elektronik sigara Правовые аспекты информационной безопасности в деятельности предприятий

A+ A A-

Правовые аспекты информационной безопасности в деятельности предприятий

Оцените материал
(0 голосов)
А.С. Тюльпанова, региональный юрисконсульт ООО «Сумма Телеком»,
эксперт Регионального отдления ООО «Союз машиностроителей России»
Последние годы мир сотрясают крупномасштабные информаци­онные скандалы, связанные с утечкой ценной информации. Самым ярким примером может служить история сайта Wikileaks и его владельца небе­зызвестного Джулиана Ассанжа, когда в сети Интернет миллионам поль­
зователей стала доступна секретная информация дипломатического ведомства США, государства, имею­щего практически неограниченные финансовые ресурсы для обеспе­чения своей информационной без­опасности.  Менее известными, но не менее драматичными для их вла­дельцев (субъектов) стало попа­дание в RUnet летом этого года пер­сональных данных клиентов ряда российских банков и страховых ком­паний. Так, например, в результате утечки в свободный доступ в сеть Интернет попали данные о страховых случаях (дорожно-транспортных происшествиях) клиентов одной из страховых компаний с фотографиями автомобилей и соответственно, их государственных номерных знаков. Как полагают эксперты, утечка про­изошла вследствие недостаточной защищенности разделов сайта стра­ховой компании и создания ситуации, при которой обычный поисковый робот смог обнаружить и раскрыть закрытую информацию.
Понятие информационной без­опасности представляется на первый взгляд чем-то имеющим отношение к современным информационным тех­нологиям и виртуальному простран­ству. Однако ценная информация и необходимость ее защиты возникли, вероятнее всего, одновременно с появлением homo sapiens. С течением времени и со сменой эпох характер ценной информации и каналы утечки, безусловно, менялись. Одно остава­лось неизменным - противостояние обладателей информации и тех, кто пытался ее заполучить без ведома вла­дельца, будь то военные противники, торговые конкуренты, научные оппо­ненты, и т.д. Список можно суще­ственно продолжить.
Наступление информационной эпохи открыло новый канал утечки информации - всемирную сеть Интернет. Фактически Интернет представляет собой одновременно и механизм (способ) получения информации и способ ее распространения как вполне определенному, так и неопределенному кругу лиц. Но при этом не исчезли и вполне традиционные каналы утечки информации, как то недобросовестные сотрудники предприятий, раскрывшие информацию в беседе или потерявшие материальные носители ценной информации (персональные компьютеры, диски, флэшносители, бумажные документы). То есть, каналы утечки можно условно разделить на две группы. Первая группа - технический канал утечки,вторая группа - каналом утечки является непосредственно человек (сотрудник). 
               Проанализировав данные портала информационной безопасности Content Security, можно сделать следующий вывод: на долю «человеческого фактора» приходится 76% утечек, а на долю техники лишь 24% подобного рода происшествий. Однако, как показывает практика, по мере развития информационных технологий, доля утечек секретной информации по техническим каналам с каждым годом будет только увели­чиваться. Внедрение современных информационных технологий, в том числе переход на электронные носители, способные накапливать колоссальный объем информации, многократно увеличивает важность вопроса информационной безопас­ности для всех участников граждан­ского оборота и, особенно, для ком­мерческих предприятий, работающих на конкурентных рынках. Поскольку даже сбой в работе информационной системы, а тем более кража, унич­тожение или несанкционированный доступ к базам данных могут при­вести к серьезным убыткам компании, ущербу деловой репутации, вплоть до утраты позиций на рынке.
Чтобы предметно охарактеризо­вать последствия утечек информации, необходимо, в первую очередь, обра­тить внимание на то, какого рода информация обычно «утекает» из компании. Таким образом, возможно определить и объекты посягательства и, соответственно, объекты защиты. К такой информации на сегодняшний день, как показывает практика, отно­сятся следующие сведения:
документы, характеризу­ющие финансовое состояние и планы организации, коммерческие планы (финансовые и бухгалтерские отчеты, бюджеты, коммерческие отчеты, бизнес-планы, договоры и т.д.);
персональные данные кли­ентов и сотрудников компании;
технологические и конструк­торские разработки, ноу-хау ком­пании и т.п.;
внутренние документы (слу­жебные записки, презентации и т.д.);
• технические сведения, необ­ходимые для доступа в информаци­онную сеть организации (логины и пароли, сведения об используемых средствах защиты).
Острая необходимость защиты указанных объектов потребовала вве­дения соответствующего правового регулирования в сфере информаци­онной безопасности.
Так в 2006 году одновременно были приняты следующие законы: Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, инфор­мационных технологиях и о защите информации», Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персо­нальных данных». К нормативным актам, регулирующим данные право­отношения, можно так же отнести ранее принятые Федеральный закон от 29.07.2004 г. № 98-ФЗ «О коммер­ческой тайне», Федеральный закон от 21.07.1993 № 5485-1 «О государ­ственной тайне», Указ Президента РФ от 06.03.1997 г. №188 «Об утверж­дении Перечня сведений конфиден­циального характера».
Законом «Об информации, инфор­мационных технологиях и о защите информации» определены понятия информации, как объекта пра­вовых отношений, а так же понятия информационной системы, инфор­мационных технологий, обладателя информации, доступа к информации, информационно-телекоммуникаци­онной сети. Установлена обязанность обладателя информации, оператора информационной системы в установ­ленных законодательством случаях осуществлять меры по защите инфор­мации, в том числе обязанность обе­спечения мер по предотвращению несанкционированного доступа к информации, недопущения воздей­ствия на технические средства обра­ботки информации, возможность незамедлительного восстановления поврежденной информации и других мер.
Законами «О персональных данных», «О коммерческой тайне», «О государственной тайне» установлены охраняемые законом и подлежащие защите информационные объекты.
Так Законом «О персональных данных» регулируются отношения, связанные с обработкой персональных данных, осуществляемой различ­ными субъектами правоотношений, в том числе юридическими лицами, с использованием средств автомати­зации или без использования таких средств. В соответствии с данным законом, персональными данными является любая информация, отно­сящаяся к определенному физиче­скому лицу (субъекту персональных данных), в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия и другая информация. То есть, фак­тически, обработку персональных данных осуществляют абсолютно все юридические лица, поскольку, выступая в роли работодателей, полу­чают при приеме на работу персо­нальные данные своих сотрудников и в дальнейшем, осуществляют ее обра­ботку, то есть сбор, систематизацию, накопление, хранение, уточнение, распространение, и другие действия. При обработке персональных данных оператор (в данном случае органи­зация - работодатель) обязан прини­мать необходимые организационные и технические меры для защиты пер­сональных данных от неправомерного или случайного доступа к ним, унич­тожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных дей­ствий. Кроме того, обязанность по защите персональных данных работ­ника возложена на работодателя главой 14 Трудового кодекса РФ.
Положением об обеспечении без­опасности персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Пра­вительства РФ от 17.11.2007 г. № 781 установлены соответствующие требо­вания безопасности. Так в частности, в Положении указано, что «безопас­ность персональных данных дости­гается путем исключения несанкцио­нированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокиро­вание, копирование, распространение персональных данных, а также иных несанкционированных действий.
           Безопасность персональных данных при их обработке в инфор­мационных системах обеспечива­ется с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информаци­онной системе информационные тех­нологии.». Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ РФ в пределах их полномочий.
Федеральный закон «О коммерче­ской тайне» регулирует отношения, связанные с установлением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау), определяет понятие информации, составляющей коммерческую тайну, как сведений, способствующих получению их обла­дателем какой-либо коммерческой выгоды, а так же определяет понятие разглашения коммерческой тайны как действие (бездействие), в резуль­тате которых информация, составля­ющая коммерческую тайну, в любой возможной форме (в том числе, с использованием технических средств) становится известной третьим лицам без согласия обладателя такой инфор­мации. Конкретные действия, способ­ствующие сохранению коммерческой тайны, законодательно не урегулиро­ваны, соответствующие подзаконные акты не приняты.
Таким образом, защита такого информационного объекта как пер­сональные данные, нашла подробное законодательное регулирование. К сожалению, защита коммерческой тайны, как и  собственно отнесение информации к коммерческой тайне, были и остаются полностью в ведении ее обладателей. Однако юридические лица вправе самостоятельно опре­делить круг информации, подле­жащей защите и применить все меры и способы ее защиты по аналогии с защитой информационных объектов, конфиденциальность которых она обязана обеспечивать в силу прямого указания закона, как например, пер­сональные данные.

Последнее изменение Воскресенье, 17 Июнь 2012 21:03
Авторизуйтесь, чтобы получить возможность оставлять комментарии

Содержание

Войти or Регистрация

Войти

Регистрация

User Registration
Отмена