Правовое обеспечение информационной безопасности

Порядок защиты информационных объектов и ответственность за его нарушение должны регламентироваться правовыми актами. Все правовые документы, регулирующие вопросы информационной безопасности, можно разделить на общегосударственные документы (законы и кодексы, указы Президента РБ, постановления Совета Министров РБ) и ведомственные документы (внутриведомственные и межведомственные).

Государственное регулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом РБ, Советом Министров РБ, Национальной академией наук Беларуси, Оперативно-аналитическим центром при Президенте РБ, Министерством связи и информатизации РБ, иными государственными органами в пределах их компетенции.

В соответствии с Законом РБ «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-3 защите подлежит информация, неправомерные действия в отношении которой могут причинить вред ее обладателю, пользователю или иному лицу. При этом выделяется информация общедоступная и та, распространение и/или предоставление которой ограничено. К последней относятся информация о частной жизни физического лица и персональные данные; сведения, составляющие государственные секреты; информация, составляющая коммерческую и профессиональную тайну; информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу; иная информация, доступ к которой ограничен законодательными актами РБ.

Информация, распространение и/или предоставление которой ограничено, а также информация, содержащаяся в государственных информационных системах, должны обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Советом Министров РБ.

В соответствии с Законом РБ «О государственных секретах» от 19 июня 2010 г. № 170-З государственные секреты – сведения, отнесенные в установленном порядке к государственным секретам, защищаемые государством в соответствии с настоящим Законом и другими актами законодательства Республики Беларусь.  Государственные секреты РБ подразделяются на две категории: государственная тайна и служебная тайна.

Государственная тайна – государственные секреты, разглашение или утрата которых может повлечь тяжкие последствия для национальной безопасности, обороноспособности, экономических и политических интересов РБ, а также создать реальную угрозу безопасности либо правам и свободам граждан.

Служебная тайна – государственные секреты, разглашение или утрата которых может нанести ущерб национальной безопасности, обороноспособности, политическим и экономическим интересам РБ, а также правам и свободам граждан. Сведения, составляющие служебную тайну, как правило, имеют характер отдельных данных, входящих в состав сведений, являющихся государственной тайной, и не раскрывают ее в целом.

В соответствии со степенью секретности носителям сведений, составляющих государственную тайну, присваиваются ограничительные грифы: «Особой важности» и «Совершенно секретно», а носителям сведений, составляющих служебную тайну, – «Секретно».

В зависимости от степени секретности сведений, составляющих государственные секреты, устанавливаются три формы допуска к государственным секретам, соответствующие степени секретности этих сведений.

В Постановлении Совета Министров РБ «Положение о порядке обращения со служебной информацией ограниченного распространения» от 15 февраля 1999 г. № 237 определен общий порядок обращения со служебной информацией ограниченного распространения.

Согласно Постановлению Совета Министров РБ «О некоторых мерах по защите информации в РБ» от 10 февраля 2000 г. № 186 при обработке информации, отнесенной к информации ограниченного распространения, с использованием средств электронно-вычислительной техники должны применяться защищенные компьютерные системы, изготавливаемые на предприятиях РБ. В обоснованных случаях могут применяться компьютерные системы импортного производства, прошедшие специальные исследования и обеспеченные защитой, необходимый уровень которой подтвержден сертификатом соответствия.

В РБ существует законодательство, регламентирующее отношения в сфере электронного документооборота и защиту электронных документов при их создании, обработке, хранении и передаче. Это Закон РБ «Об электронном документе и электронной цифровой подписи» от 28 декабря 2009 г. № 113-З и государственные стандарты на функцию хеширования и выработку и проверку электронной цифровой подписи (СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования» и СТБ 1176.2-99 «Информационная технология. Защита информации. Процедура выработки и проверки электронной цифровой подписи»). Подробно об этом см. раздел 3 данного пособия.

Закон РБ «Об органах государственной безопасности РБ» от 3 декабря 1997 г. № 102-З определяет правовые основы, принципы, основные задачи и направления деятельности органов государственной безопасности РБ.

Указом Президента РБ от 12 мая 2004 г. № 231 «Вопросы Государственного Центра безопасности информации при Президенте РБ» создан Государственный Центр безопасности информации при Президенте РБ (ГЦБИ), который Указом Президента № 229 от
21 апреля 2008 г. преобразован в Оперативно-аналитический центр при Президенте РБ (ОАЦ). ОАЦ назначен специально уполномоченным государственным органом, осуществляющим регулирование деятельности по обеспечению защиты информации, содержащей сведения, составляющие государственные секреты РБ, или иные сведения, охраняемые в соответствии с законодательством, как от утечки по техническим каналам, так и от несанкционированных и непреднамеренных воздействий. На ОАЦ возложены организация и проведение сертификации, аттестации, экспертизы и лицензирования в области технической защиты информации.

Еще одним видом информации, доступ к которой ограничен, является коммерческая тайна. К коммерческой информации относятся сведения по предприятиям и организациям любой формы собственности, направлениям их работ и выпускаемой продукции, о финансовом состоянии, деловых связях, сделках, а также деловые новости, предоставляемые информационными службами. Не все из этой информации должно быть ограничено в использовании, но нарушение конфиденциальности, целостности или доступности части этой информации может навести серьезный ущерб ее собственнику.

В Гражданском кодексе РБ в ст. 140 сказано, что информация составляет служебную или коммерческую тайну в случае, когда она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры по охране ее конфиденциальности.

В Постановлении Совета Министров РБ «Положение о коммерческой тайне» от 6 ноября 1992 г. № 670 сказано, что коммерческую тайну составляют преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования.

Коммерческой тайной не может стать информация, являющаяся общеизвестной и общедоступной по законодательству РБ, являющаяся государственным секретом, а также защищенная патентным и авторским правом. Такая информация защищается отдельными законодательными актами.

Кроме того, посредством коммерческой тайны организация не имеет права скрывать любую незаконную и противоправную деятельность, способную нанести ущерб интересам государства.

Субъекту хозяйствования не позволяется скрывать информацию о численности и составе рабочих, их заработной плате, условиях труда, наличии свободных рабочих мест – такие сведения могут быть необходимы для защиты прав сотрудников.

Работники субъекта хозяйствования и лица, заключившие гражданско-правовые договоры, имеющие доступ к коммерческой тайне субъекта хозяйствования, принимают обязательство сохранять коммерческую тайну и без разрешения, выданного в установленном порядке, не разглашать сведения, ее составляющие, при условии, что эта информация ранее не была известна работникам или иному лицу, получившему к ней доступ, либо не была получена от третьей стороны без обязательства соблюдать в отношении ее конфиденциальность. Данное обязательство дается в письменной форме при приеме на работу, заключении гражданско-правового договора либо в процессе его исполнения. В случае невыполнения названных обязательств работники несут материальную ответственность.

Права, относящиеся к нематериальным результатам умственной деятельности в области производства, науки, литературы и искусства, относятся к интеллектуальной собственности. Такая информация охраняется Гражданским кодексом РБ, Законом РБ «О патентах на изобретения, полезные модели, промышленные образцы» от 16 декабря 2002 г. № 160-З, Законом РБ «О товарных знаках и знаках обслуживания» от 5 февраля 1993 г. № 2181-XII и Законом РБ «Об авторском праве и смежных правах» от 16 мая 1996 г. № 370-XIII. Объекты авторского права и смежных прав получают охрану в силу самого факта их создания. Не требуется их регистрация или получение какого-либо документа, дающего право на их защиту. Они охраняются правом с момента их создания.

В большинстве составов преступлений против информационной безопасности предметом является информация автоматизированной системы обработки информации [3], хранящаяся в компьютерной сети, автоматизированной системе, на компьютерных носителях либо передаваемая сигналами, распространяемыми по проводам, оптическим волокнам, или радиосигналами.

В Уголовном кодексе РБ оговорено наказание за незаконное собирание либо распространение информации о частной жизни (ст. 179), коммерческий шпионаж (ст. 254), разглашение коммерческой тайны (ст. 255), умышленное разглашение сведений, составляющих служебную тайну (ст. 375). К компьютерным преступлениям отнесены: несанкционированный доступ к компьютерной информации (ст. 349), модификация компьютерной информации (ст. 350), компьютерный саботаж (ст. 351), неправомерное завладение компьютерной информацией (ст. 352), изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети (ст. 353), разработка, использование либо распространение вредоносных программ (ст. 354), нарушение правил эксплуатации компьютерной системы или сети (ст. 355), совершение хищений с использованием компьютерной техники, хищение путем использования компьютерной техники (ст. 212).