Правовые вопросы защиты информации по современному законодательству

Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ.
Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не только в Законе об информации, но и в Указе Президента РФ от 06.03.1997 N 188, утвердившем Перечень сведений конфиденциального характера. Не являются персональными данными и, следовательно, конфиденциальной информацией данные о лице, подлежащие распространению в средствах массовой информации в установленных законами случаях. Новеллой в вышеуказанной редакции является положение об ответственности юридических и физических лиц, владеющих персональными данными, за нарушение режима защиты, обработки и порядка использования этой информации. Законом об информации также закреплены основные права граждан в отношении их персональных данных: это право на доступ к соответствующей информации, на ее уточнение в целях обеспечения полноты и достоверности, на получение сведений о ее использовании. Обязанностями владельцев персональных данных (документированных) является обеспечение соблюдения режима обработки соответствующей информации и правил предоставления информации пользователю.
Детально регламентированы правоотношения по поводу персональных данных работника в Трудовом кодексе РФ (глава 14). Объем персональных данных определяется здесь очень широко:
Она может быть получена только у самого работника или, с его письменного согласия, у третьих лиц. Установлен запрет на получение и обработку персональных данных о политических, религиозных, иных убеждениях работника и о его частной жизни. Данные о членстве его в общественных объединениях или о его профсоюзной деятельности могут собираться, обрабатываться и использоваться только в случаях, установленных законом. Трудовой кодекс РФ содержит также нормы о порядке передачи персональных данных работника: мероприятия по защите данной информации от неправомерного использования или утраты осуществляются за счет средств работодателя.
Отдельные группы персональных данных могут приобретать правовой режим другого вида информации ограниченного доступа - государственной тайны. Это, в частности, касается персональных данных государственных служащих, внесенных в личные дела и документы учета, на что указано в Федеральном законе от 27.05.2003 N 58-ФЗ "О системе государственной службы в Российской Федерации" (в ред. от 11.11.2003).
Особенно остро стоит вопрос в отношении сбора и использования персональных данных в оперативно-розыскной деятельности. Подтверждение этому - Определение Конституционного Суда РФ от 14.07.1998 N 86-О , которое в свое время широко комментировалось.
Практически во всех законах, содержащих нормы о персональных данных, имеются общие положения об ответственности должностных и иных лиц, владеющих персональными данными, за нарушение режима ограниченного доступа и конфиденциальности в отношении такой информации. Гражданско-правовая ответственность за нарушение нематериальных благ - неприкосновенности частной жизни, личной и семейной тайны и др. - предусмотрена в ст. 150 Гражданского кодекса РФ. Лицо, чьи неимущественные права нарушены, вправе требовать компенсации морального вреда и возмещения убытков. Защита осуществляется и иными способами [ст. 12 ГК РФ].
Уголовное законодательство России не предусматривает специального состава преступления, объектом которого являются правоотношения по поводу персональных данных, однако соответствующие противоправные действия могут охватываться составами статей о преступлениях в сфере компьютерной информации либо составами должностных преступлений.
Однако необходимость введения соответствующей специальной уголовной ответственности объективно существует.
Заключение

Когда речь заходит о правовом регулировании, вопросы обеспечения информационной безопасности становятся лакомым куском для схоластиков и технократов. Начиная с середины девяностых практически одновременно с выходом международной сети Интернет на новую фазу своего развития, в России была принята целая серия противоречивых законов и подзаконных актов тем или иным образом затрагивающая вопросы информационной безопасности.
Якобы общие законы, в то же время никоим образом не опредмеченные, такие как «Об информации, информатизации и защите информации» и «Об участии в международном информационном обмене» породили мертвые нормы для национальной правовой системы и при этом открыли дверь технократическому подходу в решении сложной проблемы построения информационного общества и общества знаний.
Представители классической юридической науки так и не поняли, что им предложили и что с этим делать; возникла масса вопросов без ответов. Как нематериальный объект - информация - может быть объектом права собственности? Как можно защищать информацию, когда вопрос стоит только о защите прав и законных интересов участников правоотношений? Законы не имели какой-либо прикладной направленности, практического применения не нашли и вылились исключительно в нормативистские поверхностные изыскания представителей технократической интеллигенции и тех юристов, которые поддались общему ажиотажу.
В последующем, начиная примерно с 1998 года, резкий рост численности российского интернет -сообщества привел с одной стороны к осознанию явной потребности в правовом регулировании отношений, как непосредственно связанных с международной сетью, например, доменными именами, так и в релевантных сферах, таких, как электронная торговля и коммерция, электронный документооборот и ЭЦП, распространение рекламы и массовой информации в Интернете. С другой стороны эти обстоятельства активизировали деятельность представителей технических наук, которые с удвоенным рвением принялись за разработку проектов законов в тех областях, в которых они считали компетентными только себя.
И хотя в разработке некоторых проектов принимали участие юристы, проводились компаративистские исследования, анализировался опыт зарубежных государств, опыт разработки и принятия директив Европейского Совета и Европарламента, большинство таких проектов так и остались произведениями, охраняемыми авторским правом. Методическая база и понятийный аппарат данных проектов оставались и до сих пор остаются на уровне законов «Об информации, информатизации и защите информации».
Имели место утопические попытки урегулирования одним законом всего спектра отношений в киберпространстве, или же разработки Информационного кодекса, который, может быть, и востребован, и по сей день разрабатывается в Минэкономразвития, но не должен становится самоцелью и уподобляться абсурдной технократической модели, предложенной для государств-членов СНГ украинскими разработчиками.
2000 год ознаменовался появлением Доктрины информационной безопасности, которая в общем русле информационного нормотворчества по логике, понятной только её разработчикам, была принята не указом Президента, как это предусмотрено Статьей 90 Конституции Российской Федерации, а утверждена неким «актом Президента». И хотя в письме Высшего Арбитражного Суда РФ от 31 октября 2000 г. было предложено обратить внимание на некоторые положения Доктрины, представляющие особую значимость для деятельности арбитражных судов, какие-либо правовые последствия ни данное письмо, ни сама Доктрина в силу ее внеправового характера, не вызвали.
Доктрина только косвенно затрагивает проблемы обеспечения безопасности в Интернете, но все, же играет некоторую ориентирующую роль не только в практике работы органов по обеспечению национальной безопасности, но также при определении приоритетов законотворчества. Еще в 2001 году соответствующей комиссией Совета Безопасности РФ были одобрены основные направления нормативного правового обеспечения информационной безопасности в России. В число первоочередных мер была включена разработка законопроектов «О персональных данных», «О праве на информацию» и многих других, которые тем или иным образом затрагивают вопросы информационной безопасности в Интернете.
Некоторые законы, хотя приняты и вступили в силу, фактически не находят надлежащего применения, поскольку играют обеспечительную роль для отношений, которые должны были быть урегулированы иными нормативно-правовыми актами, либо их содержание отвечает только узковедомственным интересам. Примером такого закона служит Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 г., который, кроме того, что использует не самую удачную и распространенную в мире модель, одновременно вступил в силу до разработки и принятия законов об электронной торговле и электронном документообороте.
С определенного момента поток законопроектов был резко ограничен, ажиотаж спал и нормотворчество приняло более спокойное и конструктивное русло. Так инициатива 2004 года по разработке законодательства о борьбе со спамом, которым предполагалось внесение изменений в закон «О рекламе», Уголовный кодекс и Кодекс об административных правонарушениях, не увенчалась успехом, несмотря на то, что один из законопроектов был внесен в Государственную Думу по инициативе члена фракции «Единой России» – депутата Владимира Мединского.
Эта инициатива не обладала должной степенью проработки и противоречила не только действующему законодательству, но и принципам права. Так ею предполагалось установление административной и уголовной ответственности без исследования вопроса общественной опасности данного явления. Ответ инициаторов на вопрос о том, как они представляют процесс сбора доказательств сводился к положению, противоречащему презумпции невиновности. При этом деятельность самих провайдеров – операторов связи по какой-то причине выносилась за рамки рассмотрения.
Однако вопрос не решался не только в силу упущений и недоработок разработчиков законопроекта, но и по причине технократического подхода представителей органа государственного управления, в компетенции которого данная проблематика находится. Так, по мнению Министра информационных технологий и связи России Леонида Реймана, высказанного 22 марта 2005 г. на заседании Президиума РАН, «Не совсем правильно вводить жесткие запретительные меры, которые отрезали бы рассылку рекламной информации».
Позиция органов власти по проблеме спама ярко характеризуется тем фактом, что представителем России в «Лондонском плане действий по международному сотрудничеству в области применения законодательства против спама», на равных с Федеральной торговой комиссией США, Британскими Офисом по законной торговле, Комиссией по конкуренции и потребителям и Управлением по коммуникациям Австралии, является не орган государственной власти, а Межрегиональная общественная организация в поддержку Программы ЮНЕСКО «Информация для всех». На момент ее присоединения к Лондонскому плану действий, к нему уже присоединилась 45 организаций, представляющих регулирующие органы, профессиональные объединения и компании телекоммуникационной индустрии из 25 стран, включая Австралию, Великобританию, Германию, Китай, США и Японию. Россия стала 25-й.
Закон в целом представляет собой коллаж из логически не связанных и нечетких формулировок, содержит большое число бланкетных норм, почти ничего принципиально нового и применимого не несущий, кроме разве что определения в части 3 статьи 17 ответственности информационных посредников – лиц, оказывающих услуги по передаче или хранению информации, распространение которой ограничивается или запрещается.
С принятием данного закона утратил силу не только закон «Об информации, информатизации и защите информации», который он фактически заменил, но и - абсолютно безболезненно - закон «Об участии в международном информационном обмене». Особо необходимо отметить, что с принятием нового «трехглавого» закона кануло в лету и понятие «информационные ресурсы», которое является базовым для необходимости дальнейшей легитимизации русскоязычного контента.
Более проработанным и сбалансированным, но не лишенным существенных недостатков, стал Федеральный закон «О персональных данных», также принятый 8 июля 2006 г., но вступивший в силу только 26 января 2007 г. Определенным импульсом для принятия закона явилась ратификация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г., которая получила частичную имплементацию в законе. Отсрочка вступления в силу закона была предоставлена для того, чтобы операторы, обрабатывающие персональные данных, были готовы к новым правилам игры.
Однако применение закона в настоящее время сталкивается с определенными трудностями. На практике операторы все-таки оказались не готовы. Отсутствуют и подзаконные акты, которыми, например должны быть установлены требования к обеспечению безопасности персональных данных при их обработке. Откровенные изъяны и обременения компенсируются такими формулировками как, например, в статье 6 закона, где незаметно было опущено слово «только». Тем самым операторам была предоставлена возможность осуществлять обработку персональных данных с согласия их субъектов, что вовсе не означает такую обязанность.
В целом вопросы понятия информационной безопасность в Интернете и определения внутренних и внешних угроз, а также целей и задач ее обеспечению находятся за пределами правового регулирования. В данном случае нельзя допускать, чтобы с помощью права решались внеправовые вопросы.
Безусловно, без технических специалистов трудно обойтись при разработке законов нового поколения. В то же время устранение от этой деятельности профессиональных юристов может привести к кризису, который пережило законотворчество и юридическая наука в начале прошлого столетия, когда доктрина исторической школы права и французская доктрина, эпатировавшая кодексами Наполеона, пыталась вывести юристов из сферы законотворчества и свести их роль к практическому применению буквы закона.
Состояние защищенности национальных интересов в информационной сфере должно базироваться на балансе интересов личности, общества и государства. Баланс не означает равенство и здесь вполне допустима дискриминация, но чётко прописанная и всем понятная. В то же время необходимо помнить, что ведущими международными соглашениями и основными законами подавляющего большинства государств мира закреплен приоритет прав и свобод личности. Речь следует вести о последовательном приоритете: интересов личности над интересами общества и далее интересов общества над интересами государства. Частный аспект должен преобладать над публичным, административным.
И, тем не менее, приоритет также не означает, что интересы личности не могут быть ущемлены в общественно полезных целях. В этой связи необходимы критерии, которые бы разграничивали случаи обоснованного и, следовательно, справедливого и сбалансированного ограничения прав и свобод личности от противолежащих – незаконных и необоснованных. Такие критерии получили нормативное закрепление в Международном пакте о гражданских и политических правах 1976 г. для каждых основополагающих «естественных» прав и свобод человека и гражданина. Так свобода выражения мнения может быть ограничена законом для уважения прав и репутации других лиц, охраны государственной безопасности, общественного порядка, здоровья или нравственности населения.
Анализ изменений нормативно-правовой базы в области информационно коммуникационных систем дает основание утверждать, что Россия уверенно движется по пути построения и развития гражданского общества. Наряду с совершенствованием государственной правовой базы Россия подписала ряд международных концептуальных документов и конвенций в области охраны интеллектуальной собственности и защиты интересов личности в информационном обществе.
Одновременно совершенствуется государственная организационная система управления процессами информатизации и правоприменительная практика при раскрытии компьютерных преступлений. Укрепляется международное сотрудничество по борьбе с компьютерным пиратством в глобальных телекоммуникационных системах.
В настоящее время все учреждения должны создавать свою нормативную базу в сфере использования ИКТ и обеспечения информационной безопасности









Литература

1. Конституция Российской Федерации, 1993.
2. Рекомендательный законодательный акт “О принципах регулирования информационных отношений в государствах-участниках Межпарламентской Ассамблеи”. Принят Постановлением Межпарламентской Ассамблеи государств-участников СНГ в г.Санкт-Петербурге 23 мая 1993 г.
3. Федеральный закон “Об информации, информатизации и защите информации” от 20 февраля 1995 г.
4. Федеративный закон о связи
5. Аверченков, В.И. Организационная защита информации: учеб. пособие для вузов/ - В.И.
6. Алексеев С.С. Общая теория права. т.2. М., 1982.
7. Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник. / Под ред. акад. РАН Б.Н. Топорнина. СПб.: Изд-во "Юридический центр Пресс", 2001.
8. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Основы информационной безопасности. Учебное пособие для вузов. М.: Горячая линия – Телеком, 2006. – 544 с.: ил.
9. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия – Телеком, 2005. – 416 с.:ил.
10. Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное пособие /Второе издание / М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2006.- 264 с.
11. Галатенко В.А. Основы информационной безопасности. Под ред. В.Б. Бетелина М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2006.- 208 с.
12. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. М.: ДМК Пресс, 2004. – 616 с.
13. Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информационных систем. Материалы Всероссийской конференции "Информационная безопасность в условиях глобального информационного общества - ИНФОФОРУМ". (журнал "Бизнес и безопасность в России". Сентябрь 2004 г. С. 20).
14. Домарев В.В. Безопасность информационных технологий. Системный подход: -К.: OOO ”ТИД “ДС”, 2004.-992 с.
15. Курило А.П., и др. Обеспечение информационной безопасности бизнеса. М.: БДЦ – пресс, 2005. – 512 с.
16. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. – М.: Горячая линия – Телеком, 2002. – 336 с.: ил.
17. Котухов М.М. Основные положения и нормативно-правовое обеспечение информационной безопасности автоматизированных систем. Учебное пособие. – М.: издание ИПКИР, 2006, - 67 с.
18. Лось В.П., Черемушкин А.В. Анализ тенденций развития теории и практики компьютерной безопасности. Сборник трудов XI Пленума УМО вузов РФ по образованию в области информационной безопасности и Межрегионального совещания ―Стратегия и структура подготовки кадров для обеспечения информационной безопасности – требования работодателей к уровню подготовки специалистов». Самарский государственный университет. – Самара: Изд-во «Универс-групп», 2007., с. 13-34.
19. Малюк А.А. Информационная безопасность: концептуальные и методические основы защиты информации. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2004. – 280 с.: ил.
20. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. Учебное пособие для вузов. – 2-е изд. – М.: Горячая линия – Телеком, 2004. – 147 с.: ил.
21. Наумов В.Б. Право и Интернет: Очерки теории и практики. – М.: Книжный дом «Университет», 2002. – 432 с.: ил.
22. Научно-практический журнал «Биржа интеллектуальной собственности», т. VII, № 2, 2008,
23. Родичев А.Ю., Родичев Ю.А. Системная модель защиты информации информационных систем распределенного типа. Вестник Самарского гос. ун-та. 2003., № 2, с.15-20
24. Родичев Ю.А. Правовые аспекты информационного обмена в сети Интернет // Вестник СамГТУ, Серия: Физико-математические науки. 2007, С. 150-155.
25. Родичев Ю.А. Компьютерные сети. Нормативно-правовые аспекты информационной безопасности. Часть 1. Учеб. пособие для вузов. – Самара : изд-во «Универс-групп», 2007. – 344 с.
26. Родичев Ю.А. Информационная безопасность: нормативно-правовые аспекты. «Питер», 2008.-272 с.
27. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, организационные и технические аспекты: Учебное пособие. – М.: Гелиос АРВ, 2006. – 528 с., ил.


















12