизации характеризуется
многообразием терминов и определений. С учетом этого для понимания существа исследуемых общественных информационных отношений необходимо рассмотреть ряд основных базовых определений терминов, составляющих сегодня основы правового базиса информационного права и ИБ объектов информатизации.
Содержание понятия информатизации общества, которое принято ЮНЕСКО, можно представить в следующем виде: информатизация
– процесс развития и широкомасштабного применения методов и
средств сбора, преобразования, хранения и распространения информации, обеспечивающих систематизацию имеющихся знаний, информации, информационных продуктов и услуг, формирование новых знаний, и их использование обществом в целях его управления, дальнейшего совершенствования и развития.
59
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Информатизация общества представляет собой целенаправленный процесс изменения социальной информационной среды. Ее целью
является повышение эффективности эксплуатации информационных
ресурсов общества путем системной компьютеризации всех этапов
жизненного цикла информации.
Ниже даны определения, составляющие основу понятийного базиса искомой сферы.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации могут быть государство, юридическое лицо, группа физических лиц, отдельное физическое
лицо.
Защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации, по
защите от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации иностранными разведками.
Защита информации от несанкционированного воздействия – деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение
информации, приводящего к искажению, уничтожению, копированию,
блокированию доступа к информации, а также к утрате, уничтожению
или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия – деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя, сбоя технических и программных средств
информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связа нных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию,
блокированию доступа к информации, а также к утрате, уничтожению
или сбою функционирования носителя информации.
Защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации
до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми доку-
60
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ментами или собственником, владельцем информации прав или правил
доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от (иностранной) разведки – деятельность по
предотвращению получения защищаемой информации (иностранной)
разведкой.
Защита информации от (иностранной) технической разведки – деятельность по предотвращению получения защищаемой информации
(иностранной) разведкой с помощью технических средств.
Защита информации от агентурной разведки – деятельность по
предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации – желаемый результат защиты информации, в том числе предотвращение ущерба собственнику, владельцу,
пользователю информации в результате возможной утечки информации и
(или) несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности защиты информации – мера или характеристика для оценки эффективности защиты информации.
Нормы эффективности защиты информации – значения показателей эффективности защиты информации, установленные нормативными
документами.
Организация защиты информации – содержание и порядок действий по обеспечению защиты информации.
Система защиты информации – совокупность органов и (или)
исполнителей, используемая ими техника защиты информации, а также
объекты защиты, организованные и функционирующие по правилам,
установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации – совокупность действий
по разработке и (или) практическому применению способов и средств
защиты информации.
Мероприятие по контролю эффективности защиты информации – совокупность действий по разработке и (или) практическому
применению методов (способов) и средств контроля эффективности
защиты информации.
Техника защиты информации – средства защиты информации,
средства контроля эффективности защиты информации, средства
61
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты – информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации – порядок и правила применения
определенных принципов и средств защиты информации.
Категорирование защищаемой информации (объекта защиты)
– установление градаций важности защиты защищаемой информации
(объекта защиты).
Метод (способ) контроля эффективности защиты информации – порядок и правила применения определенных принципов
и средств контроля эффективности защиты информации.
Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и (или) нормам в области защиты информации.
Средство защиты информации – техническое, программное
средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации –
техническое, программное средство, вещество и (или) материал, предназначенные или используемые для контроля эффективности защиты
информации.
Контроль организации защиты информации – проверка соответствия состояния организации (предприятия), наличия и содержания
документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности защиты информации – проверка полноты и обоснованности мероприятий по защите
информации в соответствии с требованиями нормативных документов
по защите информации.
Технический контроль эффективности защиты информации –
контроль эффективности защиты информации, проводимый с использованием средств контроля.
Фактор, воздействующий на защищаемую информацию, – явление, действие или процесс, результатом которых может быть утечка, искажение, уничтожение защищаемой информации, блокирование
доступа к ней.
62
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных
переговоров.
Информационная технология – приемы, способы и методы применения технических и программных средств при выполнении функций
обработки информации.
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации,
уничтожения, преобразования, отображения информации.
Информационная безопасность – состояние защищенности обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления, преобразования и уничтожения, а также состояние защищенности
информационных ресурсов от воздействий, направленных на нарушение
их работоспособности.
Безопасность информационной системы – ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее
функционирования, от попыток несанкционированного получения информации, модификации или физического разрушения ее компонентов.
С учетом значительного многообразия классов и типов систем
можно рассматривать и их информационную безопасность: ИБ сложных
организационно-технических и социотехнических систем, информационных систем (ИС) различных классов, в том числе телекоммуникационные сети (ТКС). В этих ИС и ТКС основными объектами защиты выступают информационные ресурсы и информационная инфраструктура,
образующие их информационную среду. Защищенность этих систем
достигается мерами по обеспечению безопасности (конфиденциальности, целостности и доступности) информации, доступности и целостности компонентов и ресурсов систем, информационных ресурсов.
Достоверность информации – свойство, выражаемое в строгой
принадлежности информации субъекту, который является ее источником, либо тому субъекту, от которого она принята.
Субъект – это активный компонент системы, который может стать
причиной образования потока информации от объекта к субъекту или
изменения состояния системы.
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ
к содержащейся в нем информации.
Доступ к информации – ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение. Различа63
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ют санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ к информации – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной
техники или автоматизированными системами.
Целостность ресурса или компонента системы – свойство
быть неизменным в семантическом смысле при функционировании
системы в условиях случайных или преднамеренных искажений либо
разрушающих воздействий.
Применение при межсетевом взаимодействии открытых каналов
передачи данных создает потенциальную угрозу проникновения злоумышленников. Если пассивный нарушитель только просматривает
доступные ему сообщения, то активный наряду с прослушиванием
может перехватывать, искажать и уничтожать их. Поэтому одной из
важных задач обеспечения информационной безопасности при межсетевом взаимодействии является использование методов и средств,
позволяющих одной стороне убедиться в подлинности другой стороны.
С допуском к информации и ресурсам системы (сети) связана
группа таких понятий, как идентификация, аутентификация, авторизация. С каждым зарегистрированным субъектом системы (сети) связывают некоторую информацию, однозначно идентифицирующую
субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор,
считается законным (легальным).
Идентификация – присвоение субъектам и объектам доступа
идентификатора и (или) сравнение предъявляемого идентифик атора с перечнем присвоенных идентификаторов. Эта функция выполняется, в первую очередь, когда пользователь делает попытку войти в
сеть. Он сообщает системе по ее запросу свой идентификатор, и система проверяет его наличие в своей базе данных.
Аутентификация – проверка принадлежности субъекту доступа
предъявленного им идентификатора, подтверждение подлинности.
Процедура аутентификации устанавливает, является ли субъект
именно тем, кем он себя объявил. Обычно пользователь подтверждает
свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат).
64
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Идентификация и аутентификация – взаимосвязанные процессы
распознавания и проверки подлинности субъектов (пользователей).
Именно от них зависит решение системы, можно ли разрешить доступ
к ресурсам системы конкретному пользователю или процессу. После
того как субъект идентифицирован и аутентифицирован, выполняется
его авторизация.
При защите каналов передачи данных выполняется взаимная
аутентификация субъектов, т.е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи. Процедура подтверждения подлинности выполняется обычно в начале сеанса при установлении соединения абонентов; термин «соединение»
указывает на логическую связь (потенциально двустороннюю) между
двумя субъектами сети. Цель данной процедуры – обеспечить уверенность в том, что соединение установлено с законным субъектом и
вся информация дойдет до места назначения.
Авторизация субъекта – это процедура предоставления законному
субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).
Угроза безопасности для системы (сети) – возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе
(сети), или самой системы или сети.
Уязвимость системы (сети) – это любая характеристика компьютерной системы, использование которой может привести к реализации
угрозы.
Атака на компьютерную систему (сеть) – это действие, предпринимаемое злоумышленником с целью поиска и использования той или
иной уязвимости системы. Таким образом, атака – это реализация угрозы
безопасности. Противодействие угрозам безопасности – цель, которую
призваны выполнить средства защиты компьютерных систем и
сетей.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы (сети) от заданного множества угроз безопасности.
Основные характеристики политики безопасности:
– регламентирует эффективную работу средств защиты ИС;
– охватывает все особенности процесса обработки информации,
определяя поведение системы в различных ситуациях;
65
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
– определяет архитектуру системы защиты и реализуется посредством комплексного применения организационно-технических, правовых, физических мер и программно-аппаратных средств;
– должна носить индивидуальный характер для ко нкретных
ИС и зависеть от конкретной технологии обработки информации и используемых программных и технических средств;
– зависит от способа управления доступом, определяющего порядок доступа к объектам системы.
Различают два основных вида политики безопасности: избирательную и полномочную.
Избирательная политика безопасности основана на избирательном способе управления доступом и характеризуется задаваемым администратором множеством разрешенных отношений доступа (например,
в виде троек: объект, субъект, тип доступа).
Для описания свойств избирательного управления доступом
применяют математическую модель на основе матрицы доступа, в которой столбец соответствует объекту системы, а строка – субъекту. На
пересечении столбца и строки указывается тип разрешенного доступа
субъекта к объекту. Обычно выделяют такие типы, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т. п.
Полномочная политика безопасности основана на полномочном
(мандатном) способе управления доступом и заключается в совокупности правил предоставления доступа, базирующихся на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от
метки конфиденциальности информации и уровня допуска пользователя.
Содержание полномочного управления доступом включает:
 однозначную идентификацию всех субъектов и объектов ИС;
 присвоение метки конфиденциальности каждому объекту системы, определяющей ценность содержащейся в нем информации;
 присвоение некоторого уровня допуска каждому субъекту системы, определяющего максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциальности.
Поэтому самыми защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.
Полномочная политика безопасности направлена:
– на регулирование доступа субъектов системы к объектам
с различными уровнями конфиденциальности;
– предотвращение утечки информации с верхних уровней должностной иерархии на нижние;
– блокирование возможных проникновений с нижних уровней
на верхние.
Активы – информация или ресурсы, подлежащие защите.
66
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Идентификатор – представление уполномоченного пользователя (например, строка символов), однозначно его идентифицирующее. Таким представлением может быть либо полное или сокращенное имя этого пользователя, либо его псевдоним.
Уполномоченный пользователь – пользователь, которому разрешено выполнять какую-либо операцию.
Продукт – совокупность программных, программноаппаратных и (или) аппаратных средств информационных технологий
(ИТ), предоставляющая определенные функциональные во зможности и предназначенная для непосредственного использования
или включения в различные системы.
Объект оценки – подлежащий оценке продукт ИТ или с истема в соответствии с руководствами администратора и пользователя.
Информационная технология – упорядоченная совокупность
аппаратных, программных, аппаратно-программных средств, систем и
информационных процессов.
Носитель информации – физическое лицо или материальный
объект, в том числе физическое поле, в которых информация находит
свое отражение в виде символов, образов, сигналов, технических решений и процессов.
Правило доступа к информации – совокупность правил, регламентирующих порядок и условия доступа субъекта к инфор мации
и ее носителям.
Субъект доступа – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Объект доступа – единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Система разграничения доступа – совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Администратор защиты – субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к
информации.
Орган защиты информации – административный орган, осуществляющий организацию защиты информации.
Политика безопасности организации – одно или несколько правил,
процедур, практических приемов или руководящих принципов в области
67
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
безопасности, которыми руководствуется организация в своей деятельности.
Цель безопасности – изложенное намерение противостоять установленным угрозам и (или) удовлетворять установленной политике безопасности организации.
Безопасность информации – состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
Безопасность информационной технологии – состояние информационной технологии, обеспечивающее ее применение на объектах эксплуатации, при котором отсутствует недопустимый риск, связа нный с причинением ущерба здоровью граждан, имуществу физических
или юридических лиц, государственному или муниципальному имуществу.
Конфиденциальность – состояние защищенности информации
ограниченного доступа от неправомочного раскрытия.
Целостность – состояние защищенности информации и активов
от модификации, подмены, уничтожения неправомочным способом.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечить неизменность
информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Доступность – состояние информационной технологии, обеспечивающее своевременный и надежный доступ к информации и (или)
функциональным возможностям информационной технологии правомочным образом.
Нарушитель правил разграничения доступа – субъект доступа,
осуществляющий несанкционированный доступ к информации.
Защита от несанкционированного доступа – предотвращение или
существенное затруднение несанкционированного доступа.
Средство защиты от несанкционированного доступа – программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
Комплекс средств защиты – совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Система защиты информации от несанкционированного доступа –
комплекс организационных мер и программно-технических (в том числе
криптографических) средств защиты от несанкционированного доступа
к информации в автоматизированных системах.
68
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Защищенное средство вычислительной техники (защищенная
автоматизированная система) – средство вычислительной техники
(автоматизированная система), в котором реализован комплекс
средств защиты.
Класс защищенности средств вычислительной техники, автоматизированной системы – определенная совокупность требований
по защите средств вычислительной техники, автоматизированной системы от несанкционированного доступа к информации.
Показатель защищенности средств вычислительной техники –
характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности
средств вычислительной техники.
Доверие – основание для уверенности в том, что сущность отвечает своим целям безопасности.
Верификация – процесс сравнения двух уровней спецификации
средств вычислительной техники или автоматизированных систем на
предмет надлежащего соответствия.
Сертификация уровня защиты – процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите.
Матрица доступа – таблица, отображающая правила разграничения доступа.
Уровень полномочий субъекта доступа – совокупность прав доступа субъекта доступа.
Пароль – идентификатор субъекта доступа, который является
его (субъекта) секретом.
Модель защиты – абстрактное (формализованное или неформализованное) описание комплекса программно -технических
средств и (или) организационных мер защиты от несанкционированного доступа.
Дискреционное управление доступом – разграничение доступа
между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому
субъекту.
Мандатное управление доступом – разграничение доступа
субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться именно к информации такого уровня конфиденциальности.
Метка конфиденциальности – элемент информации, который
характеризует конфиденциальность информации, содержащейся в
объекте.
69
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Средство криптографической защиты информации – средство
вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Сертификат защиты – документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на
использование и (или) распространение их как защищенных.
В Федеральном законе «Об информации, информатизации и защите информации» от 20 февраля 1995 года № 24-ФЗ также введен
ряд терминов (закон утратил силу с 27 июля 2006 года в связи с принятием Закона № 149-ФЗ):
информация – сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
Информатизация
–
организационный
социальноэкономический и научно-технический процесс создания оптимальных
условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.
Документированная информация (документ) – зафиксированная
на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Информационные процессы – процессы сбора, обработки,
накопления, хранения, поиска и распространения информации.
Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных
технологий, в том числе с использованием средств вычислительной
техники и связи, реализующих информационные процессы.
Информационные ресурсы – отдельные документы и отдельные
массивы документов, а также документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах,
фондах, банках данных, других информационных системах).
Информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Средства обеспечения автоматизированных информационных
систем и их технологий – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средств а вычислительной техни70
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ки и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их
описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения
указанными объектами в соответствии с актами.
Владелец информационных ресурсов, информационных систем,
технологий и средств их обеспечения – субъект, осуществляющий
владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом и (или)
собственником.
Пользователь (потребитель) информацией – субъект, пользующийся информацией, полученной от собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
В Федеральном законе № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации»,
пришедшем на смену Закону № 24-ФЗ, сходные понятия представлены в несколько другой трактовке, а введены определения других терминов:
информация – сведения (сообщения, данные) независимо от формы их представления.
Информационные технологии – процессы, методы поиска, сбора,
хранения, обработки, представления, распространения информации и способы
осуществления таких процессов и методов.
Информационная система – совокупность содержащейся в базах
данных информации и обеспечивающих ее обработку информационных
технологий и технических средств.
Информационно-телекоммуникационная сеть – технологическая
система, предназначенная для передачи по линиям связи информации,
доступ к которой осуществляется с использованием средств вычислительной техники.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по
каким-либо признакам.
Доступ к информации – возможность получения информации и ее
использования.
Конфиденциальность информации – обязательное для выполнения
лицом, получившим доступ к определенной информации, требование не
71
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
передавать такую информацию третьим лицам без согласия ее обладателя.
Представление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации
определенному кругу лиц.
Распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.
Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сетью.
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами,
позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
В Законе «О государственной тайне» от 21 июля 1993 года
№ 5485-1 (с учетом последних изменений от 22 августа 2004 года №
122-ФЗ) также приведен ряд терминов:
государственная тайна – защищаемые государством сведения
в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Носители сведений, составляющих государственную тайну, –
материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений
и процессов.
Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и
методов защиты сведений, составляющих государственную тайну, и
их носителей, а также мероприятий, проводимых в этих целях.
Допуск к государственной тайне – процедура оформления права
граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с
использованием таких сведений.
Доступ к сведениям, составляющим государственную тайну, –
санкционированное полномочным должностным лицом ознакомление
72
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
конкретного лица со сведениями, составляющими государственную
тайну.
Гриф секретности – реквизиты, свидетельствующие о степени
секретности сведений, содержащихся в их носителе, проставляемые
на самом носителе и (или) в сопроводительной документации на него.
Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты
сведений, составляющих государственную тайну, средства, в которых
они реализованы, а также средства контроля эффективности защиты
информации.
Перечень сведений, составляющих государственную тайну, –
совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.
В настоящее время в действующем Федеральном законе
«О коммерческой тайне» (№ 98-ФЗ от 29 июля 2004 г., с изменениями
и дополнениями от 02.02.06 № 19-ФЗ, от 18.12.06 № 231-ФЗ) определен ряд значимых для практики терминов и определений:
коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную
коммерческую выгоду.
Информация, составляющая коммерческую тайну, – научнотехническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты
производства [ноу-хау]), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
В соответствии с Федеральным законом от 18 декабря 2006 года
№ 231-ФЗ с 1 января 2008 года указанные два термина изложены
в следующей редакции:
«Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе
о результатах интеллектуальной деятельности в научно-технической
73
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сфере, а также сведения о способах осуществления профессиональной
деятельности, которые имеют действительную или потенциальную
коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и
в отношении которых обладателем таких сведений введен режим
коммерческой тайны».
Режим коммерческой тайны – правовые, организационные,
технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
Обладатель информации, составляющей коммерческую тайну,
– лицо, которое владеет информацией, составляющей коммерческую
тайну, на законном основании, ограничило доступ к этой информации
и установило в отношении ее режим коммерческой тайны.
Доступ к информации, составляющей коммерческую тайну, –
ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
Передача информации, составляющей коммерческую тайну, –
передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на
основании договора в объеме и на условиях, которые предусмотрены
договором, включая условие о принятии контрагентом установленных
договором мер по охране ее конфиденциальности.
Контрагент – сторона гражданско-правового договора, которой
обладатель информации, составляющей коммерческую тайну, передал
эту информацию.
Представление информации, составляющей коммерческую
тайну, – передача информации, составляющей коммерческую тайну и
зафиксированной на материальном носителе, ее обладателем органам
государственной власти, иным государственным органам, органам
местного самоуправления в целях выполнения их функций.
Разглашение информации, составляющей коммерческую тайну,
– действие или бездействие, в результате которого информация, составляющая коммерческую тайну, в любой возможной форме (устной,
письменной, иной форме, в том числе с использованием технических
средств) становится известной третьим лицам без согласия обладателя
такой информации либо вопреки трудовому или гражданскоправовому договору.
Впервые в отечественном законодательстве, до вступления
в силу 01.01.08 г. Закона от 18.12.06 № 231-ФЗ «О введении в действие
части четвертой Гражданского кодекса Российской Федерации» был
определен ряд понятий, связанных с использованием программ для
74
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ЭВМ, сети и систем ЭВМ в Законе «О правовой охране программ для
электронных вычислительных машин и баз данных» (№ 3523-1 от 23
сентября 1992 г.):
программа для ЭВМ – это объективная форма представления совокупности данных и команд, предназначенных для функционирования
электронных вычислительных машин (ЭВМ) и других компьютерных
устройств с целью получения определенного результата. Под программой для ЭВМ подразумеваются также подготовительные материалы,
полученные в ходе ее разработки, и порождаемые ею аудиовизуальные
отображения.
База данных – это объективная форма представления и организации совокупности данных (например статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найд ены и обработаны с помощью ЭВМ.
Адаптация программы для ЭВМ или базы данных – это внесение
изменений, осуществляемых исключительно в целях обеспечения
функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Модификация (переработка) программы для ЭВМ или базы данных – это их любые изменения, не являющиеся адаптацией.
Декомпилирование программы для ЭВМ – это технический прием,
включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования программы для ЭВМ.
Воспроизведение программы для ЭВМ или базы данных – это изготовление одного или более экземпляров программы для ЭВМ или базы
данных в любой материальной форме, а также их запись в память
ЭВМ.
Распространение программы для ЭВМ или базы данных – это представление доступа к воспроизведенной в любой материальной форме
программе для ЭВМ или базе данных, в том числе сетевыми
и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.
Выпуск в свет (опубликование) программы для ЭВМ или базы
данных – это предоставление экземпляров программы для ЭВМ или базы данных с согласия автора неопределенному кругу лиц (в том числе
путем записи в память ЭВМ и выпуска печатного текста) при условии,
что количество таких экземпляров должно удовлетворять потребностям
этого круга лиц, принимая во внимание характер указанных произведений.
Использование программы для ЭВМ или базы данных – это выпуск в свет, воспроизведение, распространение и иные действия по их
введению в хозяйственный оборот (в том числе в модифицированной
75
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
форме). Не признается использованием программы для ЭВМ или базы
данных передача средствами массовой информации сообщений
о выпущенной в свет программе для ЭВМ или базе данных.
В области защиты персональных данных в рамках Федерального
закона «О персональных данных» № 152-ФЗ от 26 июля 2006 года
можно выделить следующие базовые термины и определения:
персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор – государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели
и содержание обработки персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных – действия, направленные
на передачу персональных данных определенному кругу лиц (передача
персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к
персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц
либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных – временное прекращение
сбора, систематизации, накопления, использования, распространения
персональных данных, в том числе их передачи.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате
которых уничтожаются материальные носители персональных данных.
76
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных
конкретному субъекту персональных данных.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации
или без использования таких средств.
Конфиденциальность персональных данных – обязательное для
соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без
согласия субъекта персональных данных или наличия иного законного
основания.
Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Общедоступные персональные данные – персональные данные,
доступ неограниченного круга лиц к которым предоставлен с согласия
субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения
конфиденциальности.
Важное место в решении задач правового регулирования в части
идентификации информации, информационных продуктов и услуг
имеет Федеральный закон «Об электронной цифровой подписи» т 10
января 2002 года № 1-ФЗ, в котором определен ряд основных понятий
(см. п. 5.2).
Ряд важных терминов и определений закреплены и подзаконными нормативными правовыми актами, в том числе постановлениями правительства. Так, постановлением Правительства Российской
Федерации от 23 января 2006 года № 32 утверждены «Правила оказания услуг связи по передаче данных», которые введены в де йствие с 1 июля 2006 года, и определены термины:
абонент – пользователь услугами связи по передаче данных,
с которым заключен договор об оказании услуг связи по передаче
данных при выделении для этих целей уникального кода идентификации;
достоверность передачи информации – взаимно однозначное
соответствие пакетов информации, переданных пользовательским
(оконечным) оборудованием, являющимся одной стороной установленного соединения по сети передачи данных, и принятых пользова77
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тельским (оконечным) оборудованием, являющимся другой стороной
данного соединения;
пользователь услугами связи по передаче данных – лицо, заказывающее и (или) использующее услуги связи по передаче данных;
предоставление доступа к сети передачи данных – совокупность действий оператора связи сети передачи данных по формированию абонентской линии и подключению с ее помощью пользовательского (оконечного) оборудования к узлу связи сети передачи данных
или обеспечению возможности подключения к сети передачи данных
пользовательского (оконечного) оборудования с использованием телефонного соединения или соединения по иной сети передачи данных
в целях обеспечения возможности оказания абоненту услуг связи по
передаче данных;
предоставление возможности доступа к услугам связи по передаче
данных – обеспечение одним оператором связи возможности получения
его абонентом услуг связи по передаче данных, оказываемых другим
оператором связи;
узел связи сети передачи данных – средства связи, выполняющие
функции систем коммутации.
В «Правилах оказания телематических услуг связи», утвержденных Постановлением Правительства Российской Федерации от 10 сентября 2007 года № 575 и введенных в действие с 1 января 2007 года,
также содержится ряд определений терминов, причем их трактовка несколько отличается от утвержденных Постановлением № 32:
абонент – пользователь телематическими услугами связи, с которым заключен возмездный договор об оказании телематических услуг
связи с выделением уникального кода идентификации;
вредоносное программное обеспечение – программное обеспечение,
целенаправленно приводящее к нарушению законных прав аб онента и (или) пользователя, в том числе к сбору, обработке или передаче
с абонентского терминала информации без согласия абонента и (или)
пользователя либо к ухудшению параметров функционирования абонентского терминала или сети связи;
пользователь телематическими услугами связи – лицо, заказывающее и (или) использующее телематические услуги связи;
информационная система – совокупность содержащейся в базах
данных информации и обеспечивающих ее обработку информационных
технологий и технических средств;
информационно-телекоммуникационная сеть – технологическая
система, предназначенная для передачи по линиям связи информации,
доступ к которой осуществляется с использованием средств вычислительной техники;
78
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
предоставление доступа к информационным системам информационно-телекоммуникационной сети – обеспечение возможности приема
и передачи телематических электронных сообщений (обмена телематическими электронными сообщениями) между абонентским терминалом
и
информационной
системой
информационно-телекоммуникационной сети;
предоставление доступа к сети передачи данных – совокупность действий оператора связи по формированию абонентской линии, подключению с ее помощью пользовательского (оконечного)
оборудования к узлу связи сети передачи данных либо по обеспечению возможности подключения к сети передачи данных пользовательского (оконечного) оборудования с использованием телефонного
соединения или соединения по иной сети передачи данных в целях
обеспечения возможности оказания абоненту и (или) пользователю
телематических услуг связи;
спам – телематическое электронное сообщение, предназначенное
неопределенному кругу лиц, доставленное абоненту и (или) пользователю без его предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя;
телематическое электронное сообщение – одно или несколько сообщений электросвязи, содержащих информацию, структурированную в
соответствии с протоколом обмена, поддерживаемым взаимодействующими информационной системой и абонентским терминалом.
1.5. Понятие и виды защищаемой информации
по законодательству Российской Федерации
Составной частью предмета науки и научных исследований,
в том числе развивающегося научного направления защиты информации и правового регулирования информационной безопасности (ИБ),
является его понятийный аппарат. Одно из центральных понятий
в этой предметной области – информация, которая может быть отнесена к абстрактным категориям и первичным понятиям. Анализ существующего понятия информации дает представление ее поним ания в общесистемном, философском смысле, согласно которому информация есть отражение материального мира, до наиболее узкого,
технократического и прагматического смысла – информация есть
все сведения, являющиеся объектом хранения, передачи и преобразования.
В ряде работ под информацией понимаются определенные свойства материи, воспринимаемые управляющей системой как из окружающего внешнего материального мира, так и из процессов, происходящих в самой системе. Существует взгляд, отождествляющий поня79
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тия «информация» и «сообщение». Информация определяется как существенная для получателя часть сообщения, а сообщение – как материальный носитель информации, один из конкретных элементов
конечного или бесконечного множества, передаваемых по каналу связи и воспринимаемых на приемном конце системы связи некоторым
получателем.
Можно в какой-то степени обратиться к известному содержанию понятия информации, определенному К. Шенноном, где информацией называют количество непредсказуемого, содержащегося в сообщении. Количество есть мера того нового, которое данное сообщение вносит в сферу, окружающую получателя.
В Федеральном законе от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» приводится достаточно обобщенное определение понятия информации и ее производных. Так, информация представляется как
сведения (сообщения, данные) независимо от формы их представления. Это родовое понятие информации используется и для формирования его производных дефиниций, используемых в других нормативных правовых актах:
информационные технологии – процессы, методы поиска, сбора,
хранения, обработки, представления, распространения информации и
способы осуществления таких процессов и методов;
информационная система – совокупность содержащейся в базах
данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
информационно-телекоммуникационная сеть – технологическая
система, предназначенная для передачи по линиям связи информации,
доступ к которой осуществляется с использованием средств вычислительной техники;
обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по
каким-либо признакам;
доступ к информации – возможность получения информации и ее использования;
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия
ее обладателя;
представление информации – действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
80
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
распространение информации – действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сетью.
В Гражданском кодексе РФ (ст. 128) информация определяется
как объект гражданских правоотношений. Рассматривая информацию с этих позиций, необходимо обращать внимание на аспект, связанный с юридической защитой информации как объекта права собственности. Такой подход к информации объясняется тем, что историческим и традиционным объектом права собственности является
материальный объект. Информация, не являясь материальным объектом окружающего мира, неразрывно связана с материальным носителем: это мозг человека или отчужденные от человека материальные
носители (книга, дискета и др.) Рассматривая информацию как отражение действительности объектом окружающего мира, можно говорить об информации как об абстрактной субстанции. Но ни хранение, ни передача информации без материального носителя невозможны.
Проведенный анализ содержания информации, в том числе как
объекта права, позволил выделить ее основные виды, подлежащие
правовой защите на основании Закона Российской Федерации от
21 июля 1993 года № 5485-1 «О государственной тайне»:
 сведения, отнесенные к государственной тайне, – подлежат
правовой защите уполномоченными органами;
 конфиденциальная документированная информация – собственником информационных ресурсов или уполномоченным лицом;
 персональные данные.
На основе рассмотренных дефиниций существующих (в широком и узком смысле) понятий информации и других понятий, используемых в сфере ИБ, можно сделать следующие выводы:
 данные понятия разнообразны по своему содержанию;
 независимо от используемых понятий информации все они,
как правило, содержат компоненты, форму представления информации, отражающую наличие материально-энергетического носителя
(сигнала), воспринимаемого сенсорно или с помощью прибора (в широком смысле);
 информация носит двойственный характер: во-первых, она
является информационным ресурсом общества, обладающим определенными свойствами и необходимым для информационного обеспечения общественной деятельности и повседневной жизни людей. Вовторых, это специфическое сырье, подлежащее обработке специальными технологиями с целью получения определенного информацион81
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ного продукта, обладающего заданным свойством (качеством). При
этом требования к свойствам информации определяются собственником, владельцем или пользователем (потребителем).
Наряду с такими важными свойствами информации, как своевременность и достоверность, существенное место принадлежит
свойству безопасности.
Безопасность информации – защищенность информации от ее
нежелательного разглашения, искажения (нарушения целостности),
модификации (подделки), незаконного копирования, блокиров ания и т. п.
Независимо от сфер деятельности личности, общества и государства обеспечение безопасности информации тесно взаимосвязано с
получением, накоплением, обработкой и использованием разнообразной информации, поступающей от различных источников. В силу этого источник является неотъемлемой частью объекта правового регулирования отношений в сфере обеспечения ИБ.
Под источником информации понимается объект, обладающий определенной информацией, которую можно получить (получать) одноразово или многократно с помощью приемника. Источник
связан с каким-то получателем (субъектом), имеющим ту или иную
возможность доступа к информации.
Существуют следующие категории источников информации:
люди, документы, публикации, технические носители, технические
средства обеспечения производственной и трудовой деятельности,
промышленные и производственные отходы.
К источнику информации, определенному обобщенным понятием «люди», можно отнести все категории должностных лиц независимо от их места в системе обработки информации, вида деятельности
(обслуживающий персонал, пользователи информацией и информационными ресурсами и др.). Необходимо отметить, что эта группа
в ряде существующих источников конфиденциальной информации
занимает особое место в силу своей активности, выступает не только
как источник, но и как субъект, участвующий в информационных
процессах, информатизации и обеспечении ИБ, а также совершающий
противоправные действия в информационной сфере. При этом информационные отношения возникают в ходе:
 формирования и использования информационных ресурсов на
основе создания, сбора, обработки, накопления, хранения, поиска соответствующей информации;
 создания и использования информационных технологий, способов, средств их обеспечения;
 защиты информации и прав субъектов.
82
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Отличительными особенностями рассматриваемой группы источников информации как объекта информационных отношений являются:
 двойственный характер деятельности людей, обусловленный
тем, что они могут являться как обладателями, так и распространителями информации в рамках своих функциональных обязанностей;
 способность человека анализировать, обобщать информ ацию и делать соответствующие выводы.
Документы являются одной из распространенных форм представления, обмена, накопления и хранения информации. Документы
отличаются большим разнообразием функционального назначения.
Система документов имеет разветвленную структуру, определяемую
рядом показателей, характеризующих разнообразие содержания документа, его физических форм (материальных носителей) и др. При
этом разнообразие форм, содержания документов по назначению,
направленности, характеру разработки и использования выступает
важным объектом внимания и противоправных действий, направленных на незаконное получение информации, особенно имеющей конфиденциальный характер.
Вторая группа источников – публикации – представляет информационные носители в виде разнообразных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты и т. д. Их
особенностью является то, что они отграничивают содержание различных конференций, симпозиумов, научных семинаров и других подобных публичных форумов, где сосредоточивается новая и самая
ценная информация. По мнению специалистов, более 60 % военной
информации можно получить из вышеназванной группы открытых источников, к которой можно добавить средства массовой информации.
Конфиденциальная информация, составляющая промышленную, коммерческую, банковскую и другие виды тайн, может быть получена из указанных источников, в том числе печатных изданий. При
этом стоимость такой информации исчисляется сотнями тысяч долларов. А более 90 % современной научной, промышленной и экономической информации можно относительно легко и легально получить из специализированных журналов, научных трудов, отчетов компаний, внутренних изданий предприятий, брошюр и проспектов, раздаваемых на ярмарках и выставках.
К следующей группе относятся технические носители информации: кино- и фотоматериалы, магнитные носители, видеодиски,
распечатки данных и программ на принтерах и др. Отличительными
особенностями технических носителей являются:
 быстрый темп роста технических средств и персональных
электронно-вычислительных машин (ПЭВМ), находящихся в эксплуа83
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тации, их широкое применение в самых различных сферах человеческой деятельности;
 высокая степень концентрации информации и масштабность
участия людей в использовании этих носителей в практической деятельности.
К группе источников информации, представляющей технические средства обеспечения производственной деятельности, относятся: телефоны, телевизоры, радиоприемники, системы громкоговорящей связи, усилительные, охранные, пожарные системы и др. Они
по своим параметрам могут являться источником преобразования акустической информации в электрические и электромагнитные поля,
способные образовать электромагнитные каналы утечки информации.
Особую группу средств составляют автоматизированные системы обработки данных, так как они обладают большой информационной емкостью.
Группа таких источников информации, как промышленные
и производственные отходы, несет сведения об используемых материалах, их составе, особенностях производства, технологии. Их характерной особенностью является то, что добываются они почти безопасным путем – на свалках, в корзинах для мусора, местах сбора металлолома и др.
Приведенный перечень источников информации не является конечным, а также не в полной мере обеспечивает оценку полноты их
отражения в действующей нормативно-правовой базе. Вполне очевидна необходимость классификации источников информации, учитывающей особенности и содержание объекта правового регулирования ИБ.
Любая информация в целом рассматривается с позиции принятия управленческих решений. От качества последних зависит эффективность любой деятельности. Для принятия решения нужно обладать
информацией определенного качества о состоянии взаимодействующих объектов. Получение такой информации требует надлежащей организации информационных процессов.
Содержание понятий информационных процессов, отраженных
в действующем законодательстве, позволяет утверждать, что эти понятия представляют относительно полное множество сложивши хся в информационной сфере видов информационных процессов: производства (создания), передачи, распространения, сбора, накопления,
хранения, поиска, получения, потребления информации, создания и
применения информационных систем, информационных технологий и
средств их обеспечения. Подтверждением этого является содержание
определений информационных процессов в Конституции РФ (ст. 29), в
федеральных законах об информации.
84
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Принятые на данный момент нормативно-правовые акты призваны защитить государство от утечки сведений, составляющих государственную тайну, в том числе Закон Российской Федерации от
21 июля 1993 года № 5485-1 «О государственной тайне».
Данный закон регулирует отношения, возникающие в
связи с отношением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности РФ. Положения закона отражают практическую деятельность по защите сведений, составляющих государственную тайну, сохранена преемственность по вопросам защиты большинства сведений нормативного характера, позволяющая в определенной степени сохранить существующие подходы к защите информации на всех стадиях ее существования.
Действовавшая до принятия закона и во многом сохранившаяся
до сегодняшнего дня система защиты информации являлась слепком с
административно-командной системы управления экономической, политической, военной, научно-технической и другими сферами жизни
общества. Пока система управления работала, работала и система защиты информации. Она была слишком регламентирована, излишне
сориентирована на засекречивание, далекое во многих случаях от экономической целесообразности, лишена уважительного отношения к
правам граждан, работающих со сведениями, составляющими государственную тайну. Таким образом, в основу концепции закона была
положена идея переориентации существующей системы защиты информации на достижение баланса интересов человека, общества
и
государства, ее адаптацию к происходящим изменениям в системе
управления, в экономической, политической, военной и других
сферах жизни общества, создание механизмов реализации правоотношений, способных развиваться в новых условиях.
В качестве базы для Закона о государственной тайне был избран
Закон о безопасности, который позволял, связав защиту государственной тайны с обеспечением безопасности государства, отнести ее
к задачам федерального уровня, избежав тем самым появления региональных тайн и региональных законодательных актов, регламентирующих их защиту. Этим же объясняется и непосредственная увязка
с ущербом для безопасности государства базового понятия «государственная тайна».
Определенные трудности с обоснованием федерального характера законопроекта возникли еще и потому, что ни в Конституции РФ,
ни в Законе о безопасности вопросы, связанные с защитой сведений,
составляющих государственную тайну, в прямой постановке раскрыты не были. Выход был найден в логической взаимосвязи понятий:
«безопасность РФ», «информационная безопасность», «сведения, со85
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ставляющие государственную тайну, как часть информационного ресурса государства». Такая систематизация понятийного аппарата позволила связать разрабатываемый законопроект с уже принятым Законом о безопасности – базовым законом в области защиты жизненно
важных интересов государства. Эта задача была решена путем введения в определение государственной тайны понятия «ущерб для безопасности РФ», а также соответствующей ссылкой на ст. 3 Закона о
безопасности. При этом величина ущерба для безопасности РФ была
выбрана в качестве основного критерия отнесения тех или иных сведений к государственной тайне, а смысловые понятия «государственная тайна» были описаны в его определении, а также в ст.ст. 5 и 7 Закона о государственной тайне.
Закон предусматривает наделение конкретных должностных
лиц полномочиями по отнесению сведений к государственной тайне.
Перечень должностных лиц утверждается Президентом РФ. К их числу отнесены руководители министерств и служб основных секретодержателей. При таком подходе общегосударственный перечень сведений, отнесенных к государственной тайне соответствующими руководителями министерств и служб, призван разграничить их полномочия по распоряжению от лица государства указанными сведени ями, а утверждение такого перечня Президентом РФ лишь закрепляет
это разграничение. Ответственность за обоснованность отнесения
сведений к государственной тайне и за целесообразность сохранения
сведениями ранее установленной степени секретности цел иком и полностью возлагается на руководителя, принявшего такое решение.
Закон состоит из восьми разделов.
В первом разделе даны общие положения, в которых определены:
 сфера действия закона;
 основные понятия, термины и определения, используемые
в законе;
 законодательная основа, на которой базируется закон о государственной тайне;
 полномочия органов всех ветвей государственной вл асти и должностных лиц в области отнесения сведений к государственной тайне.
Во втором разделе определены сведения, относимые к государственной тайне.
Третий раздел устанавливает порядок засекречивания сведений
и их носителей. В нем представлены:
 принципы засекречивания;
 сведения, не подлежащие засекречиванию;
86
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 степени секретности сведений и грифы секретности носителей этих сведений;
 порядок отнесения сведений к государственной тайне;
 ограничение прав собственности предприятий, учреждений,
организаций и граждан РФ на информацию в связи с ее засекречиванием;
 порядок засекречивания сведений и их носителей;
 реквизиты носителей сведений, составляющих государственную тайну.
В четвертом разделе приведен порядок рассекречивания сведений и их носителей, включающий:
 порядок рассекречивания сведений;
 порядок рассекречивания носителей сведений, составляющих
государственную тайну;
 порядок исполнения запросов граждан, предприятий, учреждений, организаций и органов государственной власти РФ о рассекречивании сведений.
В пятом разделе определен порядок распоряжения сведениями,
составляющими государственную тайну, а именно:
 осуществление взаимной передачи сведений, составляющих
государственную тайну, органами государственной власти, предприятиями, учреждениями и организациями;
 передача сведений, составляющих государственную
тайну, в связи с выполнением совместных и других работ;
 передача сведений, составляющих государственную тайну,
другим государствам;
 защита сведений, составляющих государственную тайну, при
изменении функций субъектов правоотношений.
В шестом разделе «Защита государственной тайны» определены:
 структура органов защиты государственной тайны;
 порядок допуска должностных лиц и граждан к государственной тайне;
 основание для отказа должностному лицу или граждан ину в допуске к государственной тайне;
 условия прекращения допуска должностного лица или гражданина к государственной тайне;
 ограничение прав должностного лица или гражданина, допущенного или ранее допускавшегося к государственной тайне;
 организация доступа должностного лица или граждан ина к сведениям, составляющим государственную тайну;
87
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 ответственность за нарушение законодательства РФ о государственной тайне;
 допуск предприятий, учреждений, организаций к проведению
работ, связанных с использованием сведений, составляющих государственную тайну;
 порядок сертификации средств защиты информации.
В седьмом разделе установлен порядок финансирования мероприятий по защите государственной тайны.
В восьмом разделе приведены система и порядок контроля
и надзора за обеспечением защиты государственной тайны. В общем
виде это составляет положения:
 по парламентскому контролю;
 межведомственному и ведомственному контролю;
 прокурорскому надзору.
Положения по защите государственной тайны обязательны для
исполнения на территории РФ и за ее пределами всеми органами
представительной, исполнительной и судебной власти, местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно-правовой формы собственности, должностными лицами, гражданами страны, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства РФ о государственной тайне.
Межведомственная комиссия по защите государственной тайны,
а также федеральные органы исполнительной власти, уполномоченные в областях: обеспечения безопасности; обороны; внешней разведки; противодействия техническим разведкам и технической защиты
информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с их функциональным предназначением, определенным законом РФ.
1.6. Правовые основы защиты государственной,
коммерческой, служебной, профессиональной
и личной тайны, персональных данных
Разработка механизмов правового регулирования ИБ Российской Федерации включает в себя мероприятия по информатизации
правовой сферы в целом.
В настоящее время следует признать отсутствие единого правового поля для гражданина, общества и государства, в том числе в о блас ти инфо р м ационных пр ав оотношений, ко г да з ая в ленный
в Конституции РФ приоритет интересов личности подменяется в законах и особенно в подзаконных нормативных актах приоритетом интересов министерств и ведомств. Нормы отдельных федеральных за88
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
конов противоречат Конституции РФ, законодательство субъектов
Федерации не соответствует федеральному, а подзаконные акты попрежнему являются основой для произвола чиновников.
Поэтому в интересах правового регулирования в области ИБ
крайне важно создать сбалансированную нормативную правовую базу, регулирующую отношения в информационной сфере общества.
Для более четкого определения предметной области законодательства и построения целостной системы в области правового регулирования ИБ предлагается выделить объекты защиты от воздействия деструктивной информации:
 права личности;
 интересы общества;
 государственные интересы.
Для правового регулирования ИБ человека и его интересов
целесообразно проведение таких мероприятий, как:
 создание условий и правовых механизмов реализации гражданином своих прав на доступ к информации;
 защита прав человека на неприкосновенность своей частной
жизни;
 обеспечение безусловной защиты здоровья человека, его психики и общества от деструктивной информации, в том числе распространяемой по средствам массовой информации, компьютерным сетям или с использованием компьютерных технологий;
 обеспечение действенной защиты интеллектуальной собственности, авторских и смежных прав.
Существенным восполнением правового пробела было бы принятие законопроектов «О праве на информацию», «Об информационно-психологической безопасности», «О реализации прав государства на объекты интеллектуальной собственности» с внесением изменений и дополнений в соответствующие кодексы Российской Федерации.
Одновременно следует развивать правовое регулирование ИБ
общества. Разработка этой нормативной правовой базы предполагает:
 оценку эффективности применения действующих нормативных правовых актов в информационной сфере и разработку программы их совершенствования;
 нормативное обеспечение совершенствования системы подготовки кадров, так как очевидно, что никакая техническая система
обеспечения ИБ не даст желаемого результата при отсутствии необходимых специалистов;
 создание организационно-правовых механизмов обеспечения
ИБ с учетом внесения соответствующих изменений в законодательство Российской Федерации о государственной службе;
89
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 определение правового статуса всех субъек тов отношений в информационной сфере, включая пользователей информационными и телекоммуникационными системами, и их ответственности за
соблюдение законодательства РФ;
 создание системы сбора и анализа данных об источниках
угроз ИБ, а также о последствиях их проявления с учетом всех видов
(категорий) информации;
 разработку нормативных правовых актов, определяющих организацию выявления и расследования правонарушений в информационной сфере, а также устанавливающих порядок ликвидации последствий этих действий;
 разработку составов правонарушений с учетом специфики
уголовной, гражданской, административной, дисциплинарной ответственности и включение соответствующих правовых норм в уголовный, гражданский, административный и трудовой кодексы.
В целях выявления и согласования интересов федеральных органов государственной власти, органов государственной власти субъектов РФ и других сторон отношений в информационной сфере, выработки необходимых решений в государственных интересах принята
Концепция государственной информационной политики. Она служит основой для конкретизации и уточнения основных направлений
деятельности органов государственной власти по становлению информационного общества в России, формирования единого информационного пространства России и ее вхождения в мировое информационное сообщество. Актуальность и значимость решаемых проблем
в рассматриваемой сфере подтверждаются и актом принятия Доктрины информационной безопасности Российской Федерации, развивающей Концепцию национальной безопасности Российской Федерации в информационной сфере. Доктрина информационной безопасности является основой:
 для формирования государственной политики обеспечения
ИБ Российской Федерации;
 подготовки предложений по совершенствованию правового,
методического, научно-технического и организационного обеспечения ИБ Российской Федерации;
 разработки целевых программ обеспечения ИБ Российской
Федерации.
Несмотря на то, что в настоящее время в России существует более 30 видов тайн, их понятия, а также соотношения между ними зачастую не определены. Ответственность за нарушение режима того
или иного вида тайн далеко не всегда присутствует в Уголовном кодексе РФ или Кодексе РФ об административных правонарушениях.
90
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Тенденции конституционного развития акцентируют внимание
на проблеме «государственных режимов и состояний» – обеспечении
безопасности (информационной безопасности как составной части),
обороны, чрезвычайного положения и т.п. Необходимо конституционное регулирование обеспечения информационной безопасности,
ведь ИБ личности – это не что иное, как защищенность конституционных прав и свобод человека. А одним из направлений государственной политики в сфере ИБ является соблюдение и реализация
конституционных прав человека и гражданина в рассматриваемой
сфере.
Во-первых, согласно Закону Российской Федерации от 5 марта
1992 года № 2446-1 «О безопасности», безопасность достигается посредством проведения соответствующей единой государственной политики. Способом достижения ИБ будет проведение государственной политики в области обеспечения ИБ Российской Федерации, которая определяет основные направления деятельности госуда рства в данной сфере.
Во-вторых, актуальность основных направлений деятельности государства в указанной сфере обусловлена следующим:
 необходимостью развития и совершенствования конституционного законодательства, обеспечивающего оптимальное сочетание
приоритетов интересов личности, ведомств и в целом государства
в рамках одного из направлений по обеспечению ИБ;
 совершенствованием деятельности государства по реализации
своих функций по обеспечению безопасности всех субъектов информационных отношений;
 потребностью граждан в защите своих интересов в информационной сфере;
 необходимостью формирования единого правового поля
в сфере информационных отношений.
Развитие государственной политики в сфере обеспечения ИБ
нашло свое отражение в последовательной разработке и развитии
Концепции национальной безопасности Российской Федерации. Ее
особенностями являются положения, согласно которым:
 ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры;
 национальный информационный ресурс является одним из
главных источников экономической и военной мощи государства;
 проникая во все сферы деятельности государства, информация принимает конкретное политическое, материальное и стоимостное выражение;
91
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 все более актуальный характер приобретают вопросы обеспечения ИБ Российской Федерации как неотъемлемого элемента ее
национальной безопасности, а защита информации превращается в
одну из приоритетных государственных задач;
 система национальных интересов России в области эк ономики, в социальной, внутриполитической, международной, информационной сфере, в области военной, пограничной и экологической
безопасности обусловливается совокупностью сбалансированных интересов личности, общества и государства;
 государственная политика обеспечения ИБ Российской Федерации намечает основные направления деятельности федеральных органов государственной власти и органов государственной власти
субъектов РФ в этой области.
Концепция также определяет национальные интересы Ро ссии в информационной сфере, которые направлены на сосредоточение усилий общества и государства на решении следующих задач
(направлений):
 соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею;
 защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности;
 обеспечение права граждан на получение достоверной информации;
 развитие современных телекоммуникационных технологий.
Планомерная деятельность государства по реализации указанных задач позволит Российской Федерации стать одним из центров
мирового развития и формирования информационного общества,
обеспечивающего потребности личности, общества, государства
в
информационной сфере, в том числе их защиту от разрушающего воздействия информации для манипулирования массовым сознанием,
а также необходимую защиту государственного информационного ресурса от утечки важной политической, экономической, научнотехнической и военной информации.
С учетом перечисленных положений необходимо обратить внимание на следующие принципы построения государственной политики обеспечения ИБ Российской Федерации:
 соблюдение Конституции РФ, законодательства РФ, общепризнанных норм международного права при осуществлении деятельности по обеспечению ИБ страны;
 правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социаль92
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ного и экономического статуса, основывающегося на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
 открытость, предусматривающая реализацию функций федеральных органов государственной власти и органов государственной власти субъектов РФ, общественных объединений, включающая
информирование общества об их деятельности с учетом ограничений,
установленных законодательством РФ;
 приоритетность развития отечественных современных информационных и телекоммуникационных технологий, производства
технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения
жизненно важных интересов Российской Федерации.
Основными направлениями государственной политики Российской Федерации в сфере информатизации являются:
 создание и развитие федеральных и региональных с истем и сетей информатизации с обеспечением их совместимости и
взаимодействия в едином информационном пространстве России;
 обеспечение интересов национальной безопасности в сфере
информатизации;
 обеспечение единства государственных стандартов в сфере
информатизации, их соответствия международным рекомендациям и
требованиям;
 формирование и осуществление единой государственной
научно-технической и промышленной политики в сфере информатизации, отвечающей современному мировому уровню;
 поддержка проектов информатизации, обеспечивающих развитие информационных сетей и систем;
 обеспечение условий для развития и защиты всех форм собственности на информационные ресурсы;
 формирование и защита информационных ресурсов государства как национального достояния;
 создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации;
 создание условий для качественного и эффективного информационного обеспечения граждан, органов государственной власти,
органов местного самоуправления, организаций и общественных объединений на основе государственных информационных ресурсов;
93
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в
условиях информатизации;
 содействие формированию рынка информационных ресурсов,
услуг, информационных систем, технологий, средств их обеспечения;
 создание и совершенствование системы привлечения иностранных инвестиций и механизма стимулирования негосударственных структур в разработке и реализации проектов информатизации;
 развитие законодательства в сфере информационных процессов, информатизации и защиты информации.
Контрольные вопросы
1. Дайте определение понятия информационной безопасности.
2. Что понимается под информационными угрозами личности,
обществу и государству?
3. Перечислите главные пути реализации угроз информационным ресурсам и безопасности информации.
4. Каковы основные виды потерь, связанных с угрозами безопасности информации?
5. Определите значение информационной безопасности в системе национальной безопасности Российской Федерации.
6. Дайте определение понятий методов, форм и средств обеспечения информационной безопасности.
7. Дайте определение понятия интересов личности в информационной сфере.
8. Что понимается под интересами государства в информационной сфере?
9. Дайте определение понятия интересов общества в информационной сфере.
10. Перечислите принципы построения государственной политики в сфере информатизации и информационной безопасности.
11. Каковы основные направления деятельности государства
в информационной сфере?
12. В чем выражается защита интересов личности, общества
и государства в информационной сфере?
13. Проанализируйте проблемы и особенности организационного и социально-экономического компонентов процесса правовой
информатизации.
14. Каковы задачи разработки концепции правовой информатизации субъекта Российской Федерации?
15. Перечислите принципы правовой информатизации субъектов Российской Федерации.
94
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 2. РОЛЬ ПРАВА В РЕГУЛИРОВАНИИ
КОМПЛЕКСА ОТНОШЕНИЙ В СФЕРЕ
ЗАЩИТЫ ИНФОРМАЦИИ
2.1. Отрасли права, обеспечивающие законность
в области защиты информации
Необходимость систематизации нормативных правовых актов
в сфере информационной безопасности обусловлена определением информационного законодательства в системе конституционного законодательства и круга информационных правоотношений, подлежащих
правовому регулированию. Помимо этого систематизация позволяет исключить субъективное понимание существующего нормативного правового массива в информационной сфере и выработать единый взгляд на
его рассмотрение с учетом оснований систематизации как целостного
образования – системы. Игнорирование структурирования (систематизации) законодательного массива, как считают ученые, ведет к упрощению законотворчества и порождает законодательные ошибки.
Уже были сделаны попытки систематизации нормативных правовых актов в информационной сфере и сфере ИБ. Однако систематизация нормативных правовых актов, проведенная В.А. Копыловым,
представляется неполной. Систематизация М.М. Рассолова несколько
шире, но и она отличается неполнотой содержащихся в ней действующих нормативных правовых актов. Отсутствует ряд важных законов, а также нормативных правовых актов, определяющих правовое
положение, полномочия субъектов обеспечения ИБ, положений
ФСТЭК России и других нормативных правовых актов, играющих
важную роль в рассматриваемой сфере.
В основу классификации информационных технологий должен
быть положен определенный набор классов комплексной защищенности информационно-вычислительных систем, учитывающих характеристики уязвимости, ценности и секретности информации, функциональные и объектовые особенности конкретных прикладных систем.
Необходима разработка и введение в действие единой государственной системы нормативных документов, например государственных
стандартов, устанавливающих применительно к указанным классам
соответствующие нормы защищенности. Это могут быть требования и
рекомендации:
 по применению защищенных средств вычислительной техники (использование сертифицированных средств вычислительной техники не ниже определенного класса защищенности);
 по составу, функциональным и качественным характеристикам
используемых и вновь разрабатываемых технических средств защиты;
95
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 применению необходимых административных и организационных мер защиты;
 способам проверки (верификации) эффективности и корректности функционирования применяемых средств защиты странами –
членами СНГ и другими государствами.
Эти нормы разработаны с учетом условий комплексного применения реализуемых на практике видов защиты существующей научнометодологической базы.
Анализ работ отечественных ученых позволяет утверждать, что
методологической основой для такого документа в части защиты от
несанкционированного доступа могут быть международный стандарт
«Критерии оценки безопасности информационных технологий», частные нормативы, представленные комплектом руководящих документов по защите от несанкционированного доступа, выпущенных Гостехкомиссией России в середине 1997 г. Кроме введения норм защищенности необходимо создать систему сертификации средств защиты информации, поступающих на рынок информационных технологий, и ввести систему лицензирования работ в области ИБ.
Такие системы уже созданы и продолжают развиваться. Поставщики средств защиты информации и защищенной ЭВТ, сертифицированных по некоторому классу защищенности, должны иметь
определенные преимущества при установлении цены на свою продукцию. На участников работ в области ИБ, официально получивших лицензию, могут быть распространены налоговые льготы с учетом заинтересованности государства в развитии этого приоритетного направления.
Можно рассчитывать на определенное позитивное влияние процессов международной и отечественной стандартизации в области ИБ
на разработку и производство средств защиты и защищенных
средств вычислительной техники, так как в настоящее время наблюдается определенный «прорыв», связанный с активизацией усилий
различных международных организаций в этом направлении. Политика организаций, осуществляющих страхование автоматизированных
систем, информационных ресурсов и компьютерной информации,
также может способствовать расширению практического внедрения
современных средств защиты информации. Требование страховой
компании к своим клиентам по обеспечению надлежащего уровня
безопасности информации за счет применения сертифицированных
систем защиты представляется вполне естественным и справедливым.
Государственная научно-техническая программа развития безопасных информационных технологий должна обеспечить скоординированные усилия различных организаций отечественной науки
и промышленности при проведении НИОКР на достаточно широком
96
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
фронте работ, необходимых для создания и внедрения эффективных
методов и средств защиты информации.
Проводимый анализ действующих нормативных правовых актов
позволяет сделать вывод о том, что они имеют разную содержательную направленность по защите информации в органах государственной власти и частных лиц. Задача создания стройной законодательной
системы, одновременно удовлетворяющей всем изложенным требованиям комплексной защиты информации, оказывается весьма сложной
и по ряду причин на сегодняшний день не имеет адекватных решений.
В силу этого ее решение должно рассматриваться в качестве одного из
основных направлений формирования законодательства в информационной сфере. К тому же концепция защиты государственной тайны
имеет равносильную направленность к защите как информации, так и
отдельных граждан страны. Важной особенностью настоящей концепции защиты информации является переход от принципа «интегральной защиты» информации к «дифференциальной защите», обеспечивающей разумную достаточность в соответствии с запросами
государственных структур и отдельных граждан.
Закон – это главный и преимущественный по юридической силе
нормативно-правовой акт государства. Он содержит правовые нормы,
которые регламентируют наиболее важные стороны общественной и государственной жизни. Определение закона можно сформулировать следующим образом: это нормативно-правовой акт, принимаемый высшим представительным органом государственной власти
в особом законодательном порядке, обладающий высшей юридической силой и регулирующий наиболее важные общественные отношения с точки зрения интересов и потребностей населения страны.
Из этого определения вытекают признаки закона как основного
источника права, нормативно-правового акта, обладающего высшей
юридической силой:
 принимается высшими представительными органами государства или самим народом в результате референдума;
 принимается по основным, наиболее существенным вопросам
общественной жизни, которые требуют оптимального удовлетворения
интересов личности;
 принимается в особом законодательном порядке, что не присуще подзаконным нормативно-правовым актам. Принятие закона
включает в себя четыре обязательные стадии: внесение законопроекта
в законодательный орган; обсуждение законопроекта; принятие закона; его опубликование (обнародование). Принятие закона в результате
референдума также осуществляется в законодательном порядке;
 не подлежит контролю или утверждению со стороны какоголибо другого органа государства. Он может быть отменен или изме97
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
нен только законодательной властью. Конституционный суд может
признать закон, принятый парламентом, неконституционным, однако
отменить его может только законодательный орган;
 законы представляют собой ядро всей правовой системы государства, обусловливают структуру совокупности нормативно-правовых актов, юридическую силу каждого из них, субординацию нормативно-правовых актов по отношению друг к другу.
Ведущее и определяющее положение законов в системе нормативно-правовых актов государства выражает одно из основных требований законности – верховенство закона в регулировании общественных отношений. Ни один подз аконный акт не может вторгаться
в сферу законодательного регулирования. Он должен быть приведен в
соответствие с законом или немедленно отменен.
Подзаконные нормативно-правовые акты – это правотворческие акты компетентных органов, которые основаны на законе и не
противоречат ему. Подзаконные акты обладают меньшей юридической силой, чем законы, они базируются на юридической силе законов
и не могут противостоять им. Эффективное регулирование общественных отношений имеет место тогда, когда общие интересы согласуются с индивидуальными. Подзаконные акты как раз и призваны
конкретизировать основные, принципиальные положения законов
применительно к своеобразию различных индивидуальных интересов.
По своему содержанию подзаконные акты, как правило, являются актами различных органов исполнительной власти. По субъектам
издания и сфере распространения они подразделяются на общие,
местные, ведомственные и внутриорганизационные акты.
Общие подзаконные акты – это нормативно-правовые акты
общей компетенции, действие которых распространяется на всех
лиц в пределах территории страны.
По своей юридической силе и значению в системе правового регулирования общие подзаконные акты следуют за законными. Посредством подзаконных актов осуществляется государственное
управление обществом, координируются экономические, социальные
и другие вопросы общественной жизни.
К общим подзаконным актам относятся нормотворческие предписания высших (центральных) органов исполнительной власти. Они
исходят от президента страны или главы правительства. В зависимости от формы государственного правления (президентской или парламентской республики) нормативно-правовые акты высшей исполнительной власти находят внешнее выражение в двух разновидностях
подзаконных актов, таких как:
98
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 указы Президента Российской Федерации. В системе подзаконных актов они обладают высшей юридической силой и издаются
на основе и в развитие законов. Полномочия президента в правотворческой деятельности определяются конституцией страны или специальными конституционными законами. Они регламентируют самые
разнообразные стороны общественной жизни, связанные с государственным управлением;
 постановления Правительства Российской Федерации. Это
подзаконные нормативные акты, принимаемые в контексте с указами
Президента Российской Федерации и призванные в необходимых случаях урегулировать более мелкие вопросы государственного управления
экономикой, социальным строительством, здравоохранением, народным
образованием, строительством вооруженных сил и т. д.
Местные подзаконные акты – это нормативно-правовые акты
органов представительной власти на местах. Их издают местные органы представительной власти и органы местного самоуправления.
Действие этих законов ограничено подвластной им территорией.
Нормативные предписания местных органов государственной власти
и управления обязательны для всех лиц, проживающих на данной территории. Это могут быть нормативные решения или постановления
муниципалитета, мэрии, префектуры по самым различным вопросам
местного характера.
Ведомственные нормативно-правовые акты (приказы, инструкции). Определенные структурные подразделения правительственных органов (министерства, ведомства) также наделяются
правотворческими функциями, которые делегируются законодательной властью, президентом или правительством. Это нормативноправовые акты общего действия, однако они распространяются лишь
на ограниченную сферу общественных отношений (таможенные, банковские, транспортные, государственно-кредитные и др.).
Внутриорганизационные подзаконные акты – это нормативно-правовые акты, которые издаются различными организациями для
регламентации своих внутренних вопросов и распространяются на
членов этих организаций. В рамках, определенных актами высшей
юридической силы, внутриорганизационные нормативные акты регулируют самые разнообразные отношения, возникающие в конкретной
деятельности государственных учреждений, предприятий, воинских
частей и других организаций.
Система нормативно-правовых актов современных государств
неоднородна. Это объясняется особенностями форм государственного
правления, многовековыми традициями отдельных стран, национальными и другими факторами. Тем не менее подавляющее большинство
нормативно-правовых систем строится по признаку степени юридиче99
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ской силы акта. Акты нижестоящих органов государственной власти в
интересах стабильности общественной жизни, ее оптимальной организованности должны соответствовать предписаниям актов вышестоящих органов. Все коллизии, противоречия между подзаконными актами в цивилизованном государстве решает закон, обладающий высшей юридической силой.
Степень юридической силы нормативно-правовых актов может
быть различна, но степень обязательности содержащихся в них норм
абсолютно одинакова для всех тех, к кому относятся их предписания.
Это принципиальное положение составляет основу функционирования правового государства.
В нормативном регулировании общественных отношений главное и определяющее место занимает закон. Подзаконные же акты играют лишь вспомогательную и детализирующую роль. В правовом
государстве закон охватывает своим действием все основные стороны
общественной жизни, он является главным гарантом коренных интересов, прав и свобод личности. В соответствии с изложенной класс ификацией разрабатывается и законодательная база по информационной безопасности.
В федеральных законах, указах, распоряжениях, постановлениях, иных правовых актах все больший вес приобретает термин «информация». Фундаментальное право на информацию закрепл ено в ч. 1 ст. 29 Конституции РФ.
Федеральный закон «Об информации, информационных технологиях и о защите информации» дал легальное определение понятия
«информация». В некоторых отраслях права используются новые понятия информации, например, понятия служебной и коммерческой
тайны. Уголовный кодекс 1996 г. вводит в российское законодательство понятие «компьютерная информация».
Основными законодательными актами, определяющими в целом
юридические аспекты защиты информации в Российской Федерации
и, следовательно, являющимися основополагающими для разработки
соответствующих подзаконных актов, являются:
 Конституция Российской Федерации;
 Гражданский кодекс Российской Федерации;
 Уголовный кодекс Российской Федерации;
 Кодекс Российской Федерации об административных правонарушениях;
 Трудовой кодекс Российской Федерации;
 Закон Российской Федерации от 5 марта 1992 года № 2446-1
«О безопасности»;
 Закон Российской Федерации от 21 июля 1993 года № 5485-1
«О государственной тайне»;
100
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2.2. Конституция и Гражданский кодекс Российской
Федерации о правах и обязанностях граждан России
в сфере обеспечения информационной безопасности
Конституция РФ законодательно закрепляет право граждан на
информацию и этим вводит законодательство России в систему международных норм. Основной закон закрепляет в ведении органов государственной власти Российской Федерации федеральную информацию и связь. Это создает конституционную основу для решения многих проблем информатизации, хотя не исчерпывает их.
Ниже приведены важнейшие аспекты развития законодательства в рассматриваемой области, которые следует ориентировать на
конституционную основу:
 анализ конституционных норм позволяет говорить о главном
принципе конституционных информационных отношений – принципе
свободы информации;
 Конституция РФ официально подтверждает признанное на
международном уровне право граждан на информацию. Так,
п.
4 ст. 29 гласит: «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную
тайну, определяется федеральным законом». Это важное положение,
которое должно быть взято за основу законодательного обеспечения
гарантий права на информацию не только граждан, но и ассоциаций
различных направлений и самого государства. Термин «каждый»
должен пониматься широко: это не только граждане, но и другие
субъекты – государственные органы, общественные объединения,
предприятия, частные фирмы и т. д. Объективная сторона данной
нормы состоит в перечислении ряда действий, из которых состоит
право на информацию. Конституция РФ из общей системы информации выделяет ту, которая непосредственно связана со сведениями о
гражданах, и охраняет ее. Как наиболее уязвимый массив информации
эта информация дифференцирована Конституцией и представлена в
качестве личной, семейной тайны, в режиме тайны переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений (ст. 23). Ограничение права на этот вид информационной тайны допускается только
на основании судебного решения;
 устанавливается режим информации о частной жизни
граждан. Сбор, хранение, использование и распространение инфор-
101
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
мации о частной жизни лица без его согласия не допускается (п. 1
ст. 24 Конституции РФ);
 органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (п. 2 ст. 24 Конституции РФ). Ответственность на
основе федерального закона за сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, а
также необходимость представлять достоверную информацию о состоянии окружающей среды (ст.ст. 41, 42) затрагивают важный круг
обязанностей соответствующих органов государственной власти по
владению и использованию должным образом отдельных видов информации;
 ряд статей Конституции РФ косвенным образом касается проблем права на информацию и гарантий его реализации. Осуществление гражданином права на информацию не должно нарушать права
и свободы других лиц (ч. 3 ст. 17). Каждый вправе обращаться
в
межгосударственные органы по защите прав и свобод человека, если
исчерпаны все имеющиеся внутригосударственные средства правовой
защиты (ст. 46), включая случаи нарушения права на информацию.
Затронуты и вопросы легитимности ограничения свободы;
 ограничение свободы касается не только государственной
собственности, существенные признаки которой заложены в ст. 19. Ее
прочтение позволяет сделать вывод о невозможности злоупотребления информацией о социальной, расовой, национальной, религиозной, языковой принадлежности граждан. В ст. 55 заложен принцип ограничения прав и свободы на информацию, составляющую
государственную тайну, с учетом защиты основ конституционного
строя, нравственности, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, что значительно
шире, нежели границы информации, отнесенной к государственной
собственности;
 ст. 71 ориентирует в вопросах формирования и управления
информационным ресурсом страны в целом. Здесь сказано об отнесении федеральной информации и связи к ведению государства.
Вместе с тем никакой определенности относительно информации, которая возникает и циркулирует в системе совместного ведения Федерации и ее субъектов, в Конституции не содержится. Возможно,
в
этом случае придется исходить из разделения собственности в пределах Федерации, а также между государственным и местным самоуправлением. Здесь будет реализовываться модель привязки инфор-
102
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
мационных ресурсов, относящихся к определенным объектам собственности, к компетенции соответствующих субъектов.
В ГК РФ информация рассматривается как объект гражданского права наряду с интеллектуальной собственностью и имуществом (ст. 128). В
кодексе также определяется информация, составляющая служебную и
коммерческую тайну: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительно или
потенциально коммерческую ценность в силу неизвестности ее третьим
лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности…
Лица, незаконными методами получившие информацию, которая составляет коммерческую или служебную тайну, обязаны возместить причиненные убытки» (ст. 139 ГК РФ).
Таким образом, Конституция РФ и ГК РФ прямо или косвенно
касаются таких важных тем в информатизации, как право на информацию, его гарантии, ограничения и создание условий для ИБ, разграничение сфер ведения на важнейшие составные элементы информатизации: информацию и связь. Это является базой для развития законодательства в сфере информатизации и защиты информации.
Одним из базовых законов в области информационного права
и защиты информации явился Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Основная цель данного закона – создание правовой основы отношений в области формирования и использования информации
с учетом возрастания ее роли в обновлении производственного, научного, организационного и управленческого потенциалов страны, в
решении вопроса включения России в мировое сообщество.
Сфера действия закона охватывает отношения, возникающие:
 при осуществлении права на поиск, получение, передачу,
производство и распространение информации;
 применении информационных технологий;
 обеспечении защиты информации.
Положения указанного закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
Закон об информации впервые в законодательной практике России позволил решить ряд вопросов:
 определены принципы правового регулирования отношений
в сфере информации, информационных технологий и защиты информации;
103
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 определен правовой статус информации как объекта правовых
отношений;
 установлено право на доступ к информации.
Законом учитываются и развиваются нормы Констит уции РФ о праве граждан на информацию, он согласуется с действующим законодательством, затрагивающим проблемы информации.
В соответствии с указанным законом установлено, что информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее представления или распространения.
Режим доступа к информационным ресурсам определяется
тем, что информация подразделяется на общедоступную и ограниченного доступа (доступ к которой ограничен федеральными законами).
Реальным шагом в направлении укрепления правовой основы
предпринимательской деятельности явилось законодательное закрепление в России института коммерческой тайны.
Федеральный закон от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне» призван отрегулировать отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса
интересов обладателей информации, составляющей коммерческую
тайну, и других участников регулируемых отношений, в том числе
государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не
могут составлять коммерческую тайну.
Законодательная база, определяющая перечень сведений, отнесенных к государственной тайне, механизм и порядок ее защиты,
должна разрабатываться исходя из принципа адекватной информированности государств мирового сообщества, предполагающего
право каждого государства на ИБ, обеспечение ИБ всех членов сообщества в равной мере, учет интересов всех сторон без какой-либо
дискриминации, исключение односторонних преимуществ, отказ от
действий, наносящих ущерб другому государству. Кроме того,
в основу законодательной базы должны лечь многосторонние соглашения государств, входящих в международную систему ИБ. Формирование последней будет, видимо, делом далекой перспективы и
ознаменует собой высший уровень проявления доверия и заинтересованности государств мирового сообщества в обеспечении выполнения
на практике принципа адекватной информированности.
104
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Необходимо отметить, что обработка информации с использованием новых информационных технологий имеет ряд существенных
особенностей:
 существование информации и программ в виде электронной
копии;
 возможность неограниченного, скрытого и бесследного доступа посторонних лиц к электронной копии информации и программ, которые могут совершить копирование, модификацию или уничтожение;
 возможность введения в ЭВМ не оговоренных технологией
программных средств, в том числе вирусного характера.
При уст ановлении от вет ст венност и за правонарушения в информационной сфере следует учитывать несколько факторов:
 наличие категорий лиц, различающихся по уровню возможности воздействия на безопасность информации и информационные
системы (владельцы информационных систем, персонал, пользователи и др.), имеющих и не имеющих санкционированные доступы к информации и системам;
 рассматриваемые правонарушения могут совершаться как
умышленно с определенными целями, так и по неосторожности или
по некомпетентности;
 противоправные действия могут нанести ущерб или создать
его угрозу при нарушении технологии обработки, норм защищенности, непринятии должных мер по организации защиты;
 высокую общественную опасность компьютерных преступлений.
Таким образом, анализ законодательной базы в области защиты
информации показывает, что предстоит немало законотворческой работы для приведения нормативно-правовой базы в рассматриваемой
сфере к совершенному виду.
2.3. Международное законодательство
в области защиты информации
Разработка законодательной базы ИБ любого государства является необходимой мерой, обеспечивающей защиту информации при
его развитии в социально-экономических, политических и военных
направлениях. Если на Западе потребность в создании правовых актов
законодательного регулирования в области информатизации, обусловленная уровнем развития вычислительной техники и связи, с одной стороны, и уровнем демократизации общества – с другой, проявилась давно, то в России правовая реформа началась только в связи
с осуществлением деятельности демократических институтов
власти.
105
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Кроме того, с созданием телекоммуникационных сетей, информационных баз данных с расширением круга пользователей, с внедрением сетевой обработки данных возникают серьезные проблемы
обеспечения ИБ.
Развитие средств обработки и передачи данных на Западе предопределяет и рост преступности в этой сфере. Ежегодные потери от
компьютерной преступности в Великобритании составляют 2,5 млрд.
ф. стерл., а в странах Западной Европы – 30 млрд. долл. В отдельные годы
рост потерь достигал 430 %.
Средний ущерб от одного компьютерного преступления в США
составляет 450 тыс. долл., а максимальный – 1 млрд долл.
Все это заставляет страны Запада серьезно заниматься вопросами законодательства по защите информации. Так, первый закон в этой
области в США был принят в 1906 г., а к настоящему времени уже
имеется более 500 законодательных актов по защите информации, ответственности за ее разглашение и компьютерные преступления.
Проблема законодательного регулирования процессов обработки информации началась наиболее активно обсуждаться за рубежом в 60-е годы, в частности, в США – в связи с предложением создать общенациональный банк данных. Причем первые правовые акты
предусматривали конкретные меры по защите прав и законных интересов граждан.
Разработанные на международном уровне концептуальные основы и принципы защиты информации нашли отражение в национальном законодательстве Великобритании (Закон о защите информации 1984 г.), Франции (Закон об информатике, картотеках и свободах
1978 г.), ФРГ (Закон о защите данных личного характера 1977 г.) и др.
В последние годы в США и в отдельных странах Европы (Франция,
Великобритания, Швейцария) активно реализуется концепция комплексной защиты информационных инфраструктур государств.
Практическое внедрение новых информационных технологий
начиная с середины 60-х годов стало оказывать на общественное сознание все возрастающее влияние. Это привело к осознанию информации как наиболее ценного ресурса общественного развития ,
а также восприятию информатизации как неоднозначного явления,
несущего, кроме всего прочего, новые угрозы гражданскому
обществу.
Примерно в это же время из всего объема обрабатываемых данных была выделена особая категория сведений о конкретных людях,
обработка которых осуществлялась в социальных, финансовых и полицейских целях. Эта информация получила обобщенное название
«персональные данные».
106
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Первые законодательные инициативы по проблеме защиты
персональных данных возникли в ФРГ (земля Гессен) в 1970 г. как
реакция на создание крупных компьютерных центров и обобщенных
баз данных, предназначенных для общественного управления и автоматизации административной работы.
Авторы законодательных инициатив, исходя из предположения,
что информационные потоки формируют «нервный центр общественной жизни» и что обладание информацией о гражданах представляет
«общественную силу», справедливо полагали, что автоматическая
обработка данных без принятия мер по их защите несет угрозу личной свободе граждан и, как следствие, создает новую угрозу гражданскому обществу. Именно в земле Гессен в 1970 г. впервые появился уполномоченный по защите данных, выбираемый парламентом и
являющийся независимой «инстанцией». Согласно решению правительства, уполномоченный должен был стать «инстанцией», способной устранить чувство беспомощности граждан перед автоматизированной бюрократией. Он не нес прямой ответственности за обработку
данных, никакие другие инстанции не могли давать ему инструкций, у
него не было контролирующих обязанностей.
Последующие 25 лет показали, что институт уполномоченного
по защите данных не только сохранился, но и оказался эффективным
механизмом, способным обеспечить баланс интересов личности, общества и государства. За это время он получил развитие практически
во всех передовых западных странах. Например, в Германии с его
участием удалось законодательно оформить право на защиту персональных данных как основное право личности и рассматривать его
как конституционную норму. Было сформулировано и юридически
оформлено также новое базовое право личности – право на информационное самоопределение. При этом данное право рассматривается
не как абсолютное, а как имеющее некоторые ограничения, которые
делаются в интересах общественного развития и государственного
управления.
Службы уполномоченного в ряде стран несут достаточно большую нагрузку: рассмотрение в год свыше 10 тысяч заявлений граждан
по фактам нарушения или реализации упомянутых прав, осуществление регистрации заявителей и пр. Заметную роль играют проводимые
ежегодно рабочие совещания представителей уполномоченных по защите данных более чем 12 стран Европы. На этих совещаниях анализируются новые факторы, возникающие при воздействии на общество
новых информационных технологий.
В настоящее время на международном уровне сформировалась
устойчивая система взглядов на информацию как ценнейший ресурс
жизнеобеспечения общества, имеющий широкое социальное значение.
107
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Разработка правового обеспечения защиты информации идет по
трем направлениям:
­ защита прав личности на частную жизнь. Это направление
не является новым для мирового сообщества. Основные принципы
установления пределов вмешательства в частную жизнь со стороны
государства и других субъектов определены основополагающими
нормами: Декларацией прав человека, Конвенцией ООН и Конвенцией
Совета Европы по правам человека;
­ защита государственных интересов. Проблема решается
с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области.
Интеграция стран – членов ЕС потребовала координации усилий
в данной области, в результате чего общие принципы засекречивания
информации отражены в соответствующей Конвенции ЕС;
­ защита предпринимательской и финансовой деятельности.
Решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и ставящего условия для осуществления добросовестной конкуренции, квалифицирующего промышленный шпионаж как элемент недобросовестной конкуренции.
Развитие информатики в странах Запада и связанный с этим
рост угрозы нарушения прав личности (бесконтрольное распространение и доступ к персональной информации) потребовали разработки
специальных актов, учитывающих фактор информатизации.
К концу 70-х годов сформулированы два принципа, нашедшие
впоследствии отражение в национальном законодательстве по информатике:
­ установление пределов вмешательства в частную жизнь с использованием компьютерных систем;
­ введение административных механизмов защиты граждан от
такого вмешательства.
К направлению по защите личности можно отнести резолюцию
Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенцию ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1980 г.).
Механизм защиты государственных интересов предусматривает
следующие аспекты:
 установление приоритетов защиты;
 определение исполнительских механизмов и нормативное
обеспечение механизмов защиты.
Механизм защиты предпринимательской и финансовой деятельности включает:
­ введение антимонопольного законодательства;
108
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ создание механизмов добросовестной конкуренции;
­ введение механизмов защиты прав авторов программной продукции.
Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.). Разработанные на международном уровне концептуальные основы и принципы защиты информации нашли отражение в национальных законодательствах Великобритании, Франции, ФРГ, США, Канады и других стран. Наиболее
развито законодательство в этой сфере в США, где действуют свыше
сотни различных актов, которые создавались последовательно, по мере развития процесса информатизации.
Законодательство США в области информатизации и защиты
информации охватывает:
­ определение и закрепление государственной политики в области информатизации;
­ обеспечение развитого производства, технологий;
­ борьбу с монополизмом и стимуляцию приоритетных направлений;
­ организацию информационных систем;
­ организацию систем управления в этой сфере;
­ защиту прав потребителя, особенно прав граждан на информацию, защиту информации о гражданах;
­ регулирование прав разработчиков программ для ЭВМ.
Ответственность за злоупотребления при работе с информацией, предусмотренная в законодательствах различных стран, характеризуется общими для всех этих стран моментами:
­ ответственность установлена за нарушение порядка обработки и использования персональных данных;
­ информационные (компьютерные) преступления расцениваются как преступления, представляющие особую опасность для граждан, общества, государства, и влекут значительно более жесткие меры
наказания, нежели аналогичные преступления, совершенные без применения компьютерной техники;
­ как преступления рассматриваются также действия, создающие угрозу нанесения ущерба, например попытка проникновения
в
систему, внедрение компьютерных вирусов и т. п.
В нашей стране вопрос о необходимости разработки законодательства в области информатизации теоретически был поднят специалистами Института государства и права АН СССР еще в 60-е годы.
Однако практически он стал рассматриваться лишь в 70-е годы в
связи с развитием автоматизированных систем управления различных
уровней, ориентированных главным образом на использование боль109
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ших ЭВМ серии «Ряд». Нормативная основа, структура и механизмы
ее реализации, выраженные термином «правовое регулирование», тогда не вышли за рамки ведомственных актов, нескольких постановлений Правительства СССР, аналогичных актов республиканского
уровня. К сожалению, осталась практически незамеченной работа Совета Европейского сообщества, проведенная в конце 70-х годов и касающаяся защиты персональных данных, обрабатываемых с помощью ЭВМ, законопроекта по защите коммерческой тайны, некоторые
другие рекомендации, нашедшие впоследствии отражение в
национальном законодательстве ряда европейских стран.
В условиях, когда наше государство монопольно распоряжалось
правами владения, использования и распоряжения национальными информационными ресурсами, деятельность специалистов по защите информации ограничивалась организацией защиты секретной информации, а прерогатива осуществления защиты и контроля над сохранностью секретов находилась в исключительной компетенции государства.
Законодательно проблема освещалась тремя статьями УК РСФСР и рядом нормативных актов, утвержденных Правительством СССР.
Проблема обеспечения ИБ непосредственно связана с защитой
конституционных прав и свобод личности, обеспечением безопасности России и надежным функционированием ее банковской системы.
Отсталость информационных технологий, не в полной мере обеспечивающих информационную безопасность, криминогенность общества,
скрытность преступлений, совершаемых с использованием компьютерных средств, и сложность их доказательства создают крайне благоприятные условия для развития в России информационной преступности. Общий ущерб от преступлений, совершенных в течение 1992–
2000 гг. в стране в информационной среде, составил несколько десятков миллиардов рублей и имеет устойчивую тенденцию к дальнейшему росту. Цель законопроектной работы по обеспечению ИБ состоит в
том, чтобы от умозрительного построения планов, фрагментарного законодательного конструирования и устаревших ведомственных и локальных актов перейти к систематическому комплексному формированию и реализации специального законодательства по указанной проблеме. Такой подход требует:
 тщательной организационной и законопроектной подготовки;
 систематической работы по формированию правосознания в этой области;
 создания механизмов, которые обеспечивают применение
и реализацию принятых законов и иных нормативных регуляторов.
Защита информационных ресурсов государства обеспечивается
ограничением вывоза из Российской Федерации документированной информации, отнесенной:
110
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ к государственной тайне или иной конфиденциальной информации;
­ общероссийскому национальному достоянию;
­ архивному фонду;
­ иным категориям документированной информации, вывоз которой может быть ограничен законодательством Российской Федерации.
При этом защита конфиденциальной информации государством
распространяется только на ту деятельность по международному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена. Деятельность по международному информационному обмену подлежит лицензированию в случаях, когда в результате
этой деятельности вывозятся за пределы территории Российской Федерации государственные информационные ресурсы либо ввозится
документированная информация для пополнения государственных
информационных ресурсов. При ввозе информационных продуктов
и услуг в Российской Федерации импортер представляет сертификат,
гарантирующий соответствие данных продуктов и услуг требованиям
договора. Средства международного обмена, которые обрабатывают
документированную информацию с ограниченным доступом, а также
средства их защиты подлежат обязательной сертификации.
Заключение международных договоров и соглашений об ограничении вооружений и военной деятельности является средством
обеспечения международной и национальной безопасности. Однако
при осуществлении контрольной деятельности повышается доступность контрпартнеров по договору не только к определенным договорами объектам контроля, но и к закрытой информации в различных
сферах жизнедеятельности государства (политической, экономической, научно-технической, оборонной и др.). Таким образом, возникает противоречие: с одной стороны, в целях обеспечения интересов
национальной безопасности (как составной части международной
безопасности) информированность контрпартнеров по договорам
должна увеличиваться, а с другой – повышение информированности
приводит к снижению уровня национальной безопасности. При разрешении данной проблемы необходимо учитывать один существенный момент. Если поиск приемлемого варианта реализации системы
контроля (как средства обеспечения целей договора, направленных на
укрепление международной безопасности) является задачей, решаемой сторонами, заключающими договор совместно, то задача защиты
информации (ЗИ) как средства обеспечения национальной безопасно-
111
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сти решается индивидуально каждым из субъектов в процессе заключения, ратификации, развития и выполнения договоров.
Под информационной безопасностью страны понимается такое состояние, при котором достигается компромисс между стремлением сторон (контрпартнеров по договору) обеспечить одновременно выполнение договорных обязательств и недопущение предпосылок
к возникновению угроз национальной безопасности в результате
утечки неподконтрольной информации.
Обеспечение ИБ при подготовке, заключении, ратифик ации и развитии договоров может быть достигнуто следующими путями:
­ разработкой и принятием положений договоров, ограничивающих (не допускающих) возможность осуществления легализованной
разведки под видом контроля;
­ разработкой и принятием положений договоров, способствующих осуществлению мер защиты информации от средств разведки (в том числе от национальных технических средств ко нтроля) в тех случаях, когда утечка информации угрожает интересам
национальной безопасности;
­ реализацией мер защиты информации, не препятствующих
осуществлению контроля в условиях, оговоренных договором.
Обеспечение ИБ отличается специфичностью форм проявления
на различных этапах эволюции переговорного процесса.
На этапе подготовки договора предметом анализа является
оценка целесообразности принятия тех или иных положений договора, устанавливающих формы осуществления контроля. Этап характеризуется неустановившимся окончательно набором возможных форм
и методов контроля, наличием множества альтернативных вариантов
его реализации. Кроме того, он должен учитывать прогноз изменения
военно-политической, социально-экономической обстановки и предусматривать возможность возникновения дополнительных угроз интересам безопасности вследствие утечки информации.
Этап развития договора предполагает, что он заключен, ратифицирован и выполняется. Предметом анализа служит оценка приемлемости внесения дополнений и поправок, выдвигаемых как нашей
стороной, так и контрпартнерами по договору, с точки зрения обеспечения ИБ. Этап характеризуется наличием юридически закрепленной
системы осуществления контроля с определенными в договоре формами, методами и особенностями его реализации.
Этап выполнения договора, т. е. непосредственного исполнения функций контроля в соответствии с положениями договора, имеет
отличительную черту – наличие четко установленных положений договора, регламентирующих контрольную деятельность и ограничива112
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ющих возможность препятствования ее осуществлению. Известны
технические средства, привлекаемые для контроля, и условия его
осуществления. Предметом анализа является выбор целесообразного
варианта реализации способов и средств защиты информации.
Для каждого из этапов развития договора обеспечение ИБ может быть представлено как задача принятия решения в различных
условиях неопределенности. Одним из основных критериев целесообразности принятия положений (поправок, дополнений) договора, р егламентирующих процесс контроля, является оценка ожидаемого и
предотвращенного информационного ущерба. Она заключается в
определении степени изменения показателя, характеризующего состояние национальной и международной безопасности в результате изменения уровня информированности контрпартнеров по договору до
и после принятия соответствующего положения договора.
Как отдельное направление, имеющее свои особенности, следует
рассматривать проблему защиты информации относительно стран
СНГ. В связи с быстрым распадом СССР сложилась ситуация, когда
многие сведения, составляющие государственную тайну, оказались
общими для государств бывшего СССР и перешли в ранг межгосударственных секретов. Кроме того, отношения между этими государствами в силу сложившихся обстоятельств имеют специфический характер.
Поэтому одним из важных направлений дальнейших исследований
должны быть вопросы правовой регламентации отношений стран в области защиты и взаимного обеспечения сохранности межгосударственных секретов стран СНГ при осуществлении политического, экономического, научно-технического и военного сотрудничества.
Контрольные вопросы
1. Охарактеризуйте структуру законодательной базы по вопросам информационной безопасности.
2. Какие права и обязанности граждан России в сфере информационной безопасности закрепляет Конституция РФ?
3. Каково содержание Закона о государственной тайне?
4. Раскройте основное содержание Закона об информации.
5. Перечислите цели принятия Федерального закона «О коммерческой тайне».
6. Охарактеризуйте законодательство РФ по информационной
безопасности в области международного сотрудничества.
113
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 3. ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ
ПОДРАЗДЕЛЕНИЙ ЗАЩИТЫ ИНФОРМАЦИИ
3.1. Основные понятия, положения, организационная
структура системы государственного лицензирования
Система лицензирования направлена на создание условий, при
которых право заниматься работами по запретной информации для
стороннего заказчика предоставлено только организациям, имеющим
на этот вид деятельности соответствующее разрешение (лицензию).
Лицензия (от лат. licentia – свобода, право) – выдаваемое специально уполномоченным органом государственного управления или
местного самоуправления разрешение на осуществление в течение
установленного в нем срока определенных видов деятельности.
Разрешение на использование изобретения или иного технического достижения может быть предоставлено на основании лицензионного договора либо судебного или административного решения
компетентного государственного органа.
Обычно лицензия выдается на изобретение, по которому подана
заявка на патент или получен этот документ. Беспатентные лицензии
выдаются на технические достижения, в том числе секреты производства (ноу-хау), которые по законам данной страны не могут охраняться патентом, либо на изобретения, на которые по каким-либо причинам заявка на получение охранного документа не подана.
Существуют следующие виды лицензий:
­ простая – лицензиар (владелец патента) предоставляет лицензиату право использовать изобретение в установленных договором
пределах, но сохраняет за собой право применять его на той же территории, а также предоставлять лицензию на таких же условиях неограниченному кругу лиц (лицензиат не имеет права выдавать сублицензии);
­ исключительная – предоставляет исключительное право на
использование изобретения в установленных договором пределах;
­ полная – предоставляет право использовать все основанные на
патенте права в течение срока его действия.
Содержание лицензии включает следующие реквизиты:
­ наименование органа, ее выдавшего;
­ данные юридического лица (наименование и юридический
адрес предприятия, организации, учреждения);
­ данные физического лица (фамилия, имя, отчество, паспортные данные (серия, номер, кем и когда выдан, место жительства);
­ вид деятельности, на осуществление которой выдается лицензия;
­ срок действия лицензии;
114
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ условия осуществления данного вида деятельности;
­ регистрационный номер лицензии и дата ее выдачи.
Система государственного лицензирования деятельности в области защиты информации является составной частью государственной системы защиты информации. Деятельность системы лицензирования организуют федеральные органы исполнительной власти в пределах своей компетенции.
Работу органов системы государственного лицензирования деятельности координирует Межведомственная комиссия по защите государственной тайны. К функциям органов, уполномоченных на ведение лицензионной деятельности, относятся:
­ организация лицензирования деятельности предприятий;
­ организация и проведение специальных экспертиз предприятий;
­ рассмотрение заявлений предприятий о выдаче лицензий;
­ принятие решений о выдаче или об отказе в выдаче лицензий;
­ выдача лицензий;
­ принятие решений о приостановлении действия лицензии или
о ее аннулировании;
­ разработка нормативно-методических документов по вопросам лицензирования;
­ привлечение в случае необходимости представителей министерств и служб Российской Федерации для проведения специальных
экспертиз;
­ ведение реестра выданных, приостановленных и аннулированных лицензий.
На систему государственного лицензирования возлагаются также функции по разработке и обеспечению комплекса мер организационного, материально-технического и иного характера, необходимых
для осуществления лицензирования деятельности предприятий, организаций и учреждений по проведению работ, связанных с использованием сведений, составляющих государственную тайну.
Защита информации – комплекс мероприятий, провод имых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации
и т. п. В соответствии с этим определены виды деятельности предприятий в области защиты информации, а их лицензирование осуществляется в рамках организационной структуры системы лицензирования: государственные органы по лицензированию, лицензионные
центры (региональные, отраслевые) и экспертные комиссии при них,
предприятия, претендующие на получение лицензий в выбранном виде деятельности (предприятия-заявители).
115
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Порядок лицензирования деятельности предприятий, учреждений и организаций независимо от их организационно-правовых
форм по проведению работ, связанных с использованием сведений,
составляющих государственную тайну, созданием средств защиты
информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, определен соответствующими нормативными правовыми актами.
Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока, и действительна на всей
территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.
Для получения лицензии заявитель представляет в соответствующий орган, уполномоченный на ведение лицензионной деятельности, ряд документов:
 заявление о выдаче лицензии – подается с указанием:
­ наименования и организационно-правовой формы, юридического адреса предприятия, номера его расчетного счета в банке;
­ вида деятельности, на осуществление которого должна быть
выдана лицензия;
­ срока действия лицензии;
 копию учредительных документов (с предъявлением оригиналов, в случае если копии не заверены нотариусом);
 копию свидетельства о государственной регистрации предприятия;
 копии документов, подтверждающих право собственности,
право полного хозяйственного ведения, и (или) договора аренды на
имущество, необходимое для ведения заявленного вида деятельности;
 справку о постановке на учет в налоговом органе;
 документ, подтверждающий оплату рассмотрения заявления.
Ответственность за достоверность представляемых сведений
несет заявитель. Представленные документы регистрируются уполномоченным органом, принимающим решение о выдаче или об отказе
в выдаче лицензии в следующие сроки:
 в течение 30 дней со дня получения всех необходимых документов;
 в случае необходимости проведения дополнительной экспертизы предприятия – в 15-дневный срок после получения заключения экспертизы, но не позднее чем через 60 дней со дня подачи заявления и необходимых документов;
 в зависимости от сложности и объема подлежащих специальной экспертизе материалов руководитель уполномоченного органа
116
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
может продлить срок принятия решения о выдаче или об отказе в выдаче лицензии до 30 дней.
Выдача лицензий осуществляется:
­ на основании результатов специальных экспертиз предприятий и государственной аттестации их руководителей, ответственных
за защиту сведений, составляющих государственную тайну (руководители предприятий);
­ при выполнении определенных условий.
К условиям выдачи лицензии относятся:
­ соблюдение требований нормативных правовых актов Российской Федерации по обеспечению защиты сведений, составляющих
государственную тайну, в процессе выполнения работ, связанных с
использованием указанных сведений;
­ наличие в структуре предприятия подразделения по защите
государственной тайны и необходимого числа специально подготовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;
­ наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по
защите сведений соответствующей степени секретности.
Срок действия и продления лицензии устанавливается:
­ в зависимости от специфики вида деятельности – не менее
трех и не более пяти лет;
­ по просьбе заявителя лицензии – менее трех лет;
­ продление срока действия лицензии производится в порядке,
установленном для ее получения.
Предприятие может иметь лицензии на несколько видов деятельности. На каждый вид деятельности выдается отдельная лицензия,
а при осуществлении лицензируемого вида деятельности на нескольких территориально обособленных объектах лицензиату одновременно с лицензией выдаются заверенные копии с указанием месторасположения каждого объекта. Копии лицензий регистрируются уполномоченным органом.
Предъявляются следующие требования к оформлению лицензии, ее приобретению, учету, хранению:
­ наличие степени защиты, соответствующей степени защиты
ценной бумаги на предъявителя;
­ принадлежность к документам строгой отчетности, наличие
учетной серии и номера;
­ приобретение, учет и хранение бланков лицензий возлагается
на органы, уполномоченные на ведение лицензионной деятельности;
­ лицензия подписывается руководителем (заместителем руководителя) уполномоченного органа и заверяется печатью этого органа;
117
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ копия лицензии хранится в органе, уполномоченном на ведение лицензионной деятельности.
Передача лицензии другому юридическому лицу запрещена.
При реорганизации предприятия, получившего лицензию, изменении его местонахождения или наименования, утрате им лицензии оно
обязано в 15-дневный срок подать заявление о переоформлении лицензии в порядке, установленном для ее получения. До переоформления
лицензии лицензиат осуществляет деятельность на основании ранее выданной лицензии или временного разрешения, выдаваемого уполномоченным органом, в случае утраты лицензии.
Отказ в выдаче лицензии осуществляется в 3-дневный срок после принятия соответствующего решения. При этом письменное уведомление об отказе в выдаче лицензии с указанием причин отказа
направляется заявителю.
Основанием для отказа в выдаче лицензии является:
­ наличие в документах, представленных заявителем, недостоверной или искаженной информации;
­ отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям выдачи лицензии;
­ отрицательное заключение по результатам государственной
аттестации руководителя предприятия.
Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических документов:
­ по режиму секретности;
­ противодействию иностранным техническим разведкам;
­ по защите информации от утечки по техническим каналам;
­ соблюдению других условий, необходимых для получения
лицензии.
За организацию и проведение специальных экспертиз предприятий несут ответственность государственные органы: ФСБ, ФСО,
ФСТЭК и другие, руководители которых наделены полномочиями по
отнесению к государственной тайне сведений в отношении подведомственных им предприятий. Организация и порядок проведения специальных экспертиз предприятий определяются инструкциями, которые
разрабатываются указанными государственными органами и согласовываются с межведомственной комиссией, и осуществляются на основе
договора между предприятием и органом, проводящим экспертизу. Расходы по ее проведению относятся на счет предприятия.
Специальные экспертизы проводятся аттестационными центрами, имеющими соответствующие лицензии. В свою очередь, специальные экспертизы этих центров проводят ФСБ, ФСО, ФСТЭК и их
органы на местах (в пределах их компетенции).
118
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Методические рекомендации по организации и проведению государственной аттестации разрабатываются межведомственной комиссией. Финансирование государственной аттестации относится на счет
предприятий. Руководители предприятий, имеющие свидетельство об
окончании учебных заведений, уполномоченных осуществлять подготовку специалистов по вопросам защиты информации, составляющей
государственную тайну, от государственной аттестации освобождаются.
Перечень указанных учебных заведений утверждается межведомственной комиссией по представлению органов, уполномоченных на ведение
лицензионной деятельности.
Приостановление действия или аннулирование лицензии
осуществляют уполномоченные органы в случаях:
 подачи лицензиатом соответствующего заявления;
 обнаружения недостоверных данных в документах, представленных для получения лицензии;
 нарушения лицензиатом условий действия лицензии;
 невыполнения лицензиатом предписаний или распоряжений
государственных органов или приостановления этими государственными органами деятельности предприятия в соответствии с законодательством РФ;
 ликвидации предприятия.
Деятельность по приостановлению, возобновлению и аннулированию лицензии включает:
­ принятие решения о приостановлении, возобновлении и аннулировании лицензии органом, выдавшим лицензию;
­ уведомление в письменной форме лицензиата и органов Федеральной налоговой службы в 3-дневный срок со дня принятия решения о приостановлении действия лицензии или ее аннулировании;
­ приостановление действия лицензии со дня получения лицензиатом указанного уведомления;
­ возврат лицензии в 10-дневный срок после уведомления владельца лицензии о ее аннулировании в орган, ее выдавший;
­ возобновление действия лицензии при изменении обстоятельств, повлекших приостановление действия. Лицензия считается возобновленной после принятия уполномоченным органом соответствующего решения, о котором не позднее чем в 3-дневный
срок с момента принятия он оповещает лицензиата и органы Федеральной налоговой службы;
­ ежеквартальное представление уполномоченными орг анами в межведомственную комиссию сведений о выданных и аннулированных лицензиях;
­ контроль за соблюдением лицензионных условий лицензиатами по рассмотренным видам работ и услуг осуществляют уполно119
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
моченные органы, а их руководители и должностные лица несут ответственность за нарушение или ненадлежащее исполнение требований нормативных правовых актов в этой сфере. Решения и действия
органов, уполномоченных на ведение лицензионной деятельности,
могут быть обжалованы в установленном порядке.
3.2. Аттестация объектов информатизации
по требованиям безопасности информации
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий по проверке (аттестационным испытаниям) защищаемого объекта информатизации в
реальных условиях эксплуатации. Ее целью является оценка соответствия применяемого комплекса мер и средств защиты требуемому
уровню ИБ. В результате аттестации оформляется специальный документ – аттестат соответствия, который подтверждает, что объект соответствует требованиям стандартов или иных нормативнотехнических документов по безопасности информации.
Объекты информатизации, аттестуемые по требованиям ИБ, –
это автоматизированные системы различного уровня и назначения,
системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обр аботки и передачи информации, подлежащей защите, а также сами помещения, используемые для ведения конфиденциальных переговоров.
Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям ИБ, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации определены соответствующими нормативными правовыми актами.
Система аттестации объектов информатизации по требованиям
ИБ является составной частью единой системы сертификации средств
защиты информации и аттестации объектов информатизации по требованиям ИБ, которая подлежит государственной регистрации в установленном Госстандартом России порядке.
Аттестацию организует федеральный орган, а проводит соответствующий орган по сертификации продукции и аттестации объектов
информатизации по требованиям ИБ (федеральный орган по сертификации и аттестации).
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей
государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может
осуществляться по инициативе заказчика или владельца объекта информатизации.
120
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Наличие на объекте информатизации действующего аттестата
соответствия дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, которые установлены
в аттестате соответствия.
Аттестация по требованиям ИБ предшествует началу обработки
подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на
конкретном объекте информатизации мер и средств защиты информации. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе:
­ от компьютерных вирусов;
­ утечки за счет побочных электромагнитных излучений
и наводок;
­ от утечки при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие);
­ утечки или воздействия на нее за счет специальных
устройств, встроенных в объекты информатизации.
Схема ат тестации выбирается на этапе подготовки к аттестации из следующего перечня работ:
 анализ исходных данных по аттестуемому объекту информатизации;
 предварительное ознакомление с аттестуемым объектом информатизации;
 экспертное обследование объекта информатизации и анализ
разработанной документации по защите информации на этом объекте
с точки зрения ее соответствия требованиям нормативной и методической документации;
 осуществление испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью
специальной контрольной аппаратуры и тестовых средств;
 проведение испытаний отдельных средств и систем защиты
информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям ИБ;
 проведение комплексных аттестационных испытаний объекта
информатизации в реальных условиях эксплуатации;
 анализ результатов экспертного обследования и комплексных
аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Органы по аттестации аккредитуются ФСБ России.
Расходы по выполнению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачива121
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ют заявители в соответствии с договором по утвержденным расценкам, а при их отсутствии – по договорной цене. Эти расходы заявители оплачивают за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации.
Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение
сохранности государственных и коммерческих секретов, а также за
соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.
В настоящее время принята следующая структура органов по
аттестации объектов информатизации:
­ отраслевые органы по аттестации объектов информатизации;
­ региональные учреждения;
­ предприятия и организации по защите информации;
­ специальные центры Федеральной службы по технич ескому и экспортному контролю России.
На эти органы возлагаются следующие функции:
 аттестация объектов информатизации и выдача аттестатов
соответствия;
 осуществление контроля за безопасностью информации,
циркулирующей на аттестованных объектах информатизации, и их
эксплуатацией;
 отмена и приостановление действия выданных этим органом
аттестатов соответствия;
 формирование фонда нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участие в их разработке;
 ведение информационной базы аттестованных этим органом
объектов информатизации и т. д.
Испытательные центры (лаборатории) по сертификации продукции по требованиям ИБ по заказам заявителей проводят испытания
несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии
с
Положением о системе сертификации средств защиты информации по
требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия, утвержденным приказом
ФСБ России от 13.11.99 № 564.
122
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
К функциям заявителей относятся:
­ подготовка объекта информатизации для аттестации путем
реализации необходимых организационно-технических мероприятий
по защите информации;
­ привлечение органов по аттестации для организации и проведения аттестации объекта информатизации;
­ представление органам по аттестации необходимых документов и создание условий для проведения аттестации;
­ привлечение в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательных центров (лабораторий) по сертификации;
­ эксплуатация объекта информатизации в соответствии с условиями и требованиями, установленными в аттестате соответствия;
­ извещение органа, выдавшего аттестат соответствия, обо всех
изменениях в информационных технологиях, составе и размещении
средств и систем, условиях их эксплуатации, которые могут повлиять
на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в аттестате соответствия);
­ представление необходимых документов и создание условий
для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
Порядок проведения аттестации объектов информатизации по
требованиям ИБ можно представить несколькими этапами:
1) подача заявки на аттестацию – на этом этапе предусматривается заблаговременное направление заявителем в орган по аттестации заявки на проведение аттестации с исходными данными по аттестуемому объекту;
2) рассмотрение заявки на аттестацию – осуществляется органом по аттестации в месячный срок. На основании анализа исходных
данных выбирается схема аттестации, которая согласовыв ается с заявителем, и принимается решение о проведении аттестации
объекта информатизации;
3) предварительное ознакомление с аттестуемым объектом – проводится при недостаточности исходных данных по аттестуемому объекту информатизации, при этом в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым
объектом, проводимые до этапа аттестационных испытаний;
4) испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте информа123
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тизации – проводится в случаях использования на аттестуемом объекте информатизации несертифицированных средств и систем защиты
информации. Для этого в схему аттестации могут быть включены работы по испытаниям этих средств и систем в испытательных центрах
(лабораториях) по сертификации или непосредственно на аттестуемом
объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
5) разработка программы и методики аттестационных испытаний – на основании данных предыдущих этапов (результаты
рассмотрения заявки и анализа исходных данных, предварительного
ознакомления с аттестуемым объектом) органом по аттестации разрабатывается программа аттестационных испытаний, которая включает:
 перечень работ и их продолжительность;
 методики испытаний (или используются типовые методики)
для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям;
 количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации;
 обоснование необходимости использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям ИБ;
 отметки о согласовании аттестационных испытаний с заявителем;
6) заключение договоров на аттестацию между заявителем
и органом по аттестации. При этом привлекаются эксперты, оформляются предписания о допуске аттестационной комиссии к проведению
аттестации. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации;
7) проведение аттестационных испытаний объекта информатизации:
 анализ организационной структуры объекта информатизации,
информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия
требованиям нормативной документации по защите информации;
 определение правильности категорирования объектов
ЭВТ и классификации автоматизированных систем (при аттестации),
выбор и применение сертифицированных и несертифицированных
средств и систем защиты информации;
124
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по
безопасности информации;
 проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой
информации;
 оформление протоколов испытаний и заключения по результатам аттестации с конкретными рекомендациями по устранению
допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и
совершенствованию этой системы, а также рекомендациями по контролю функционирования объекта информатизации – подписываются
членами аттестационной комиссии и доводятся до сведения заявителя.
К заключению прилагаются протоколы испытаний, подтверждающие
полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Заключение и протоколы испытаний
подлежат утверждению органом по аттестации;
8) оформление, регистрация и выдача аттестата соответствия на объект информатизации, отвечающий требованиям по
безопасности информации. Данные действия предпринимаются органом по аттестации после утверждения заключения по результатам аттестации. Регистрация осуществляется по отраслевому или территориальному признаку с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по
контролю и надзору.
Аттестат соответствия выдается на период, в течение которого
обеспечивается неизменность условий функционирования объекта
информатизации и технологии обработки защищаемой информации,
потенциально влияющих на характеристики, определяющие безопасность информации (состав и структура технических средств, условия
размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на
три года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой
информации и требований по ИБ.
При изменении условий и технологии обработки защищаемой
информации владельцы аттестованных объектов обязаны известить об
этом орган по аттестации. Он принимает решение о необходимости
проведения дополнительной проверки эффективности системы защиты объекта информатизации. В случае несоответствия аттестуемого
125
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
объекта требованиям по ИБ и невозможности оперативно устранить
отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче аттестата соответствия. При этом может быть предложен срок повторной аттестации
при условии устранения недостатков. При наличии замечаний непринципиального характера аттестат соответствия может быть выдан
после их устранения;
9) осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуат ацией аттестованных объектов информатизации. Объем, содержание, порядок государственного контроля и надзора устанавливаются в
нормативной, методической документации по аттестации объектов
информатизации и включают:
 проверку правильности и полноты проводимых мероприятий
по аттестации объектов информатизации, оформление и рассмотрение
органами по аттестации отчетных документов и протоколов испытаний;
 своевременное внесение изменений в нормативную и методическую документацию по ИБ;
 инспекционный контроль эксплуатации аттестованных объектов информатизации – при выявлении нарушений, в случае если
в результате оперативного принятия организационно-технических мер
защиты не может быть восстановлен требуемый уровень безопасности
информации, действие аттестата соответствия может быть приостановлено или аннулировано. Данное решение отражается в аттестате
соответствия, о чем информируется орган, ведущий соответствующую
сводную информационную базу. Расходы по осуществлению надзора
за обязательной аттестацией и эксплуатацией объектов, прошедших
обязательную аттестацию, оплачиваются органом надзора из средств
госбюджета, выделенных ему в этих целях;
10) рассмотрение апелляций – в случае несогласия заявителя
с отказом в выдаче аттестата соответствия для дополнительного рассмотрения полученных при испытаниях результатов. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
К нормативным и методическим документам аттестуемых
объектов информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств,
предъявляются следующие требования:
 состав нормативной и методической документации определяется органом по аттестации в зависимости от вида и условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту;
126
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 включаются только те показатели, характеристики, требования, которые могут быть объективно проверены;
 должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты;
 тексты должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование с указаниями о возможности использования документа для аттестации определенных типов
объектов информатизации по требованиям ИБ или направлений защиты информации;
 официальным языком системы аттестации является русский язык.
Исходные данные по аттестуемому объекту информатизации
готовятся на основе перечня, включающего ряд вопросов:
­ полное и точное наименование объекта информатизации и его
назначение;
­ характер обрабатываемой информации (научно-техническая,
экономическая, производственная, финансовая, военная, политическая);
­ уровень секретности (конфиденциальности).
В организационную структуру объекта информатизации
входят:
­ перечень помещений, состав комплекса технических средств
(основных и вспомогательных), входящих в объект информатизации,
в которых (на которых) обрабатывается указанная информация и которые расположены в помещениях, где она циркулирует;
­ особенности и схема расположения объекта информатиз ации с указанием границ контролируемой зоны;
­ структура программного обеспечения (общесистемного и
прикладного), используемого на аттестуемом объекте информат изации и предназначенного для обработки защищаемой информации,
используемые протоколы обмена информацией;
­ общая функциональная схема объекта информатизации,
включая схему информационных потоков и режимы обработки защищаемой информации;
­ наличие и характер взаимодействия с другими объектами информатизации;
­ состав и структура системы защиты информации на аттестуемом объекте информатизации;
­ перечень технических и программных средств в защищенном
исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию;
127
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ сведения о разработчиках системы защиты информации,
наличие у сторонних разработчиков (по отношению к предприятию,
на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ;
­ наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы,
сети, баз данных);
­ наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая
информация и хранятся информационные носители);
­ наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
3.3. Основные понятия и система сертификации продукции
и услуг в сфере информационной безопасности
Сертификат (фр. certificat, от ср.-век. лат. certifico – удостоверяю) означает:
­ письменное свидетельство, документ, удостоверяющий
определенный факт;
­ документ, выдаваемый компетентными органами и удостоверяющий качество товара.
Кроме этих дефиниций существуют и другие, конкретизирующие виды сертификатов (заемное финансовое обязательство государственных органов, страховой сертификат, сертификат акций, сертификат эмиссионной ценной бумаги, сертификат происхождения товара,
сертификат соответствия, сертификат специалиста и др.).
В рамках рассматриваемого вопроса сертификации в области ИБ
и защиты информации определенный интерес представляют понятия
сертификата происхождения товара, сертификата соответствия и сертификата специалиста.
Сертификат происхождения товара (англ. Confirmation
of origin goods) – документ, предъявляемый таможенным органам
как при вывозе, так и при ввозе товара на таможенную территорию
страны, если это предусмотрено законодательством в области государственной безопасности и других жизненно важных интересов
страны, т. е. ее информационной безопасности.
Сертификат соответствия – согласно законодательству РФ
документ, выдаваемый в установленном порядке уполномоченным органом Госстандарта РФ, которым подтверждается безопасность
128
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
товаров определенной номенклатуры, работы, услуги (security of
goods, work, services).
Понятие «сертификат специалиста» в известных источниках
вводится для здравоохранения и в настоящее время в области ИБ отсутствует. В ряде нормативных актов в определенной степени затрагиваются вопросы подготовки соответствующих специалистов в области защиты информации и их аттестации. Следовательно, правомерным выступает вопрос о необходимости документального подтверждения качества такой подготовки. Вполне очевидна потребность в
определении рассмотренного понятия.
Сертификат специалиста в области информационной безопасности – документ, выдаваемый компетентными органами на
основании послевузовского профессионального образования или дополнительного образования (повышение квалификации, специализация), или проверочного испытания, проводимого комиссиями профессиональных ассоциаций, а также компетентных органов государственной службы по теории и практике избранной специальности,
вопросам законодательства в ИБ.
Безусловно, рассмотренные определения относятся к вопросам
обеспечения безопасности жизни, здоровья, имущества гра ждан и окружающей среды. Однако в силу их широкого понимания и
прямой зависимости от решения вопросов правового обеспечения ИБ
эти понятия определяют содержание сертификации средств з ащиты и услуг по обеспечению ИБ.
Сист ема серт ификации средст в защит ы и нформации
и обеспечения информационной безопасности является, с одной
стороны, частью государственной системы защиты информации,
а с другой – составной частью государственной системы сертификации продукции, функционирующей под управлением органов стандартизации в соответствии с Законом о государственной тайне и другими законами.
Под сертификацией продукции по требованиям защиты информации и ИБ понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – сертификата и знака соответствия с определенной степенью
достоверности подтверждается, что продукция отвечает требованиям:
­ государственных стандартов или иных нормативных правовых актов, утвержденных Правительством РФ, – для продукции, используемой при обработке информации, содержащей сведения, составляющие государственную тайну;
­ государственных или отраслевых стандартов, иных нормативных актов, утвержденных Правительством РФ или ФСО, – для
129
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
продукции, используемой при обработке конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.
При этом подлежат обязательной сертификации в рамках систем сертификации следующие средства защиты информации:
­ технические, криптографические, программные и другие
средства, предназначенные для защиты сведений, составляющих государственную тайну;
­ средства, в которых реализованы вышеперечисленные средства защиты;
­ средства контроля эффективности защиты информации.
Система сертификации средств защиты информации (СССЗИ)
представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам.
СССЗИ включает:
­ федеральный орган исполнительной власти, уполномоченный
проводить работу по обязательной сертификации средств защиты информации (ФСБ России);
­ центральный орган системы сертификации (создаваемый
при необходимости), возглавляющий систему сертификации однородной продукции;
­ органы по сертификации средств защиты информации, которые проводят сертификацию определенной продукции;
­ испытательные центры (лаборатории), проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
­ учебно-методический центр;
­ заявителей (разработчиков, изготовителей, продавцов, потребителей).
Координацию работы по организации сертификации средств
защиты информации осуществляет Межведомственная комиссия по
защите государственной тайны.
Правовой основой осуществления сертификации средств защиты информации являются требования государственных стандартов
и нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции.
Одним из основополагающих документов каждой подсистемы
сертификации является Положение о системе сертификации, разработанное соответствующим федеральным органом и согласова нное
с межведомственной комиссией.
Слово «стандарт» (от англ. standard – норма, образец, мерило)
имеет два значения:
130
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ образец, эталон, модель, принимаемые за исходные для сопоставления с ними других подобных объектов;
­ нормативно-технический документ, устанавливающий комплекс норм, правил, требований к объекту стандартизации
и утвержденный компетентным государственным органом.
Стандартизация (англ. standardization) – установление в государственном масштабе, а также в рамках международных организаций единых норм и требований, предъявляемых к сырью, полуфабрикатам, материалам, производственным процессам, товарам,
услугам и т.д.
Объектами стандартизации могут быть материальные предметы и объекты организационно-методического и общетехнического
типа, в том числе:
­ продукция;
­ услуги;
­ типовые технологические процессы;
­ методы и средства обеспечения единства и точности измерений;
­ научная организация труда и рабочих мест;
­ организация управления;
­ научно-технические термины;
­ типовые формы документов и др.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории
проходят аккредитацию на право проведения работ по сертификации,
в ходе которой федеральные органы по сертификации определяют
возможности выполнения этими органами и лабораториями работ по
сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ.
ФСБ России исполняет следующие функции (в пределах своей
компетенции):
­ создает систему сертификации и устанавливает правила ее
проведения;
­ представляет на государственную регистрацию в Госстандарт
России систему сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (СЗИ–ГТ) и ее знаки соответствия;
­ организует функционирование системы сертификации;
­ устанавливает правила аккредитации и выдачи лицензий на
проведение работ по сертификации;
­ организует и финансирует разработку нормативных и методических документов системы сертификации;
­ аккредитует органы по сертификации и испытательные центры (лаборатории);
131
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ координирует деятельность органов по сертификации и испытательных центров (лабораторий) системы сертификации СЗИ – ГТ;
­ устанавливает правила признания зарубежных сертификатов,
знаков соответствия и результатов испытаний;
­ ведет государственный реестр и т. д.
Органы по сертификации в пределах установленной области
аккредитации:
­ проводят идентификацию средств защиты информации;
­ определяют схему сертификации конкретных СЗИ – ГТ с учетом предложений заявителя;
­ разрабатывают предложения по номенклатуре СЗИ – ГТ;
­ проводят анализ материалов сертификационных испытаний
СЗИ – ГТ;
­ оформляют экспертное заключение по сертификации
СЗИ–ГТ, сертификаты соответствия и представляют их в ФСБ России
для регистрации в государственном реестре;
­ выдают сертификаты соответствия;
­ проводят инспекционный контроль сертифицированных
СЗИ– ГТ;
­ хранят документацию, подтверждающую сертификацию
СЗИ – ГТ;
­ приостанавливают либо отменяют действие выданных сертификатов соответствия и лицензий на применение знака соответствия;
­ представляют заявителю необходимую информацию по сертификации и т. д.
Испытательные центры (лаборатории) в пределах установленной области аккредитации занимаются следующим:
­ разрабатывают, утверждают программы и методики проведения сертификационных испытаний (при необходимости);
­ осуществляют отбор образцов СЗИ – ГТ для проведения сертификационных испытаний;
­ проводят сертификационные и инспекционные испытания
СЗИ – ГТ, оформляют технические заключения и протоколы сертификационных испытаний;
­ обеспечивают полноту испытаний СЗИ – ГТ, достоверность,
объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования;
­ гарантируют сохранность образцов СЗИ – ГТ;
­ обеспечивают конфиденциальность информации.
В функции учебно-методического центра входит:
­ подготовка, переподготовка и повышение квалификации кадров;
­ подготовка и аттестация экспертов;
132
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ участие в разработке и совершенствовании нормативных
и методических документов системы сертификации СЗИ – ГТ.
Заявители (разработчики, изготовители, продавцы), в свою
очередь, должны:
­ применять сертификат и знак соответствия СЗИ – ГТ, руководствуясь правилами системы сертификации;
­ обеспечивать соответствие СЗИ – ГТ требованиям нормативных документов по безопасности информации, на соответствие которым она была сертифицирована, и маркирование ее знаком соответствия в установленном порядке;
­ указывать в сопроводительной технической документации
сведения о сертификате на СЗИ – ГТ и нормативных документах, которым оно должно соответствовать, обеспечивать доведение этой информации до потребителя;
­ приостанавливать или прекращать реализацию СЗИ – ГТ по
истечении срока действия сертификата соответствия, приостановке
его действия (или отмене), а также если СЗИ – ГТ не отвечает требованиям нормативных документов и т. д.
Заявители (разработчики, изготовители) должны иметь лицензию на соответствующий вид деятельности.
Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСБ России. Правила аккредитации определяются соответствующим положением.
Органы по сертификации и испытательные центры (лаборатории) должны быть юридическими лицами, располагать подготовленными специалистами, необходимыми средствами измерений, испытательным оборудованием и методиками испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ
– ГТ в своей области аккредитации. Аккредитация в качестве органов
по сертификации и испытательных центров (лабораторий) организаций, подведомственных федеральным органам исполнительной власти, осуществляется по согласованию с этими органами власти.
Изготовители должны иметь лицензию на соответствующий вид
деятельности. При этом предусмотрен следующий порядок проведения сертификации:
1) подача и рассмотрение заявки на сертификацию СЗИ – ГТ;
2) испытания сертифицируемых СЗИ – ГТ и анализ состояния
их производства;
3) экспертиза результатов испытаний, оформление, регистрация и выдача сертификата соответствия;
4) осуществление инспекционного контроля за соблюдением
правил обязательной сертификации и за сертифицированными СЗИ
– ГТ, информирование о результатах сертификации СЗИ – ГТ;
133
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
5) рассмотрение апелляций.
Изготовитель направляет в орган по сертификации заявку на
проведение сертификации, к которой могут быть приложены схема
проведения сертификации, государственные стандарты и другие нормативные и методические документы, требованиям которых должны
соответствовать сертифицируемые средства защиты информации.
Орган по сертификации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации
с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации. При необходимости
решается вопрос о проведении и сроках предварительной проверки
производства средств защиты информации. Орган по сертификации
в 10-дневный срок направляет копию решения на проведение сертификации продукции в ФСБ России.
Сертификация импортируемых и отечественных средств защиты
информации проводится по одним и тем же правилам.
Основными схемами проведения сертификации средств защиты информации являются:
 для единичных образцов средств защиты информации – проведение испытаний этих образцов на соответствие требованиям по
защите информации;
 для серийного производства средств защиты информации –
проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная
проверка производства по специально разработанной программе.
Испытания сертифицируемых средств защиты информации
проводятся на образцах, конструкция (состав) и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю (заказчику), по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации.
Сроки проведения испытаний могут быть установлены в договоре между заявителем и испытательным центром (лабораторией).
По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов СЗИ – ГТ в испытательном центре (лаборатории). Результаты испытаний оформляются протоколами и техническим за134
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ключением, которые направляются испытательным центром (лабораторией) органу по сертификации и заявителю. При внесении изменений в конструкцию (состав) СЗИ – ГТ или технологию их производства, которые могут повлиять на характеристики этих средств, держатель сертификата извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний образцов.
При несоответствии результатов испытаний требованиям государственных стандартов или иных нормативных документов по защите информации орган по сертификации принимает решение об отказе
в выдаче сертификата соответствия и направляет заявителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата соответствия заявитель имеет право обратиться в центральный
орган системы сертификации, ФСБ России или Межведомственную
комиссию по защите государственной тайны для дополнительного
рассмотрения полученных при испытаниях результатов.
Признание сертификатов соответствия на средства защиты информации, выданных другими системами сертификации, осуществляется в порядке, определяемом ФСБ России и Межведомственной комиссией по защите государственной тайны.
Оплата работ по сертификации СЗИ – ГТ производится заявителем в порядке, установленном ФСБ России по согласованию с Министерством финансов РФ. Сумма средств, израсходованных заявителем
на проведение сертификации средств защиты информации, относится
на их себестоимость.
Органы по сертификации и испытательные центры (лаборатории) несут ответственность за выполнение возложенных на них функций, за обеспечение сохранности государственной тайны, другой информации, охраняемой законодательством РФ, за сохранность материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав заявителя при испытаниях СЗИ – ГТ.
Инспекционный контроль за сертифицированными средствами
защиты информации осуществляют органы, проводившие сертификацию этих средств.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию:
­ в центральный орган системы сертификации;
­ ФСБ России;
­ межведомственную комиссию.
135
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
3.4. Особенности сертификации средств защиты
информации по требованиям безопасности
Правовой основой сертификации средств защиты информации
по требованиям безопасности являются нормативные правовые акты:
Закон о государственной тайне; приказ ФСБ России от 13.11.99 № 564
«Об утверждении положений о системе сертификации средств защиты
информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» и др.
Содержание рассматриваемого вопроса составляют:
­ основные принципы сертификации средств защиты информации;
­ организационная структура системы обязательной сертификации средств защиты информации;
­ порядок проведения сертификации средств защиты информации по требованиям безопасности;
­ порядок проведения государственного контроля и надзора за
сертификацией и сертифицированными средствами защиты информации.
Средства защиты информации – это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства,
в которых они реализованы, а также средства контроля эффективности защиты информации.
Под сертификацией средств защиты информации по требованиям безопасности понимается деятельность по подтверждению
их соответствия требованиям государственных стандартов или
иных нормативных документов по защите информации.
Виды средств защиты информации, подлежащих сертификации, многообразны:
­ технические средства защиты информации, включая средства
контроля эффективности принятых мер защиты информации: средства
защиты информации от перехвата оптических сигналов (изображений),
акустических сигналов, электромагнитных, электрических сигналов; от
деятельности радиационной, химической разведки; от возможности получения сведений магнитометрической разведкой и т. д.;
­ технические средства и системы в защищенном исполнении;
136
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ технические средства защиты специальных оперативнотехнических мероприятий (специальных технических средств, предназначенных для негласного получения информации);
­ технические средства защиты информации от несанкционированного доступа;
­ программные средства защиты информации от НСД и программных закладок;
­ защищенные программные средства обработки информации;
­ программно-технические средства защиты информации;
­ специальные средства защиты от идентификации личности;
­ программно-аппаратные средства защиты от несанкционированного доступа к системам оперативно-розыскных мероприятий
(СОРМ) на линиях связи.
Целями создания системы сертификации являются:
­ реализация требований Закона о государственной тайне;
­ обеспечение национальной безопасности в сфере информатизации;
­ формирование и осуществление единой научно-технической
и промышленной политики в сфере информатизации с учетом требований системы защиты государственной тайны;
­ содействие формированию рынка защищенных информационных технологий и средств их обеспечения;
­ регулирование и контроль разработки, а также последующего
производства СЗИ – ГТ;
­ содействие потребителям в компетентном выборе средств защиты информации;
­ защита потребителя от недобросовестности изготовителя
(продавца, исполнителя);
­ подтверждение показателей качества продукции, заявленных
изготовителями.
Порядок проведения сертификации можно представить алгоритмом (рис. 3.1), включающим:
­ подачу заявки на сертификацию;
­ принятие решения по заявке, в том числе выбор схемы;
­ отбор, идентификацию образцов и их испытания;
­ оценку производства (если это предусмотрено схемой сертификации);
­ анализ полученных результатов и принятие решения о выдаче
(об отказе в выдаче) сертификата соответствия;
­ выдачу сертификата;
­ осуществление инспекционного контроля за сертифицированной продукцией (если это предусмотрено схемой сертификации);
137
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ корректирующие мероприятия при нарушении соответствия
продукции установленным требованиям и неправильном применении
знака соответствия;
­ информацию о результатах сертификации.
Для проведения сертификации продукции заявитель направляет
заявку в соответствующий орган по сертификации.
Рис. 3.1. Алгоритм проведения сертификации
При отсутствии у заявителя информации о таком органе и порядке сертификации интересующей его продукции он может получить
ее в территориальном органе Госстандарта России или в Госстандарте
России. При наличии нескольких органов по сертификации данной
продукции заявитель вправе направить заявку в любой из них. При
отсутствии на момент подачи заявки органа по сертификации заявка
направляется в Госстандарт России или в федеральный орган исполнительной власти, осуществляющий работы по сертификации в
пределах своей компетенции.
Орган по сертификации рассматривает заявку и не позднее одного месяца после ее получения сообщает заявителю решение.
Решение по заявке содержит все основные условия сертификации, основывающиеся на установленном порядке сертификации данной однородной продукции, в том числе указывается:
­ схема сертификации;
­ перечень необходимых технических документов;
138
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ перечень аккредитованных испытательных лабораторий (центров), которые могут проводить испытания продукции, и перечень органов, которые могут провести сертификацию производства или системы качества (если это предусмотрено схемой сертификации).
Выбор конкретной испытательной лаборатории, органа для сертификации производства или системы качества осуществляет заявитель.
Испытания проводятся на образцах, конструкция, состав и
технология изготовления которых должны быть такими же, как у продукции, поставляемой потребителю (заказчику). Количество образцов,
порядок их отбора, правила идентификации и хранения устанавливаются в соответствии с нормативными или организационнометодическими документами по сертификации данной продукции
и методиками испытаний.
Заявитель представляет необходимую техническую документацию к образцу (образцам), состав и содержание которой устанавливается в порядке сертификации однородной продукции.
Отбор образцов для испытаний осуществляет, как правило, испытательная лаборатория или по ее поручению другая компетентная
организация. В случае проведения испытаний в двух и более испытательных лабораториях образцы для испытаний могут быть отобраны
органом по сертификации (при необходимости с участием испытательных лабораторий).
Образцы, прошедшие испытания, подлежат хранению в течение
срока годности продукции или срока действия сертификата. Конкретные сроки хранения образцов устанавливаются в документах, определяющих порядок сертификации однородной продукции.
Испытания для сертификации проводятся в испытательных лабораториях, аккредитованных на осуществление тех испытаний, которые предусмотрены в нормативных документах, используемых при
сертификации данной продукции.
При отсутствии испытательной лаборатории, аккредитованной
на компетентность и независимость, или ее значительной удаленности, что усложняет транспортирование образцов, увеличивает стоимость испытаний и недопустимо удлиняет их сроки, допускается проводить испытания для целей сертификации в испытательных лабораториях, аккредитованных только на компетентность, под контролем
представителей органа по сертификации конкретной продукции. Объективность таких испытаний обеспечивает наряду с испытательной
лабораторией орган по сертификации, поручивший лаборатории их
проведение.
139
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Протокол испытаний в этом случае подписывают уполномоченные специалисты испытательной лаборатории и органа по сертификации.
Протоколы испытаний представляются заявителю и в орган по
сертификации. Их копии подлежат хранению не менее срока действия
сертификата. Конкретные сроки хранения копий протоколов (в том
числе для случая, когда заявителю не может быть выдан сертификат
ввиду несоответствия продукции установленным требованиям) устанавливаются в системе сертификации однородной продукции и в документах испытательной лаборатории.
Заявитель представляет в орган по сертификации документы,
указанные в решении по заявке, в том числе документы о соответствии продукции установленным требованиям, выданные федеральными органами исполнительной власти в пределах своей компетенции, если это установлено законодательными актами Российской Федерации. При отсутствии у заявителя этих документов орган по сертификации обеспечивает взаимодействие с полномочными органами с
целью их получения (учитывая это в объеме работ по сертификации
продукции).
Заявитель может представить в орган по сертификации протоколы испытаний с учетом сроков их действия, проведенных при разработке и постановке продукции на производство, или документы об
испытаниях, выполненных испытательными лабораториями, аккредитованными или признанными в системе сертификации. После проверки представленных документов, в том числе соответствия содержащихся в них результатов действующим нормативным документам,
сроков их выдачи, внесенных изменений в конструкцию (состав), материалы, технологию, орган по сертификации может принять решение
о выдаче сертификата соответствия или о сокращении объема испытаний, или о проведении недостающих испытаний, что отражается в
соответствующих документах.
В зависимости от схемы сертификации проводится анализ состояния производства продукции, сертификация производства или
системы качества.
Порядок анализа состояния производства сертифицируемой
продукции устанавливается в правилах по сертификации однородной
продукции. Результаты анализа отражают в заключении, которое учитывают при выдаче сертификата.
Сведения (документы) о проведенном анализе состояния производства, сертификации производства или системы качества указывают
в сертификате на продукцию.
Орган по сертификации после анализа протоколов испытаний,
оценки производства, сертификации производства или системы каче140
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ства (если это установлено схемой сертификации), анализа других документов о соответствии продукции осуществляет оценку соответствия продукции установленным требованиям. Результаты этой
оценки отражают в заключении эксперта. На основании данного заключения орган по сертификации принимает решение о выдаче сертификата, оформляет и регистрирует сертификат.
Сертификат действителен только при наличии регистрационного
номера. В сертификате указывают все документы, служащие основанием для его выдачи, в соответствии со схемой сертификации.
При обязательной сертификации сертификат выдается, если
продукция соответствует требованиям нормативных документов,
установленным для данной продукции.
Срок действия сертификата определяет орган по сертификации с учетом срока действия нормативных документов на продукцию,
а также срока, на который сертифицированы производство или система качества (если это предусмотрено схемой сертификации), но не более чем на три года.
Срок действия сертификата на партию продукции или изделие
не устанавливают. Для продукции, реализуемой изготовителем в течение
срока действия сертификата на серийно выпускаемую продукцию (серийный выпуск), сертификат действителен при ее поставке, продаже в
течение срока годности (службы), установленного в соответствии с
действующим законодательством РФ для предъявления требований по
поводу недостатков продукции. В течение этих же сроков действителен и сертификат на партию продукции или изделие.
При внесении изменений в конструкцию (состав) продукции или
технологию ее производства, которые могут повлиять на соответствие
продукции требованиям нормативных документов, заявитель заранее
извещает об этом орган, выдавший сертификат. Орган по сертификации принимает решение о необходимости проведения новых испытаний или оценки производства этой продукции.
В сопроводительной технической документации, прилагаемой
к сертифицированной продукции (технический паспорт, этикетка
и др.), а также в товаросопроводительной документации делается запись о проведенной сертификации и указывается номер и дата выдачи
сертификата.
Продукция, на которую выдан сертификат, маркируется знаком
соответствия, принятым в системе. Маркирование продукции знаком соответствия осуществляет изготовитель (продавец) на основании
сертификата или декларации о соответствии, зарегистрированной в
органе по сертификации. Знак соответствия ставится на изделие и
(или) тару, упаковку, сопроводительную техническую документацию.
141
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Знак соответствия наносят на несъемную часть каждой единицы
сертифицированной продукции, при нанесении на упаковку – на каждую упаковочную единицу этой продукции. Он может быть нанесен
рядом с товарным знаком.
При невозможности нанесения знака соответствия непосредственно на продукцию (например, для газообразных, жидких и сыпучих материалов и веществ) его наносят на тару или упаковку. При
необходимости используют специальные технические средства, такие
как ярлыки, ленты, выполненные как встроенная часть продукции
(для канатов, кабелей и т. д.).
Правила нанесения знака соответствия на конкретную продукцию устанавливаются порядком сертификации однородной продукции. Исполнение знака соответствия должно быть контрастным на
фоне поверхности, на которую он нанесен.
Маркирование продукции знаком соответствия следует осуществлять способами, обеспечивающими четкое изображение этих
знаков, их стойкость к внешним воздействующим факторам, а также
долговечность в течение установленного срока службы или годности
продукции. Изображение знака соответствия может быть выполнено
гравированием, травлением, литьем, печатанием или другим способом, обеспечивающим соблюдение предъявляемых к нему требований.
Инспекционный контроль за сертифицированной продукцией
проводится (если это предусмотрено схемой сертификации) в течение
всего срока действия сертификата не реже одного раза в год в форме
периодических и внеплановых проверок, включающих испытания образцов продукции и другие проверки, необходимые для подтверждения, что реализуемая продукция продолжает соответствовать установленным требованиям, подтвержденным при сертификации.
Критериями для определения периодичности и объема инспекционного контроля являются степень потенциальной опасности продукции, стабильность производства, объем выпуска, наличие системы
качества, стоимость проведения инспекционного контроля и т. д.
Объем, содержание и порядок проведения инспекционного контроля устанавливают в порядке сертификации однородной продукции.
Внеплановые проверки могут проводиться в случаях поступления информации о претензиях к качеству продукции от потребителей,
торговых организаций, а также органов, осуществляющих общественный или государственный контроль за продукцией, на которую выдан
сертификат.
Инспекционный контроль, как правило, содержит следующие
виды работ:
142
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ анализ поступающей информации о сертифицированной продукции;
­ создание комиссии для осуществления контроля;
­ проведение испытаний и анализ их результатов;
­ оформление результатов контроля и принятие решений.
Результаты инспекционного контроля оформляют актом, в котором дается оценка результатов испытаний образцов и других проверок, делается заключение о состоянии производства сертифицированной продукции и возможности сохранения действия выданного сертификата.
Акт хранится в органе по сертификации, а его копии направляются заявителю (изготовителю, продавцу) и в организации, принимавшие участие в инспекционном контроле.
По результатам инспекционного контроля орган по сертификации может приостановить или отменить действие сертификата при
несоответствии продукции требованиям нормативных документов,
контролируемых при сертификации, а также в случаях изменения:
­ нормативного документа на продукцию или метода испытаний;
­ конструкции (состава), комплектности продукции;
­ организации и (или) технологии производства;
­ или невыполнения требований технологии, методов контроля
и испытаний, системы обеспечения качества – если перечисленные
изменения могут вызвать несоответствие продукции требованиям,
контролируемым при сертификации.
Решение о приостановлении действия сертификата принимается
в том случае, если путем корректирующих мероприятий, согласованных с органом, его выдавшим, заявитель может устранить обнаруженные причины несоответствия и подтвердить без повторных испытаний
в аккредитованной лаборатории соответствие продукции нормативным документам. Если этого сделать нельзя, то действие сертификата
аннулируется.
Информация о приостановлении или отмене действия сертификата доводится органом, его выдавшим, до сведения заявителя, потребителей, Госстандарта России и других заинтересованных участников
системы сертификации однородной продукции.
При нарушении соответствия продукции установленным требованиям и неправильном применении знака соответствия выполняются
корректирующие мероприятия.
Орган по сертификации:
­ информирует заинтересованных участников сертификации;
­ устанавливает срок выполнения корректирующих мероприятий;
143
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ контролирует выполнение изготовителем (продавцом) корректирующих мероприятий.
Изготовитель (продавец):
­ определяет масштаб выявленных нарушений: количество произведенной с нарушением продукции, модель, номер и размер партии;
­ уведомляет потребителей, общественность, заинтересованные
организации об опасности использования (эксплуатации) продукции.
После того как корректирующие мероприятия выполнены и их
результаты являются удовлетворительными, орган по сертификации:
­ указывает изготовителю (продавцу) на необходимость новой
маркировки для различия изделия до и после корректирующих мероприятий, при этом в каждом конкретном случае определяет характер и
вид маркировки;
­ информирует об этом заинтересованных участников сертификации.
При невыполнении изготовителем (продавцом) корректирующих мероприятий или их неэффективности орган по сертификации
отменяет действие сертификата.
Орган по сертификации представляет заявителю по его требованию необходимую информацию в пределах своей компетенции.
3.5. Аккредитация испытательных лабораторий
и органов по сертификации средств защиты информации
Правовой основой проведения аккредитации служат следующие
правовые акты:
­ постановление Правительства РФ от 26.06.95 № 608 «О сертификации средств защиты информации» (в ред. от 29.03.99);
­ приказ ФСБ России от 13.11.99 № 564 «Об утверждении Положений о системе сертификации средств защиты информации по
требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия»;
­ постановление Госстандарта России от 17.03.97 № 11 «Об
утверждении Положения о системе сертификации ГОСТ Р» (в ред. от
22.04.2002);
­ постановление Госстандарта России от 10.05.2000 № 26
«Об утверждении Правил по проведению сертификации в Российской
Федерации» (в ред. от 05.07.2002) и т. д.
Аккредитация предприятия в качестве органа по сертификации средств защиты информации по требованиям безопасности информации является официальным признанием его технической компетентности и независимости от разработчиков, изготовителей
(поставщиков) и заказчиков (потребителей) испытываемых средств
144
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
защиты информации для организации и проведения испытаний в соответствии с требованиями стандартов или иных нормативных документов.
Аккредитация предприятия в качестве испытательной лаборатории может служить официальным признанием только его технической компетентности в проведении испытаний.
Органы по сертификации и испытательные центры (лаборатории) аккредитуются ФСБ России. Правила аккредитации определяются соответствующим положением.
Органы по сертификации и испытательные центры (лаборатории) должны:
 быть юридическими лицами;
 располагать подготовленными специалистами, необходимыми
средствами измерений, испытательным оборудованием и методиками
испытаний, нормативными документами для проведения всего комплекса работ по испытаниям СЗИ – ГТ в своей области аккредитации.
Аккредитация в качестве органов по сертификации и испытательных центров (лабораторий) организаций, подведомственных федеральным органам исполнительной власти, осуществляется по согласованию с этими органами власти.
При аккредитации предприятия ему выдается аттестат соответствующего образца с указанием области аккредитации.
Срок действия аттестата аккредитации не должен превышать
пять лет. Требования аккредитации устанавливаются в соотве тствии с нормативными документами, являются общими для всех видов испытаний средств защиты информации и при необходимости могут быть дополнены другими требованиями исходя из специфики деятельности конкретного предприятия.
В соответствии с требованиями нормативных документов аккредитация может быть представлена этапами:
1) рассмотрение документов, представленных предприятием;
2) проверка предприятия;
3) принятие решения об аккредитации по результатам проверки;
4) оформление, регистрация и выдача аттестата аккредитации.
Содержание этих этапов включает реализацию соответствующих функций предприятиями и органами, осуществляющими аккредитацию.
Предприятие, претендующее на аккредитацию, должно подать:
­ заявку на аккредитацию;
­ проект Положения об органе по сертификации или испытательной лаборатории с заявляемой областью аккредитации;
145
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ в случае аккредитации предприятия в качестве испытательной
лаборатории средств защиты информации к заявке дополнительно
приложить паспорт испытательной лаборатории и анкету-опросник.
После рассмотрения представленных материалов создае тся и утверждается комиссия по проверке предприятия. Содержание
проверки заключается в выявлении соответствия фактического состояния предприятия представленным документам и его способности выполнять заявленные функции. По результатам проверки комиссия составляет акт. Решение об аккредитации предприятия принимается после рассмотрения всей полученной информации о состоянии этого
предприятия и его готовности к аккредитации. Аккредитованное
предприятие вносится в государственный реестр системы, и ему выдается аттестат аккредитации.
За шесть месяцев до окончания срока действия аттестата аккредитации предприятие, имеющее намерение продлить его действие,
направляет заявку на повторную аккредитацию, порядок которой
устанавливается в зависимости от результатов контроля и которая
может проводиться по полной или сокращенной процедуре, устанавливаемой в каждом конкретном случае.
Аккредитация в дополнительной области проводится в случае,
если орган по сертификации, испытательная лаборатория, претендующие на расширение своей области аккредитации, направляют заявку
на аккредитацию в дополнительной области. К заявке прилагаются
сведения о дополнительной области аккредитации и д ополнения
к паспорту. Аккредитация может проводиться по полной или сокращенной программе, устанавливаемой в каждом конкретном случае.
Контроль может осуществляться в виде:
­ периодических проверок;
­ представления предприятием регулярной информации о качестве проводимых им испытаний, о результатах периодических внутренних проверок системы обеспечения качества испытаний, о претензиях клиентов и т. д.;
­ любых других действий контрольного характера, которые могут обеспечить уверенность в том, что предприятие в течение срока
действия аттестата аккредитации соответствует требованиям, предъявленным к нему при аккредитации.
Условия контроля для каждого предприятия определяются в соответствующем Положении об органе по сертификации (испытательной лаборатории) при принятии решения по его аккредитации.
Расходы на проведение всех видов работ по аккредитации предприятий в качестве испытательных лабораторий и органа по сертификации, по осуществлению контроля и надзора за их деятельностью
оплачиваются заявителями.
146
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Аннулирование (отмена) аккредитации предприятия может
быть досрочно осуществлено в случаях:
­ несоответствия предприятия требованиям, предъявля емым к аккредитованным предприятиям;
­ принятия самостоятельного решения аккредитованного предприятия о досрочном прекращении действия аккредитации.
Предприятие может в течение 15 дней опротестовать решение
по любым вопросам аккредитации в Госарбитраже России.
Контрольные вопросы
1. Охарактеризуйте структуру системы государственного лицензирования деятельности в области защиты информации.
2. Каковы полномочия органов государственного лицензирования по защите информации?
3. Перечислите нормативные правовые акты по сертификации
средств защиты информации.
4. Охарактеризуйте организационную структуру системы сертификации средств защиты информации по требованиям ее безопасности.
5. В каком порядке проводятся сертификация и контроль
средств защиты информации?
6. Охарактеризуйте организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации.
7. Каков порядок проведения аттестации объектов информатизации по требованиям безопасности информации?
147
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 4. КОММЕРЧЕСКАЯ ТАЙНА В СИСТЕМЕ
ЗАКРЕПЛЕНИЯ ПРАВА ПРЕДПРИЯТИЯ
НА ЗАЩИТУ ИНФОРМАЦИИ
В НОРМАТИВНЫХ ДОКУМЕНТАХ
4.1. Коммерческая тайна как вид защищаемой
конфиденциальной информации:
понятие, содержание, виды, правовые категории,
основные положения базового закона
Понятие коммерческой тайны имеет несколько смысловых
значений, причем интерпретация данного словосочетания определяется объектом защиты коммерческой тайны. Множество подходов при
этом условно может быть разбито на две группы.
Формирование первой группы происходит на основе предположения, что в качестве объекта защиты должны рассматриваться только сведения, относящиеся к завершающему этапу деятельности организации – так называемой коммерческой деятельности, т. е. деятельности по сбыту, получению и распределению прибыли. При этом
не берутся во внимание вопросы о том, является ли получение прибыли целью деятельности организации или предприятия и как она используется и распределяется.
Вторая группа формируется из предположения, что в качестве
объекта защиты должны рассматриваться сведения, относящиеся ко
всему жизненному циклу деятельности организации или предприятия
с учетом его цели, процесса получения, использования и распределения прибыли.
Согласно Конституции РФ, каждый имеет право свободно
искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется Федеральным законом
«О государственной тайне» (п. 2 ст. 29). Сокрытие должностными лицами фактов и обстоятельств, создающих угрозу для жизни и здоровья
людей, влечет за собой ответственность в соответствии с вышеуказанным федеральным законом (п. 3 ст. 41). В частности, в Уголовном кодексе РФ предусматривается наказание за неправомерный отказ
должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих
права и свободы гражданина, либо представление гражданину неполной или заведомо ложной информации, если эти деяния причинили
вред правам и законным интересам граждан (ст. 140).
Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания.
148
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Интеллектуальная собственность охраняется законом (п. 1 ст. 44 Конституции РФ). Объектами интеллектуальной собственности являются
произведения науки, литературы, искусства и других видов творческой деятельности в сфере производства, в том числе открытия, изобретения, рационализаторские предложения, промышленные образцы,
программы для ЭВМ, базы данных, экспертные системы, ноу-хау,
торговые секреты, товарные знаки, фирменные наименования и знаки
обслуживания.
Информация, относимая к коммерческой тайне, зачастую является составной частью интеллектуальной собственности. Считается
иногда нецелесообразным представлять как коммерческую тайну информацию, если идеи и сведения, отображенные в ней, общеизвестны,
т. е. предлагается различать информацию, имеющую коммерческую
ценность, и информацию, представляющую научный теоретический
интерес. Хотя могут быть случаи, когда обобщением общеизвестных
отдельных идей получают уникальную комбинацию информации,
знанием которой обладает только тот, кто ее получил, и, следовательно, он может извлечь из этого определенную выгоду.
Отношения, связанные с отнесением информации к коммерческой тайне, с передачей такой информации, охраной ее конфиденциальности, непосредственно регулируются Федеральным законом от
29.07.2004 № 98-ФЗ «О коммерческой тайне». Положения этого закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.
Согласно ст. 3 вышеназванного закона, коммерческая тайна –
это режим конфиденциальной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Введение в законодательство нашей страны понятия коммерческой тайны зафиксировало право собственника охранять свои интересы во взаимоотношениях с государством, другими субъектами рыночных отношений.
К объектам гражданских прав, в частности, относятся информация, результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность), и нематериальные блага (ст. 128 ГК РФ). К нематериальным благам относятся
доброе имя и деловая репутация, право на имя и авторство (ст. 150 ГК
РФ). В Гражданском кодексе также присутствует норма о необходимости возмещения ущерба, нанесенного разглашением коммерческой
тайны: «Лица, незаконными методами получившие информацию, ко149
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
торая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на
работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов,
сделавших это вопреки гражданско-правовому договору» (ст. 139).
Под убытками понимаются расходы, которые лицо, чье право
нарушено, произвело или должно будет произвести для восстановления нарушенного права (ст. 15 ГК РФ). Также под убытками подразумеваются утрата или повреждение имущества (реальный ущерб) лица,
неполученные доходы, которые это лицо получило бы при обычных
условиях гражданского оборота, если бы его право не было нарушено
(упущенная выгода).
Допускается самозащита гражданских прав, т. е. права на защиту предпринимательской и коммерческой деятельности, права на информацию, в том числе о коммерческой деятельности (ст. 14 ГК РФ).
Однако способы самозащиты должны быть соразмерны нарушению и не выходить за пределы действий, необходимых для его пресечения.
Незаконное получение и разглашение сведений, составляющих
коммерческую или банковскую тайну, охраняется Уголовным кодексом. Так, согласно ст. 183 УК РФ:
- собирание сведений, составляющих коммерческую или банковскую тайну, путем хищения документов, подкупа или угроз,
а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений предусматривает наказание в
виде штрафа или лишения свободы;
- незаконное разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, также наказываются штрафом
или лишением свободы.
Права обладателя информации, составляющей коммерческую
тайну, возникают с момента установления им в отношении такой
информации режима коммерческой тайны. Государственным контрактом на выполнение научно-исследовательских, опытноконструкторских, технологических или иных работ для федеральных
государственных нужд или нужд субъекта РФ должен быть определен
объем сведений, признаваемых конфиденциальными, а также должны
быть урегулированы вопросы, касающиеся установления в отношении полученной информации режима коммерческой тайны.
Режим коммерческой тайны – правовые, организационные,
технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.
150
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Режим коммерческой тайны считается установленным после
принятия обладателем информации, составляющей коммерческую
тайну, таких мер, как:
­ определение перечня информации, составляющей коммерческую тайну;
­ ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
­ учет лиц, получивших доступ к информации, составляющей
коммерческую тайну, и (или) лиц, которым такая информация была
представлена или передана;
­ регулирование отношений по использованию информации,
составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых
договоров;
­ нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц – полное наименование и местонахождение, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина,
являющегося индивидуальным предпринимателем, и место жительства).
Владельцами защищаемой информации могут быть:
 государство и его органы. В этом случае к ней относятся сведения, являющиеся государственной, служебной тайной, иные виды
защищаемой информации, принадлежащей государству или ведомству. В их числе могут быть и сведения, являющиеся коммерческой
тайной;
 предприятия, товарищества, акционерные общества (в том
числе совместные) и другие коммерческие организации. Информация
является их собственностью и составляет коммерческую тайну;
 общественные организации. Это, как правило, партийная
тайна, не исключена также государственная и коммерческая тайна;
 граждане государства. Их права (тайна переписки, телефонных и телеграфных разговоров, врачебная тайна и др.) гарантируются
государством, личные тайны – их личное дело. Следует отметить, что
государство не несет ответственность за сохранность личных тайн.
В ст. 151 Основ гражданского законодательства Союза
ССР от 31.05.91 № 2211-1 указывается, что обладатель технической,
организационной или коммерческой информации, составляющей секрет производства (ноу-хау), имеет право на защиту от незаконного
использования этой информации третьими лицами при условии, что:
151
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ эта информация имеет действительную или потенциальную
коммерческую ценность в силу неизвестности ее третьим лицам;
­ к этой информации нет свободного доступа на законном основании;
­ обладатель информации принимает надлежащие меры к
охране ее конфиденциальности.
Срок охраны ноу-хау ограничивается временем действия
названных условий. Лицо, неправомерно использующее ноу-хау, принадлежащее другому лицу, обязано возместить ему убытки. Лицо, самостоятельно и добросовестно получившее такую информацию, вправе использовать ее без каких бы то ни было ограничений1.
В соответствии с международной практикой передача (продажа)
ноу-хау производится на основе лицензионных соглашений. Такие
соглашения – одна из форм коммерческой реализации прав на интеллектуальную собственность на основе договоров о передаче собственником на определенных условиях принадлежащих ему прав на информацию. Лицензионные соглашения также широко используются в
открытых системах защиты информации при охране патентов и авторских прав.
Спецификой для ноу-хау являются обязательные взаимные
условия обеспечения конфиденциальности сведений, передаваемых
собственником (лицензиаром) и получаемых пользователем (лицензиатом). В случае разглашения (передачи) сведений третьим лицам потерпевшая сторона может взыскать в судебном порядке возмещение
убытков по факту несоблюдения договорных обязательств.
Система ноу-хау по своему характеру является промежуточной
между закрытой системой защиты информации, предназначенной сугубо для внутреннего использования, и открытой, когда информация
доступна, в принципе, неограниченному кругу пользователей.
По данным некоторых источников, в промышленно развитых
странах доля беспатентных лицензий составляет до 50 %, еще 25 %
приходится на так называемые комплексные, или смешанные, лицензии, по которым в рамках одного соглашения (договора) наряду с патентными правами передаются сведения о ноу-хау. Обычно на практике ознакомление лицензиата с ноу-хау происходит путем заключения предварительного (опционного) соглашения, главным условием
которого является договоренность о соблюдении условий конфиденциальности и даже в случае, если по каким-то причинам лицензионное соглашение не состоялось.
Ноу-хау – объект коммерческих отношений. Поэтому важнейшая задача лицензиара – умение определить их технико1
Подробно см. Четвертую часть Гражданского кодекса РФ.
152
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
экономическую значимость, или, иными словами, рыночную стоимость этого специфического вида продукции. Общепризнанной методики, решающей данную задачу, нет, и можно дать лишь самый общий принцип, основанный на разделении прибыли, полученной от использования ноу-хау, между лицензиатом и лицензиатором на основе
переговоров.
Решение конфликтных ситуаций возможно в арбитражном или
третейском суде, действующем также по арбитражной процедуре. Арбитражное производство позволяет производить его в условиях конфиденциальности и дает возможность привлечь к разрешению спора
экспертов в области охраны промышленной собственности. Немаловажным фактом является быстрота и более низкая стоимость производства по сравнению с судебным разбирательством. Правовой базой
производства служит Федеральный конституционный закон от
28.04.96 № 1-ФКЗ «Об арбитражных судах Российской Федерации».
Режим коммерческой тайны не может быть установлен лицами,
осуществляющими предпринимательскую деятельность, в отношении
следующих сведений:
­ содержащихся в учредительных документах юридического
лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
­ содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
­ о составе имущества государственного или муниципального
унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
­ загрязнении окружающей среды, состоянии противопожарной
безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и населения в целом;
­ численности, составе работников, системе оплаты труда,
условиях труда, в том числе об охране труда, показателях производственного травматизма и профессиональной заболеваемости, и наличии свободных рабочих мест;
­ задолженности работодателей по выплате заработной платы
и по иным социальным выплатам;
­ нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
­ условиях конкурсов или аукционов по приватизации объектов
государственной или муниципальной собственности;
153
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ размерах и структуре доходов некоммерческих организаций,
размерах и составе их имущества, их расходах, численности и оплате
труда их работников, использовании безвозмездного труда граждан
в деятельности некоммерческой организации;
­ перечне лиц, имеющих право действовать без доверенности
от имени юридического лица;
­ обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
ГК РФ указывает, что «…предпринимательской является самостоятельная, осуществляемая на свой страх и риск деятельность,
направленная на систематическое получение прибыли от пользования
имуществом, продажи товаров, выполнения работ или оказания
услуг лицами, зарегистрированными в этом качестве в установленном законом порядке» (ч. 1 ст. 2).
Относительно вопроса о делении деятельности на коммерческую и некоммерческую там же говорится, что юридическими лицами могут быть организации, преследующие извлечение прибыли в качестве основной цели своей деятельности (коммерческие организации) либо не имеющие извлечения прибыли в качестве такой цели
и не распределяющие полученную прибыль между участниками (некоммерческие организации) (п. 1 ст. 50).
Понятие коммерческой тайны связано с понятием одной из разновидностей деятельности – коммерческой деятельности, характеризующейся:
­ основной целью – извлечение прибыли участниками деятельности;
­ систематической направленностью деятельности на получение прибыли;
­ самостоятельностью и осуществлением деятельности на страх
и риск предпринимателя;
­ распределением полученной прибыли между участниками
предпринимательской деятельности.
В условиях рыночной экономики, как показывает опыт развитых стран, институт коммерческой тайны является не меньшей общественной потребностью, чем система защиты государственных секретов. Однако коммерческая тайна не только непременный атрибут рыночной экономики. Она присутствовала и ранее в деятельности внешнеторговых организаций российского государства, которые на международном рынке были вынуждены руководствоваться общими «правилами игры», иначе вся внешнеэкономическая деятельность неизменно приносила бы государству убытки.
154
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Коммерческая тайна наряду с государственной, личной и семейной отнесена к числу видов информации ограниченного доступа Декларацией прав и свобод человека и гражданина (п. 2 ст. 13). Аналогичная норма содержится в ГК РФ.
Согласно ст. 139 ГК РФ:
­ информация составляет служебную или коммерческую тайну в случае, когда имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
­ к коммерческой тайне нет свободного доступа на законном основании, и ее обладатель принимает меры к охране ее конфиденциальности;
­ сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами;
­ информация, составляющая служебную или коммерческую
тайну, защищается способами, предусмотренными настоящим Гражданским кодексом и другими законами.
Режим банковской тайны регулируется следующими положениями (ст. 857 ГК РФ):
­ банк гарантирует тайну банковского счета и банковского
вклада, операций по счету и сведений о клиенте;
­ сведения, составляющие банковскую тайну, могут быть представлены только самим клиентам или их представителям;
­ государственным органам и их должностным лицам такие
сведения могут быть представлены исключительно в случаях, предусмотренных законом;
­ в случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать
от банка возмещения причиненных убытков.
С учетом последнего положения данной статьи банковская тайна
должна рассматриваться как разновидность коммерческой, поскольку ее
разглашение может привести к недополучению прибыли или принести
убытки банку. Для сравнения можно привести определение, которое дается в одной из американских работ по защите коммерческой тайны.
Учитывая практику судов в США, в 1979 г. Американской ассоциацией юристов был одобрен и вскоре принят многими штатами Акт
о коммерческой тайне, определивший коммерческую тайну следующим образом: «...информация, включая формулу, состав, комбинацию,
программу, приспособление, метод, технику или процесс, которая
имеет самостоятельную экономическую стоимость (используемую
или потенциальную) благодаря тому, что не является общеизвестной
или доступной людям, которые могут использовать ее в коммерческих целях, и является объектом разумных при данных условиях
усилий по ее защите».
155
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
В практике защиты коммерческой тайны в США коммерческая
тайна определяется как информация, включающая формулы, образцы,
состав, компиляции, программы, приспособления, методологию, технику или технологию, которая:
­ представляет самостоятельную экономическую стоимость
(используемую или потенциальную) вследствие своей уникальности и
за счет невозможности ее получения законным путем другими лицами, которые могут получить экономический эквивалент от ее использования или раскрытия;
­ является объектом действий, которые обоснованы при обстоятельствах, требующих ее сохранения в тайне.
Нормативные правовые акты Российской Федерации подтверждают приоритетность государственных секретов над коммерческой тайной
предприятия и возможность перехода из одной формы в другую.
Коммерческой тайной предприятия (фирмы) не должна быть
информация, сокрытие которой может нанести ущерб обществу.
В Законе РСФСР «О предприятиях и предпринимательской деятельности», в частности, указываются виды информации, которые
предприятие представляет государственным органам. Это информация, необходимая для налогообложения и ведения общегосударственной системы сбора и обработки экономической информации. Предприятие публикует сведения о своей деятельности, включая годовые
балансы, в порядке, устанавливаемом законодательством.
В определенных случаях научно-техническая, деловая информация может не классифицироваться как коммерческая тайна в силу
того, что это нецелесообразно из-за дороговизны защиты, трудности
охраны, отсутствия возможностей для этого, а также в связи с во зможностью использования сведений в рекламной деятельности. Некоторые юристы считают, что информация, описывающая отрицательные результаты поисковых работ, непроизводительные, дорогосто ящие методы, также имеет потенциальную стоимость и может являться
предметом тайны фирмы.
Права обладателя не будут нарушены, если конкуренты получат
секретные сведения в процессе исследований (реконструирования)
изделия, приобретенного законным путем, или информации о деятельности коммерческой структуры.
В качестве таких методов научно-технического прогнозирования, позволяющих получить информацию упреждающего характера
через открытые сведения, называют методы экстраполяции тренда
156
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
и авторегрессии1. Названные методы на основе математической обработки значений характеристик, принимавшихся на ретроспективном
периоде развития, позволяют рассчитать численное значение характеристики на заданный момент времени и оценить точность прогнозирования. Предполагается, что конкурирующая фирма располагает информацией о предыстории развития нового объекта-системы и может
использовать методы экстраполяции в полном объеме.
Методы корреляционного анализа на основе математической
обработки совокупности значений характеристик систем-аналогов
позволяют установить вид их взаимозависимости и по набору известных характеристик нового образца рассчитать значения неизвестных
характеристик, являющихся объектом защиты. Конкурирующая фирма может использовать в качестве исходных данных характеристики,
в
том числе собственных изделий того же класса, нового изделия.
Метод опережающей информации на основе анализа темпов
научно-технических публикаций и тематики патентования позволяет
определить направления научно-технических прорывов, сформировать облик нового изделия.
Методы построения сценариев и морфологического анализа на
основе совокупной информации о фирме-разработчике и рынках сбыта позволяют определить варианты облика нового образца и оценить
диапазон возможных значений его характеристик, установить наиболее вероятные факторы, определяющие конкурентоспособность изделия и подлежащие уточнению и конкретизации.
К легальным методам сбора сведений, составляющих коммерческую тайну, можно отнести:
­ приобретение открытой литературы, периодических изданий и других материалов об интересующем объекте;
­ выведывание информации у граждан на официальных приемах, симпозиумах, конференциях, при частных встречах, а также
направление запросов в различные организации и учреждения, анкетирование и т. п.;
­ визуальное наблюдение;
­ сбор материалов, открыто экспонируемых или публикуемых их
владельцами: брошюр, статей, проспектов и других рекламных изданий,
экспонатов выставок и ярмарок, пояснений стендистов, выступлений на
съездах, конференциях, объявлений о конкурсах, вакансиях и др.;
­ проникновение в банки данных о предприятиях, создаваемые
различными фирмами и акционерными обществами;
См.: Иванов М.Н., Пахомова А.С. Подход к прогнозированию направлений промышленного шпионажа в отношении конкурентоспособных изделий // Вопросы защиты информации. 1994. № 2 (27). С. 31–33.
1
157
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ изучение рынка по публикациям в периодической и деловой
печати;
­ изучение материалов судебного разбирательства предприятия,
являющегося конкурентом, если оно оказалось одной из сторон с удебного разбирательства.
Секретная информация может на коммерческой основе продаваться другому предприятию с заключением договора о неразглашении полученных сведений. В таком случае оба обладателя данной информации будут вынуждены обеспечить ее охрану.
Важно понимать, что в рыночной экономике информация является ценным товаром и подчиняется законам товарно-денежных отношений. Неправомерное овладение чужими информационными ресурсами с целью их использования является наиболее опасной формой
недобросовестной конкуренции. Защита коммерческой тайны – важное условие получения предприятием максимальной прибыли,
предотвращения банкротства. Экономическая безопасность предприятия не может быть обеспечена, если эту задачу не будут решать коллективы предприятий (фирм), осознающие неразрывность своих личных интересов с интересами данного предприятия (фирмы).
Подводя итоги изложенного, можно привести следующее определение коммерческой тайны. Коммерческой тайной является специально охраняемая владельцем документированная или зафиксированная на определенных носителях информация, касающаяся деятельности организации или предприятия, представляющая для владельца
ценность исходя из его видения реализуемого им вида деятельности,
стоящих перед ним целей и не подпадающая под ограничения, вводимые государством.
4.2. Методические положения по определению и отнесению
сведений, составляющих коммерческую тайну
Согласно ст. 3 Закона о коммерческой тайне, информация, составляющая коммерческую тайну, – это научно-техническая, технологическая, производственная, финансово-экономическая или иная
информация, в том числе составляющая секреты производства (ноухау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет
свободного доступа на законном основании и в отношении которой
обладателем такой информации введен режим коммерческой тайны.
Конкурентная борьба при реализации коммерческой деятельности неизбежно предполагает сохранение в тайне сведений, овладение
которыми посторонними лицами могло бы в значительной степени
ослабить позиции предприятия (фирмы) и даже нанести ему невос158
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
полнимый экономический ущерб. С учетом этого возникает проблема
определения конкретных сведений, которые должны быть отнесены
к коммерческой тайне предприятия (фирмы).
Существуют три методологических подхода к определению состава этих сведений:
­ исходя из модели интересов конкурентов, проявляемых к объекту, предмету защиты и информации о них;
­ исходя из системы ценностей объекта и предмета защиты и их
информационного представления;
­ на основе обобщенной модели, построенной с учетом достоинств и недостатков двух вышеуказанных подходов.
Практика защиты коммерческой тайны в США предлагает двучленное деление сведений, составляющих коммерческую тайну:
­ технология, которая включает все те секреты, которые характеризуют производство, техническую и технологическую стороны деятельности предприятия;
­ деловая информация – сведения, связанные с планированием
производства и сбытом продукции.
Методика выделения из всего объема собственной информации
предприятия ее наиболее ценных частей часто увязывается тесным
образом с процессом производства товаров (услуг) и вытекает из
практики конкурентной борьбы. Это обусловлено тем, что факторы,
влияющие на конкурентоспособность, могут приносить положительные результаты при условиях их сокрытия от производителейсоперников.
Другие методики строятся на основе учета закономерностей рыночных отношений, в частности закона стоимости, где спрос на пр одукцию всецело регулирует предложение: и количество, и качество
производимых товаров, и их стоимость. При их разработке предполагается, что получение прибыли – одна из главных задач коммерческой
деятельности, а сама прибыль – важнейший показатель деятельности.
В качестве цели деятельности рассматривается максимальное удовлетворение потребителей при минимальной себестоимости изготовления и оптимальной рентабельности производства.
Различают информационную значимость сведений, составляющих коммерческую тайну, входящих в состав таких элементов конкуренции, как ценовые и неценовые факторы.
Исследование торговли между США и ФРГ в 1971 г. показало,
что сравнительное ценовое преимущество обеспечивает только 28 %
торгового успеха. Данные 1983 г., собранные в Англии, говорят о том,
что в 80 % случаев решения о покупке товаров за рубежом принимаются на основании так называемых неценовых факторов. В 1984 г.
британский Институт маркетинга обратился к руководителям с просьбой
159
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сообщить, какие факторы оказались наиболее важными для налаживания их коммерческой деятельности. На цену сослались менее 1/5 из
1775 опрошенных (17 %). Шесть из каждых десяти поставили на первое место эксплуатационные характеристики или дизайн товара. Победители ведут конкурентную борьбу, предлагая товары, имеющие
наибольшую ценностную значимость для клиентов, а не более дешевые. Таким образом, успех зависит от создания товаров, которые люди хотят покупать. Цена – всего лишь один из элементов эффективной
конкуренции. На основе результатов таких исследований делают вывод о преимущественном значении ценности коммерческой тайны
предприятия, отражающей эксплуатационные характеристики или дизайн товара, его качество.
К наиболее ценной информации, в значительной мере определяющей успех в соперничестве на рынке, относят:
­ наличие сил и условий для защиты экономических секретов;
­ данные, которые могут быть использованы для нанесения
ущерба репутации предприятия (фирмы);
­ информацию о кадрах (текучесть, оплата, меры поощрения,
ведущие специалисты, места их работы по совместительству и т. п.);
­ оборот предприятий;
­ производственные, коммерческие и финансово-кредитные отношения с партнерами;
­ научно-технический потенциал предприятия;
­ уровень и организацию производства;
­ размеры и технический уровень производственных мощностей и технологии;
­ ценовую политику;
­ сбытовую политику (время поставок), рекламную деятельность, планы по формированию спроса на товар, объем продаж, планируемые периоды и места появления новых товаров на рынке, пути
товародвижения;
­ сведения, связанные с изучением запросов (требований) покупателей на предполагаемый к выпуску товар, а также перспективный прогноз;
­ данные о соответствии продукции конкурента характеру
и структуре общественного спроса;
­ информацию о незащищенности патентами изобретений, использованных в товаре, и т. д.
По мнению специалистов в области сохранения экономических
секретов, в условиях конкуренции необходимо осуществлять защитные меры по отношению к следующим сведениям:
­ расчетам, размерам цен, скидок и обоснованию сделок;
­ условиям платежа, кредита;
160
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
­ технологии изготовления, перспективным технологическим
процессам, технологическим приемам и оборудованию, в том числе
переданному предприятию в условленном порядке;
­ модификации и модернизации ранее известных технологий,
процессов;
­ характеристике предприятий и организаций как торговых
партнеров (основные производственные фонды, товарооборот, пр ибыль, кредиты и т. п.);
­ планам предприятия по расширению производства (кроме
оговариваемых на переговорах);
­ новым разработкам, которые не пущены в серию и не относятся к категории госсекретов;
­ перспективным методам управления производством;
­ конкретным направлениям в торговой политике и т. д.
Объектом промышленного шпионажа могут стать документы,
записи, отчеты, протоколы, чертежи, материалы, образцы, штаммы
микроорганизмов, модели, приборы, вещества и другие источники
информации, принадлежащие предприятию и составляющие его тайну, в виде формул, технических проектов, ноу-хау, результатов научных исследований, программного продукта, произведений эстетического характера, а также калькуляций издержек производства, структуры цены, контрактов, данных о поставщиках и клиентах, сведений о
конфиденциальных деловых переговорах, обзоров рынка, маркетинговых исследований, планов развития предприятия, их инвестиций и
иных сведений, представляющих предпринимательский интерес.
В целях получения информации, необходимой для заключения
выгодных контрактов, могут использоваться торговые переговоры.
Исследование механизма противоборства в торгово-экономической
сфере, ведущегося в связи с заключением и реализацией контрактов,
позволяет заключить, что для контракта может использоваться такая
мера, как предложение контрагенту более льготных платежей по контракту (для этого требуется информация как о самом контракте, так и
об условиях платежей по нему). В этой связи нераспространение подобной информации (ее засекречивание, достижение определенной
договоренности о неразглашении сведений по данному вопросу
с контрагентом и т. п.) затрудняет действия возможного конкурента.
Предметом защиты в связи с заключением и реализацией контракта являются:
­ объемы экспортных поставок и услуг по контрактам;
­ цена на поставляемые товары и услуги;
­ валютно-финансовые условия контрактов;
­ суммы валютных поступлений от реализации контрактов.
161
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
При заключении контрактов огромное значение имеет информация, касающаяся:
 платежеспособности контрагентов (а также субподрядчиков
и субпоставщиков) и получения гарантий расчета;
 наличия гарантий добросовестного сотрудничества, возможности применения к ним действенных экономических санкций;
 привязки покупаемой технологии, уникального оборудования
к выпуску монопольных материалов;
 возможности использования технологии, оборудования для
выпуска уже устаревших, экономически вредных, технически не отработанных, дорогостоящих изделий;
 поставки оборудования, технологии, обеспечивающих единство проведения работ с отечественными и зарубежными партнерами;
 наличия финансовых затруднений у контрагента.
Чтобы избежать ошибок необоснованного засекречивания, специалисты должны знать общие правила классификации и критерии
отнесения информации к экономическим секретам. Наиболее общими
критериями при определении секретности информации являются следующие:
­ важность информации для достижения прибыли в конкурентной борьбе;
­ выигрыш во времени для предприятия в сравнении с конкурентами;
­ быстрое развитие технологий и сокращение сроков между
проведением исследования и его применением на практике;
­ трудозатраты для получения информации (если на ее получение затрачено много времени, людских и материальных ресурсов, то
целесообразно, чтобы конкуренты потратили на ее получение не
меньше сил и средств);
­ монополия предприятия на информацию по данной технологии;
­ степень очевидности использования информации конкурентом в случае ее опубликования (нужно представить, может ли ктолибо другой понять значение открытых ограниченных сведений);
­ оценка возможности самостоятельного получения технологии
конкурентами, в какие сроки;
­ оценка имеющихся на предприятии возможностей защиты
экономических секретов;
­ избежание установления связи данной информации со скрытно проводимыми на предприятии работами по изготовлению конкурентоспособных изделий, раскрытия их основных характеристик.
Информация может также рассматриваться как секретная, если:
162
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
1) технико-экономические характеристики образца изделия
имеют преимущества перед изделиями конкурента;
2) уникальные разработки и необычное применение материалов технологических процессов создают реальные условия для появления существенных преимуществ.
Конкуренция, по мнению экономистов, возникает, когда шесть
и более производителей выпускают товары, предназначенные для
удовлетворения сходных потребностей. При наличии в продаже нескольких видов товаров, имеющих примерно одинаковые потребительские свойства, у потребителя возникает возможность выбора,
а производитель попадает в вынужденные условия соперничества.
Преимущества имеет тот изготовитель, который выпускает товар,
наиболее полно отвечающий запросам покупателя.
Логика поиска информационных блоков сведений, составляющих коммерческую тайну, подводит к выводу, что такими сведениями
является собственная (научно-технологическая и деловая) информация предприятия (фирмы), отражающая реальные и возможные преимущества выпускаемого товара. Эти преимущества могут достигаться различными способами.
Основными средствами и факторами маркетинга, которыми
предприятие может управлять, являются:
- цена товара (издержки производства);
- собственно товар (качество, новые товары);
- время и место продажи;
- система продвижения товара на рынке;
- время поставок;
- послепродажное обслуживание (сервис).
Характерные черты современной конкуренции в экономически
развитых государствах – это неценовые факторы и предельное сокращение времени на создание новинок. В основе неценовой конкуренции лежит не цена товара, а его качество, сервисное обслуживание, репутация фирмы. При этом качество товара рассматривается как
совокупность свойств и характеристик продукции или услуг, которые
позволяют им удовлетворить имеющиеся или предполагаемые запросы потребителей.
Следует особо отметить, что конкурентная способность любого
товара определяется совокупностью тех свойств, которые представляют интерес для покупателей и обеспечивают удовлетворение имеющихся потребностей. Другие параметры, выходящие за указанные
рамки, при оценке не учитываются.
Сведения, с помощью которых описываются приоритеты качества товара (услуги) предприятия или фирмы, пути и способы их до-
163
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
стижения, в обязательном порядке включают в себя информацию, составляющую коммерческую тайну.
В целях более детального определения сведений, которые можно отнести к коммерческой тайне, целесообразно дифференцировать
информационные блоки, использование которых обеспечивает преимущество в конкурентной борьбе за счет повышения качества, снижения цен, предоставления льгот, рекламы, развития послепродажного обслуживания, создания новых товаров и услуг. В связи с постоянно меняющимся спросом и предложением предприятия (фирмы) вынуждены менять формы и методы конкурентной борьбы, ее информационное обеспечение. Это, в свою очередь, приводит к изменению
сведений, составляющих коммерческую тайну. Определенные сведения переходят в разряд коммерческой тайны, а конкретные, охраняемые ранее данные рассекречиваются, изменяется ценность закрытых
сведений.
Таким образом, коммерческая тайна представляет собой непрерывно меняющийся во времени фактор, длительность существования
которого зависит от конкретных условий соперничества.
Временной диапазон защиты конкретных сведений довольно
широк и может колебаться от нескольких минут (разработанная тактика проведения деловых переговоров) до нескольких лет (состав
духов). Огромную роль в конкурентной борьбе наряду с приданием
изделию нужных качеств играет время, которое затрачивается на создание новинок. Чем короче период между замыслом и конкретной
вещью, тем больше у фирмы шансов опередить конкурентов. Успех
равнозначен степени опережения. Такова природа современного рынка. Некоторые фирмы не просто создают товары, которые предпочитают покупать, но и делают это вдвое быстрее других. И эта скорость
уже сама по себе становится новой угрозой, что хорошо видно на
примерах ряда фирм.
В британском филиале концерна «Оливетти» разработка товара
обычно занимала два года. Сегодня он выдает изделия массового дизайна за два месяца. Благодаря стремительности выведения товара на
рынок японские фирмы вытесняют медлительных конкурентов. На
японском рынке ежегодно появляется около 20 тысяч новинок. По
данным фирмы «Сони», создание несложных в технологическом отношении новинок с момента зарождения замысла до появления товара
на рынке занимает у них шесть месяцев, новинок высокой технологии
– один год. Фирма «Филипс» на разработку одного из видов новинок
высокой технологии затрачивает 14 месяцев. На разработку изделий
незначительной степени сложности уходит 10 месяцев, а не 18, как
было раньше.
164
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Положительные результаты в конкурентной борьбе могут отсутствовать, если информация (коммерческая тайна) о товаре, его качестве, сроках его выведения на рынок станет известна экономическим соперникам. Поэтому преимущество во времени как фактор конкретной борьбы может быть реализовано только при обеспечении
неразглашения коммерческой тайны предприятия (фирмы).
При определении ценности информации следует учитывать
мнение экспертов об условиях успеха при продаже продукции. Английские исследователи установили, что рыночные факторы по своей
значимости в 4 раза превышают научно-технические. Приведенные
данные говорят об особой ценности сведений, содержащихся в маркетинговых исследованиях и необходимости их эффективной защиты.
При организации защиты товаров, сведения о которых могут составлять коммерческую тайну, необходимо провести оценку перспективности имеющегося на предприятии набора товаров. Один из самых
распространенных методов оценки – метод, получивший название
«Матрица Бостонской консультативной группы». В соответствии с
этим методом в первую очередь выделяются четыре типа производимой продукции.
Первый тип – «звезды». На рынке этих товаров позиции фирмы
выигрышны, и спрос на них растет высокими темпами. Поэтому необходимо обеспечить их производство и защиту связанных с ними промышленных секретов.
Второй тип – «дойные коровы». Это основной источник прибыли предприятия. Фирма занимает устойчивое положение на рынке
этих товаров, но перспективы увеличения спроса неблагоприятны.
Расходование средств на их дальнейшее развитие следует проводить в
ограниченных количествах.
Третий тип – «дикие кошки» («младенцы»). Емкость рынка данных товаров будет расти, но фирма контролирует его небольшую долю.
В этом случае нужны дополнительные исследования, способные установить, могут ли «дикие кошки» при соответствующих капиталовложениях превратиться в «звезды». От результатов исследований будет зависеть и уровень обеспечения сохранности коммерческой тайны.
Четвертый тип – «собаки на сене». Это неперспективные товары. Возможность роста объема их продаж незначительна, низка доля
фирмы на рынке. От производства этих товаров надо избавляться как
можно скорее, поскольку они способны принести убыток в будущем.
Следовательно, к более строгой защите следует отнести сведения,
касающиеся производства товаров первого типа. Требуют внимания вопросы обеспечения сохранности экономических секретов по третьему
типу товаров, которые могут превратиться в первый тип. Объем секре-
165
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тов по второму типу продукции незначителен и будет сохранять тенденцию к уменьшению, в особенности в области технологии.
4.3. Методические положения по определению содержания
объекта защиты коммерческой тайны
В предыдущем разделе был рассмотрен вопрос определения содержания понятия коммерческой тайны с позиций анализа существующих правовых актов. В то же время вопрос определения понятия
коммерческой тайны может быть рассмотрен и с методологической
точки зрения системного и деятельностного подходов.
Системный подход предполагает представление объекта рассмотрения (коммерческой организации) в виде совокупности элементов, отношений между ними, правил композиции и декомпозиции
элементов и отношений, наличия целей и среды. Подход предполагает
наличие полисистемности и полиструктурности.
Полисистемность – это принцип, в соответствии с которым
допускается признавать рассматриваемую систему, с одной стороны,
как подсистему системы более высокого уровня (например, как дочернее предприятие), а с другой – как разбиение ее самой на подсистемы и элементы (например, предположение наличия у коммерческой организации дочерних предприятий). Элементы системы допускается рассматривать как системы при изменении исследовательских
целей разработчика.
Полиструктурность – принцип, в соответствии с которым допускается характеристика одного и того же объекта (системы, коммерческой организации) посредством описания его различных структур, получаемых комбинированием типов элементов и отношений
между ними, а также изменением законов комбинации. Каждая из
структур описывает свой предмет, рассматриваемый в системе,
например, подсистемы и деятельность органов управления, подсистемы материального снабжения, энергетического обеспечения и информационного обслуживания, подсистемы ИБ и охраны коммерческой
организации.
Этот подход предполагает также учет нахождения рассматриваемого объекта в различных стадиях существования. В частности, к
последним можно отнести стадии рождения (исследования, проектирования, разработки); существования (введения в эксплуатацию, эксплуатации, использования, функционирования), а также гибели (снятия с производства, утилизации).
Данный принцип допускает учет наличия у системы внешнего
окружения. Так, можно говорить о наличии внешней по отношению к
системе среды, внутренней среды, их организации и об отношении
166
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
системы и внешней среды. Внешняя среда может быть агрессивной,
партнерской, дружественной и т. д. Внешнюю среду можно декомпозировать и по производственному принципу, например, разделять
среду сырьевого (покупки) и товарного (сбыта, продажи) рынков.
Отношения могут рассматриваться в вещественном, энергетическом и информационном планах и носить направленный характер. На
основании понятия отношений могут строиться вещественные, энергетические и информационные потоки, рассматриваемые как возможные каналы утечки информации к конкуренту или как каналы агрессивного, недоброжелательного проникновения партнера в деятельность коммерческой организации. Информационные отношения могут
быть направлены как от системы к среде (от защищаемого объекта к
конкуренту), так и от конкурента к системе (например, с целью завладения, хищения, модификации, искажения, подмены, уничтожения
защищаемой коммерческой информации). Разделение на среду и
систему позволяет говорить о циркуляции информации во внешней
среде, во внутренней среде системы, между системой и средой.
Одной из разновидностей организации защищаемого объекта
является организация с целью реализации какой-либо деятельности.
Исходная схема деятельности достаточно тривиальна.
Всякая деятельность предполагает наличие:
 объекта деятельности (сырье, вещество, материалы, информация, товары и т. д.) и цели работы с ним;
 средств, метода и самого процесса деятельности производственной системы, обеспечивающего реализацию стадий преобразования, транспортировки, построения, продажи, видоизменения объекта деятельности;
 системы, которая организует процесс деятельности субъекта
(предпринимателя, владельца, собственника и т. д.);
 результата деятельности и системы, на которую этот результат воздействует или которая этот результат использует (потребляет).
Результатами деятельности могут быть услуги, товары, вещества, материалы, системы, документы, информация и т. д. Если предположить, что результатом деятельности является измененное состояние субъекта, то в этом случае результат, субъект и система, потребляющая результат, – это один объект, который в дальнейшем можно
называть просто результатом. При данном предположении исходная
схема деятельности сводится к цепочке: «объект деятельности – деятельность – результат деятельности».
Пусть объект деятельности, деятельность и результат деятельности в данной цепочке – это некие лингвистические переменные,
принимающие определенные значения. Например, в качестве объекта
деятельности могут выступать явления, системы, феномены искус167
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ственного или природного происхождения. Деятельность может быть
конкретизирована ее отдельными видами: практическая, познавательная, отражательная, трудовая и т. д. Результатом могут выступать,
например, материальные (орудия труда, технические устройства, документы) и идеальные (информация, знания, гипотезы, образы) объекты.
Изменяя значения лингвистических переменных, можно получить так называемую деятельностную ситуацию. Коммерческую деятельность, направленную на получение какого-либо результата, можно рассматривать как одну из таких деятельностных ситуаций.
Объект деятельности (объекты) – то, на что направлено воздействие средств (методов) деятельности.
В качестве объекта деятельности могут выступать системы, явления, процессы, а также вещество, энергия и информация. Некий
объект, например, может быть вовлечен в деятельность по защите
коммерческой тайны.
Деятельность (процесс) – форма отношений, реализуемых
средствами деятельности между ее объектом и субъектом, содержание
которых составляет целесообразное изменение и преобразование объекта. В результате деятельности вещество, энергия и информация могут за счет дополнительной информации, являющейся внутренним
информационным ресурсом, выполняющей синергетические, системообразующие функции, приобретать новые качества. Объекты деятельности получают новые качества и в случае их объединения в технологическом процессе с энергией, веществом и информацией. Однако при этом всегда должна присутствовать системообразующая информация, которая отличается от информации, выполняющей функции объекта деятельности. Так, Закон об авторском праве (ст. 7) применяет термины «производные произведения» и «составные произведения».
К производным произведениям (результатам творческого труда,
деятельности автора произведения) относятся переводы, обработки,
аннотации, рефераты, резюме, прочие произведения науки, литературы и искусства, т. е. произведения, построенные на материалах других
произведений. Производные и составные произведения охраняются
авторским правом независимо от того, являются ли объектом авторского права произведения, на которых они основаны или которые они
включают. Таким образом, производные произведения – это результат
применения системообразующей информации к информации, имеющейся в произведениях, на которых они основаны.
168
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
То же можно сказать и об объектах как результатах производственной деятельности. Информация о конструктивном объединении
деталей в изделии выступает с рассматриваемых позиций системообразующей для вещества. Присутствует она и в сигналах вещания систем связи и радиотехнических средств массовой информации. При
этом следует заметить, что в конструктивных решениях материалов,
в структуре вещества она может быть неявной. В большинстве случаев коммерческой деятельности эта «неявность» и является предметом
заботы системы защиты информации.
Результат деятельности (продукт) – измененный или (и)
преобразованный объект, зафиксированный в некоторой форме в некоторой системе. Так, результат деятельности по сбыту товара – прибыль – это измененная в процессе продажи стоимость.
С учетом наличия синергетической, системообразующей функции информации можно утверждать, что результат деятельности выступает в роли ее формы и защита этой формы представляет собой
разновидность защиты информации.
Поскольку результат деятельности предназначен потребителю,
информация, заложенная в нем, является всегда открытой и нуждается
в так называемой открытой системе защиты информации. Эта защита осуществляется в рамках патентного, авторского и смежного
права. Однако иногда прибегают и к защите этой информации с помощью средств закрытой системы информации, обеспечивающей
препятствие несанкционированному доступу к этой информации.
Например, прибегают к заливу компаундными смолами наиболее
важных блоков, устанавливают устройства, разрушающие изделие
при доступе к его определенным частям. В системах связи приб егают к шифрованию.
Из цепочек, включающих объект, деятельность и продукт, могут
создаваться цепочки различной длины, состоящие из некоторого количества исходных цепочек. При этом продукт предыдущей цепочки
рассматривается и как объект для последующей цепочки.
В контексте конкретных видов деятельности (отражательной,
познавательной, трудовой, писательской и иной) ее объекты и результаты имеют свои имена. Деятельностная ситуация является объектом
защиты. Предметом защиты может быть одна из сторон (часть) деятельности.
Объект и предмет защиты проявляются в сведениях (признаках)
о них, а сама схема (модель) деятельности может выступать в качестве
системообразующей схемы для классификации информации, подлежащей защите при реализации коммерческой деятельности.
169
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Объект и предмет деятельности и информация, их отражающая,
определяют содержание механизмов защиты коммерческой тайны.
Конкретные объект, предметы и информация определяют конкретность и эффективность этих механизмов, в том числе правовых.
4.4. Основные положения по защите коммерческой тайны
Направления защиты информации в ходе коммерческой деятельности можно классифицировать:
 по собственнику коммерческой информации – межгосударственная, государственная, муниципальная, общественная, личная,
индивидуальная, коллективная информация;
 типу защищенности информации – доступная и незащищенная законодательно или доступная, но охраняемая законодательно;
 видам охраняемых тайн – защита государственной тайны, защита межгосударственных секретов, защита коммерческой тайны;
 группам используемых для защиты информации сил,
средств и методов – правовая, организационная, инженернотехническая, программно-математическая, административная, социально-психоло-гическая, финансовая защита информации;
 степени доступности защищаемой информации – доступная и недоступная информация;
 степени санкционированности доступа к информации – санкционированный и несанкционированный доступ.
К защищаемой информации относят секретную и конфиденциальную информацию. Секретную информацию в настоящее время составляют сведения, содержащие государственную тайну.
К конфиденциальной информации относят сведения, содержащие коммерческую тайну, а также тайну, касающуюся личной (неслужебной) жизни и деятельности граждан.
Таким образом, под защищаемой информацией понимают
сведения, на использование и распространение которых собственником введены ограничения.
На первый взгляд, неявный аспект проблемы ИБ связан с охраной открытых сведений, доступ к которым имеет, в принципе, неограниченный круг потенциальных пользователей. Это, помимо сырья, в
частности, касается конечного продукта коммерческой деятельности,
в котором информация зафиксирована либо в виде документа, либо в
виде объемно-пространственного объекта. Право собственности,
определяемое правом авторства на интеллектуальную собственность,
накладывает определенные ограничения на ее использование и распространение. Важнейший вид интеллектуальной собственности –
170
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
промышленная собственность, к которой относятся такие сведения,
как изобретения, промышленные образцы, полезные модели, товарные знаки, знаки обслуживания и наименования мест происхождения
товара.
В мировой практике авторство, право собственности и нормы
использования первых трех групп сведений определяются патентным
законодательством. Институт патентной охраны технических решений
на современном этапе вхождения в рыночную экономику имеет существенные особенности, основная из которых – защита экономических
интересов собственников данного вида информации, что дает основание рассматривать его как элемент правового обеспечения безопасности информации.
В соответствии с Патентным законом РФ под промышленной
собственностью понимаются технические или художественноконструкторские решения, обладающие новизной и промышленной
применимостью. Последнее условие резко сужает круг объектов патентного права или охраноспособной информации до сведений, которые тем или иным способом могут быть воплощены в материальном
виде.
Значительный объем ценной информации не подпадает под
охрану Патентного закона, где дан подробный перечень объектов, которые могут быть признаны изобретениями, и исчерпывающий перечень сведений, не относящихся к ним. В частности, не могут быть
признаны изобретениями научные теории, методы организации
и управления хозяйством, правила, методы выполнения умственных
операций, алгоритмы и программы для вычислительных машин.
В то же время возможность получения значительного экономического эффекта от указанных видов информационного ресурса очевидна. Поэтому необходим правовой механизм охраны таких сведений. В принципе, некоторые из них могут быть объектами авторского
права как произведения науки, по аналогии с произведениями литературы и искусства. Уже сделаны первые шаги в этом направлении,
и объектами авторского права признаны программы для ЭВМ и базы данных, а также топологии интегральных микросхем. Остальные
сведения могут подпадать под действие авторского права лишь в той
степени, в которой они тем или иным способом могут быть отнесены
к произведениям науки.
Применение норм охраны авторского права для охраны научнотехнических сведений – совершенно новая и неизведанная область
в сфере защиты информации. Тем не менее уже существует правовая
база, требующая своей реализации в практической деятельности специалистов по защите информации.
171
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Одна из важнейших сторон проблем ИБ, отличительная черта
которой – конфиденциальность охраняемых сведений, может быть
названа проблемой защиты от несанкционированного доступа (НСД),
а комплекс мер, ее обеспечивающий, – закрытой системой защиты
информации. Защита от НСД – явный аспект проблемы ИБ, когда
экономический или другие виды эффекта достигаются именно за счет
соблюдения условий конфиденциальности.
Система правовой регламентации защиты коммерческой тайны
является двухуровневой. На первом уровне стоят законодательные акты государства, регламентирующие деятельность предприятий
в области защиты коммерческой тайны, определяющие объем их
прав и обязанностей в области защиты их собственности в виде такой
информации, объявленной предприятием коммерческой тайной.
На втором уровне находятся нормативно-правовые документы,
регламентирующие организацию, порядок и правила защиты коммерческой тайны на предприятии. К этой группе можно отнести:
 устав предприятия, в котором указываются цели его деятельности, права, в том числе право иметь коммерческую тайну и осуществлять ее защиту;
 коллективный договор, в котором определяются права и обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий
и средств ее защиты;
 правила внутреннего трудового распорядка, в которые также
могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе коммерческую тайну;
 инструкции, определяющие организацию, порядок и правила
защиты коммерческой тайны на предприятии;
 положения, регламентирующие права и деятельность различных подразделений этого предприятия, например службы безопасности предприятия;
 перечень, реестр – документы, определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия. В этих перечнях следует также указывать сроки засекречивания
коммерческой информации и уровень ее защиты.
Организационно-правовая система защиты коммерческой тайны
базируется на правовых нормах гражданского законодательства. Право фирмы на получение, владение и распоряжение коммерческой информацией, а также на осуществление мер по обеспечению ее защиты
устанавливается в уставе предприятия посредством отражения в нем
следующих положений, закрепляющих:
172
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 право предприятия на получение, владение и распоряжение
конфиденциальной информацией и объектами интеллектуальной собственности;
 перечень конфиденциальной информации и объектов интеллектуальной собственности фирмы, подлежащих защите от недобросовестных конкурентов и устремлений злоумышленников;
 порядок организации указанной защиты;
 координацию работ по обеспечению защиты конфиденциальной информации и объектов интеллектуальной собственности – осуществляется правлением фирмы (исполнительный орган), соответствующие обязанности которого отражаются в коллективном договоре на календарный год.
На крупных предприятиях указанные положения устава являются основанием для учреждения самостоятельного или вход ящего в состав СБ специализированного подразделения по защите
коммерческой тайны, которому вменяется в обязанность:
 выявление и оценка угроз, создаваемых внешними и внутренними источниками опасности;
 выявление потенциальных каналов утраты (разглашения,
утечки) конфиденциальных сведений и разработка мер по их блокированию;
 определение условий экономической целесообразности защиты коммерческой тайны;
 синтез, оптимизация и технико-экономическое обоснование
системы защиты коммерческой тайны;
 организационный и технический контроль состояния системы
защиты коммерческой тайны.
Положения устава фирмы, относящиеся к обеспечению защиты
коммерческой тайны, предоставляют право на обращение в арбитражный суд с заявлением о возмещении убытков (реального ущерба или
упущенной выгоды), причиненных фирме другими физическими и
юридическими лицами.
Реализация намеченных целей и задач защиты коммерческой
тайны осуществляется на основе разработки и введения в действие
в пределах компетенции фирмы организационно-методических документов, к числу которых относятся инструкции, регламентирующие:
 распределение обязанностей между должностными лицами
фирмы в части обеспечения защиты коммерческой тайны;
 порядок обеспечения защиты коммерческой тайны в структурных подразделениях фирмы;
173
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 порядок обеспечения защиты коммерческой тайны в процессе регулирования деловых отношений фирмы с российскими
и иностранными партнерами.
Основным условием обеспечения сохранности коммерческой
тайны является персональная ответственность должностных лиц фирмы всех уровней и ее других работников, которым предоставлен доступ к коммерческой тайне, за соблюдение режима конфиденциальности, установленного упомянутыми организационно-методи-ческими
документами (доводятся до сведения указанных лиц под расписку).
Должностные лица и сотрудники организации (фирмы) в случаях разглашения ими информации, составляющей предмет защиты
конфиденциальных интересов, нарушения порядка обращения с материальными носителями конфиденциальной информации или средствами информатизации и связи, используемыми для обработки и передачи указанной информации, а также несанкционированного ознакомления с объектами интеллектуальной собственности посторонних
лиц несут дисциплинарную и материальную ответственность.
Обязанность возмещения убытков от указанных неправомерных
действий виновным лицом возникает в случае, если условия о соблюдении конфиденциальности включены в трудовой договор с работником или гражданско-правовой договор с контрагентом (ч. 2 ст. 139
ГК РФ). В случае деловых контактов фирмы с иностранными партнерами взаимные обязательства сторон о неразглашении информации,
которая определяется ими как конфиденциальная, срок действия этих
обязательств, санкции за их невыполнение и другие аспекты отражаются в рамках документа о намерениях сторон.
Передача конфиденциальной информации и объектов интеллектуальной собственности другим физическим и юридическим лицам
производится на основе лицензионного договора.
До середины 90-х годов государство практически монопольно
выступало субъектом правоотношений в сфере владения, пользования
и распоряжения информационным ресурсом. В такой ситуации проблема ИБ довольно успешно решалась с помощью хорошо организованной системы защиты государственных секретов и служебных сведений. Законодательная поддержка осуществлялась статьями Уголовного кодекса, а также правительственными и ведомственными нормативными актами.
Отсутствие монополизма и конкуренция заставляют предприятия любой формы собственности испытывать потребность в защите
сведений, не подпадающих под категорию государственной тайны, но
имеющих конфиденциальный характер, т. е. сугубо ограниченного
использования. Возникает общественная потребность в создании института коммерческой тайны. Строгая государственная централизация
174
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
в данном случае неприменима, так как, с одной стороны, отнесение
сведений к коммерческой тайне – это сугубо индивидуальное дело
субъектов правоотношений, а с другой – централизованный учет многообразия защищаемых сведений есть задача нереальная. Определяющим фактором здесь является риск собственника информации, связанный с экономическим ущербом или недополучением прибыли.
Механизм и технология защиты информации в этом случае мала, чем
она и отличается от системы защиты государственных секретов. Однако выбор видов и форм услуг по защите и степени защищенности –
это компетенция самого собственника. В то же время законодательство должно гарантировать защиту его прав в случае возникновения
конфликтных ситуаций.
Сама технология работы по защите коммерческой тайны мало отличается от защиты государственных секретов, составляя, в сущности,
также проблему защиты от утечки информации. Поэтому полностью
применимы все организационно-распорядительные документы и методы, связанные с обеспечением государственной тайны. Только в данном
случае они носят не нормативный, а рекомендательный характер.
Коммерческая тайна – объект экономических интересов, и это
позволяет предусмотреть соответствующие санкции при ее разглашении в особых условиях хозяйственных и трудовых договоров.
Что касается организации системы защиты коммерческой тайны
внутри предприятия, то администрация вправе включить соответствующие условия в устав, коллективный трудовой договор и правила
внутреннего распорядка. В таком случае ответственность наступает
по фактам несоблюдения договорных обязательств и невыполнения
условий внутрифирменных нормативных документов, а соответствующие санкции определены и могут быть применены по нормам гражданского, хозяйственного и трудового права, предусматривающим
имущественную, административную и дисциплинарную меру ответственности. В случае если по факту разглашения коммерческой тайны будет доказан факт изъятия из фондов материальных
и финансовых ценностей, то могут быть применены и нормы уголовного права.
Другими факторами, обусловившими появление необходимости
института коммерческой тайны, могут быть названы:
 пробелы в законодательстве об авторском праве на интеллектуальную собственность, отсутствие методик количественного измерения интеллектуального продукта;
 недобросовестная конкуренция (ее истоки лежат в природе
некоторой части людей). Природа дала человеку способности порождать желания и искать возможности их удовлетворять. Некоторые из
людей имеют большие желания (честолюбивые устремления), но не
имеют возможности удовлетворить их за счет своих материальных
и интеллектуальных ресурсов. Не осознавая разницу между желания175
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ми и возможностями их осуществления, они прибегают к компенсации
этой разности за счет различных форм заимствования (воровства) этих
возможностей (вещных или невещных) у других людей;
 несовершенство механизма патентозащиты (вещного права
на объект); например, очень трудно доказать нарушение патентного
права и определить причиненный при этом ущерб;
 несовершенство механизма охраны (защиты) авторского права.
Основным вопросом проблемы защиты информации в процессе
реализации коммерческой деятельности можно считать вопрос определения содержания сведений, составляющих коммерческую тайну,
и
создания правового механизма защиты прав собственника информации с
учетом классов информации и видов коммерческой деятельности.
Контрольные вопросы
1. Дайте определение понятия «коммерческая тайна», ее отличия от государственной тайны.
2. Чем отличается коммерческая тайна от профессиональной,
личной, семейной, служебной?
3. Какими свойствами характеризуется коммерческая тайна?
4. Какие факторы обусловили появление института коммерческой тайны в нашей стране ранее и сейчас?
5. Каков механизм правовой защиты коммерческой тайны?
6. Сформулируйте основной вопрос проблемы защиты информации в процессе реализации коммерческой деятельности, его содержание.
7. Опишите двухуровневую систему правовой защиты коммерческой тайны.
8. Перечислите основные группы сведений, которые могут
быть отнесены к сведениям, составляющим коммерческую тайну.
9. В чем суть синергетизма, системообразующей роли информации?
10. Каковы методологические основы рассмотрения содержания понятия «коммерческая тайна»?
11. Что такое объект защиты коммерческой тайны?
12. Что является предметом защиты коммерческой тайны?
13. В чем разница между объектом защиты и сведениями, составляющими коммерческую тайну?
14. Каковы основы организации системы защиты коммерческой тайны?
176
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 5. ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ
ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ
ТЕХНИЧЕСКИХ СРЕДСТВ
5.1. Особенности правового регулирования общественных
отношений при использовании современных
технических средств обработки информации
и при разработке шифрсредств
Правовое регулирование общественных отношений при использовании современных технических средств обработки информации
нашло свое закрепление в Постановлении Правительства РФ от
15
июля 2002 года «Об утверждении положения о лицензировании деятельности по разработке, производству, реализации и приобретению в
целях продажи специальных технических средств, предназначенных
для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность». Положение определило порядок лицензирования вышеуказанной деятельности. Основным органом, который
ответствен за осуществление этой деятельности, является Федеральная служба безопасности Российской Федерации и территориальные
органы безопасности.
К принципами данной деятельности относятся:
а) соблюдение требований законодательства Российской Федерации и нормативных правовых актов в области лицензируемой деятельности;
б) наличие у лицензиата принадлежащих ему на праве собственности или на ином законном основании помещений, оснащенных средствами охраны, системами доступа, средствами хранения
специальных средств, и документации на их производство и использование, а также оборудования и инвентаря, необходимых для осуществления лицензируемой деятельности;
в) наличие выданного испытательной лабораторией Федеральной службы безопасности Российской Федерации заключения по результатам научно-технической экспертизы образца новой модели специального средства;
г) наличие нормативно-технической документации на производство и использование специальных средств;
д) соблюдение требований утвержденного Федеральной службой безопасности Российской Федерации порядка регистрации и учета
специальных средств и нормативно-технической документации на их
производство и использование;
177
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
е) наличие документа, подтверждающего согласование с Федеральной службой безопасности Российской Федерации разработки и
производства специальных средств, осуществляемых по контрактам с
иностранными партнерами;
ж) наличие у индивидуальных предпринимателей и юридических лиц контрактов и заявок органов, осуществляющих оперативнорозыскную деятельность, для реализации и приобретения в целях
продажи специальных средств;
з) наличие у персонала, осуществляющего разработку и производство специальных средств, специального технического образования и стажа работы по специальности не менее трех лет;
и) предоставление доступа к информации о специальных средствах и технической документации о них только представителям органов, осуществляющих оперативно-розыскную деятельность, и лицензиату.
В лицензирующий орган принимаются определенные документы, на основании которых он принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 60 дней с
даты получения документов.
В случае необходимости лицензирующий орган имеет право
непосредственно либо с привлечением специализированных органов
и организаций проводить проверку соответствия соискателя лицензии
лицензионным требованиям и условиям. Лицензия предоставляется на
пять лет. Срок действия лицензии по его окончании может быть пр одлен по заявлению лицензиата в порядке, предусмотренном для переоформления лицензии. Лицензирующий орган в обязательном порядке
ведет реестр лицензий. Регистрация лицензии в реестре лицензий
осуществляется не позднее 10 дней с даты ее предоставления.
Федеральная служба безопасности Российской Федерации ведет
сводный реестр лицензий. Территориальные органы безопасности
представляют сведения о выданных ими лицензиях ежеквартально.
Контроль за соблюдением лицензиатом лицензионных требований и условий осуществляется на основании предписания руководителя лицензирующего органа, в котором определяются лицензиат,
срок проведения проверки, должностное лицо или состав комиссии,
осуществляющие проверку.
По результатам проверки оформляется акт с указанием конкретных нарушений и срока их устранения, который подписывается должностным лицом или всеми членами комиссии. Лицензиат (его представитель) должен быть ознакомлен с результатами проверки,
ив
акте должна быть сделана запись о факте ознакомления. Если лицен-
178
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
зиат отказывается ознакомиться с результатами проверки, должностное лицо или члены комиссии фиксируют этот факт в акте и заверяют
его своей подписью.
Срок проведения проверки устранения лицензиатом нарушений,
повлекших за собой приостановление действия лицензии, не может
превышать 15 дней с даты получения от лицензиата письменного уведомления об устранении указанных нарушений.
Лицензиат уведомляется о предстоящей проверке не менее чем
за 10 дней до начала ее проведения.
Следующим не менее важным документом, который регламентирует порядок деятельности по разработке шифровальных средств
являются Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами,
от 23 сентября 2002 года.
Одно из таких положений связано с лицензированием деятельности по распространению шифровальных средств. К шифровальным
(криптографическим) средствам относятся:
1) средства шифрования – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи
и (или) для защиты информации от несанкционированного доступа
при ее обработке и хранении;
2) средства имитозащиты – аппаратные, программные
и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации
и предназначенные для защиты от навязывания ложной информации;
3) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на
основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи
с использованием закрытого ключа электронной цифровой подписи,
подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой
подписи;
4) средства кодирования – средства, реализующие алгоритмы
криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
5) средства изготовления ключевых документов (независимо от
вида носителя ключевой информации);
6) ключевые документы (независимо от вида носителя ключевой информации).
179
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
К принципам распространения шифровальных (криптографических) средств относятся:
а) выполнение нормативных правовых актов Российской
Федерации и соблюдение государственных стандартов, относящихся к
лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего
органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством
юстиции Российской Федерации, и методических документов по
лицензируемой деятельности, издаваемых лицензирующим органом
в пределах своей компетенции;
в) представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении
лицензируемой деятельности (с представлением по запросу
технической документации и (или) образцов шифровальных
(криптографических) средств, которые не имеют сертификата
Федерального агентства правительственной связи и информации при
Президенте Российской Федерации);
г) ввоз на территорию Российской Федерации в порядке,
установленном нормативными правовыми актами Российской
Федерации,
шифровальных
(криптографических)
средств
иностранного производства, которые предполагается распространять в
Российской Федерации;
д) представление в лицензирующий орган по его запросу
образцов шифровальных (криптографических) средств иностранного
производства, которые предполагается распространять в Российской
Федерации,
и
документации,
определяющей
их
состав,
характеристики и условия эксплуатации (с официальным переводом
ее на русский язык);
е) наличие принадлежащих лицензиату на праве собственности
или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности согласно установленным технологическим
требованиям;
ж) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на
находящееся в них оборудование;
з) обслуживание
указанного
оборудования
в
соответствии с регламентом, предусмотренным эксплуатационной
документацией;
180
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
и) проведение своевременной поверки технологического,
испытательного и контрольно-измерительного оборудования,
применяемого при осуществлении лицензируемой деятельности;
к) использование программ для электронно-вычислительных
машин или баз данных третьими лицами (пользователями) на
основании договора с правообладателем;
л) наличие системы поэкземплярного учета шифровальных
(криптографических) средств и документации к ним;
м) установление порядка доступа лиц к конфиденциальной
информации, связанной с
осуществлением лицензируемой
деятельности, и обеспечение контролируемого допуска персонала
лицензиата к работам, связанным с такой информацией;
н) обеспечение безопасности хранения, обработки и передачи
по каналам связи конфиденциальной информации, связанной с
осуществлением лицензируемой деятельности;
о) применение средств обработки информации, аттестованных
в соответствии с требованиями по защите информации;
п) наличие охраны и (или) специального оборудования, а также
распорядка работ, исключающих неконтролируемый доступ к
шифровальным (криптографическим) средствам;
р) хранение шифровальных (криптографических) средств, их
отдельных узлов и блоков, дистрибутивов программных и
программно-аппаратных
шифровальных
(криптографических)
средств, инсталляционных дискет, нормативной, эксплуатационной
и ключевой документации к ним в хранилищах (металлических
шкафах, сейфах), оборудованных внутренними замками;
с) обеспечение
условий,
исключающих
возможность
неконтролируемого доступа к шифровальным (криптографическим)
средствам при их транспортировке, их физического повреждения и
внешнего воздействия на носители ключевой информации;
т) наличие следующего квалифицированного персонала:
 руководителя и (или) лица, уполномоченного им руководить
работами по лицензируемой деятельности, имеющих высшее
профессиональное образование и (или) профессиональную
подготовку в области информационной безопасности, а также стаж
работы в этой области не менее двух лет;
 инженерно-технического персонала, имеющего высшее
профессиональное образование или прошедшего переподготовку
(повышение квалификации) в области информационной безопасности
с получением специализации, соответствующей виду шифровальных
(криптографических) средств.
Для
получения
лицензии
необходимо
представить
определенные документы, которые принимаются по описи. Копия
181
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
последней с отметкой о дате приема документов направляется
(вручается) соискателю лицензии. За представление недостоверных
или искаженных сведений соискатель лицензии несет ответственность
согласно законодательству Российской Федерации.
Лицензирующий орган вправе запрашивать у соискателя
лицензии подтверждение соответствия лицензируемой деятельности
лицензионным требованиям и условиям. Лицензирующий орган
в течение 60 дней со дня поступления заявления со всеми
необходимыми документами принимает решение о предоставлении
или об отказе в предоставлении лицензии и направляет (вручает)
соискателю лицензии соответствующее уведомление (в случае отказа
в предоставлении лицензии – с указанием причин отказа).
Решение о предоставлении либо об отказе в предоставлении
лицензии принимается по результатам проверки достоверности
представленных сведений и проверки соответствия соискателя
лицензии лицензионным требованиям и условиям.
В случае если представленной информации недостаточно,
проверка проводится по местонахождению соискателя лицензии.
Проверка достоверности представленных сведений и соответствия
соискателя лицензии лицензионным требованиям и условиям по его
местонахождению проводится должностными лицами лицензирующего органа на основании предписания лицензирующего органа в
согласованные с соискателем лицензии сроки. Продолжительность
проверки не должна превышать 30 дней.
Соискатель лицензии обязан предоставить проверяющим
беспрепятственный доступ к необходимой документации, связанной с
лицензируемой деятельностью, объектам, на которых или с помощью
которых будет осуществляться лицензируемая деятельность,
документации на эти объекты, обеспечить условия проведения
проверки и присутствие при этом соответствующих должностных
лиц.
Контроль за соблюдением лицензиатом лицензионных
требований и условий осуществляется в форме проверок в порядке,
определяемом руководителем лицензирующего органа. Лицензиат
обязан предоставить проверяющим беспрепятственный доступ к
необходимой документации, объектам, на которых или с помощью
которых осуществляется лицензируемая деятельность, документации
на эти объекты, обеспечить условия проведения проверки и
присутствие при этом соответствующих должностных лиц.
По результатам проверки оформляется акт, в котором
указываются конкретные нарушения и срок их устранения. С актом
проверки в обязательном порядке должен быть ознакомлен лицензиат.
182
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Лицензиат уведомляет лицензирующий орган об устранении
нарушений лицензионных требований и условий в установленный
актом проверки срок. По решению лицензирующего органа проверка
устранения лицензиатом нарушений лицензионных требований и
условий осуществляется в течение 15 дней со дня получения от
лицензиата уведомления об устранении нарушений.
Принятие решений о предоставлении, переоформлении,
приостановлении действия, аннулировании лицензии, а также
взимание лицензионных сборов осуществляются в порядке,
установленном Федеральным законом «О лицензировании отдельных
видов деятельности».
Следующий вид лицензионной деятельности связан с техническим обслуживанием шифровальных средств. Принципы этой деятельности аналогичны принципам деятельности по распространению
шифрсредств:
а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности,
зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов, касающихся
лицензируемой деятельности, издаваемых лицензирующим органом в
пределах своей компетенции;
в) представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении
лицензируемой деятельности (с представлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации);
г) использование шифровальных (криптографических) средств
иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской
Федерации;
д) наличие принадлежащих лицензиату на праве собственности
или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности согласно установленным технологическим требованиям;
183
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
е) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на
находящееся в них оборудование;
ж) обслуживание указанного оборудования в соответствии
с регламентом, предусмотренным эксплуатационной документацией;
з) проведение своевременной поверки технологического, испытательного и контрольно-измерительного оборудования, используемого при осуществлении лицензируемой деятельности;
и) использование программ для электронно-вычислительных
машин и баз данных третьими лицами (пользователями) на основании
договора с правообладателем;
к) наличие системы поэкземплярного учета шифровальных
(криптографических) средств и документации к ним;
л) установление порядка доступа лиц к конфиденциальной информации, связанной с осуществлением лицензируемой деятельности,
и обеспечение контролируемого допуска персонала лицензиата к работам, связанным с этой информацией;
м) обеспечение безопасности хранения, обработки и передачи
по каналам связи конфиденциальной информации, связанной с осущест-влением лицензируемой деятельности;
н) применение средств обработки информации, аттестованных
в соответствии с требованиями по защите информации;
о) наличие охраны и (или) специального оборудования, а также
распорядка работ, исключающих неконтролируемый доступ к шифровальным (криптографическим) средствам;
п) хранение шифровальных (криптографических) средств, их
отдельных узлов и блоков, дистрибутивов программных и программно-аппаратных шифровальных (криптографических) средств, инсталляционных дискет, нормативной, эксплуатационной и ключевой
документации к ним в хранилищах (металлических шкафах, сейфах),
оборудованных внутренними замками;
р) наличие квалифицированного персонала:
 руководителя и (или) лица, уполномоченного им руководить
работами по осуществлению лицензируемой деятельности, имеющих
высшее профессиональное образование и (или) профессиональную
подготовку в области информационной безопасности, а также стаж
работы в этой области не менее пяти лет;
 инженерно-технического персонала, имеющего высшее
профессиональное образование или прошедшего переподготовку
(повышение квалификации) в области информационной безопасности
с получением специализации, соответствующей виду шифровальных
(криптографических) средств.
184
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Особо следует отметить деятельность, которая связана
с предоставлением услуг в области шифрования информации. Она
также схожа с той деятельностью, о которой было сказано выше.
Принципами такой деятельности являются:
а) выполнение нормативных правовых актов Российской
Федерации и соблюдение государственных стандартов, относящихся к
лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего
органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством
юстиции Российской Федерации, и методических документов по
лицензируемой деятельности, издаваемых лицензирующим органом в
пределах своей компетенции;
в) представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с представлением по запросу
технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата Федерального
агентства правительственной связи и информации при Президенте
Российской Федерации);
г) использование шифровальных (криптографических) средств
иностранного производства при условии, что эти средства были
ввезены на территорию Российской Федерации и распространялись в
порядке, установленном нормативными правовыми актами
Российской Федерации;
д) наличие принадлежащих лицензиату на праве собственности
или на ином законном основании сооружений, помещений, технологического, испытательного, контрольно-измерительного оборудования и иных объектов, необходимых для осуществления лицензируемой деятельности согласно установленным технологическим
требованиям;
е) соответствие указанных помещений требованиям, предъявляемым к такого рода помещениям технической документацией на
находящееся в них оборудование;
ж) обслуживание указанного оборудования в соответствии
с регламентом, предусмотренным эксплуатационной документацией;
з) проведение своевременной поверки технологического,
испытательного и контрольно-измерительного оборудования, используемого при осуществлении лицензируемой деятельности;
и) использование программ для электронно-вычислительных
машин или баз данных третьими лицами (пользователями) на
основании договора с правообладателем;
185
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
к) наличие системы поэкземплярного учета шифровальных
(криптографических) средств и документации к ним;
л) установление порядка доступа лиц к конфиденциальной
информации, связанной с
осуществлением лицензируемой
деятельности, и обеспечение контролируемого допуска персонала
лицензиата к работам, связанным с этой информацией;
м) обеспечение безопасности хранения, обработки и передачи
по каналам связи конфиденциальной информации, связанной с
осуществлением лицензируемой деятельности;
н) применение средств обработки информации, аттестованных
в соответствии с требованиями по защите информации;
о) наличие охраны и (или) специального оборудования, а также
распорядка работ, исключающих неконтролируемый доступ к
шифровальным (криптографическим) средствам;
п) осуществление учета и хранения носителей ключевой
информации и инсталляционных дискет, содержащих программы
шифрования, специально выделенными должностными лицами,
которые непосредственно работают с ними и несут персональную
ответственность за их сохранность;
р) ведение учета изготовленной для пользователей ключевой
информации, регистрация выдачи ключевых документов, их возврата
и уничтожения в выделенных для этих целей журналах;
с) хранение шифровальных (криптографических) средств, их
отдельных узлов и блоков, дистрибутивов программных и
программно-аппаратных
шифровальных
(криптографических)
средств, инсталляционных дискет, нормативной, эксплуатационной и
ключевой документации к ним в хранилищах (металлических шкафах,
сейфах), оборудованных внутренними замками;
т) обеспечение раздельного безопасного хранения рабочих
и резервных носителей ключевой информации, предназначенных для
использования в случае компрометации рабочей ключевой информации; обеспечение условий, исключающих непреднамеренное
уничтожение или иное, не предусмотренное нормативной и эксплуатационной документацией на шифровальные (криптографические)
средства, применение носителей ключевой информации и инсталляционных дискет, содержащих программы шифрования, в случае их
хранения в одном хранилище с другими документами;
у) обеспечение уничтожения исходной ключевой информации
путем физического уничтожения носителя ключевой информации, на
котором она расположена, или путем стирания (разрушения) исходной ключевой информации без повреждения носителя (для обеспечения возможности его многократного использования) согласно
эксплуатационной и технической документации к соответствующим
шифровальным (криптографическим) средствам, а также указаниям
186
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
организации, производившей запись исходной ключевой информации;
ф) обеспечение условий, исключающих возможность неконтролируемого доступа к шифровальным (криптографическим) средствам
при их транспортировке, а также возможность их физического
повреждения и внешнего воздействия на носители ключевой
информации;
х) обеспечение сохранности, целости и работоспособности
шифровальных (криптографических) средств, работающего совместно с шифровальными (криптографическими) средствами оборудования, а также используемого программного обеспечения;
ц) наличие следующего квалифицированного персонала:
 руководителя и (или) лица, уполномоченного им руководить
работами по осуществлению лицензируемой деятельности, имеющих
высшее профессиональное образование и (или) профессиональную
подготовку в области информационной безопасности, а также стаж
работы в этой области не менее пяти лет;
 инженерно-технического персонала, имеющего высшее
профессиональное образование или прошедшего переподготовку
(повышение квалификации) в области информационной безопасности
с получением специализации, соответствующей виду шифровальных
(криптографических) средств.
И последнее из рассматриваемых положений относится
к лицензированию разработки, производства шифровальных средств,
защищенных с использованием шифровальных средств информационных и телекоммуникационных систем.
Такая деятельность включает в себя:
а) разработку шифровальных (криптографических) средств;
б) разработку защищенных с использованием шифровальных
(криптографических) средств информационных систем;
в) разработку защищенных с использованием шифровальных
(криптографических) средств телекоммуникационных систем;
г) производство шифровальных (криптографических) средств;
д) изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения
прав (полномочий) доступа к информации и (или) оборудованию в
информационных и телекоммуникационных системах.
Не менее важным документом, регламентирующим правовой
режим реализации шифровальных (криптографических) средств, является приказ ФСБ РФ № 66 от 9 февраля 2005 года «Положение о
разработке, производстве, реализации и эксплуатации шифровальных
187
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
(криптографических) средств защиты информации (Положение ПКЗ2005)».
Требования положения носят рекомендательный характер, поэтому не являются общеобязательными при разработке и производстве:
 средств криптографической защиты информации, доступ к
которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем) или уполномоченных
ими лиц, не являющихся государственными органами или организациями, выполняющими государственные заказы;
 средств криптографической защиты информации открытых
и общедоступных государственных информационных ресурсов Российской Федерации;
 средств электронной цифровой подписи, предназначаемых
для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера;
 информационно-телекоммуникационных систем, реализующих функции криптографической защиты информации, не относящейся к информации конфиденциального характера.
Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну (информация конфиденциального характера). Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем положении именуются средствами криптографической защиты информации (СКЗИ).
Режим защиты информации путем использования СКЗИ устанавливается обладателем информации конфиденциального характера,
собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации. При организации обмена информацией конфиденциального характера, участниками которого являются государственные органы и организации, выполняющие государственные заказы, необходимость криптографической защиты информации и выбор применяемых СКЗИ определяются государственными органами или организациями, выполняющими государственные
заказы.
При организации обмена информацией, доступ к которой ограничивается по решению обладателя, потребителя данной информации,
собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключе188
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
нием информации, содержащей сведения, к которым в соответствии с
законодательством Российской Федерации не может быть ограничен
доступ), потребность ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмена.
Необходимость криптографической защиты информации конфиденциального характера при ее обработке и хранении без передачи
по каналам связи, а также выбор применяемых СКЗИ определяются
обладателем или потребителем данной информации.
СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, установленном Федеральным законом от 27 декабря 2002 года № 184-ФЗ
«О техническом регулировании». Кроме этого качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ, ключевой системе
СКЗИ, а также к сетям связи (системам), используемым СКЗИ с целью
защиты информации при ее передаче по каналам связи и (или) от несанкционированного доступа при ее обработке и хранении, и условиям размещения СКЗИ при их использовании (требования по безопасности информации).
Для криптографической защиты информации конфиденциального
характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации. Реализация в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи требований по
безопасности информации возлагается на разработчика СКЗИ.
Задание разработки СКЗИ для федеральных государственных
нужд осуществляется государственным заказчиком по согласованию с
ФСБ России. В интересах негосударственных организаций СКЗИ могут
разрабатываться по заказу конкретного потребителя информации конфиденциального характера или по инициативе разработчика СКЗИ. При
этом в качестве заказчика СКЗИ может выступать любое лицо.
Разработка СКЗИ осуществляется путем постановки и проведения необходимых научно-исследовательских работ (НИР) по исследованию возможности создания нового образца СКЗИ и опытноконструкторских работ (ОКР) по созданию нового образца СКЗИ или
модернизации действующего.
НИР по исследованию возможности создания нового образца
СКЗИ проводится в соответствии с тактико-техническим заданием
(ТТЗ) или техническим заданием (ТЗ), разработанным на основе
национальных стандартов на проведение НИР.
189
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Допускается проведение исследований возможности создания
нового образца СКЗИ в рамках составной части НИР. При этом функции заказчика возлагаются на головного исполнителя НИР, составной
частью которой являются данные исследования.
Требования к СКЗИ (цель криптографической защиты информации с описанием предполагаемой модели нарушителя, определяющей возможные угрозы, которым должно противостоять разрабатываемое (модернизируемое) СКЗИ; требования к аппаратным, программно- аппаратным и программным средствам сети (системы) конфиденциальной связи, совместно с которыми предполагается использовать
создаваемый новый образец СКЗИ или модернизируемый действующий; требования к условиям размещения СКЗИ при их эксплуатации,
требования к ключевой системе СКЗИ и т.д.) могут оформляться специальным техническим заданием.
При разработке СКЗИ рекомендуется применять криптографические алгоритмы, утвержденные в качестве национальных стандартов или определенные перечнями, утверждаемыми в порядке, установленном Постановлением Правительства Российской Федерации от
23 сентября 2002 года № 691.
Носитель ключевой информации должен выбираться с учетом
возможности его приобретения изготовителем ключевых документов
в течение всего предполагаемого срока эксплуатации СКЗИ. Оценка
эксплуатационных характеристик применяемого носителя осуществляется разработчиком СКЗИ.
В случае использования внешней системы изготовления ключей
разработанные тактико-технические требования на ключевые документы направляются в экспертную организацию для проведения экспертизы и утверждения.
На основе утвержденных тактико-технических требований выполняются работы, необходимые для организации серийного выпуска ключевых документов (включая разработку или приобретение аппаратнопрограммных средств, обеспечение требований по безопасности информации, подготовку технической, конструкторско-техноло-гической и
эксплуатационной документации и т.п.). В рамках этих работ создаются
опытные образцы (макеты) ключевых документов, используемые при
испытаниях штатного функционирования СКЗИ.
ФСБ России проводит экспертизу результатов разработки внешней системы изготовления ключей и подготавливает заключение
о
соответствии изготавливаемых с ее использованием ключевых документов требованиям по безопасности информации.
Производство СКЗИ осуществляется в соответствии с техническими условиями, согласованными с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
Последние изготавливаются в полном соответствии с конструкцией и
190
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
технологией изготовления их опытных образцов, прошедших испытания на функционирование опытного образца СКЗИ в штатных режимах и имеющих положительное заключение экспертизы их тематических исследований. Все изменения в конструкции СКЗИ и технологии
их изготовления производитель должен согласовывать со специализированной организацией и ФСБ России путем представления в эти органы обоснованного перечня предполагаемых изменений и получения
от них соответствующих положительных заключений.
СКЗИ реализуются (распространяются) вместе с правилами
пользования ими, согласованными с ФСБ России, в соответствии с которыми они эксплуатируются. Все изменения условий использования
СКЗИ, указанных в данных правилах, должны согласовываться с ФСБ
России и специализированной организацией, проводившей их тематические исследования. В случае планирования размещения СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых
обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, технические средства, входящие в состав СКЗИ,
должны быть подвергнуты проверкам по выявлению устройств, предназначенных для негласного получения информации.
СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям, конкретные сроки проведения которых определяются заказчиком СКЗИ по согласованию с разработчиком СКЗИ, специализированной организацией и ФСБ России.
Контроль за соблюдением правил пользования СКЗИ и условий
их использования, указанных в этих правилах, осуществляется:
 обладателем, потребителем защищаемой информации, устано-вившим режим защиты информации с применением СКЗИ;
 собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ.

5.2. Правовое регулирование использования электронной
цифровой подписи и защиты информации в системах
и средствах электронного документооборота
Правовое регулирование защиты информации при использовании технических средств осуществляется в рамках действующего
законодательства. Отношения, связанные с созданием и использованием информационных технологий и средств их обеспечения, с допуском лиц к проведению работ, связанных с использованием сведений, составляющих государственную тайну, регулируются Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Не менее важными являются «Положение о лицензировании деятельности предприятий, учреждений и организаций по прове-дению
191
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, оказанием
услуг в области защиты информации», «Положение о государственном лицензировании деятельности в области защиты информации».
Названные документы закрепляют особые правовые режимы в отношении защиты информации.
Кроме того, Гостехкомиссией России принят ряд важных нормативных документов, которые содержат систему взглядов, принципов, отражающих проблему защиты информации. Среди них – руководящие документы «Защита от несанкционированного доступа к информации», «Средства вычислительной техники. Защита от несанкционированного доступа к информации», «Временное положение по организации разработки, изготовления и эксплуатации программных и
технических средств защиты информации от несанкционированного
доступа в автоматизированных системах и средствах вычислительной
техники», «Средства вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к информации. Показатели
защищенности от несанкционированного доступа к информации».
Помимо этого Уголовный и Административный кодексы также закрепляют положения, связанные с защитой информации
с использованием технических средств, о которых пойдет речь в последующих
главах учебника.
Важное место в перечисленных нормативных документах отводится Федеральному закону Российской Федерации «Об электронной
цифровой подписи» от 10 января 2002 года, который в условиях широкого внедрения новых информационных технологий приобретает
актуальное звучание (рис. 5.1).
Рис. 5.1. Структура закона «Об электронной цифровой подписи»
192
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Данный закон представляет основные положения правового регулирования информационных отношений при использовании электронной цифровой подписи в электронных документах. Реализация,
применение норм рассматриваемого закона обеспечивает правовой
статус электронной цифровой подписи в электронном документе, равнозначный собственноручной подписи в документе на бумажном носителе. При этом действие настоящего закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок
и в других предусмотренных законодательством Российской Федерации случаях. В то же время действие закона не распространяется на
отношения, возникающие при использовании иных аналогов собственноручной подписи.
Правовое регулирование отношений в области использования
электронной цифровой подписи осуществляется в соответствии с
настоящим федеральным законом, Гражданским кодексом Российской
Федерации, Федеральным законом «Об информации, информатизации
и защите информации», Федеральным законом «О связи», другими
федеральными законами и принимаемыми согласно им иными нормативными правовыми актами Российской Федерации, а также соглашением сторон.
В настоящем законе рассмотрено содержание ряда основных
понятий:
 электронный документ – документ, в котором информация
представлена в электронно-цифровой форме;
 электронная цифровая подпись (ЭЦП) – реквизит
электронного документа, предназначенный для защиты данного
электронного документа от подделки, полученный в результате
криптографического преобразования информации с использованием
закрытого ключа электронной цифровой подписи и позволяющий
идентифицировать владельца сертификата ключа подписи, а также
установить отсутствие искажения информации в электронном
документе;
 владелец сертификата ключа подписи – физическое лицо, на
имя которого удостоверяющим центром выдан сертификат ключа
подписи и которое владеет соответствующим закрытым ключом
электронной цифровой подписи, позволяющим с помощью средств
электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные
документы);
 средства электронной цифровой подписи – аппаратные
и (или) программные средства, обеспечивающие реализацию хотя бы
одной из таких функций, как: создание электронной цифровой
подписи в электронном документе с использованием закрытого ключа
193
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
электронной цифровой подписи, подтверждение с использо-ванием
открытого ключа электронной цифровой подписи подлин-ности
электронной цифровой подписи в электронном документе, создание
закрытых и открытых ключей электронных цифровых подписей;
 сертификат средств электронной цифровой подписи –
документ на бумажном носителе, выданный в соответствии с
правилами системы сертификации для подтверждения соответствия
средств электронной цифровой подписи установленным требованиям;
 закрытый ключ электронной цифровой подписи – уникальная
последовательность символов, известная владельцу сертификата
ключа подписи и предназначенная для создания в электронных
документах электронной цифровой подписи с использованием средств
электронной цифровой подписи;
 открытый ключ электронной цифровой подписи –
уникальная
последовательность
символов,
соответствующая
закрытому ключу электронной цифровой подписи, доступная любому
пользователю информационной системой и предназначенная для
подтверждения
с использованием средств электронной цифровой
подписи подлинности электронной цифровой подписи в электронном
документе;
 сертификат ключа подписи – документ на бумажном
носителе или электронный документ с электронной цифровой
подписью уполномоченного лица удостоверяющего центра, который
включает в себя открытый ключ электронной цифровой подписи
и выдается удостоверяющим центром участнику информационной
системы для подтверждения подлинности электронной цифровой
подписи и идентификации владельца сертификата ключа подписи;
 подтверждение подлинности электронной цифровой подписи
в электронном документе – положительный результат проверки
соответствующим сертифицированным средством электронной
цифровой подписи с использованием сертификата ключа подписи
принадлежности электронной цифровой подписи в электронном
документе владельцу сертификата ключа подписи и отсутствия
искажений в подписанном данной электронной цифровой подписью
электронном документе;
 пользователь сертификатом ключа подписи – физическое
лицо, использующее полученные в удостоверяющем центре сведения
о сертификате ключа подписи для проверки принадлежности
электронной цифровой подписи владельцу сертификата ключа
подписи;
 информационная система общего пользования – информационная система, которая открыта для использования всеми
194
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
физическими и юридическими лицами и в услугах которой этим
лицам не может быть отказано;
 корпоративная информационная система – информационная
система, участниками которой может быть ограниченный круг лиц,
определенный ее владельцем или соглашением участников этой
информационной системы.
Взаимосвязь используемых понятий можно представить
структурно-логической схемой (рис. 5.2).
Рис. 5.2. Структурно-логическая схема взаимосвязей
понятий, определяющих использование ЭЦП
Важным направлением регулирования отношений в области использования электронной цифровой подписи является определение
условий ее использования, в частности условия признания равнозначности электронной цифровой и собственноручной подписи.
Электронная цифровая подпись в электронном документе
равнозначна собственноручной подписи в документе на бумажном
носителе при одновременном соблюдении следующих условий:
195
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 сертификат ключа подписи, относящийся к этой электронной
цифровой подписи, не утратил силу (действует) на момент проверки
или подписания электронного документа при наличии доказательств,
определяющих момент подписания;
 подтверждена подлинность электронной цифровой подписи
в электронном документе;
 электронная цифровая подпись используется в соответствии
со сведениями, указанными в сертификате ключа подписи.
Участник информационной системы может быть одновременно
владельцем любого количества сертификатов ключей подписей. При
этом электронный документ с электронной цифровой подписью имеет
юридическое значение при осуществлении отношений, указанных в
сертификате ключа подписи.
Особое внимание необходимо уделять выбору и использованию
средств электронной цифровой подписи.
Ключи электронных цифровых подписей создаются для использования:
 в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
 в корпоративной информационной системе в порядке,
установленном в этой системе.
При создании ключей электронных цифровых подписей для
применения в информационной системе общего пользования должны
применяться только сертифицированные средства электронной
цифровой подписи. Возмещение убытков, причиненных в связи с
созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть
возложено на создателей и распространителей этих средств в
соответствии с законодательством Российской Федерации.
Не допускается использовать несертифицированные средства
электронной цифровой подписи и созданные ими ключи электронных
цифровых подписей в корпоративных информационных системах
федеральных
органов
государственной
власти,
органов
государственной власти субъектов Российской Федерации и органов
местного самоуправления.
Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о
сертификации продукции и услуг.
Сертификат ключа подписи должен содержать следующие
сведения:
 уникальный регистрационный номер сертификата ключа
подписи, даты начала и окончания срока действия сертификата ключа
подписи, находящегося в реестре удостоверяющего центра;
196
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 фамилию, имя и отчество владельца сертификата ключа
подписи или псевдоним владельца. В случае использования
псевдонима удостоверяющим центром вносится запись об этом в
сертификат ключа подписи;
 открытый ключ электронной цифровой подписи;
 наименование средств электронной цифровой подписи,
с которыми используется данный открытый ключ электронной
цифровой подписи;
 наименование и местонахождение удостоверяющего центра,
выдавшего сертификат ключа подписи;
 сведения об отношениях, при осуществлении которых
электронный документ с электронной цифровой подписью будет
иметь юридическое значение.
В случае необходимости в сертификате ключа подписи на
основании подтверждающих документов указываются должность
(а также наименование и местонахождение организации, в которой
установлена эта должность) и квалификация владельца сертификата
ключа подписи, а по его заявлению в письменной форме – иные
сведения, подтверждаемые соответствующими документами.
Сертификат
ключа
подписи
должен
быть
внесен
удостоверяющим центром в реестр сертификатов ключей подписей не
позднее даты начала действия этого сертификата.
Для проверки принадлежности электронной цифровой подписи
соответствующему владельцу сертификат ключа подписи выдается
пользователям с указанием даты и времени его выдачи, сведений о
действии сертификата ключа подписи (действует, действие
приостановлено, сроки приостановления его действия, аннулирован,
дата и время аннулирования сертификата ключа подписи) и о реестре
сертификатов ключей подписей. В случае выдачи сертификата ключа
подписи в форме документа на бумажном носителе этот сертификат
оформляется на бланке удостоверяющего центра и заверяется
собственноручной подписью уполномоченного лица и печатью
удостоверяющего центра. В случае выдачи сертификата ключа
подписи и указанных дополнительных данных в форме электронного
документа этот сертификат должен быть подписан электронной
цифровой подписью уполномоченного лица удостоверяющего центра.
Срок хранения сертификата ключа подписи в форме
электронного документа в удостоверяющем центре определяется
договором между удостоверяющим центром и владельцем данного
сертификата. При этом обеспечивается доступ участников
информационной системы в удостоверяющий центр для получения
сертификата ключа подписи.
197
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Срок хранения сертификата ключа подписи в форме
электронного документа в удостоверяющем центре после
аннулирования сертификата ключа подписи должен быть не менее
установленного федеральным законом срока исковой давности для
отношений, указанных в сертификате ключа подписи.
По истечении указанного срока хранения сертификат ключа
подписи исключается из реестра сертификатов ключей подписей и
переводится в режим архивного хранения. Срок последнего хранения
составляет не менее пяти лет. Порядок выдачи копий сертификатов
ключей подписей в этот период определяется в соответствии с
законодательством Российской Федерации.
Сертификат ключа подписи в форме документа на бумажном
носителе хранится в порядке, установленном законодательством
Российской Федерации об архивах и архивном деле.
5.3. Статус и организация деятельности
удостоверяющих центров
Статус удостоверяющего центра. Удостоверяющим центром,
выдающим сертификаты ключей подписей для использования
в
информационных системах общего пользования, должно быть
юридическое лицо, выполняющее функции, предусмотренные
Федеральным законом «Об электронной цифровой подписи». При
этом удостоверяющий центр должен обладать необходимыми
материальными и финансовыми возможностями, позволяющими ему
нести гражданскую ответственность перед пользователями
сертификатами ключей подписей за убытки, которые могут быть
понесены ими вследствие недостоверности сведений, содержащихся в
этих сертификатах.
Требования, предъявляемые к материальным и финансовым
возможностям удостоверяющих центров, устанавливаются Правительством Российской Федерации по представлению уполномоченного федерального органа исполнительной власти.
Статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее
владельцем или соглашением участников этой системы.
Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации
о лицензировании отдельных видов деятельности.
Основными правомочными функциями удостоверяющего
центра являются:
 изготовление сертификатов ключей подписей;
198
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 создание ключей электронных цифровых подписей по
обращениям участников информационной системы с гарантией
сохранения в тайне закрытого ключа электронной цифровой подписи;
 приостановление и возобновление действия сертификатов
ключей подписей, а также их аннулирование;
 ведение реестра сертификатов ключей подписей, обеспечение
его актуальности и возможности свободного доступа к нему
участников информационных систем;
 проверка уникальности открытых ключей электронных
цифровых подписей в реестре сертификатов ключей подписей и
архиве удостоверяющего центра;
 выдача сертификатов ключей подписей в форме документов
на бумажных носителях и (или) в форме электронных документов
с информацией об их действии;
 осуществление по обращениям пользователей сертификатами
ключей подписей подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им
сертификатов ключей подписей;
 предоставление участникам информационных систем иных,
связанных с использованием электронных цифровых подписей услуг.
Изготовление сертификатов ключей подписей осуществляется
на основании заявления участника информационной системы, которое
содержит сведения, необходимые для идентификации владельца
сертификата ключа подписи и передачи ему сообщений (ст. 6
вышеуказанного федерального закона). Заявление подписы-вается
собственноручно владельцем сертификата ключа подписи.
Содержащиеся в заявлении сведения подтверждаются предъявлением
соответствующих документов.
При
изготовлении
сертификата
ключа
подписи
удостоверяющим центром оформляются в форме документов на
бумажных носителях два экземпляра сертификата ключа подписи,
которые заверяются собственноручными подписями владельца
данного сертификата и уполномоченного лица удостоверяющего
центра, а также печатью удостоверяющего центра. Один экземпляр
сертификата ключа подписи выдается владельцу сертификата, второй
– остается в удостоверяющем центре.
Услуги по выдаче участникам информационных систем
сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии
в форме электронных документов оказываются безвозмездно.
199
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной власти. Удостоверяющий центр до начала использования электронной цифровой
подписи его уполномоченного лица для заверения от имени центра
сертификатов ключей подписей обязан представить в уполномоченный федеральный орган исполнительной власти сертификат ключа
подписи уполномоченного лица удостоверяющего центра в форме
электронного документа, а также этот сертификат в форме документа
на бумажном носителе с собственноручной подписью указанного
уполномоченного лица, заверенный подписью руководителя
и печатью удостоверяющего центра.
Уполномоченный федеральный орган исполнительной власти
ведет единый государственный реестр сертификатов ключей
подписей, которыми удостоверяющие центры, работающие с
участниками информационных систем общего пользования, заверяют
выдаваемые ими сертификаты ключей подписей, обеспечивает
возможность свободного доступа к этому реестру и выдает
сертификаты ключей подписей соответствующих уполномоченных
лиц удостоверяющих центров.
Электронные цифровые подписи уполномоченных лиц
удостоверяющих центров могут использоваться только после их
включения в единый государственный реестр сертификатов ключей
подписей. Использование этих электронных цифровых подписей для
целей, не связанных с заверением сертификатов ключей подписей и
сведений об их действии, не допускается.
Уполномоченный федеральный орган исполнительной власти:
 подтверждает по обращениям физических лиц, организаций,
федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного
самоуправления подлинность электронных цифровых подписей
уполномоченных лиц удостоверяющих центров в выданных ими
сертификатах ключей подписей;
 осуществляет в соответствии с Положением об уполномоченном федеральном органе исполнительной власти иные полномочия
по обеспечению действия настоящего федерального закона.
Обязательства удостоверяющего центра по отношению
к владельцу сертификата ключа подписи. Удостоверяющий центр при
изготовлении сертификата ключа подписи принимает на себя
следующие обязательства по отношению к владельцу сертификата
ключа подписи:
 вносить сертификат ключа подписи в реестр сертификатов
ключей подписей;
200
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 обеспечивать выдачу сертификата ключа подписи обратив-
шимся к нему участникам информационных систем;
 приостанавливать действие сертификата ключа подписи по
обращению его владельца;
 уведомлять владельца сертификата ключа подписи о фактах,
которые стали известны удостоверяющему центру и которые
существенным образом могут сказаться на возможности дальнейшего
использования сертификата ключа подписи;
 иные установленные нормативными правовыми актами или
соглашением сторон обязательства.
Обязательства владельца сертификата ключа подписи.
Владелец сертификата ключа подписи обязан:
 не использовать для электронной цифровой подписи
открытые и закрытые ключи электронной цифровой подписи, если
ему известно, что эти ключи используются или использовались ранее;
 хранить в тайне закрытый ключ электронной цифровой
подписи;
 немедленно
требовать
приостановления
действия
сертификата ключа подписи при наличии оснований полагать, что
тайна закрытого ключа электронной цифровой подписи нарушена.
При несоблюдении вышеизложенных требований возмещение
причиненных вследствие этого убытков возлагается на владельца
сертификата ключа подписи.
Приостановление действия сертификата ключа подписи.
Действие сертификата ключа подписи может быть приостановлено
удостоверяющим центром на основании указания лиц или органов,
имеющих такое право в силу закона или договора, а в корпоративной
информационной системе также в силу установленных для нее правил
пользования.
Период от поступления в удостоверяющий центр указания
о приостановлении действия сертификата ключа подписи до внесения
соответствующей информации в реестр сертификатов ключей
подписей должен устанавливаться в соответствии с общим для всех
владельцев сертификатов ключей подписей правилом. По
договоренности между удостоверяющим центром и владельцем
сертификата ключа подписи этот период может быть сокращен.
Действие сертификата ключа подписи по указанию
полномочного лица (органа) приостанавливается на исчисляемый
в
днях срок, если иное не установлено нормативными правовыми
актами или договором. Удостоверяющий центр возобновляет
действие сертификата ключа подписи по указанию полномочного
лица (органа). В случае если по истечении указанного срока
не
201
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
поступает указание о возобновлении действия сертификата ключа
подписи, он подлежит аннулированию.
Согласно указанию полномочного лица (органа) о приостановлении действия сертификата ключа подписи, удостоверяющий центр
оповещает об этом пользователей сертификатами ключей подписей
путем внесения в реестр сертификатов ключей подписей
соответствующей информации с указанием даты, времени и срока
приостановления действия сертификата ключа подписи, а также
извещает об этом владельца сертификата ключа подписи и полномочное лицо (орган), от которого получено указание о приостановлении
действия сертификата ключа подписи.
Аннулирование сертификата ключа подписи. Удостоверяющий
центр, выдавший сертификат ключа подписи, обязан аннулировать его:
 по истечении срока его действия;
 при утрате юридической силы сертификата соответствующих
средств электронной цифровой подписи, используемых в информационных системах общего пользования;
 в случае если удостоверяющему центру стало достоверно
известно о прекращении действия документа, на основании которого
оформлен сертификат ключа подписи;
 по заявлению в письменной форме владельца сертификата
ключа подписи;
 в иных установленных нормативными правовыми актами или
соглашением сторон случаях.
При аннулировании сертификата ключа подписи удостоверяющий центр оповещает об этом пользователей сертификатами ключей
подписей путем внесения в реестр сертификатов ключей подписей
соответствующей информации с указанием даты и времени
аннулирования сертификата, за исключением случаев аннулирования
сертификата ключа подписи по истечении срока его действия, а также
извещает об этом владельца сертификата ключа подписи
и полномочное лицо (орган), от которого получено указание об
аннулировании сертификата ключа подписи.
Прекращение деятельности удостоверяющего центра.
Деятельность удостоверяющего центра, выдающего сертификаты
ключей подписей для использования в информационных системах
общего пользования, может быть прекращена в порядке,
установленном гражданским законодательством.
В случае прекращения деятельности удостоверяющего центра
сертификаты ключей подписей, выданные этим удостоверяющим
центром, могут быть переданы другому удостоверяющему центру по
согласованию с владельцами сертификатов ключей подписей.
202
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Сертификаты ключей подписей, не переданные в другой
удостоверяющий центр, аннулируются и передаются на хранение
уполномоченному федеральному органу исполнительной власти
(ст. 7 вышеупомянутого федерального закона).
Деятельность удостоверяющего центра, обеспечивающего
функционирование корпоративной информационной системы,
прекращается по решению владельца этой системы, а также по
договоренности участников этой системы в связи с передачей
обязательств данного удостоверяющего центра другому удостоверяющему центру или в связи с ликвидацией корпоративной
информационной системы.
Использование электронной цифровой подписи в сфере
государственного управления. Федеральные органы государственной
власти, органы государственной власти субъектов Российской
Федерации, органы местного самоуправления, а также организации,
участвующие в документообороте с указанными органами,
используют для подписания своих электронных документов
электронные цифровые подписи уполномоченных лиц указанных
органов, организаций.
Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр
сертификатов ключей подписей, который ведется уполномоченным
федеральным органом исполнительной власти, и выдаются пользователям сертификатами ключей подписей из этого реестра в порядке,
установленном для удостоверяющих центров.
Порядок организации выдачи сертификатов ключей подписей
уполномоченных лиц органов государственной власти субъектов
Российской Федерации и уполномоченных лиц органов местного
самоуправления определяется нормативными правовыми актами
соответствующих органов.
Использование электронной цифровой подписи в корпоративной
информационной системе. Корпоративная информационная система,
предоставляющая участникам информационной системы общего
пользования услуги удостоверяющего центра корпоративной
информационной системы, должна соответствовать требованиям,
законодательно установленным для информационных систем общего
пользования.
Порядок использования электронных цифровых подписей
в корпоративной информационной системе устанавливается решением
ее владельца или соглашением участников этой системы.
Содержание информации в сертификатах ключей подписей,
порядок ведения их реестра, хранения аннулированных сертификатов
203
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ключей подписей, случаи утраты указанными сертификатами
юридической силы в корпоративной информационной системе
регламентируются решением владельца этой системы или
соглашением участников корпоративной информационной системы.
Признание иностранного сертификата ключа подписи.
Иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством иностранного государства, в котором этот
сертификат зарегистрирован, признается на территории Российской
Федерации в случае выполнения установленных законодательством
Российской Федерации процедур признания юридического значения
иностранных документов.
Случаи
замещения
печатей.
Содержание
документа
на бумажном носителе, заверенного печатью и преобразованного
в электронный документ, в соответствии с нормативными правовыми
актами или соглашением сторон может заверяться электронной
цифровой подписью уполномоченного лица.
В случаях, установленных законами и иными нормативными
правовыми актами Российской Федерации или соглашением сторон,
электронная цифровая подпись в электронном документе, сертификат
которой содержит необходимые при осуществлении данных
отношений сведения о правомочиях его владельца, признается
равнозначной собственноручной подписи лица в документе
на бумажном носителе, заверенном печатью.
Учредительные
документы
удостоверяющих
центров,
выдающих сертификаты ключей подписей для использования в
информационных системах общего пользования, подлежат
приведению в соответствие с Федеральным законом «Об электронной
цифровой подписи» в течение шести месяцев со дня вступления в
силу этого закона.
Удостоверяющие центры, создаваемые после вступления в силу
настоящего федерального закона до начала ведения уполномоченным
федеральным органом исполнительной власти реестра сертификатов
ключей подписей, должны отвечать требованиям данного закона,
за исключением требования предварительно представлять сертификаты ключей подписей своих уполномоченных лиц уполномоченному
федеральному органу исполнительной власти. Соответствующие
сертификаты должны быть представлены указанному органу не
позднее чем через три месяца со дня вступления в силу
вышеуказанного закона.
204
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
5.4. Правовое регулирование защиты информации
в системах связи
Основным документом, определяющим особенности защиты
информации в системах связи, является Федеральный закон «О связи»
от 7 июля 2003 года.
Закон устанавливает основные понятия, специфику правоотношений, связанных с его применением. На территории Российской
Федерации организации связи создаются и осуществляют свою
деятельность на основе единства экономического пространства,
в условиях конкуренции и многообразия форм собственности.
Государство обеспечивает организациям связи независимо от форм
собственности равные условия конкуренции. Сети и средства связи
могут находиться в федеральной собственности, собственности
субъектов Российской Федерации, муниципальной собственности, а
также в собственности граждан и юридических лиц.
Перечень сетей и средств связи, которые могут находиться
только в федеральной собственности, устанавливается законодательством Российской Федерации.
Иностранные инвесторы могут принимать участие в приватизации имущества государственных и муниципальных унитарных
предприятий связи на условиях, определенных законодательством
Российской Федерации.
Изменение формы собственности на сети и средства связи
осуществляется в порядке, предусмотренном законодательством
Российской Федерации, и допускается при условии, что такое
изменение заведомо не ухудшает функционирование сетей и средств
связи, а также не ущемляет право граждан и юридических лиц на
пользование услугами связи.
Организации связи по договору с собственником или иным
владельцем зданий, опор линий электропередачи, контактных сетей
железных дорог, столбовых опор, мостов, коллекторов, туннелей, в
том числе туннелей метрополитена, железных и автомобильных дорог
и других инженерных объектов и технологических площадок, а также
полос отвода, в том числе полос отвода железных и автомобильных
дорог, могут осуществлять на них строительство, эксплуатацию
средств и сооружений связи.
При этом собственник или иной владелец указанного
недвижимого имущества вправе требовать от организации связи
соразмерную плату за пользование этим имуществом, если иное не
предусмотрено федеральными законами.
205
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Сети и сооружения связи находятся под защитой государства.
Операторы связи и застройщики при строительстве и реконструкции
зданий, строений, сооружений, сетей и сооружений связи должны
учитывать необходимость защиты средств и сооружений связи от
несанкционированного доступа к ним.
Операторы связи при эксплуатации сетей и сооружений связи
обязаны обеспечивать их защиту от несанкционированного доступа к
ним.
Сооружения связи, которые прочно связаны с землей
и перемещение которых без несоразмерного ущерба их назначению
невозможно, в том числе линейно-кабельные сооружения связи,
относятся к недвижимому имуществу, государственная регистрация
права собственности и других вещных прав на которое
осуществляется в соответствии с гражданским законодательством.
Особенности государственной регистрации права собственности
и других вещных прав на линейно-кабельные сооружения связи
устанавливаются Правительством Российской Федерации.
Порядок государственной регистрации права собственности
и других вещных прав на космические объекты связи (спутники связи,
в том числе двойного назначения) устанавливается федеральными
законами.
Передача права собственности и других вещных прав
на космические объекты связи не влечет за собой передачу права
на использование орбитально-частотного ресурса.
Согласно Федеральному закону «О связи», федеральную связь
образуют все организации и государственные органы, осуществляющие и обеспечивающие электросвязь и почтовую связь на
территории Российской Федерации. Материально-техническую
основу федеральной связи составляют единая сеть электросвязи
Российской Федерации и сеть почтовой связи Российской Федерации.
Единая сеть электросвязи Российской Федерации включает
расположенные на территории Российской Федерации сети
электросвязи следующих категорий:
 сеть связи общего пользования;
 выделенные сети связи;
 технологические сети связи, присоединенные к сети связи
общего пользования;
 сети связи специального назначения и другие сети связи для
передачи информации при помощи электромагнитных систем.
Для сетей электросвязи, составляющих единую сеть электросвязи Российской Федерации, федеральный орган исполнительной
власти в области связи:
206
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 определяет порядок их взаимодействия, а в предусмотренных
законодательством Российской Федерации случаях – порядок
централизованного управления сетью связи общего пользования;
 в зависимости от категорий сетей связи (за исключением
сетей связи специального назначения, а также выделенных и
технологи-ческих сетей связи, если они не присоединены к сети связи
общего пользования) устанавливает требования к их построению,
управле-нию или нумерации, применяемым средствам связи,
организационно-техническому
обеспечению
устойчивого
функционирования сетей связи, в том числе в чрезвычайных
ситуациях, защиты сетей связи от несанкционированного доступа к
ним и передаваемой посредством их информации.
Операторы связи всех категорий сетей связи единой сети
электросвязи Российской Федерации обязаны создавать системы
управления своими сетями связи, соответствующие установленному
порядку их взаимодействия.
Сеть связи общего пользования предназначена для возмездного
оказания услуг электросвязи любому пользователю услугами связи на
территории Российской Федерации и включает в себя сети
электросвязи,
определяемые
географически
в
пределах
обслуживаемой территории и ресурса нумерации и не определяемые
географически в пределах территории Российской Федерации и
ресурса нумерации, а также сети связи, определяемые по технологии
реализации оказания услуг связи.
Сеть связи общего пользования представляет собой комплекс
взаимодействующих сетей электросвязи, в том числе сети связи для
распространения программ телевизионного вещания и радиовещания.
Сеть связи общего пользования имеет присоединение к сетям связи
общего пользования иностранных государств.
Выделенные сети связи – это сети электросвязи, предназначенные для возмездного оказания услуг электросвязи ограниченному
кругу пользователей или группам таких пользователей. Выделенные
сети связи могут взаимодействовать между собой, но они не имеют
присоединения к сети связи общего пользования, а также к сетям
связи общего пользования иностранных государств. Технологии
и
средства связи, применяемые для организации выделенных сетей
связи, а также принципы их построения устанавливаются
собственниками или иными владельцами этих сетей.
Выделенная сеть связи может быть присоединена к сети связи
общего пользования с переводом в категорию сети связи общего
пользования, если выделенная сеть связи соответствует требованиям,
установленным для сети связи общего пользования. При этом
207
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
выделенный ресурс нумерации изымается, и предоставляется ресурс
нумерации из ресурса нумерации сети связи общего пользования.
Оказание услуг связи операторами выделенных сетей связи
осуществляется на основании соответствующих лицензий в пределах
указанных в них территорий и с использованием нумерации,
присвоенной каждой выделенной сети связи в порядке,
установленном федеральным органом исполнительной власти в
области связи.
Технологические сети связи служат для обеспечения производственной деятельности организаций, управления технологическими
процессами в производстве. Технологии и средства связи, применяемые для создания технологических сетей связи, а также принципы их
построения устанавливаются собственниками или иными владельцами
этих сетей.
Сети связи специального назначения предназначены для нужд
государственного управления, обороны страны, безопасности
государства, обеспечения правопорядка. Эти сети не могут
использоваться для возмездного оказания услуг связи, если иное не
предусмотрено законодательством Российской Федерации.
Связь для нужд государственного управления, в том числе
президентская связь, правительственная связь, связь для нужд
обороны страны, безопасности государства и обеспечения правопо рядка осуществляется в порядке, определенном законодательством
Российской Федерации.
Обеспечение связи для нужд органов государственной власти,
в том числе президентской и правительственной связи, связи для нужд
обороны и безопасности государства, обеспечения правопо -рядка
является расходным обязательством Российской Федерации.
Центры управления сетями связи специального назначения
обеспечивают их взаимодействие с другими сетями единой сети
электросвязи Российской Федерации в порядке, установленном
федеральным органом исполнительной власти в области связи.
Сеть почтовой связи представляет собой совокупность
объектов почтовой связи и почтовых маршрутов операторов почтовой
связи, обеспечивающих прием, обработку, перевозку (передачу),
доставку (вручение) почтовых отправлений, а также осуществление
почтовых переводов денежных средств.
Отношения в области почтовой связи регулируются международными договорами Российской Федерации, вышеназванным
федеральным законом и Федеральным законом о почтовой связи,
другими федеральными законами и иными нормативными правовыми
актами Российской Федерации.
208
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Операторы связи имеют право на присоединение своих сетей
электросвязи к сети связи общего пользования. Присоединение одной
сети электросвязи к другой сети электросвязи и их взаимодействие
осуществляются на основании заключаемых операторами связи
договоров о присоединении сетей электросвязи.
Государственное регулирование деятельности в области связи
в соответствии с Конституцией Российской Федерации и настоящим
федеральным законом осуществляется Президентом Российской
Федерации, Правительством Российской Федерации, федеральным
органом исполнительной власти в области связи, а также в пределах
компетенции иными федеральными органами исполнительной власти.
Правительством
Российской
Федерации
устанавливаются
полномочия федерального органа исполнительной власти в области связи.
Федеральный орган исполнительной власти в области связи:
 осуществляет функции по выработке государственной
политики и нормативно-правовому регулированию в области связи;
 на основании и во исполнение Конституции Российской
Федерации, федеральных конституционных законов, федеральных
законов, актов Президента Российской Федерации и Правительства
Российской Федерации самостоятельно осуществляет правовое
регулирование в области связи и информатизации, за исключением
вопросов, правовое регулирование которых в соответствии
с
Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, актами Президента
Российской Федерации и Правительства Российской Федерации
осуществляется исключительно федеральными конституционными
законами, федеральными законами, актами Президента Российской
Федерации и Правительства Российской Федерации;
 взаимодействует по вопросам и в порядке, установленным
федеральными законами, с саморегулируемыми организациями
в
области связи, создаваемыми в соответствии с законодательством
Российской Федерации;
 выполняет функции администрации связи Российской
Федерации при осуществлении международной деятельности
Российской Федерации в области связи.
Кроме этого Правительством Российской Федерации определяется порядок осуществления государственного надзора за деятельностью в области связи. Государственным надзором за деятельностью в области связи занимается федеральный орган исполнительной власти по надзору в области связи.
Государственный инспектор по надзору за связью исполняет
возложенные на него функции в соответствии с законодательством
Российской Федерации. В порядке и в случаях, которые установлены
209
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
законодательством Российской Федерации, государственный
инспектор по надзору за связью применяет меры воздействия к
нарушителям или вносит соответствующее представление в орган,
наделенный правом привлечения к ответственности.
При выявлении нарушения обязательных требований,
установленных федеральными законами или принимаемыми в
соответствии с ними иными нормативными правовыми актами
Российской Федерации, правил эксплуатации сетей связи и средств
связи, охраны труда и техники безопасности, которые создают угрозу
жизни или здоровью человека, окружающей природной среде или
нормальному функционированию систем жизнеобеспечения, обороне
страны и безопасности государства, государственный инспектор по
надзору за связью вправе приостановить работу отдельных средств
или сетей связи до устранения выявленного нарушения.
В случае если выявлено нарушение установленных федеральными законами или принимаемыми в соответствии с ними иными
нормативными
правовыми
актами Российской Федерации
обязательных требований в области связи, федеральный орган
исполнительной власти по надзору в области связи по представлению
государственного инспектора по надзору за связью выдает
предписание об устранении этого нарушения. Указанное предписание
подлежит обязательному исполнению в установленный в нем срок.
Решения государственного инспектора по надзору за связью могут
быть обжалованы в порядке, определенном законодательством
Российской Федерации.
В рамках использования средств связи может осуществляться лицензирование, порядок которого рассматривался в предыдущих главах.
Субъекты, которые пользуются услугами связи, вправе рассчитывать на защиту своих прав. Защита прав пользователей услугами
связи при оказании услуг электросвязи и почтовой связи, гарантии
получения этих услуг связи надлежащего качества, право на получение необходимой и достоверной информации об услугах связи и об
операторах связи, основания, размер и порядок возмещения ущерба в
результате неисполнения или ненадлежащего исполнения обязательств, возникающих из договора об оказании услуг связи, а также
механизм реализации прав пользователей услугами связи определяются Федеральным законом «О связи», гражданским законодательством, законодательством Российской Федерации о защите прав потребителей и издаваемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.
На территории России гарантируется тайна переписки,
телефонных переговоров, почтовых отправлений, телеграфных и иных
сообщений, передаваемых по сетям электросвязи и сетям почтовой
210
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
связи. Ограничение данного права допускается только в случаях,
предусмотренных федеральными законами. Операторы связи обязаны
обеспечить соблюдение тайны связи. Осмотр почтовых отправлений
лицами, не являющимися уполномоченными работниками оператора
связи, вскрытие почтовых отправлений, осмотр вложений,
ознакомление с информацией и документальной корреспонденцией,
передаваемыми по сетям электросвязи и сетям почтовой связи,
осуществляются только на основании решения суда, за исключением
случаев, установленных федеральными законами.
Сведения о передаваемых по сетям электросвязи и почтовой связи
сообщениях, о почтовых отправлениях и переводах денежных средств, а
также сами эти сообщения, почтовые отправления и переводимые
денежные средства могут выдаваться только отправителям и
получателям или их уполномоченным представителям, если иное не
предусмотрено федеральными законами.
Операторы связи обязаны представлять уполномоченным
государственным органам, осуществляющим оперативно-розыскную
деятельность, информацию о пользователях услугами связи и об
оказанных им услугах связи, а также иную информацию,
необходимую для выполнения возложенных на эти органы задач,
в случаях, установленных федеральными законами.
Операторы связи обязаны обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи
по согласованию с уполномоченными государственными органами,
осуществляющими оперативно-розыскную деятельность, требований
к сетям и средствам связи для проведения оперативно-розыскных
мероприятий, а также принимать меры по недопущению раскрытия
организационных и тактических приемов проведения указанных
мероприятий.
Приостановление оказания услуг связи юридическим
и физическим лицам осуществляется операторами связи на основании
мотивированного решения в письменной форме одного из
руководителей органа, осуществляющего оперативно-розыскную
деятельность, в соответствии с законодательством Российской
Федерации об оперативно-розыскной деятельности.
Операторы связи обязаны возобновить оказание услуг связи на
основании решения суда или мотивированного решения в письменной форме одного из руководителей органа, осуществляющего
оперативно-розыскную деятельность, который принял решение о
приостановлении оказания услуг связи.
Порядок взаимодействия операторов связи с уполномоченными
государственными органами, осуществляющими оперативнорозыскную
деятельность,
устанавливается
Правительством
Российской Федерации.
211
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
При
проведении
уполномоченными государственными
органами следственных действий операторы связи обязаны оказывать
этим органам содействие в соответствии с требованиями уголовнопроцессуального законодательства.
В случаях и в порядке, которые установлены законодательством
Российской Федерации, лица, нарушившие законодательство
Российской Федерации в области связи, несут уголовную,
административную и гражданско-правовую ответственность. Убытки,
причиненные в результате незаконных действий (бездействия)
государственных органов, органов местного самоуправления или
должностных лиц этих органов, подлежат возмещению операторам
связи и пользователям услугами связи в соответствии с гражданским
законодательством.
Операторы связи несут имущественную ответственность за
утрату, повреждение ценного почтового отправления, недостачу
вложений почтовых отправлений в размере объявленной ценности,
искажение текста телеграммы, изменившее ее смысл, недоставку
телеграммы или вручение телеграммы адресату по истечении
24 часов с момента ее подачи в размере внесенной платы за
телеграмму, за исключением телеграмм, адресованных в поселения, в
которых отсутствует сеть электросвязи. Размер ответственности за
неисполнение или ненадлежащее исполнение операторами связи
обязанностей по пересылке или доставке иных регистрируемых
почтовых отправлений определяется федеральными законами.
Работники
операторов
связи
несут
материальную
ответственность перед своими работодателями за утрату или задержку
доставки всех видов почтовых и телеграфных отправлений,
повреждение вложений почтовых отправлений, происшедшие по их
вине при исполнении ими должностных обязанностей, в размере
ответственности, которую несет оператор связи перед пользователем
услугами связи, если иная мера ответственности не предусмотрена
соответствующими федеральными законами.
Оператор связи не несет ответственности за неисполнение или
ненадлежащее исполнение обязательств по передаче или приему
сообщений либо пересылке или доставке почтовых отправлений, если
будет доказано, что такое неисполнение или ненадлежащее
исполнение обязательств произошло по вине пользователя услугами
связи либо вследствие действия непреодолимой силы.
Международное сотрудничество Российской Федерации
в области связи осуществляется на основе соблюдения общепризнанных принципов и норм международного права, а также
международных договоров Российской Федерации. В международной
деятельности в области электросвязи и почтовой связи федеральный
орган исполнительной власти в области связи выступает в качестве
администрации связи Российской Федерации.
212
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Администрация связи Российской Федерации в пределах своих
полномочий представляет и защищает интересы Российской
Федерации в области электросвязи и почтовой связи, взаимодействует
с
администрациями
связи
иностранных
государств,
межправительственными и международными неправительственными
организациями связи, а также координирует вопросы международного сотрудничества в области связи, осуществляемого Российской
Федерацией, гражданами Российской Федерации и российскими
организациями, обеспечивает исполнение обязательств Российской
Федерации, вытекающих из международных договоров Российской
Федерации в области связи.
Иностранные организации или граждане, осуществляющие
деятельность в области связи на территории Российской Федерации,
пользуются правовым режимом, установленным для российских
граждан и организаций в той мере, в какой указанный режим
предоставляется
соответствующим
государством
гражданам
Российской Федерации и российским организациям, если иное не
установлено международными договорами Российской Федерации
или федеральными законами.
5.5. Использование персональных данных владельцев
доменных имен сети Интернет и проблемы защиты
конституционных прав граждан на неприкосновенность
персональных данных
Конституция Российской Федерации гарантирует каждому
гражданину защиту его прав и свобод, важной составной частью которых является неприкосновенность его персональных данных.
Статьи 23 и 24 ограничивают возможности сбора, хранения, использования и распространения информации о частной жизни лица без его
согласия. Это же право закреплено и нормами Европейской конвенции о защите прав человека и основных свобод, а также другими нормами международного права, принятыми Российской Федерацией и
являющимися в соответствии со ст. 15 Конституции составной частью
российской правовой системы. Данные нормы находят отражение в
статьях Федерального закона «О персональных данных» [38],
а
также в ряде других нормативных правовых актов. В этом законе принято следующее определение персональных данных: персональные
данные – информационные данные об индивиде или их комплекс, с
помощью которых этот индивид может быть идентифицирован.
К таким данным относят фамилию, имя, отчество, адрес, контактную информацию лица и другие подобные сведения. При этом законом устанавливается необходимость сохранения конфиденциальности оператором либо иным лицом, получившим доступ к такой ин213
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
формации. Таким образом, следует рассматривать необходимость сохранения конфиденциальности персональных данных как реализацию
конституционных прав граждан на неприкосновенность частной жизни. Сохранение конфиденциальности является весьма сложной задачей для правового регулирования, поскольку подразумевает соблюдение разумного баланса между неприкосновенностью частной жизни
личности и интересами человека, общества и государства, выражающимися, прежде всего, в аспектах социализации данной личности.
Однако существующие в настоящее время правовые инструменты, призванные обеспечивать эффективное регулирование всех сфер и
видов деятельности информационного общества, не в полной мере гарантируют возможность реализации гражданами их конституционных
прав и свобод в области персональных данных. Это подтверждается
известными нарушениями действующего Федерального закона «О
персональных данных», которые происходят при использовании глобальной компьютерной сети Интернет. Нарушения в этой сети вызваны рядом административных и технических особенностей ее функционирования, которые подчас ставят гражданина перед выбором: с огласиться с некоторыми ограничениями вплоть до невозможности совершения определенных действий либо представить собственные персональные данные другим лицам. В значительной степени такие проблемы проявляются в процессе регистрации доменных имен, представляющих наименования сайтов в сети Интернет.
До недавнего времени информацию о владельце (администраторе) доменного имени можно было узнать, воспользовавшись любым
сайтом, предоставляющим доступ к сервису Whois, позволяющему
получить доступ к сведениям о фамилии, имени, адресе и контактной
информации владельца домена. В соответствии с «Правилами регистрации доменных имен в домене RU» 1 владелец домена обязан представлять такую информацию и поддерживать ее в актуальном состоянии, и в случае представления заведомо ложных сведений регистрация домена может быть аннулирована. После регистрации домена такая информация относится к персональным данным и к категории
конфиденциальной (ст.ст. 3 и 7 ФЗ «О персональных данных»).
В законе приводится понятие общедоступных источников персональных данных. К таким источникам относится и сервис Whois,
представляющий информацию о владельце домена. Персональные
данные в такой общедоступный источник могут помещаться только
с письменного согласия субъекта персональных данных, однако до
сих пор сервис Whois выдает персональную информацию даже о тех
ПРАВИЛА РЕГИСТРАЦИИ ДОМЕННЫХ ИМЕН В ДОМЕНЕ RU в ред. от
04.04.06 // сайт Координационного центра национального домена сети Интернет:
URL: http://cctld.ru/ru/doc/acting/?id21=13&i21=1 (01.04.2008)
1
214
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
владельцах доменов, которые не давали на это свое письменное согласие. Это сложившееся положение можно сравнить с известной практикой и сегодняшним состоянием вопроса, связанного с публикацией
телефонных справочников. Как известно, действующее законодательство регулирует общественные отношения, связанные с защитой персональных данных, к которым относятся телефонные номера, фамилии, адреса абонентов телефонной сети. Однако, несмотря на это и отсутствие согласия абонентов, их персональные данные, с учетом ранее
изданных телефонных справочников, сегодня не защищены и являются фактически общедоступными.
В соответствии со ст. 25 Федерального закона «О персональных
данных» информационные системы персональных данных (ИСПД),
к которым относится и сервис Whois, созданные и введенные в эксплуатацию до вступления в силу этого закона, должны получить соответствующий режим конфиденциальности, приобретая статус информационных систем, обрабатывающих информацию ограниченного доступа, т.е. отвечать известным требованиям, предъявляемым к системам защиты соответствующих классов.
В качестве первоочередного шага в реализации требований указанного закона при решении проблемы защиты доменных имен ведущими регистраторами этих имен в России принято решение о реализации порядка регистрации доменов: не отображать данные о владельце домена, указав лишь, что домен регистрирует «Private person»,
т.е. частное лицо. Такая мера не является исчерпывающей, поскольку
в этом случае информация о владельцах ранее зарегистрированных
доменов остается доступной до тех пор, пока владелец не примет решения об ограничении доступа к ней. Согласно закону, такая информация должна быть закрытой, недоступной третьим лицам до тех пор,
пока ее владелец не примет решения об ее открытии, подтвердив
письменным согласием свое решение.
На рис. 5.3 представлен порядок регистрации доменного имени,
который отражает сложившийся текущий обычай делового оборота, и
порядок, который должен будет реализован (изображено пунктирными линиями) в рамках ФЗ «О персональных данных». С учетом требований закона, оценивая сложившееся положение в этой области, можно сделать вывод о том, что имеет место несоответствие порядка
представления данных о владельце доменного имени требованиям
действующего законодательства.
215
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Рис. 5.3. Порядок регистрации доменного имени
Исходя из действующей нормы, нужно понимать, что необходима возможность не скрытия, а открытия персональных данных, которые должны быть закрыты, если не получено письменное согласие
их владельца. И здесь процесс скрытия персональных данных должен
носить не диспозитивный, а императивный характер. Следует также
учитывать, что данная проблема относится не только к зоне RU, но
и к любой другой доменной зоне, в которой домен регистрируется на
территории Российской Федерации.
Согласно п. 5.9 Правил регистрации доменных имен в зоне RU,
представление недостоверных сведений, необходимых для идентификации администратора (персональных данных), может являться причиной аннулирования регистрации доменного имени, поэтому необходимость такого представления очевидна. Отдельно стоит вопрос и о
законности действий посредников регистраторов по сбору, обработке,
хранению и передаче конфиденциальной информации.
Формально услуги по регистрации доменов в зоне RU, так же
как и в любой другой зоне, могут оказывать аккредитованные регистраторы, перечень которых весьма невелик. Так, для домена RU та-
216
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ких регистраторов насчитывается чуть более двух десятков 1. Наряду
с деятельностью по регистрации доменов регистраторы оказывают
услуги делегирования полномочий по регистрации третьим лицам, которые, по устоявшейся терминологии, называются реселлерами, т.е.
посредниками, которые регистрируют доменные имена наравне с регистраторами, оказывая при этом ряд сопутствующих услуг. Большая
часть доменов за счет привлекательной маркетинговой политики регистрируется именно через таких посредников. Зачастую регистратора
и посредников, которые могут быть как физическими, так и юридическими лицами, связывают только виртуальные отношения, в лучшем
случае – скрепленные договором-офертой.
Данные обстоятельства ставят под сомнение то, что участники
процесса регистрации доменного имени в лице регистратора и в особенности в лице посредников соблюдают действующее законодательство, устанавливающее соответствующие правила по обеспечению
конфиденциальности персональных данных клиента, регистрирующего доменное имя. К таким нормативным правовым актам следует отнести приказы Россвязьохранкультуры «Об утверждении Положения
о ведении реестра операторов, осуществляющих обработку персональных данных» 2, ФСТЭК РФ – № 55, ФСБ РФ – № 86, Министерства связи и информационных технологий Российской Федерации №
20 «Об утверждении порядка проведения классификации информационных систем персональных данных» 3, Постановление Правительства
РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах
персональных данных» 4 и др.
Не менее актуальной остается проблема, вытекающая из недостатков действующего законодательства, в частности «Правил регистрации доменных имен в домене RU» и Федерального закона «О персональных данных», которая заключается в том, что эти нормативные
правовые акты не в достаточной мере обеспечивают решение вопросов, связанных с полнотой контроля над доменным именем в случае
неподтверждения персональных данных владельца домена. Так, сущеСписок аккредитованных регистраторов // сайт Координационного центра
национального
домена
сети
Интернет:
URL:
http://cctld.ru/ru/regru/information/listrecorder/ (16.10.08)
2
Приказ Россвязьохранкультуры от 28.03.2008 № 154 «Об утверждении Положения о ведении реестра операторов, осуществляюших обработку персональных
данных» // РГ № 92, 26.04.2008 г.
3
Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 «Об
утверждении порядка проведения классификации информационных систем персональных данных» // РГ № 80, 12.04.2008 г.
4
Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных» // РГ № 260, 21.11.2007 г.
1
217
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ствует упрощенный порядок регистрации доменного имени, при котором владелец не представляет подтверждающие сведения, необходимые для его идентификации. Наличие такого упрощенного порядка
очень важно в первую очередь для регионов, поскольку возможность
представить подтверждающие документы часто отсутствует в связи с
тем, что регистраторы имеют свои представительства лишь в нескольких крупных городах. При регистрации домена по упрощенному порядку в соответствии с вышеназванными правилами владелец домена
не имеет права:
 изменять сведения, необходимые для идентификации администратора;
 передавать поддержку домена иному регистратору;
 передавать права администрирования домена иному администратору, что фактически означает передачу прав собственности;
 отказываться от прав администрирования.
Однако в соответствии со ст. 16 Федерального закона «О персональных данных» запрещается принятие на основании исключительно
автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Отсюда вытекает, что пункт 5.5 «Правил регистрации
доменных имен в домене RU» не соответствует действующему законодательству, как ограничивающий конституционные права
и интересы лиц, которые пользуются упрощенным (автоматизированным)
порядком процедуры регистрации, и должен быть пересмотрен.
Таким образом, административно-технический порядок регистрации доменных имен в зоне RU требует приведения в соответствие
с нормами Федерального закона «О персональных данных». Возникает необходимость наложить запрет на отображение в публичном сервисе Whois персональных данных владельца доменного имени, если
на такое отображение не получено письменное согласие владельца.
Кроме того, в случае регистрации доменных имен через третьих
лиц нужно такое осуществление передачи персональных данных регистратору, при котором исключается вмешательство или любой другой
доступ этих лиц к персональным данным. Такая процедура возможна,
но требует применения комплекса соответствующих административно-технических мер.
Также представляется необходимым изменение пункта 5.5 «Правил регистрации доменных имен в домене RU», однако при этом требуется учитывать, что полный отказ от подтверждения персональных
данных может повлечь различные проблемы реализации защиты искомых персональных данных. В связи с этим можно предложить использовать при идентификации личности администратора доменного
имени электронную цифровую подпись, принятую Федеральным законом «Об электронной цифровой подписи». Это позволит суще218
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ственно ускорить и упростить саму процедуру идентификации и в то
же время обеспечит равные возможности использования услуги регистрации доменных имен для жителей всех регионов России.
Контрольные вопросы
1. Какова структура закона «Об электронной цифровой
подписи»?
2. Дайте определение понятий электронного документа,
электронной цифровой подписи.
3. Каково содержание понятия «владелец сертификата ключа
подписи»?
4. Раскройте содержание таких понятий, как: средства
электронной цифровой подписи; сертификат средств электронной
цифровой подписи.
5. Чем различается содержание понятий «закрытый ключ
электронной цифровой подписи» и «открытый ключ электронной
цифровой подписи»?
6. Дайте определение следующих понятий:
 сертификат ключа подписи;
 подтверждение подлинности электронной цифровой подписи в электронном документе;
 пользователь сертификатом ключа подписи;
 информационная система общего пользования;
 корпоративная информационная система.
7. Представьте в виде структурно-логической схемы
взаимосвязь используемых понятий по электронной цифровой
подписи.
8. Каковы условия, определяющие юридическую силу, равнозначность электронной цифровой подписи в электронном документе
собственноручной подписи в документе на бумажном носителе?
9. Где и при каких условиях могут использоваться ключи
электронных цифровых подписей?
10. Какие сведения должен включать сертификат ключа
электронной цифровой подписи?
11. Раскройте содержание основных мероприятий, связанных
с регистрацией, проверкой принадлежности, выдачей, сроками
хранения сертификата ключа подписи.
12. Чем определяется статус удостоверяющего центра?
13. Каковы функции удостоверяющего центра?
14. Перечислите особенности правового регулирования защиты
информации, связанные с использованием средств связи и шифрсредств.
219
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ГЛАВА 6. ИНТЕЛЛЕКТУАЛЬНЫЙ ПРОДУКТ
КАК ОБЪЕКТ ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИ И ПРЕДМЕТ ЗАЩИТЫ
6.1. Понятие интеллектуальной собственности, ее виды
и объекты образования (авторские и лицензионные
договоры)
Наряду с вопросами правовой защиты конфиденциальной информации как важнейшей составной части обеспечения ИБ не менее
важным является вопрос защиты открытой информации, доступ к которой имеет неограниченное количество потенциальных пользователей. Решение этого вопроса призвано обеспечивать законодательство
об интеллектуальной собственности, которое нашло отражение в новой четвертой части Гражданского кодекса РФ.
Интеллектуальная собственность, включающая в себя 16 позиций (п.1 ст. 1225 ГК РФ), представляет собой:
 произведения науки, литературы и исскуства;
 программы для ЭВМ;
 базы данных;
 исполнения;
 фонограммы;
 сообщения в эфир или по кабелю радио- или телепередач
(вещание организаций эфирного или кабельного вещания);
 изобретения;
 полезные модели;
 промышленные образцы;
 селекционные достижения;
 топологии интегральных микросхем;
 секреты производства (ноу-хау);
 фирменные наименования;
 товарные знаки и знаки обслуживания;
 наименования мест происхождения товаров;
 коммерческие обозначения.
Интеллектуальная собственность в международных соглашениях, а также в законодательстве некоторых государств – условный собирательный термин. Она включает права, относящиеся к литературным, художественным и научным произведениям, исполнительской
деятельности артистов, звукозаписям, радио- и телепередачам (авторские права), научным изобретениям, открытиям, и другие права, связанные с различными видами промышленной собственности, а также
с защитой от недобросовестной конкуренции.
220
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Понятие интеллектуальной собственности было введено
в 1967 г. на Стокгольмской конференции Конвенцией об учреждении
Всемирной организации интеллектуальной собственности (ВОИС), вступившей в силу в 1979 г. Под эгидой ВОИС действуют различные специализированные союзы.
Таким образом, интеллектуальная собственность представляет
собой открытую информацию, которая рассматривается как специфический вид товара, отличающийся от вещественных объектов отсутствием фактора материального старения и ростом ценности при
расширении масштабов использования.
В защите интеллектуальной собственности важное место занимают методы и средства, представляющие собой систему защиты открытой информации в сфере высоких технологий двойного предназначения. Как правило, эти технологии ориентированы на коммерческую сферу деятельности, что предполагает получение значительного
экономического эффекта, а следовательно, и необходимость обеспечения правовой защиты.
Особенностью защиты интеллектуальной собственности является ориентация на индивидуальный аспект, т. е. потребность защиты
экономических интересов отдельных граждан или их групп, не имеющих статуса юридического лица. Решение такой защиты предполагает
правовое закрепление соответствующих отношений. В советском законодательстве понятие интеллектуальной собственности не применялось.
Защита результатов творческой деятельности как объекта интеллектуальной собственности охраняется авторским правом, законодательством о промышленной собственности и ноу-хау. Для этого используются следующие способы:
 закрепление факта создания произведения;
 регистрация формулы (содержания) изобретения;
 фиксация и сохранение в тайне результатов творчества.
Для первых двух случаев информация, создаваемая в процессе
творчества и сопровождающая этот процесс, не нуждается в дополнительной защите, поскольку она сама есть такой результат (произведение) или содержит описание результата творчества (патент на изобретение (промышленный образец) или свидетельство на полезную модель). Для сохранения в тайне результатов производства, науки требуется дополнительная защита информации.
Права в отношении интеллектуальной собственности признаются в случаях и порядке, установленных ГК РФ и другими законами.
Гражданское законодательство определяет правовое положение
участников гражданского оборота, основания возникновения и поря-
221
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
док осуществления исключительных прав на результаты интеллектуальной деятельности (интеллектуальной собственности).
Результаты интеллектуальной деятельности и средства индивидуализации, которые являются объектами исключительных прав, могут использоваться третьими лицами только с согласия правообладателя. В результате создания произведений науки, литературы, искусства, изобретений и иных результатов интеллектуальной собственности могут возникнуть гражданские права и обязанности. При этом результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность), являются видом
объектов гражданских прав (ст. 138 ГК РФ).
Правовой основой законодательства об интеллектуальной
собственности служат конституционные нормы:
 о праве свободно искать, получать, передавать, производить
и распространять информацию любым законным способом (ч. 4 ст. 29
Конституции РФ);
 гарантии свободы литературного, художественного, научного, технического и других видов творчества, преподавания;
 об охране законом интеллектуальной собственности (ч. 1
ст. 44 Конституции РФ).
Законодательство в области защиты интеллектуальной собственности составляют:
 Конституция РФ;
 законодательство об авторском праве и смежных правах;
 патентное законодательство;
 законодательство о ноу-хау;
 договорное законодательство;
 законодательство о конкуренции и ограничении монополистической деятельности на товарных рынках.
В системе правового регулирования информационной безопасности особое значение уделяется договорным отношениям, благодаря
которым становится возможным реализовывать механизм защиты интеллектуальных прав. Договорные обязательства взаимодействующих
сторон лежат в основе любой системы правоотношений, в том числе в
области ИБ.
Обязательства – это особый вид гражданских имущественных
правоотношений, содержание которых составляет право одной
стороны требовать от другой совершения или воздержания от совершения определенных действий.
222
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Эти обязательства возникают из договора или иных оснований,
определяемых ГК РФ. Существует ряд договоров, которые относятся
к сфере научно-технической деятельности.
Договор на создание (передачу) научно-технической продукции как специфического вида товара – один из основных видов договоров. Исторически формой такого договора было подрядное проведение исследований, разработка образца нового изделия,
новой технологии и т. д.
Особенностью подрядной формы является обязательность оплаты заказчиком работ независимо от результата.
Рыночные отношения в сфере науки привели к смене подрядной
формы договорами типа «купля-продажа» или «поставка», которые
характеризуются:
 установлением параметров продукции в договоре;
 возможной передачей работ до заключения договоров в случае их инициативного проведения. Это положение может широко использоваться при практической реализации законодательства об
охране интеллектуальной собственности в коммерческих целях при
передаче патентов, авторских прав и правообладания.
Договор о присоединении приближается к лицензионному соглашению в случае массового тиражирования программы для ЭВМ,
когда пользователь не имеет возможности формулировать свои условия, обладая только правом применения передаваемых типовых экземпляров программы.
Одной из форм договора о присоединении является так называемая оберточная лицензия, представляющая собой типовой договор
правообладателя с конечным пользователем, вкладываемый в запечатанную упаковку с материальным носителем информации. Факт
вскрытия упаковки расценивается как факт заключения договора.
В противном случае пользователь должен вернуть документы, не
вскрывая упаковки.
Договоры о взаимодействии партнеров в процессе использования интеллектуальной собственности включают инвестиционные
договоры и договоры о совместной хозяйственной деятельности.
Их цель – объединение усилий и потенциала разных субъектов. Согласно нормам Федерального закона от 25.02.99 № 39-ФЗ «Об инвестиционной деятельности в Российской Федерации, осуществляемой в
форме капитальных вложений» (в ред. от 02.01.2000), обладатель объекта интеллектуальной собственности может стать участником договора путем передачи (вложения) своих прав в объекты предпринимательской деятельности и рассчитывать на получение прибыли или ча223
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сти социального эффекта. При совместной деятельности правообладатель как хозяйствующий субъект отвечает и за понесенные убытки. В
этом случае инвестируется только часть интеллектуальной собственности, которая имеет документальные подтверждения вносимых
имущественных прав (патенты, лицензии, свидетельства о государственной регистрации и т. д.). Упоминание в договоре лишь интеллектуальных способностей является неправомерным.
Агентское соглашение представляет собой договор, при котором одна сторона от имени и за счет другой стороны (принципала)
осуществляет посредничество. Агентские соглашения различаются по
виду прав, предоставляемых агенту:
­ простые;
­ исключительные;
­ исключительные с ограничениями.
В определенной степени агентские соглашения подобны лицензионным, только действуют не в производственной сфере, а в прямой
коммерции (торговле).
Несмотря на разнообразие типов договоров и их отличие друг от
друга, большинство из них имеют общие черты и содержание, которые регулируются нормами обязательственного права. Они устанавливают обязательства сторон, что помогает в разрешении конфликтных ситуаций и в привлечении к ответственности виновной стороны.
Содержание договора – это совокупность условий, формирующих
и выражающих взаимосогласованное волеизъявление сторон. Такое понятие определено в соответствии с гражданским законодательством.
Существенными условиями договора являются:
­ условия, признанные существенными по договору;
­ необходимые для договоров данного типа;
­ относительно которых по заявлению хотя бы одной из сторон
должно быть достигнуто соглашение.
К первой группе существенных условий в соответствии с нормами обязательственного права относятся:
 наименование сторон, их почтовые, телеграфные и банковские реквизиты; фамилия, имя, отчество, домашний адрес, паспортные данные и номер расчетного счета для физического лица;
 наименование программного продукта;
 права сторон по договору;
 срок действия;
 договорная цена;
 порядок расчетов;
 порядок разрешения споров;
224
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 условия и порядок расторжения договоров.
Во вторую группу входят такие условия, в отношении которых
хотя и нет специального указания в нормативных актах, однако их согласование в договоре вытекает из особенностей природы данного вида договора. Так, для авторских договоров на программные продукты
таковыми являются:
 возможность передачи авторских прав;
 условия соблюдения конфиденциальности;
 права сторон на последующие модификации и усовершенствования;
 обеспечение доступа к исходному коду;
 порядок использования продукта третьими лицами и другие
условия.
Третья группа представляет собой дополнительные условия,
существенные в силу факта предложения одной из сторон, при этом
ни одна из сторон не должна оказаться в худших условиях, нежели
условия, установленные нормативными актами. К ним относятся:
 наименование этапов работ и сроки их выполнения;
 порядок сдачи-приемки;
 порядок поставки, установки и сопровождения;
 условия, порядок и сроки обучения.
Состав договора может включать один или нескольких документов:
­ текст договора с существенными условиями;
­ приложения (техническое задание или условия, календарный
план или программа работ, описания, спецификации, соглашение
между авторами о распределении вознаграждения);
­ дополнительные соглашения, возникающие в процессе выполнения работ.
Сторонами по договору могут быть как физические, так
и юридические лица, имеющие право на предмет договора:
1) для группы авторов заключается один договор как в случае
неделимости произведения, так и в тех случаях, когда авторство отдельных частей может быть персонифицировано. С другой стороны,
при одном авторском коллективе нескольких произведений, хотя и
тесно связанных между собой, заключается столько договоров, сколько выделяется отдельных произведений;
2) договоры могут заключаться представителями сторон, имеющими доверенность, заверенную нотариусом. В доверенности должны быть указаны все права на подписание договора, ведение переписки, согласование изменений и т. п.
225
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Согласно ГК РФ, прекращение договора может происходить:
 путем замены одного обязательства другим или в судебном
порядке в силу того, что односторонний отказ от исполнения обяз ательств и одностороннее изменение условий договора не допускаются. При заявлении одной стороны о расторжении договора и несогласии другой конфликт может быть разрешен только в судебном порядке. До решения суда все обязательства, предусмотренные договором,
сохраняются в силе;
 по причине невозможности его выполнения по вине одной из
сторон. При этом наступает ответственность виновной стороны;
 в связи с возникновением форс-мажорных обстоятельств
(стихийные бедствия, военные действия и т. д.);
 в случае ликвидации одной из сторон юридического лица. Такое прекращение действует лишь на будущее, и другая сторона вправе
требовать выполнения обязательств на дату ликвидации. При необходимости конфликт разрешается в судебном порядке с привлечением
экспертов.
6.2. Основы авторского права
Авторское право (англ. copyright) – это часть гражданского права, регулирующая отношения, возникающие в связи с использованием
произведений науки, литературы, искусства.
Основным документом этого законодательства является четвертая часть Гражданского кодекса РФ и другие федеральные законы.
Авторское право представляет собой совокупность правовых
норм, регулирующих отношения, возникающие между объектами и
субъектами права в отношении созданного произведения. Однако авторское право отличается от права собственности, которое можно
осуществлять лишь в отношении материальных объектов, где собственник имеет абсолютное право на этот объект. Объекты авторского
права нематериальны, и исключительное право подвергается изъятиям и ограничениям.
Так как интеллектуальная собственность неотделима от материальной формы ее носителя, возникает проблема соотношения права на
произведение как нематериальный объект и права на носитель как материальный объект. Эти права разные, и их субъекты могут не совпадать. Так, для информационных телекоммуникационных систем и сетей право собственности на сети как физический объект не дает авторского права на циркулирующую в них информацию. Здесь обыч-
226
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ное копирование информации может привести к нарушениям авторского права.
Основные положения законодательства об авторском праве
определяют объекты права и сроки их защиты, права авторов и других
правообладателей и условие необходимости заключения договоров на
приобретение прав.
Закон об авторском праве регулирует отношения, возникающие
в связи с созданием и использованием произведений науки, литературы и
искусства (авторское право), фонограмм, исполнением постановок, передач, организаций эфирного или кабельного вещания (смежные права).
Авторское право распространяется на произведения:
­ обнародованные на территории РФ или необнародованные,
но находящиеся в какой-либо объективной форме на территории РФ,
– признается за авторами (их правопреемниками) независимо от их
гражданства;
­ обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, – признается за авторами, являющимися гражданами РФ (их правопреемниками);
­ обнародованные за пределами территории РФ или необнародованные, но находящиеся в какой-либо объективной форме за пределами территории РФ, – признается на территории РФ за авторами
(их правопреемниками) – гражданами других государств в соответствии с международными договорами РФ.
Произведение также считается впервые опубликованным
в РФ, если в течение 30 дней после даты первого опубликования за ее
пределами оно было опубликовано на территории РФ.
Распространение авторского права возникает в силу факта создания произведения. Для возникновения и осуществления авторского
права не требуется регистрации произведения, иного специального
оформления или соблюдения каких-либо формальностей. При предоставлении на территории РФ правовой охраны произведения в соответствии с международным договором РФ автор произведения определяется по закону государства, на территории которого имел место
юридический факт, послуживший основанием для обладания авторским правом.
Предоставление на территории РФ охраны произведению в соответствии с международными договорами РФ осуществляется в отношении произведений, не перешедших в общественное достояние в
стране происхождения произведения вследствие истечения установленного в такой стране срока действия авторского права и не перешедших в общественное достояние в РФ вследствие истечения предусмотренного Законом об авторских правах срока действия авторского
227
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
права. При предоставлении охраны произведению в соответствии с
международными договорами РФ срок действия авторского права на
территории РФ не может превышать срок действия авторского права,
установленный в стране происхождения произведения.
К объектам авторского права относятся:
1) первичные произведения, в том числе литературные (включая
программы для ЭВМ);
2) вторичные, т. е. производные произведения (переводы, обработки, аннотации, рефераты, резюме, обзоры, другие переработки
произведений науки, литературы, искусства), а также сборники и другие составные произведения, представляющие собой по подбору и
расположению материала результаты творческого труда (энциклопедии, антологии, базы данных).
Закон об авторских правах определяет следующие произведения, не являющиеся объектами авторского права:
а) официальные документы (законы, судебные решения, иные
тексты законодательного, административного и судебного характера),
их официальные переводы;
б) сообщения о событиях и фактах, имеющих информационный
характер;
в) идеи, методы, процессы, системы, способы, концепции,
принципы, открытия, факты.
Субъектами права являются правообладатели – автор, его
наследник, а также любое физическое или юридическое лицо, которое
обладает исключительными имущественными правами, полученными
в силу закона или договора.
В отличие от патентной системы для признания и осуществления авторского права не нужны депонирование, регистрация или выполнение иных формальностей. Автором признается физическое лицо
или группа физических лиц, в результате творческой деятельности которых созданы рассматриваемые объекты.
Авторское право на базу данных, состоящую из материалов, не
являющихся объектами авторского права, принадлежит лицам, ее создавшим. В противном случае необходимо согласие авторов на включение этих данных в общую базу.
Не признаются авторами физические лица:
 не внесшие личного творческого вклада;
 оказавшие только техническую, организационную или материальную помощь, в том числе в оформлении документов.
Знак охраны авторского права состоит из трех элементов:
 латинской буквы С в окружности;
228
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 имени (наименования) обладателя исключительных авторских
прав;
 года первого опубликования произведения.
Права автора сохраняются бессрочно и являются неприкосновенными. В отношении разработанных произведений, подлежащих
защите, автору в соответствии с законом принадлежат:
а) личные неимущественные права:
 право авторства;
 право на имя, псевдоним или анонимность;
 право на неприкосновенность, целостность как самого объекта, так и его названий от всякого рода искажений, способных нанести
ущерб чести и достоинству автора;
 право на обнародование произведения;
 право на защиту своей репутации;
б) имущественные права – исключительные права на использование произведения в любой форме и любым способом, в частности
право на воспроизведение, распространение, публичный показ, передачу в эфир, перевод, переработку.
Личные неимущественные права принадлежат автору независимо от его имущественных прав и сохраняются за ним в случае уступки
исключительных прав на использование произведения.
Имущественные права могут быть переданы полностью или частично любому лицу по договору, который заключается в письменной
форме и должен устанавливать объемы и способы использования объекта, порядок и размеры выплаты вознаграждения, срок действия.
Имущественные права переходят по наследству.
Особенности предоставления имущественных прав определяются случаями выполнения служебных обязанностей, заданий работодателя или работ по договору с заказчиком. При этом права принадлежат работодателю или заказчику, если договором не предусмотрено
иное, а получение вознаграждения, порядок его выплаты и размер
указываются в договоре между автором и работодателем.
Для официального установления приоритета и обеспечения защиты авторских прав по аналогии с патентной системой вводится система добровольной регистрации объектов охраны в соответствующем агентстве. Эта процедура связана с определенными затратами в
виде регистрационных сборов.
Исключительное авторское право – это право, при котором
автор для оповещения о своих правах вправе использовать знак охраны авторского права, применяемый на каждом экземпляре произведения. Нарушением исключительного авторского права использования
считается применение объектов авторского права в коммерческих це229
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
лях, т. е. для извлечения прибыли. В других случаях лицо, правомерно
владеющее экземпляром объекта, имеет право на свободное воспроизведение, адаптацию, декомпилирование и другие действия, не преследующие извлечение коммерческой выгоды.
Срок действия авторского права определяется в течение всей
жизни автора и 70 лет после его смерти.
Для произведения, выпускаемого периодически анонимно или
под псевдонимом, авторское право действует 70 лет с момента выпуска в свет.
За нарушение авторских и смежных прав предусмотрены следующие виды ответственности:
 гражданско-правовая;
 административная;
 уголовная.
При нарушении исключительных прав правообладателя он имеет право:
1) требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации:
 в размере от 10 тыс. руб. до 5 млн. руб., определяемом по
усмотрению суда, арбитражного суда или третейского суда исходя из
характера нарушения;
 в двукратном размере стоимости экземпляров произведений
или объектов смежных прав либо в двукратном размере стоимости
прав на использование произведений или объектов смежных прав,
определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование произведений
или объектов смежных прав. Обладатели исключительных прав вправе требовать от нарушителя выплаты компенсации за каждый случай
неправомерного использования произведений или объектов смежных
прав либо за допущенные правонарушения в целом. Компенсация
подлежит взысканию при доказанности факта правонарушения независимо от наличия или отсутствия убытков;
2) требовать возмещения морального вреда;
3) обратиться для защиты своих прав в суд, арбитражный или
третейский суд, органы прокуратуры, органы дознания, органы предварительного следствия в соответствии с их компетенцией.
Нарушитель авторского права – лицо, не выполняющее требования законодательства в отношении исключительных прав правообладателей, в том числе ввозящее в Россию экземпляры программ или
баз данных, изготовленных без разрешения их правообладателей.
Контрафактные экземпляры – это экземпляры произведения,
изготовление или использование которых влечет за собой нарушение
авторского права, в том числе ввозимые в Россию из государства,
в
230
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
котором эти произведения никогда не охранялись или перестали
охраняться.
Законом определены объекты авторского права – программы
для ЭВМ, базы данных. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных – как
сборникам.
Авторское право на данные объекты распространяется:
­ как на выпущенные, так и на не выпущенные в свет программы для ЭВМ и базы данных, являющиеся результатом творческой деятельности автора, представленные в объективной форме, независимо
от их материального носителя, назначения и достоинства;
­ на все виды программ для ЭВМ, в том числе на операционные
системы и программные комплексы, которые могут быть выражены
на любом языке в любой форме, включая исходный текст и объектный
код;
­ базы данных, представляющие собой результат творческого
труда по подбору и организации данных. Базы данных охраняются
независимо от того, являются ли данные, на которых они основаны
или которые они включают, объектами авторского права.
Для рассмотренных объектов авторского права творческий характер деятельности автора предполагается до тех пор, пока не доказано обратное.
Не подлежат правовой охране и не являются объектами авторского права:
 идеи и принципы, лежащие в основе программы для ЭВМ;
 базы данных или какой-либо их элемент, в том числе идеи
и принципы организации интерфейса и алгоритма;
 языки программирования.
Возникновение авторского права на программу для ЭВМ или
базу данных определяется фактом их создания, а для его признания
и осуществления не требуется депонирования, регистрации или соблюдения иных формальностей.
Оповестить о своих правах правообладатель может начиная
с первого выпуска в свет программы для ЭВМ или базы данных, используя при этом знак охраны авторского права. Особенностью авторского права на программы для ЭВМ и базы данных является то, что
это право не связано с правом собственности на их материальный носитель и любая передача прав на материальный носитель не влечет за
собой передачи каких-либо прав на программы для ЭВМ и базы данных. Автору программы для ЭВМ и базы данных принадлежат личные
неимущественные и имущественные права.
Начало действия авторского права определяется с момента
создания программы для ЭВМ или базы данных в течение всей жизни
231
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
автора и 50 лет после его смерти, считая с 1 января года, следующего
за годом смерти автора. Личные права автора охраняются бессрочно.
Обладатель всех имущественных прав непосредственно или через своего представителя в течение срока действия авторского права
может по своему желанию зарегистрировать программу для ЭВМ или
базу данных. Для этого подается заявка в Российское агентство по
правовой охране программ для ЭВМ, баз данных и топологий интегральных микросхем. Программа для ЭВМ или база данных используется третьими лицами (пользователями), как правило, на основании
договора с правообладателем. Защита авторского права может ос уществляться в судебном порядке, в том числе арбитражным и третейским судами.
Основными нарушениями авторских прав иных правообладателей в отношении программы для ЭВМ или базы данных, материалов и
оборудования, используемых для их воспроизведения, являются: изготовление; воспроизведение; распространение; продажа; ввоз или
иное использование; выпуск под своим именем чужой программы или
базы данных.
В отношении таких контрафактных экземпляров программ, базы
данных, материалов и оборудования, используемых для их воспроизведения, суд или арбитражный суд может вынести решение:
­ об их конфискации, уничтожении;
­ о передаче в доход бюджета РФ или истцу по его просьбе
в счет возмещения убытков;
­ об аресте в порядке, установленном законом;
­ уголовной ответственности в соответствии с законом (в случаях выпуска под своим именем чужой программы или базы данных
либо незаконного воспроизведения или распространения таких произведений).
Авторское право на базу данных, состоящую из материалов, не
являющихся объектами авторского права, принадлежит лицам, создавшим базу данных, и признается при условии соблюдения авторского права на каждое из произведений, включенных в эту базу данных. Закон предоставляет защиту только в части подбора и расположения материала, включаемого в состав базы данных. База данных как
объект правоотношений охраняется правами на интеллектуальную и
вещную собственность.
Основой современных вычислительных средств являются микропроцессорные технологии, средства и элементы. Их правовая защита осуществляется на основе Гражданского кодекса РФ. Закон регулирует отношения, связанные с созданием, правовой охраной и использованием топологий.
232
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Топология интегральной микросхемы – это зафиксированное
на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы и связей
между ними.
Интегральная микросхема (ИМС) – микроэлектронное изделие окончательной или промежуточной формы, предназначенное для
выполнения функции электронной схемы, элементы и связи которого
нераздельно сформированы в объеме и (или) на поверхности материала, на основе которого изготовлено изделие.
Правовая охрана распространяется только на оригинальную топологию – созданную в результате творческой деятельности автора
и признаваемую оригинальной до тех пор, пока не доказано обратное.
Правовая охрана, предоставляемая законом, не распространяется на идеи, способы, системы, технологию или закодированную
информацию, которые могут быть воплощены в топологии.
Автором топологии признается физическое лицо или каждое из
нескольких физических лиц, в результате творческой деятельности
которого (совместной деятельности которых) она была создана.
Порядок пользования правами, принадлежащими нескольким
авторам топологии или иным правообладателям, определяется договором между ними.
Автору принадлежит исключительное право использовать
разработанную топологию по своему усмотрению и в частности:
­ путем изготовления и распространения ИМС с такой топологией;
­ запрещать использование топологии и ИМС другим лицам
без соответствующего разрешения, за исключением случаев, предусмотренных законом.
Не признаются авторами физические лица:
­ не внесшие личного творческого вклада в создание топологии;
­ оказавшие автору только техническую, организационную или
материальную помощь;
­ способствовавшие оформлению права на использование топологии.
К нарушению исключительного права приводят следующие
виды действий без разрешения автора:
 копирование топологии или ее части путем ее включения
в ИМС или иным образом, за исключением копирования только той ее
части, которая не является оригинальной;
233
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
 применение, ввоз, предложение к продаже, продажа и иное
введение в хозяйственный оборот топологии или ИМС с этой топологией.
Правовое регулирование имущественных прав на топологию можно представить следующими положениями:
1) права могут быть переданы полностью или частично другим
физическим или юридическим лицам по договору;
2) права на топологию, созданную в порядке выполнения служебных обязанностей или по заданию работодателя, принадлежат
работодателю, если договором между ним и автором не предусмотрено иное;
3) автор топологии или иной правообладатель может по своему
желанию непосредственно или через своего представителя зарегистрировать топологию в Российском агентстве по правовой охране программ для ЭВМ, баз данных и топологий интегральных микросхем
путем подачи заявки на официальную регистрацию топологии ИМС;
4) исключительное право на использование топологии действует
в течение 10 лет;
5) за защитой своего права автор может обратиться в установленном порядке в суд, арбитражный или третейский суд. Суд может
вынести решение о конфискации незаконно изготовленных экземпляров ИМС и изделий, включающих такие ИМС, а также материалов
и оборудования, используемых для их изготовления; их уничтожении
либо передаче в доход республиканского бюджета РФ или истцу по
его просьбе в счет возмещения убытков;
6) автор или иной правообладатель может испрашивать правовую охрану топологии в зарубежных странах.
Дальнейшие исследования в области защиты интеллектуальной
собственности в системе правового обеспечения ИБ возможны в таких
направлениях, как:
­ защита результатов творческой деятельности;
­ совершенствование законодательства об авторском праве
и смежных правах в части обеспечения реализации личных неимущественных и имущественных прав и др.
6.3. Основные положения патентного права
Главным актом патентного законодательства и основой системы
правовой защиты объектов промышленной собственности и патентного законодательства является Патентный закон РФ от 23.09.92
№ 3517-1.
234
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Патентная система, в основу которой положено понятие «патент» (от лат. patens – открытый), отличается от обычной тем, что ее
содержание можно продемонстрировать, не взламывая печать.
Патент как документ удостоверяет монопольное (исключительное) право на производство и продажу определенного вида товара или услуг.
Сфера действия патентного законодательства – это регулирование:
­ имущественных отношений;
­ личных неимущественных отношений, возникающих в связи
с созданием, правовой охраной и использованием объектов промышленной собственности.
К основным объектам промышленной собственности относятся: изобретения, полезные модели, промышленные образцы.
Изобретение (англ. invention) – новое, обладающее существенными отличиями техническое решение задачи в любой области экономики, социального развития, культуры, науки, техники, обороны,
дающее положительный эффект и удовлетворяющее некоторым критериям патентоспособности.
К объектам изобретения причисляются: устройство; способ;
вещество; штамм микроорганизма; культуры клеток растений и животных; применение известного ранее устройства, способа, вещества,
штамма по новому назначению.
Не признаются патентоспособными изобретениями:
­ научные теории и математические методы;
­ методы организации и управления хозяйством;
­ условные обозначения, расписания, правила;
­ методы выполнения умственных операций;
­ алгоритмы и программы для вычислительных машин;
­ проекты и схемы планировки сооружений, зданий, территорий;
­ решения, касающиеся только внешнего вида изделий, направленные на удовлетворение эстетических потребностей;
­ топологии интегральных микросхем;
­ сорта растений и породы животных;
­ решения, противоречащие общественным интересам, принципам гуманности и морали.
Полезные модели – технические решения, представляющие собой конструктивное выполнение средств производства и предметов
потребления, а также их составных частей и отвечающие требованиям
патентоспособности.
235
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Не подлежат правовой защите как полезные модели: способы, вещества, штаммы микроорганизмов, культуры клеток растений и
животных, а также их применение по новому назначению.
Промышленные образцы – художественно-конструкторские
решения, определяющие внешний вид изделия. Правовая защита предоставляется промышленному образцу при его соответствии требованиям патентоспособности.
Не признаются патентоспособными промышленными образцами:
­ решения, обусловленные исключительно технической функцией изделия;
­ объекты архитектуры (кроме малых архитектурных форм),
промышленных, гидротехнических и других стационарных сооружений;
­ печатная продукция как таковая;
­ объекты неустойчивой формы из жидких, газообразных, сыпучих или им подобных веществ;
­ изделия, противоречащие общественным интересам, принципам гуманности и морали.
Правовая охрана в соответствии с рассматриваемым законом не
предоставляется изобретениям, полезным моделям, промышленным
образцам, признанным государством секретными; обращение с ними
регулируется специальным законодательством РФ.
Представленное различие объектов промышленной собственности дает возможность несколько упростить процедуры оформления
заявки, проведения экспертизы и регистрации.
Права собственников подтверждаются особыми документами:
 патентами на изобретение или промышленный образец;
 свидетельством на полезную модель.
Эти документы удостоверяют:
­ приоритет, авторство и исключительное право на использование патентоохраняемой информации;
­ вещные, а также связанные с ними личные неимущественные
отношения, возникающие в связи с созданием, правовой охраной и
использованием изобретений, полезных моделей и промышленных
образцов (объекты промышленной собственности).
Начало срока действия патента (свидетельства) определяется
с момента поступления авторской заявки на изобретение (полезную
модель, промышленный образец) в патентное ведомство, где фиксируются год, месяц, день, час и минута.
Сроки действия документов:
1) патент на изобретение действует в течение 20 лет;
2) патент на промышленный образец – 10 лет;
236
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
3) свидетельство на полезную модель – 5 лет.
Сроки действия патента на промышленный образец и свидетельства на полезную модель могут быть продлены, но не более чем
на пять лет и три года соответственно.
Правовая защита рассмотренных объектов промышленной собственности предоставляется в случае их удовлетворения показателям
патентоспособности.
Для изобретения установлены такие показатели, как новизна,
наличие изобретательского уровня, промышленная применимость.
Один из важных показателей патентоспособности – новизна.
Новизна изобретения – установленный принцип, согласно которому
заявка отклоняется, в случае если существенные признаки формулы
включают сведения, ставшие общедоступными в мире до даты приоритета. В общедоступные сведения включаются все заявки, кроме
отозванных, при условии их раннего приоритета и за исключением
информации конфиденциального характера.
Изобретательский уровень означает, что изобретение должно
быть результатом творческой, а не основанной на распространенных
представлениях или общедоступных знаниях работы. Особенностью
этого показателя, по определению, является его неоднозначность в
силу субъективности самого понятия «творчество». Это вызывает
определенные сложности установления наличия или отсутствия изобретательского уровня на стадии патентной экспертизы.
В патентном законодательстве иностранных государств применяются такие показатели, как неочевидность и оригинальность (в отношении промышленных образцов), предполагающие определение
существенных признаков, обусловливающих творческий характер эстетических особенностей изделия. Для полезных моделей подобный
критерий вообще не применяется.
Показатель промышленной применимости предполагает установление того, что техническое решение может быть использовано в
промышленности, сельском хозяйстве, здравоохранении и других областях деятельности. Этот показатель позволяет классифицировать и
установить подробные перечни объектов, которые могут быть пр изнаны изобретениями, и объектов, которые не являются патентоспособными и не защищаются патентным законодательством.
В основе такой классификации лежит возможность реализации
технического решения в виде материального объекта либо его применения по новому назначению. Показатель промышленной применимости дает возможность выделить совокупность существенных признаков, отражающих изобретательский замысел. Объективный харак-
237
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тер этих признаков позволяет провести техническую экспертизу и на
ее основе отклонить или удовлетворить заявку авторов.
Для определения полезной модели приняты показатели новизны
и промышленной применимости.
Новая полезная модель – модель, в которой совокупность ее
существенных признаков неизвестна из уровня техники.
Промышленно применимая полезная модель – модель, которая
может быть использована в промышленности, сельском хозяйстве,
здравоохранении и других отраслях.
Для промышленного образца рассматриваемый критерий состоит в возможности многократного воспроизведения образца путем
производства соответствующего изделия, новизны, оригинальности
и промышленной применимости.
Новый промышленный образец – образец, у которого совокупность его существенных признаков, определяющих эстетические и
(или) эргономические особенности изделия, неизвестна из сведений,
ставших общедоступными в мире до даты приоритета промышленного образца.
Оригинальный промышленный образец – образец, у которого
его существенные признаки обусловливают творческий характер эстетических особенностей изделия.
Промышленно применимый промышленный образец – образец, который может быть многократно воспроизведен путем изготовления соответствующего изделия.
Формула изобретения является важнейшей составной частью
заявки и патента и определяет объем правовой охраны, предоставляемой патентом.
Основное требование к формуле изобретения:
­ сжатая форма выражения сути технического решения в полном объеме;
­ отражение новизны изобретения.
Реализация этих требований достигается использованием двух
групп существенных признаков: известных (ограничительных) и новых (отличительных). Первая группа является общей для изобретения
и ближайшего прототипа – единственного аналога, вторая – характеризует отличие изобретения от прототипа.
Ограничительная и отличительная части формулы разветвляются словами «отличающийся», а сама она по традиции представляет собой одно предложение.
Защита изобретения, представленного несколькими формами
(приложениями), осуществляется многозвенной формулой. В такой
формуле основной пункт (предложение) включает общие для всех
238
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
форм признаки, а в дополнительных, «зависимых» пунктах описываются частные формы изобретения. Дополнительные пункты развивают, уточняют, конкретизируют как отдельные признаки, так и их различные совокупности, что отмечается соответствующими ссылками.
Субъектами правоотношений в сфере патентного законодательства являются авторы и патентообладатели.
Автором изобретения, полезной модели, промышленного образца признается физическое лицо, творческим трудом которого они
созданы.
При создании объекта промышленной собственности несколькими физическими лицами все они считаются его авторами. Порядок
пользования правами, принадлежащими авторам, определяется соглашением между ними. При отсутствии такого соглашения каждый
автор может использовать изобретение по своему усмотрению, но не
вправе передать свои права третьему лицу без согласия остальных авторов.
Не признаются авторами физические лица, которые:
не внесли личного творческого вклада в создание объекта промышленной собственности;
оказали автору (авторам) только техническую, организационную или материальную помощь;
способствовали только оформлению прав на него и его использование.
Право авторства является неотчуждаемым личным правом
и охраняется бессрочно.
Правообладателем выступает лицо, которому выдан патент.
Это может быть:
1) автор (авторы) изобретения, полезной модели, промышленного образца;
2) физические и юридические лица, которые указаны автором
(авторами) или его (их) правопреемником в заявке на выдачу патента
либо в заявлении, поданном в патентное ведомство до момента регистрации изобретения, полезной модели, промышленного образца.
Право получения патента на изобретение, полезную модель,
промышленный образец, созданные работником при выполнении им
своих служебных обязанностей или полученного от работодателя
конкретного задания, принадлежит работодателю, если договором
между ними не предусмотрено иное.
Автор изобретения имеет право на вознаграждение, соизмеримое выгоде, получаемой или, может быть, полученной от исключительного права использования объекта промышленной собственности.
Право на вознаграждение сохраняется и в случае, если работодатель
239
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
решил сохранить объект в тайне и по причинам, зависящим от него,
не получил патент. Сумма и условия вознаграждения определяются
соглашением между работодателем и автором. Право патентообладания для работодателя действует в течение четырех месяцев после
уведомления автором о созданном им объекте. После этого автор имеет право сам подать заявку и получить патент на свое имя. При этом
за работодателем остается право использовать объект в собственном
производстве, а также обязанность выплатить патентообладателю
компенсацию, определяемую на договорной основе.
Конфликтные ситуации в этом случае рассматриваются в особом порядке, а виновный несет ответственность в соответствии с
гражданским законодательством РФ. Закон предусматривает также
введение дополнительных законодательных актов, регулирующих
иные отношения в связи с созданием служебных изобретений.
Автор может передавать свои права только на использование
объекта промышленной собственности. Само же право авторства является неотчуждаемым личным правом и охраняется бессрочно.
На государственном уровне правом патентообладания пользуется Федеральный фонд изобретений РФ, который приобретает их на
договорной основе и реализует в интересах государства.
Правовая защита патента состоит в том, что патентообладателю принадлежит исключительное право на использование объекта
промышленной собственности по своему усмотрению, если такое использование не нарушает прав других патентообладателей.
Продукт (изделие) признается изготовленным в соответствии
с патентом, если в нем использован каждый признак, включенный
в независимый пункт формулы.
Нарушением исключительного права патентообладателя считается:
а) любое хозяйственное использование охраняемых сведений,
вплоть до хранения продукта, содержащего объект промышленной
собственности;
б) несанкционированное изготовление, применение, ввоз, предложение к продаже, продажа, иное введение в хозяйственный оборот
или хранение с этой целью продукта, содержащего запатентованное
изобретение, полезную модель, промышленный образец;
в) применение способа, охраняемого патентом на изобретение,
или введение в хозяйственный оборот либо хранение с этой целью
продукта, изготовленного непосредственно способом, охраняемым
патентом на изобретение. При этом новый продукт считается полученным запатентованным способом при отсутствии доказательств
противного.
240
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Любое физическое или юридическое лицо, использующее изобретение, полезную модель или промышленный образец, защищенные
патентом с нарушением Патентного закона, считается нарушителем
патента. По требованию патентообладателя такое использование
должно быть прекращено, а виновные лица обязаны возместить причиненные убытки в соответствии с гражданским законодательством. В
случае присвоения авторства, принуждения к соавторству, незаконного разглашения сведений об объекте промышленной собственности
виновные привлекаются к уголовной ответственности в соответствии
с законодательством РФ.
Охрана сведений с помощью патентов относится к открытым
системам защиты информации, характеризующимся коммерческим
характером правоотношений.
Такие отношения регулируются механизмом передачи права на
использование объекта промышленной собственности на основе лицензионных договоров, согласно которым патентообладатель обязуется предоставить другому лицу право на использование в объеме,
предусмотренном в данном договоре. Последний обязуется обеспечить соответствующую компенсацию в виде платежей или иных услуг.
В зависимости от объема передаваемых прав различают исключительные и неисключительные (простые) лицензии.
Исключительные лицензии предполагают передачу исключительного права, а простые – использование объектов промышленной
собственности в оговоренных пределах. При использовании так называемой открытой лицензии патентообладатель заявляет о своем согласии
передачи права любому лицу. В этом случае на 50 % снижается госпошлина на поддержание патента, но условие передачи прав по лицензионному договору сохраняется. Передача патента или других прав требует государственной регистрации соответствующих договоров. В противном случае по закону они считаются недействительными.
Особенностью патентной системы является то, что она предусматривает не только средство правовой защиты прав отдельных собственников, но и защиту интересов общества и государства. Это определено следующими положениями:
1) в случае неиспользования или недостаточного использования
изобретения и промышленного образца в течение четырех лет, полезной модели в течение трех лет возможна выдача исключительной принудительной лицензии любому лицу, готовому использовать
охраняемый объект;
2) любое лицо, начавшее использование до даты приоритета или
сделавшее для этого необходимые приготовления, сохраняет право
пользования на дальнейший срок на безвозмездной основе без расши241
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
рения объема. Это право преждепользования, не признаваемое нарушением исключительного права на использование. Возможна и передача права преждепользования, но только совместно с производством,
на котором это право используется;
3) Правительству РФ разрешено использовать объекты промышленной собственности без согласия патентообладателя с выплатой ему соразмерной компенсации.
Защита объектов промышленной собственности на основе патентов требует создания сложной организационно-правовой системы
ее обеспечения.
Процесс патентования начинается с заявки на изобретение,
в состав которой входят следующие документы:
­ заявление на бланке установленной формы, выдачу которого производит Федеральный институт промышленной собственности (ФИПС);
­ описание изобретения, раскрывающее его с полнотой, достаточной для промышленного применения;
­ формула изобретения;
­ чертежи и иные материалы;
­ реферат.
Заявка на выдачу патента подается автором, работодателем
или их правопреемником в патентное ведомство. По истечении двух
месяцев со дня поступления заявки патентное ведомство проводит по
ней формальную экспертизу. После принятия решения о выдаче патента патентное ведомство публикует в своем официальном бюллетене сведения о выдаче патента. Одновременно с публикацией оно
вносит в Государственный реестр изобретений РФ, Государственный
реестр полезных моделей РФ или Государственный реестр промышленных образцов РФ соответственно изобретение, полезную модель
или промышленный образец и выдает патент лицу, на имя которого он
направляется.
В течение двух месяцев со дня поступления заявки в патентное
ведомство заявитель имеет право вносить в ее материалы исправления
и уточнения без изменения сущности изобретения.
Материалы признаются изменяющими сущность, если они содержат дополнительные признаки изобретения, отсутствовавшие в
первичной заявке. Допускается прощение 2-месячного срока при условии уплаты соответствующей пошлины, но не позднее вынесения решения по результатам заявки по существу. Заявка может быть отозвана, причем заявление об отзыве должно быть подано до публикации
сведений о ней, но не позднее даты регистрации изобретения.
Очередным этапом патент