Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Процитируем некоторые из этих определений:
информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу защиты последних.
Закон выделяет следующие цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности ("предотвращение несанкционированных действий по... блокированию информации") сказано довольно мало.
Продолжим цитирование:
"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".
По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.
в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
в отношении персональных данных - федеральным законом."
Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.
Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.
Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.
Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".
Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.
Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.
Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...
И еще несколько пунктов, теперь из статьи 22:
2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.
Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...
2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи :
3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.
Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы "неотказуемости" (невозможности отказаться от собственной подписи).
Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.
1. Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет".
2. Организатор распространения информации в сети "Интернет" обязан в установленном Правительством Российской Федерации порядке уведомить федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о начале осуществления деятельности, указанной в части 1 настоящей статьи.
3. Организатор распространения информации в сети "Интернет" обязан хранить на территории Российской Федерации:
1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;
2) текстовые сообщения пользователей сети "Интернет", голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети "Интернет" до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.
3.1. Организатор распространения информации в сети "Интернет" обязан предоставлять указанную в части 3 настоящей статьи информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами.
4. Организатор распространения информации в сети "Интернет" обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, требований к оборудованию и программно-техническим средствам, используемым указанным организатором в эксплуатируемых им информационных системах, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий. Порядок взаимодействия организаторов распространения информации в сети "Интернет" с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, устанавливается Правительством Российской Федерации.
4.1. Организатор распространения информации в сети "Интернет" обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет" дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети "Интернет" возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.
4.2. Организатор распространения информации в сети "Интернет" в случае осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения, не предусматриваются размещение пользователями сети "Интернет" общедоступной информации в сети "Интернет" и передача электронных сообщений неопределенному кругу лиц (далее - организатор сервиса обмена мгновенными сообщениями), также обязан:
1) осуществлять идентификацию пользователей сети "Интернет", передачу электронных сообщений которых осуществляет организатор сервиса обмена мгновенными сообщениями (далее - пользователи сервиса обмена мгновенными сообщениями), по абонентскому номеру оператора подвижной радиотелефонной связи в порядке, установленном Правительством Российской Федерации, на основании договора об идентификации, заключенного организатором сервиса обмена мгновенными сообщениями с оператором подвижной радиотелефонной связи, за исключением случаев, предусмотренных настоящим Федеральным законом;
2) в течение суток с момента получения соответствующего требования уполномоченного федерального органа исполнительной власти ограничить возможность осуществления пользователем сервиса обмена мгновенными сообщениями, указанным в этом требовании, передачи электронных сообщений, содержащих информацию, распространение которой в Российской Федерации запрещено, а также информацию, распространяемую с нарушением требований законодательства Российской Федерации, в порядке, определенном Правительством Российской Федерации;
3) обеспечивать техническую возможность отказа пользователей сервиса обмена мгновенными сообщениями от получения электронных сообщений от других пользователей;
4) обеспечивать конфиденциальность передаваемых электронных сообщений;
5) обеспечивать возможность передачи электронных сообщений по инициативе государственных органов в соответствии с законодательством Российской Федерации;
6) не допускать передачу электронных сообщений пользователям сервиса обмена мгновенными сообщениями в случаях и в порядке, которые определены Правительством Российской Федерации.
4.3. Организатор сервиса обмена мгновенными сообщениями, являющийся российским юридическим лицом или гражданином Российской Федерации, вправе осуществлять идентификацию пользователей сервиса обмена мгновенными сообщениями самостоятельно путем определения абонентского номера подвижной радиотелефонной связи пользователя сервиса обмена мгновенными сообщениями. Правительством Российской Федерации могут устанавливаться требования к порядку определения абонентского номера подвижной радиотелефонной связи пользователя сервиса обмена мгновенными сообщениями организатором сервиса обмена мгновенными сообщениями, являющимся российским юридическим лицом или гражданином Российской Федерации.
4.4. Организатор сервиса обмена мгновенными сообщениями, являющийся российским юридическим лицом или гражданином Российской Федерации, обязан хранить сведения об идентификации абонентского номера подвижной радиотелефонной связи пользователя сервиса обмена мгновенными сообщениями (далее - идентификационные сведения об абонентском номере) только на территории Российской Федерации. Предоставление третьим лицам идентификационных сведений об абонентском номере может осуществляться только с согласия пользователя сервиса обмена мгновенными сообщениями, за исключением случаев, предусмотренных настоящим Федеральным законом и другими федеральными законами. Обязанность предоставить доказательство получения согласия пользователя сервиса обмена мгновенными сообщениями на предоставление третьим лицам идентификационных сведений об абонентском номере данного пользователя сервиса обмена мгновенными сообщениями возлагается на организатора сервиса обмена мгновенными сообщениями.
5. Обязанности, предусмотренные настоящей статьей, не распространяются на операторов государственных информационных систем, операторов муниципальных информационных систем, операторов связи, оказывающих услуги связи на основании соответствующей лицензии, в части лицензируемой деятельности, а также не распространяются на граждан (физических лиц), осуществляющих указанную в части 1 настоящей статьи деятельность для личных, семейных и домашних нужд. Правительством Российской Федерации в целях применения положений настоящей статьи определяется перечень личных, семейных и домашних нужд при осуществлении деятельности, указанной в части 1 настоящей статьи.
6. Состав информации, подлежащей хранению в соответствии с частью 3 настоящей статьи, место и правила ее хранения, порядок ее предоставления уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, а также порядок осуществления контроля за деятельностью организаторов распространения информации в сети "Интернет", связанной с хранением такой информации, и федеральный орган исполнительной власти, уполномоченный на осуществление этого контроля, определяются Правительством Российской Федерации.
От 07.06.2017 N 109-ФЗ,
от 18.06.2017 N 127-ФЗ , от 01.07.2017 N 156-ФЗ , от 29.07.2017 N 241-ФЗ ,
от 29.07.2017 N 276-ФЗ , от 29.07.2017 N 278-ФЗ , от 25.11.2017 N 327-ФЗ ,
от 31.12.2017 N 482-ФЗ , от 23.04.2018 N 102-ФЗ , от 29.06.2018 N 173-ФЗ)
Изменения, внесенные Федеральным законом от 31.12.2017 N 482-ФЗ , вступают в силу с 30 июня 2018 года.
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации, за исключением случаев, предусмотренных настоящим Федеральным законом.
02.07.2013 N 187-ФЗ)
Статья 2. Основные понятия, используемые в настоящем Федеральном законе
В настоящем Федеральном законе используются следующие основные понятия:
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
11.1) электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах;
(п. 11.1 введен Федеральным законом от 27.07.2010 N 227-ФЗ)
12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;
13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";
(п. 13 введен Федеральным законом от 28.07.2012 N 139-ФЗ, в ред. Федерального закона от 07.06.2013 N 112-ФЗ)
(п. 14 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
15) доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет";
(п. 15 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
16) сетевой адрес - идентификатор в сети передачи данных, определяющий при оказании телематических услуг связи абонентский терминал или иные средства связи, входящие в информационную систему;
(п. 16 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
17) владелец сайта в сети "Интернет" - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте;
(п. 17 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
18) провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет";
(п. 18 введен Федеральным законом от 28.07.2012 N 139-ФЗ)
19) единая система идентификации и аутентификации - федеральная государственная информационная система, порядок использования которой устанавливается Правительством Российской Федерации и которая обеспечивает в случаях, предусмотренных законодательством Российской Федерации, санкционированный доступ к информации, содержащейся в информационных системах;
(п. 19 введен Федеральным законом от 07.06.2013 N 112-ФЗ)
20) поисковая система - информационная система, осуществляющая по запросу пользователя поиск в сети "Интернет" информации определенного содержания и предоставляющая пользователю сведения об указателе страницы сайта в сети "Интернет" для доступа к запрашиваемой информации, расположенной на сайтах в сети "Интернет", принадлежащих иным лицам, за исключением информационных систем, используемых для осуществления государственных и муниципальных функций, оказания государственных и муниципальных услуг, а также для осуществления иных публичных полномочий, установленных федеральными законами.
(п. 20 введен Федеральным законом от 13.07.2015 N 264-ФЗ)
Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации
Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:
1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2) установление ограничений доступа к информации только федеральными законами;
3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6) достоверность информации и своевременность ее предоставления;
7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.
Статья 4. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации
1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального закона и других регулирующих отношения по использованию информации федеральных законов.
2. Правовое регулирование отношений, связанных с организацией и деятельностью средств массовой информации, осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации.
3. Порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.
Статья 5. Информация как объект правовых отношений
1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.
Статья 6. Обладатель информации
1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.
3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Статья 7. Общедоступная информация
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.
(часть 4 введена Федеральным законом от 07.06.2013 N 112-ФЗ)
5. Информация в форме открытых данных размещается в сети "Интернет" с учетом требований законодательства Российской Федерации о государственной тайне. В случае, если размещение информации в форме открытых данных может привести к распространению сведений, составляющих государственную тайну, размещение указанной информации в форме открытых данных должно быть прекращено по требованию органа, наделенного полномочиями по распоряжению такими сведениями.
(часть 5 введена Федеральным законом от 07.06.2013 N 112-ФЗ)
6. В случае, если размещение информации в форме открытых данных может повлечь за собой нарушение прав обладателей информации, доступ к которой ограничен в соответствии с федеральными законами, или нарушение прав субъектов персональных данных, размещение указанной информации в форме открытых данных должно быть прекращено по решению суда. В случае, если размещение информации в форме открытых данных осуществляется с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", размещение информации в форме открытых данных должно быть приостановлено или прекращено по требованию уполномоченного органа по защите прав субъектов персональных данных.
(часть 6 введена Федеральным законом от 07.06.2013 N 112-ФЗ)
Статья 8. Право на доступ к информации
1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
4. Не может быть ограничен доступ к:
1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
2) информации о состоянии окружающей среды;
3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.
(в ред. Федерального закона от 27.07.2010 N 227-ФЗ)
6. Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.
7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
8. Предоставляется бесплатно информация:
1) о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;
2) затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;
3) иная установленная законом информация.
9. Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
2.1. Порядок идентификации информационных ресурсов в целях принятия мер по ограничению доступа к информационным ресурсам, требования к способам (методам) ограничения такого доступа, применяемым в соответствии с настоящим Федеральным законом, а также требования к размещаемой информации об ограничении доступа к информационным ресурсам определяются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
(часть 2.1 введена Федеральным законом от 29.07.2017 N 276-ФЗ)
3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.
9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Статья 10. Распространение информации или предоставление информации
1. В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.
2. Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица. Владелец сайта в сети "Интернет" обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона, а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети "Интернет".
(в ред. Федерального закона от 24.11.2014 N 364-ФЗ)
3. При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации.
4. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.
5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами.
6. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.
Статья 10.1. Обязанности организатора распространения информации в сети "Интернет"
(введена Федеральным законом от 05.05.2014 N 97-ФЗ)
1. Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет".
2. Организатор распространения информации в сети "Интернет" обязан в установленном Правительством Российской Федерации порядке уведомить федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о начале осуществления деятельности, указанной в части 1 настоящей статьи.
3. Организатор распространения информации в сети "Интернет" обязан хранить на территории Российской Федерации:
1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;
В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.
В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.
Статья 23 Конституции гарантирует право на личную и семейную тайну , на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации .
В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская , коммерческая и служебная тайна . Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности. (Примечание:Утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ.)
Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне " (с изменениями и дополнениями на 22 августа 2004 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну ; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года). В нем даются основные определения, намечаются направления, в которых должно развиваться законодательство в данной области, регулируются отношения, возникающие при:
Процитируем основные определения:
Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на нетрадиционность определения конфиденциальности информации, приравнивающего конфиденциальность к неразглашению.
В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:
Отметим, что в этих принципах явным образом фигурируют целостность (достоверность) и доступность (своевременность предоставления) информации.
В статье 9 Закона содержатся следующие положения:
Отметим, что в этой статье упор делается на конфиденциальность информации.
Статья 11 "Документирование информации" содержит следующие важные положения:
3 . Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.
4 . В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.
Статья 16 целиком посвящена вопросам защиты информации. Процитируем ее полностью.
В процитированной статье Закона фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации.
Явным образом не упомянуты такие меры, как аккредитация, сертификация и лицензирование, но в пунктах 5 и 6 они, конечно, подразумеваются.
Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информационных технологиях и о защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.
В настоящее время действующее законодательство имеет в своей базе нормативный документ, который регламентирует порядок, правила и требования предоставления информации. Что это такое, знают немногие, а тем более те, кто не имеет ничего общего с юриспруденцией. Некоторые нюансы и нормы этого правового акта изложены в настоящей статье.
Некоторые термины и определения, которые применяются в названном нормативном акте, более четко определены законодателем, чтобы у граждан не возникало сомнений или двоякого понимания. Так, среди этих определений имеются следующие:
Здесь перечислены лишь некоторые из понятий. Для более полного получения информации обо всех определениях, используемых в нужно заглянуть непосредственно в него.
Итак, что же такое информация? Закон «Об информации, информационных технологиях и о защите информации» раскрывает ее суть как объекта правовых отношений. Она может быть непосредственным объектом не только гражданских правоотношений, но и публичных, и властных, и других. По общему правилу, полученная информация является свободной к распространению. То есть лицо, получившее ее, вправе передавать ее другим лицам. Однако данное правило действует лишь в тех случаях, когда она не является конфиденциальной. Конфиденциальность, в свою очередь, может устанавливаться как на основании заключенного между сторонами какого-либо соглашения, так и на основании законодательства. К примеру, законом, регулирующим оперативно-розыскную деятельность, устанавливается секретность информации. Доступ к ней могут получить только специально наделенные таким правом лица. Предоставление информации, которая имеет конфиденциальность, возможно только с согласия ее обладателя или на основании судебного акта.
Исходя из вышеизложенного, ее можно подразделить на следующие категории:
Рассмотрим подробнее, кто является обладателем информации. регулирующим этот вопрос, установлено, что такими лицами могут быть физические лица, организации, а также сама Российская Федерация. Также обладателями могут быть субъекты РФ и муниципальные образования. Если рассматриваемым лицом являются последние три названных субъекта, то от их имени права и обязанности осуществляют соответствующие, уполномоченные на то должностные лица. В правомочия всех обладателей входят следующие правомочия:
Помимо прав, на обладателя возлагаются и определенные обязанности. К таковым относят соблюдение интересов третьих лиц, их законных прав. Обладатель информации также должен защищать имеющиеся в его распоряжении сведения, а если они конфиденциальны, то ограничивать к ним доступ.
К названному виду относятся все те сведения, которые находятся в свободном доступе. Обычно это а также сведения, которые не имеют ограниченного доступа. Предоставление информации, которая никем не ограничена, по сути является безвозмездной. Вместе с тем у нее может быть обладатель, который может потребовать, чтобы лица, ее использующие, указывали его как владельца.
Граждане и юридические лица могут получать информацию любыми не запрещенными методами. Они могут проводить ее поиск во всех общедоступных ресурсах либо написать заявление о предоставлении информации. Примером может служить сеть Интернет, где в свободном доступе располагается не ограниченный объем свободных данных. Помимо этого, указанные лица вправе требовать получения необходимых им сведений от государственных органов или иных организаций. Запрос о предоставлении информации направляется им к обладателю интересующих сведений, тот, в свою очередь, рассматривает запрос, и если запрашиваемое не охраняется законом, не ограничено к распространению, то передает сведения заявителю. Подразумевается, что лицо вправе получать их в том случае, если они затрагивают его права и обязанности. установлен перечень, к которым доступ не может быть запрещен или иным способом ограничен. Это информация:
Чтобы их получить, нужно оформить письмо о предоставлении информации и передать в соответствующий орган.
Общие положения ограничения доступа устанавливаются в ст. 9 рассматриваемого нормативного акта. В ней указано, что эти формы предоставления информации регламентированы законами РФ. Обусловлено это может быть различными факторами. Одними из них считаются: защита конституционного строя страны, здоровья и безопасности людей, их интересов, а также для сохранения обороноспособности России. Это, конечно, не все основания для ограничения доступа. Законодатель определил, что ограничение может быть подразделено в зависимости от того, какой характер конфиденциальности имеет информация. Так, она может обладать банковской, служебной или какой-либо иной. Соответственно, в зависимости от того, к какому виду относятся сведения, их регулирует специальный закон. Например, порядок защиты и распространения банковской тайны описан в законодательстве, регулирующем банковскую деятельность. Именно в нем описан порядок разглашения сведений, а также перечислены случаи и лица, которым можно ее передавать.
В целях предоставления информации нормативным документом определено, что ее распространение происходит в России свободно, но исключительно в соответствии с законами. Также определено, что распространяемые сведения обязаны быть достоверными. Это требование относится не только к содержанию самих сведений, но и к информации об обладателе или распространителе. Другими словами, человек, получающий информацию, должен свободно (при желании) выяснить, кто распространил ее. К примеру, сайт, размещающий какое-либо сообщение в сети Интернет, обязан указать свое наименование (наименование организации или Ф.И.О. гражданина), место регистрации или расположения, по которому можно найти обладателя (распространителя), другие контактные данные, в том числе телефоны и адреса электронной почты. Особенные требования предъявляются к таким способам распространения, как передача путем направления электронных сообщений или почтовыми письмами. В таких случаях отправитель обязан предоставить получателю возможность отказа от получения этой информации. Наглядным примером может служить рекламная СМС-рассылка, которую отправители могут направлять своим клиентам только при получении от них соответствующего разрешения.
Формы предоставления информации предусматривают, что в некоторых случаях передаваемые сторонами друг другу сведения должны быть задокументированы. Эта обязанность возлагается на контрагентов либо законом, либо подписанным между ними соглашением. В государственных органах документирование обязательно, и оно осуществляется в порядке, определенном правительством. С этой целью издаются специальные правила. Для целей реализации между гражданами, а также между организациями, в том числе и государственными, устанавливается порядок использования электронной подписи. В определенных ситуациях стороны обязаны производить передачу информации с использованием такой подписи.
Анализируемый закон «Об информации, информационных технологиях и о защите информации» устанавливает меры, которые должны осуществляться государством и остальными лицами с целью ее защиты. Так, среди перечня этих мер имеются организационные, технические и, конечно, правовые мероприятия. Они предпринимаются заинтересованными субъектами для:
Государство, осуществляя свои функции, обязано предпринимать необходимые действия для защиты. Они выражаются в установлении минимальных требований к отношениям, связанным с получением сведений, а также в определении ответственности за их неправомерное разглашение или иные противоправные действия. К требованиям об обеспечении безопасности, в частности, относятся:
Как было указано выше, одной из функций государства является установление мер, направленных на защиту информации. Для этих целей законодательным органом вводятся в действие законы и иные нормативные акты, которыми предусмотрена ответственность за неправомерное использование информации. Ответственность, конечно же, градируется в зависимости от степени общественно опасного деяния. Она может предусматриваться разными законами и кодексами. Так, если нарушение весьма серьезно, то к виновнику может быть применена уголовная ответственность. Чуть менее опасные действия могут повлечь за собой ответственность, установленную административным законодательством. Как правило, наказание за такие правонарушения ограничивается штрафами. Если же проступок виновного лица не имеет признаков ни уголовного, ни административного деяния, то ответственность может быть дисциплинарной (если нарушитель является работником).
Таким образом, рассмотренный закон определяет только основные положения, регулирующие отношения между сторонами. Более подробные сведения о том, как она распространяется, какие сроки предоставления информации и другие важные моменты определяются специальными нормативными актами, издаваемыми для тех или иных правоотношений. Следование всем нормам законодательства как обладателями, так и получателем информации в совокупности обеспечит надлежащий ее оборот, не допустит нарушение третьими лицами прав и интересов других граждан и организаций.
