Александр Кришталюк - Правовые аспекты системы безопасности

Уголовная ответственность за разглашение или использование подобных сведений без согласия владельца наступает в случае причинения указанными действиями крупного ущерба. Субъектами этого преступления являются лица, обладающие соответствующей информацией в связи со служебной или профессиональной деятельностью.

Из упомянутых правовых норм следует, что коммерческой тайной предприятия может быть все, что не запрещено законом или иными правовыми актами, охраняется предприятием и имеет ценность для предпринимательской деятельности, давая преимущество перед конкурентами, не владеющими ею.

Таким образом, фиксируется право собственника охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство. С юридическим закреплением понятия "коммерческая тайна" ко всему действующему массиву секретов в нашей стране, в том числе принадлежащих государству и им защищаемых (государственные секреты), добавился подмассив секретов, принадлежащих предприятию (служебные и коммерческие секреты), которые предприятие имеет право защищать, руководствуясь соображениями экономической безопасности и конкурентной борьбы.

Реализация этого права осуществляется предприятием в соответствии со ст. 139, 421 ГК РФ путем создания и поддержания на договорной основе с другими физическими и юридическими лицами систем безопасности предприятия и защиты коммерческой информации, включающих в себя комплекс правовых, организационных, инженерно-технических, социально-психологических и иных мер, основывающихся на административно-правовых нормах РФ и организационно-распорядительных документах руководства предприятия (см. приложение к главе 5). Введение их в действие на предприятии приказом руководства является необходимым условием функционирования системы защиты коммерческой тайны, поскольку эти документы представляют собой основной пакет нормативных документов, регулирующих правовые отношения в процессе обеспечения безопасности и защиты его коммерческой тайны на предприятии.

Правовые аспекты защиты информации наиболее тесно связаны с вопросами организации работ и процедурами технологического процесса обработки информации.

Зарубежные исследования показывают, что несмотря на успехи отдельных хакеров в проникновении в компьютерные системы и сети, большую опасность представляют законные пользователи этих систем и сетей, которые повинны в 80 % правонарушений.

Учитывая то обстоятельство, что терминалами автоматизированных систем (АС), узлами сетей и даже отдельными ПЭВМ в нашей действительности пользуется большое количество официально допущенных к работе пользователей, задача поиска правонарушителя серьезно затрудняется.

Хотя в состав программного обеспечения АС, не говоря уже о современных системах защиты информации от несанкционированного доступа (НСД), входят средства контроля и протоколирования действий пользователя и посторонних лиц, доказать вину конкретного субъекта, предъявляя ему в качестве улики его идентификатор или пароль, достаточно сложно по двум причинам:

1) юридически очень сложно доказать, что эти атрибуты сохраняются в надлежащей тайне, к тому же пароли часто бывают групповыми;

2) такие улики и способ их нахождения не зафиксированы законодательно.

Указанными причинами и объясняется рост компьютерной преступности как со стороны хакеров, так и законных пользователей АС. Положение с организацией противодействия компьютерной преступности в настоящее время очень сложное, что обусловлено рядом причин:

– отсутствие опыта применения законодательства, предусматривающего административную, гражданскую, материальную и уголовную ответственность за компьютерные правонарушения;

– отсутствием должной координации деятельности по борьбе с компьютерной преступностью правоохранительных органов, специальных служб, органов суда и прокуратуры;

– отсутствием в системе правоохранительных органов, органах суда и прокуратуры специально подготовленного состава, способного осуществлять выявление, предупреждение и пресечение компьютерных преступлений;

– отсутствием учета правонарушений, совершаемых с использованием средств информатизации;

– отсутствием необходимого технического и методического инструментария и опыта выявления и пресечения данного рода правонарушений;

– низким уровнем информационной и правовой культуры общества.

Любой закон будет действовать только при наличии механизма его реализации в виде организационных структур, обеспечивающих выполнение положений этого закона на всех уровнях управления.

Иерархическая структура управления деятельностью по обеспечению безопасности информации предусмотрена в Законе "Об информации, информатизации и защите информации" для координации, организационно-методического руководства деятельностью в этой области, контроля защищенности информации, осуществления других связанных с этим функций.

Административное регулирование и практическая деятельность в области защиты информации в нашей стране была связана, в основном, с защитой государственных секретов в традиционной сфере обращения документов и в меньшей степени их защите при автоматизированной обработке.

В результате к концу 80-х годов сложилась ситуация, когда на государственном уровне отсутствовали утвержденные нормативно-технические требования по защите информации от НСД.

Единственным официальным документом, в очень общем виде определявшим требования в этой области, была инструкция по секретному делопроизводству, в ряде разделов которой содержались некоторые рекомендации по вопросам организации автоматизированной обработки информации. Это не означало, что в стране не занимались вопросами защиты от НСД, но организована эта работа была и координировалась на отраслевом уровне.

Для устранения этого недостатка Межведомственная комиссия осуществляет интеграцию, предусматривающую реализацию единой научно-технической политики по комплексной защите информации на всех уровнях управления силами Гостехкомиссии России. Таким образом, данная государственная система защиты информации осуществляет:

– координацию деятельности органов и организаций в области защиты информации, обрабатываемой техническими средствами;

– организационно-методическое руководство этой деятельностью, включая утверждение нормативно-технической документации;

– разработку и финансирование научно-технических программ по созданию средств защиты информации;