А.С. Тюльпанова, региональный юрисконсульт ООО «Сумма Телеком»,
эксперт Регионального отдления ООО «Союз машиностроителей России»
Последние годы мир сотрясают крупномасштабные информационные скандалы, связанные с утечкой ценной информации. Самым ярким примером может служить история сайта Wikileaks и его владельца небезызвестного Джулиана Ассанжа, когда в сети Интернет миллионам поль
зователей стала доступна секретная информация дипломатического ведомства США, государства, имеющего практически неограниченные финансовые ресурсы для обеспечения своей информационной безопасности. Менее известными, но не менее драматичными для их владельцев (субъектов) стало попадание в RUnet летом этого года персональных данных клиентов ряда российских банков и страховых компаний. Так, например, в результате утечки в свободный доступ в сеть Интернет попали данные о страховых случаях (дорожно-транспортных происшествиях) клиентов одной из страховых компаний с фотографиями автомобилей и соответственно, их государственных номерных знаков. Как полагают эксперты, утечка произошла вследствие недостаточной защищенности разделов сайта страховой компании и создания ситуации, при которой обычный поисковый робот смог обнаружить и раскрыть закрытую информацию.
Понятие информационной безопасности представляется на первый взгляд чем-то имеющим отношение к современным информационным технологиям и виртуальному пространству. Однако ценная информация и необходимость ее защиты возникли, вероятнее всего, одновременно с появлением homosapiens. С течением времени и со сменой эпох характер ценной информации и каналы утечки, безусловно, менялись. Одно оставалось неизменным — противостояние обладателей информации и тех, кто пытался ее заполучить без ведома владельца, будь то военные противники, торговые конкуренты, научные оппоненты, и т.д. Список можно существенно продолжить.
Наступление информационной эпохи открыло новый канал утечки информации — всемирную сеть Интернет. Фактически Интернет представляет собой одновременно и механизм (способ) получения информации и способ ее распространения как вполне определенному, так и неопределенному кругу лиц. Но при этом не исчезли и вполне традиционные каналы утечки информации, как то недобросовестные сотрудники предприятий, раскрывшие информацию в беседе или потерявшие материальные носители ценной информации (персональные компьютеры, диски, флэшносители, бумажные документы). То есть, каналы утечки можно условно разделить на две группы. Первая группа — технический канал утечки,вторая группа — каналом утечки является непосредственно человек (сотрудник).
Проанализировав данные портала информационной безопасности Content Security, можно сделать следующий вывод: на долю «человеческого фактора» приходится 76% утечек, а на долю техники лишь 24% подобного рода происшествий. Однако, как показывает практика, по мере развития информационных технологий, доля утечек секретной информации по техническим каналам с каждым годом будет только увеличиваться. Внедрение современных информационных технологий, в том числе переход на электронные носители, способные накапливать колоссальный объем информации, многократно увеличивает важность вопроса информационной безопасности для всех участников гражданского оборота и, особенно, для коммерческих предприятий, работающих на конкурентных рынках. Поскольку даже сбой в работе информационной системы, а тем более кража, уничтожение или несанкционированный доступ к базам данных могут привести к серьезным убыткам компании, ущербу деловой репутации, вплоть до утраты позиций на рынке.
Чтобы предметно охарактеризовать последствия утечек информации, необходимо, в первую очередь, обратить внимание на то, какого рода информация обычно «утекает» из компании. Таким образом, возможно определить и объекты посягательства и, соответственно, объекты защиты. К такой информации на сегодняшний день, как показывает практика, относятся следующие сведения:
•документы, характеризующие финансовое состояние и планы организации, коммерческие планы (финансовые и бухгалтерские отчеты, бюджеты, коммерческие отчеты, бизнес-планы, договоры и т.д.);
•персональные данные клиентов и сотрудников компании;
•технологические и конструкторские разработки, ноу-хау компании и т.п.;
•внутренние документы (служебные записки, презентации и т.д.);
• технические сведения, необходимые для доступа в информационную сеть организации (логины и пароли, сведения об используемых средствах защиты).
Острая необходимость защиты указанных объектов потребовала введения соответствующего правового регулирования в сфере информационной безопасности.
Так в 2006 году одновременно были приняты следующие законы: Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». К нормативным актам, регулирующим данные правоотношения, можно так же отнести ранее принятые Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», Федеральный закон от 21.07.1993 № 5485-1 «О государственной тайне», Указ Президента РФ от 06.03.1997 г. №188 «Об утверждении Перечня сведений конфиденциального характера».
Законом «Об информации, информационных технологиях и о защите информации» определены понятия информации, как объекта правовых отношений, а так же понятия информационной системы, информационных технологий, обладателя информации, доступа к информации, информационно-телекоммуникационной сети. Установлена обязанность обладателя информации, оператора информационной системы в установленных законодательством случаях осуществлять меры по защите информации, в том числе обязанность обеспечения мер по предотвращению несанкционированного доступа к информации, недопущения воздействия на технические средства обработки информации, возможность незамедлительного восстановления поврежденной информации и других мер.
Законами «О персональных данных», «О коммерческой тайне», «О государственной тайне» установлены охраняемые законом и подлежащие защите информационные объекты.
Так Законом «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой различными субъектами правоотношений, в том числе юридическими лицами, с использованием средств автоматизации или без использования таких средств. В соответствии с данным законом, персональными данными является любая информация, относящаяся к определенному физическому лицу (субъекту персональных данных), в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия и другая информация. То есть, фактически, обработку персональных данных осуществляют абсолютно все юридические лица, поскольку, выступая в роли работодателей, получают при приеме на работу персональные данные своих сотрудников и в дальнейшем, осуществляют ее обработку, то есть сбор, систематизацию, накопление, хранение, уточнение, распространение, и другие действия. При обработке персональных данных оператор (в данном случае организация — работодатель) обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Кроме того, обязанность по защите персональных данных работника возложена на работодателя главой 14 Трудового кодекса РФ.
Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 17.11.2007 г. № 781 установлены соответствующие требования безопасности. Так в частности, в Положении указано, что «безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.». Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ РФ в пределах их полномочий.
Федеральный закон «О коммерческой тайне» регулирует отношения, связанные с установлением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау), определяет понятие информации, составляющей коммерческую тайну, как сведений, способствующих получению их обладателем какой-либо коммерческой выгоды, а так же определяет понятие разглашения коммерческой тайны как действие (бездействие), в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (в том числе, с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации. Конкретные действия, способствующие сохранению коммерческой тайны, законодательно не урегулированы, соответствующие подзаконные акты не приняты.
Таким образом, защита такого информационного объекта как персональные данные, нашла подробное законодательное регулирование. К сожалению, защита коммерческой тайны, как и собственно отнесение информации к коммерческой тайне, были и остаются полностью в ведении ее обладателей. Однако юридические лица вправе самостоятельно определить круг информации, подлежащей защите и применить все меры и способы ее защиты по аналогии с защитой информационных объектов, конфиденциальность которых она обязана обеспечивать в силу прямого указания закона, как например, персональные данные.
Be the first to comment on "Правовые аспекты информационной безопасности в деятельности предприятий"