5 законов связанных с защитой информации. Обзор российского законодательства в области информационной безопасности

13.04.2019

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42 - право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их (серверов) информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации (в своем изложении мы опираемся на редакцию от 15 мая 2001 года) фигурируют такие понятия, как банковская, коммерческая и служебная тайна. Согласно статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - «Преступления в сфере компьютерной информации» - содержит три статьи:

Статья 272. Неправомерный доступ к компьютерной информации;

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе «О государственной тайне» (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств зашиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон «Об информации, информатизации и защите информации»

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон «Об информации, информатизации и защите информации» от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Мы, разумеется, не будем обсуждать качество данных в Законе определений. Обратим лишь внимание на гибкость определения конфиденциальной информации, которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закладывающее основу зашиты последних.

Закон выделяет следующие цели защиты информации:

Предотвращение утечки, хищения, утраты, искажения, подделки информации;

Предотвращение угроз безопасности личности, общества, государства;

Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

Предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности предотвращение несанкционированных действий по блокированию информации») сказано довольно мало.

Продолжим цитирование:

«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу».

По сути, это положение констатирует, что защита информации направлена на обеспечение интересов субъектов информационных отношений.

В отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

В отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

В отношении персональных данных - федеральным законом.

Здесь явно выделены три вида защищаемой информации, ко второму из которых принадлежит, в частности, коммерческая информация. Поскольку защите подлежит только документированная информация, необходимым условием является фиксация коммерческой информации на материальном носителе и снабжение ее реквизитами. Отметим, что в данном месте Закона речь идет только о конфиденциальности; остальные аспекты ИБ забыты.

Обратим внимание, что защиту государственной тайны и персональных данных берет на себя государство; за другую конфиденциальную информацию отвечают ее собственники.

Как же защищать информацию? В качестве основного закон предлагает для этой цели мощные универсальные средства: лицензирование и сертификацию. Процитируем статью 19.

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, производства средств зашиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.

Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня...

И еще несколько пунктов, теперь из статьи 22:

2. Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

3. Риск, связанный с использованием сертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.

5. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации.

Из пункта 5 следует, что должны обнаруживаться все (успешные) атаки на ИС. Вспомним в этой связи один из результатов опроса (см. лекцию 1): около трети респондентов-американцев не знали, были ли взломаны их ИС за последние 12 месяцев. По нашему законодательству их можно было бы привлечь к ответственности...

Далее, статья 23 «Зашита прав субъектов в сфере информационных процессов и информатизации» содержит следующий пункт: 2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.

Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы «неотказуемости» (невозможности отказаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона «Об информации, информатизации и защите информации». На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.

Другие законы и нормативные акты

Следуя логике Закона «Об информации, информатизации и защите информации», мы продолжим наш обзор Законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ (Принят Государственной Думой 13 июля 2001 года). Начнем с основных определений.

«Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с настоящим Федеральным законом.

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности».

Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды:

Распространение шифровальных (криптографических) средств;

Техническое обслуживание шифровальных (криптографических) средств;

Предоставление услуг в области шифрования информации;

Разработка и производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

Выдача сертификатов ключей электронных цифровых подписей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных цифровых подписей и подтверждением подлинности электронных цифровых подписей;

Выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

Разработка и (или) производство средств защиты конфиденциальной информации;

Техническая защита конфиденциальной информации;

Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Необходимо учитывать, что, согласно статье 1, действие данного Закона не распространяется на следующие виды деятельности:

Деятельность, связанная с защитой государственной тайны;

Деятельность в области связи;

Образовательная деятельность.

Подчеркнем в этой связи, что данный Закон не препятствует организации учебных курсов по информационной безопасности (не требует получения специальной лицензии; ранее подобная лицензия была необходима). В свою очередь. Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, касающихся образовательной деятельности в области И Б.

Основными лицензирующими органами в области защиты информации являются Федеральное агентство правительственной связи и информации (ФАПСИ) и Гостехкомиссия России. ФАПСИ ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите конфиденциальной информации. Эти же организации возглавляют работы по сертификации средств соответствующей направленности. Кроме того, ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ. Все эти вопросы регламентированы соответствующими указами Президента и постановлениями Правительства РФ, которые мы здесь перечислять не будем.

В эпоху глобальных коммуникаций важную роль играет Закон «Об участии в международном информационном обмене» от 4 июля 1996 года номер 85-ФЗ (принят Государственной Думой 5 июня 1996 года). В нем, как и в Законе «Об информации...», основным защитным средством являются лицензии и сертификаты. Процитируем несколько пунктов из статьи 9.

2. Защита конфиденциальной информации государством распространяется только на ту деятельность по международному информационному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена.

Выдача сертификатов и лицензий возлагается на Комитет при Президенте Российской Федерации по политике информатизации, Государственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Порядок выдачи сертификатов и лицензий устанавливается Правительством Российской Федерации.

3. При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информацией собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля за осуществлением международного информационного обмена и собственнику

или владельцу взаимодействующих средств международного информационного обмена, в противном случае он несет ответственность за причиненный ущерб.

При желании здесь можно усмотреть обязательность выявления нарушителя информационной безопасности - положение, вне всяких сомнений, очень важное и прогрессивное.

Еще одна цитата - теперь из статьи 17 того же Закона. Статья 17: «Сертификация информационных продуктов, информационных услуг, средств международного информационного обмена. 1. При ввозе информационных продуктов, информационных услуг в Российскую Федерацию импортер представляет сертификат, гарантирующий соответствие данных продуктов и услуг требованиям договора. В случае невозможности сертификации ввозимых на территорию Российской Федерации информационных продуктов, информационных услуг ответственность за использование данных продуктов и услуг лежит на импортере.

2. Средства международного информационного обмена, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих средств подлежат обязательной сертификации.

3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом «О связи»».

Читая пункт 2, трудно удержаться от вопроса: «А нужно ли сертифицировать средства защиты средств защиты этих средств?» Ответ, конечно, положительный...

10 января 2002 года Президентом был подписан очень важный закон «Об электронной цифровой подписи» номер 1-ФЗ(принят Государственной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные выше положения закона «Об информации...». Его роль поясняется в статье 1.

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

2. Действие настоящего Федерального закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях. Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Закон вводит следующие основные понятия:

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Пересказать такие определения своими словами невозможно... Обратим внимание на неоднозначное использование термина «сертификат», которое, впрочем, не должно привести к путанице. Кроме того, данное здесь определение электронного документа слабее, чем в Законе «Об информации...», поскольку нет упоминания реквизитов.

Согласно Закону, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

Сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

Подтверждена подлинность электронной цифровой подписи в электронном документе;

Электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Закон определяет сведения, которые должен содержать сертификат ключа подписи:

Уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;

Фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима запись об этом вносится удостоверяющим центром в сертификат ключа подписи;

Открытый ключ электронной цифровой подписи;

Наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;

Наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи;

Сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.

Интересно, много ли Федеральных законов, содержащих такое количество технической информации и столь зависимых от конкретной технологии?

На этом мы заканчиваем обзор законов РФ, относящихся к информационной безопасности.

Информационная безопасность - это сфера деятельности, где изучаются, составляются, оформляются и применяются меры безопасности и защиты личной информации, а также открытость и доступность общедоступной информации. Специальные сотрудники федер. органов проверяют все каналы и потоки сведений для обнаружения и ликвидации утечки засекреченных данных, а также для предотвращения преступлений. Для гарантий прав граждан на использование и распространение данных был принят соответствующий закон.

Список законов РФ об информационной безопасности

Основные вопросы, процессы и меры информационных систем безопасности регулируются Федеральным законом 149 об инф. технологиях и безопасности. Однако эту область контролируют и положения других законов.

Контроль над этой сферой деятельности осуществляется при помощи следующих законов:

ФЗ номер 152 о личных данных. Этот закон регулирует правоотношения между сотрудниками органов и гражданами, работниками учреждений, когда при проведении проверок сотрудники органов обладают полномочиями проверять любые материалы, документы и компьютеры. В таких случаях каждый человек может защищать свои персональные данные и материалы, относящиеся к его личной жизни;
Этот закон регулирует правоотношения между работниками, сотрудниками, участниками осуществления проектирования, строительства, исполнения условий и требований по отношению к продукции и товарам и т. д. Также он определяет права, полномочия и обязанности перечисленных лиц;
ФЗ номер 63 об электронной подписи. Этот закон регулирует правоотношения между участниками сделок купли-продажи, при выполнении услуг для обеспечения нужд муниц. и гос. учреждений, при исполнении гос. функций и других юр. действий, когда используются электронные подписи;
ФЗ номер 99 о предоставлении лицензии на отдельные категории деятельности. Этот закон регулирует правоотношения, возникающие между сотрудниками различных гос. органов и юр. лицами и индивидуальными предпринимателями, возникающие при предоставлении лицензии на перечисленные в законе категории деятельности.

Во всех перечисленных законах оформлены статьи и положения, контролирующие сферу информационной безопасности и защиты личных данных.

Общие положения 149 ФЗ

Закон об информ. безопасности 149 был принят Государственной Думой 8 июля 2006 года, а одобрен Советом Федерации 14 июля 2006 года. Последние изменения в него были внесены 25 ноября 2017 года. ФЗ 149 содержит 18 статей. Он касается правоотношений, возникающих при проведении деятельности по поиску, предоставлении, производстве или передаче материалов или информации, при использовании системы и развитии мер защиты информации, при использовании или применении полученных сведений.

Краткое содержание Федерального закона номер 149 об информации, инф. технологиях и защите информации:

1 ст. — сфера, которую регулирует закон;
2 ст. — термины и понятия;
3 ст. — список законных принципов регулирования в данной сфере;
4 ст. — акты и нормативы, контролирующие настоящую область;
5 ст. — информация - это объект правоотношений;
6 ст. — лица, обладающие сведениями;
7 ст. — информация, доступная населению, открытая и публичная;
8 ст. — перечислены лица, имеющие права на доступ к сведениям;
9 ст. — ограничения и запреты;
10 ст. — распространение и предоставление сведений третьим лицам;
11 ст. — документирование и учет;
12 ст. — способы регулирования и контроля над настоящей сферой;
13 ст. — системы и программы;
14 ст. — гос. системы, содержащие важную информацию;
15 ст. — применение телевизионно-коммуникационных сетей в описываемой области деятельности;
16 ст. — защита и меры безопасности сведений;
17 ст. — ответственность, наказания и виды преступлений;
18 ст. — перечисление утративших силу положений.

Настоящий Федеральный закон обладает основными принципами, используемыми для определения информационной безопасности и для мер защиты:

Любое лицо, проживающее на территории России имеет право на поиск публичной и общедоступной информации, использование найденных сведений для распространения и передачи любыми известными способами;
Граждане имеют право применять, распространять или передавать только общедоступные сведения, запрещено запрашивать какие-либо данные, относящиеся к секретным или частным;
Ограничения или запрет на доступ к информации может быть осуществлен только в связи с определенными положениями законодательства Российской Федерации;
Сведения распространяются и передаются лицам только в случае их запроса на эту информацию;
Любая организация, фирма или компания с коммерческой программой обязуется предоставить подробные сведения о собственной деятельности и с описанием характеристик компании в публичном доступе. Исключения могут быть использованы только если они соответствуют условиям и требованиям настоящего ФЗ;
Информационная система контролируется и защищается государственными учреждениями;
Все системы, эксплуатация информации и данные, оформленные на официальных сайтах или в официальных документах обязаны быть на русском языке.

Не только граждане (физ. лица), но и юридические лица обладают правами на наличие информации. У физ. и юр. лиц различные полномочия в этой области и права, обязанности и полномочия определяются законодательством, а именно нормативными актами РФ и описываемым Федеральным законом.

В ФЗ 149 перечислены права, которым обладает лицо, владеющее сведениями:

Права на разрешение или ограничение доступа к принадлежащей владельцу информации;
Право на передачу данных или сведений третьим лицам в связи с оформлением и заключением договора;
Право на использование, распространение сведений по собственному усмотрению так, как желает владелец.

В ФЗ 149 перечислены обязанности, которыми обладает лицо, владеющее сведениями:

Соблюдение прав, обязанностей и полномочий других граждан, к которым сведения могут относиться;
Применение запрета или ограничения на доступ к данным, если эти данные должны быть изъяты из доступа согласно положениям нормативов, актов и законов России;
Применение мер и методов для обеспечения защиты и безопасности информации, которая принадлежит этому лицу.

Любая информация, сведения и данные, разрешенные для распространения и применения должна быть открытой и предоставляться в свободном порядке. Шифровки возможны только в исключительных случаях, оформленных в настоящем законе. В случае если при передаче или при распространении информации деятельность происходит без участия СМИ (подробнее , проводится контроль, чтобы данные были достоверными и имели идентификацию опубликовавшей личности.

Владелец сайта в сети Интернет или любого другого ресурса, где распространяется информация обязан в специальной колонке или рубрике поместить собственные данные:

Имя, фамилия, отчество;
Адрес электронной почты;
Адрес проживания.

Такие данные о владельце сайта могут понадобиться не только гражданам, заходящим на сайт, но и сотрудникам органов. Любое лицо, имеющее осложнения с доступом к информации или имеющее вопросы к владельцу, имеет право выслать письмо. Письмо также высылается владельцу в случае, если были обнаружены какие-либо нарушения в интернет - ресурсе.

Согласно законодательству РФ, запрещена также любая пропаганда. Среди запретов перечислена пропаганда войны и насилия, пропаганда религиозной или расовой ненависти, пропаганда самоубийства (псих. влияние) и т. д. За перечисленные виды открытой или закрытой пропаганды автор текста будет нести уголовную или административную ответственность, в зависимости от тяжести преступления.

Секретные, тайные или важные материалы, документация, сведения должны быть задокументированы. Оформление таких бумаг и способы их хранения оформлены в Федеральном законе об исполн. власти.

Владелец информации или каких-либо материалов при просмотре интернет - страниц может обнаружить использование собственной информации без разрешения. В таком случае, владелец имеет право подать иск о нарушении авторских прав на владельца сайта. При подаче иска составляется доверенность, обязательно заверяющаяся у нотариуса.

Скачать закон об информационных технологиях и защите информации

Граждане, сотрудники или должностные лица, нарушившие установленные положения, требования и условия закона будут нести ответственность. В случае, если гражданин обнаружил нарушение собственных прав в описанной выше области, он имеет право подать иск в судебные органы для получения компенсации и возмещения убытков, в зависимости от ситуации:

В случае, если лицу был причинен моральный ущерб;
Нанесение ущерба чести и деловой репутации;
Защита чести и достоинства.

Владелец интернет-ресурса, страницы или сайта имеет право купить информацию у лица. Часто случается, что третьи лица продают материалы без ведома автора. В таких случаях иск о нарушении авторских прав будет проигнорирован. Эти условия и требования действуют не только на продажу сведений, но и на получении лицензии на использование авторских прав.

В случаях, когда нарушения закона были обнаружены неоднократно на одних и тех же сайтах и ресурсах, сотрудники органов контроля имеют право ограничить к ним доступ. На официальных сайтах Федеральных органов можно найти документ с полным списком сайтов и ресурсов, доступ к которым был ограничен или вовсе запрещен.

В настоящее время действующее законодательство имеет в своей базе нормативный документ, который регламентирует порядок, правила и требования предоставления информации. Что это такое, знают немногие, а тем более те, кто не имеет ничего общего с юриспруденцией. Некоторые нюансы и нормы этого правового акта изложены в настоящей статье.

Словарь терминов, используемых в законе

Некоторые термины и определения, которые применяются в названном нормативном акте, более четко определены законодателем, чтобы у граждан не возникало сомнений или двоякого понимания. Так, среди этих определений имеются следующие:

Под информацией с точки зрения указанного документа подразумеваются любые сведения, которые могут быть выражены в форме сообщений или другом виде. Причем они могут предоставляться третьим лицам в любой форме.
Информационные технологии - всевозможные предусмотренные законом способы, методы, процессы, применяемые для обнаружения, сохранения, использования и применения информации.
Обладатель информации - это тот человек, который собственными силами произвел ее или получил на основании какой-либо предусмотренной законом сделки от других лиц. Обладателем может быть и юридическое лицо.
Предоставление информации - под этим определением подразумеваются любые действия, которые направлены на передачу ее от одного лица другому. При этом получателем может быть как конкретное лицо, так и неопределенный круг получателей.
Доступ к сведениям - юридически и физически обеспеченная возможность для получателей приобрести информацию. Виды и формы этого доступа определены соответствующими нормативными документами, которые регламентируют отдельные конкретные правоотношения в жизни людей.
Конфиденциальность - требование, которое предъявляется к лицам, получившим доступ к сведениям, и заключается в запрете на их разглашение без разрешения на то обладателя информации.

Здесь перечислены лишь некоторые из понятий. Для более полного получения информации обо всех определениях, используемых в нужно заглянуть непосредственно в него.

Виды информации

Итак, что же такое информация? Закон «Об информации, информационных технологиях и о защите информации» раскрывает ее суть как объекта правовых отношений. Она может быть непосредственным объектом не только гражданских правоотношений, но и публичных, и властных, и других. По общему правилу, полученная информация является свободной к распространению. То есть лицо, получившее ее, вправе передавать ее другим лицам. Однако данное правило действует лишь в тех случаях, когда она не является конфиденциальной. Конфиденциальность, в свою очередь, может устанавливаться как на основании заключенного между сторонами какого-либо соглашения, так и на основании законодательства. К примеру, законом, регулирующим оперативно-розыскную деятельность, устанавливается секретность информации. Доступ к ней могут получить только специально наделенные таким правом лица. Предоставление информации, которая имеет конфиденциальность, возможно только с согласия ее обладателя или на основании судебного акта.

Исходя из вышеизложенного, ее можно подразделить на следующие категории:

распространяемая свободно и без ограничений;
распространение которой возможно лишь в соответствии с договором;
распространение которой возможно только на основании законов;
распространение которой запрещено на территории РФ или ограничено.

Обладатели информации

Рассмотрим подробнее, кто является обладателем информации. регулирующим этот вопрос, установлено, что такими лицами могут быть физические лица, организации, а также сама Российская Федерация. Также обладателями могут быть субъекты РФ и муниципальные образования. Если рассматриваемым лицом являются последние три названных субъекта, то от их имени права и обязанности осуществляют соответствующие, уполномоченные на то должностные лица. В правомочия всех обладателей входят следующие правомочия:

предоставлять или частично предоставлять доступ к сведениям, устанавливать порядок предоставления информации и способы этого доступа;
применять находящуюся в собственности информацию по своему усмотрению;
осуществлять предоставление информации другим лицам путем заключения какого-либо соглашения или в случаях, определенных законом;
отстаивать свои права на информацию, если они нарушаются третьими лицами;
реализовывать другие права, предусмотренные или не запрещенные законодательством.

Помимо прав, на обладателя возлагаются и определенные обязанности. К таковым относят соблюдение интересов третьих лиц, их законных прав. Обладатель информации также должен защищать имеющиеся в его распоряжении сведения, а если они конфиденциальны, то ограничивать к ним доступ.

Общедоступная информация

К названному виду относятся все те сведения, которые находятся в свободном доступе. Обычно это а также сведения, которые не имеют ограниченного доступа. Предоставление информации, которая никем не ограничена, по сути является безвозмездной. Вместе с тем у нее может быть обладатель, который может потребовать, чтобы лица, ее использующие, указывали его как владельца.

Право на получение сведений

Граждане и юридические лица могут получать информацию любыми не запрещенными методами. Они могут проводить ее поиск во всех общедоступных ресурсах либо написать заявление о предоставлении информации. Примером может служить сеть Интернет, где в свободном доступе располагается не ограниченный объем свободных данных. Помимо этого, указанные лица вправе требовать получения необходимых им сведений от государственных органов или иных организаций. Запрос о предоставлении информации направляется им к обладателю интересующих сведений, тот, в свою очередь, рассматривает запрос, и если запрашиваемое не охраняется законом, не ограничено к распространению, то передает сведения заявителю. Подразумевается, что лицо вправе получать их в том случае, если они затрагивают его права и обязанности. установлен перечень, к которым доступ не может быть запрещен или иным способом ограничен. Это информация:

о состоянии окружающей среды;
об осуществлении государственными органами своей деятельности;
о законах и других нормативных актах;
находящаяся в библиотеках и прочих открытых для публики местах;
другая, разрешенная к распространению.

Чтобы их получить, нужно оформить письмо о предоставлении информации и передать в соответствующий орган.

Ограничение доступа

Общие положения ограничения доступа устанавливаются в ст. 9 рассматриваемого нормативного акта. В ней указано, что эти формы предоставления информации регламентированы законами РФ. Обусловлено это может быть различными факторами. Одними из них считаются: защита конституционного строя страны, здоровья и безопасности людей, их интересов, а также для сохранения обороноспособности России. Это, конечно, не все основания для ограничения доступа. Законодатель определил, что ограничение может быть подразделено в зависимости от того, какой характер конфиденциальности имеет информация. Так, она может обладать банковской, служебной или какой-либо иной. Соответственно, в зависимости от того, к какому виду относятся сведения, их регулирует специальный закон. Например, порядок защиты и распространения банковской тайны описан в законодательстве, регулирующем банковскую деятельность. Именно в нем описан порядок разглашения сведений, а также перечислены случаи и лица, которым можно ее передавать.

Распространение

В целях предоставления информации нормативным документом определено, что ее распространение происходит в России свободно, но исключительно в соответствии с законами. Также определено, что распространяемые сведения обязаны быть достоверными. Это требование относится не только к содержанию самих сведений, но и к информации об обладателе или распространителе. Другими словами, человек, получающий информацию, должен свободно (при желании) выяснить, кто распространил ее. К примеру, сайт, размещающий какое-либо сообщение в сети Интернет, обязан указать свое наименование (наименование организации или Ф.И.О. гражданина), место регистрации или расположения, по которому можно найти обладателя (распространителя), другие контактные данные, в том числе телефоны и адреса электронной почты. Особенные требования предъявляются к таким способам распространения, как передача путем направления электронных сообщений или почтовыми письмами. В таких случаях отправитель обязан предоставить получателю возможность отказа от получения этой информации. Наглядным примером может служить рекламная СМС-рассылка, которую отправители могут направлять своим клиентам только при получении от них соответствующего разрешения.

Фиксирование

Формы предоставления информации предусматривают, что в некоторых случаях передаваемые сторонами друг другу сведения должны быть задокументированы. Эта обязанность возлагается на контрагентов либо законом, либо подписанным между ними соглашением. В государственных органах документирование обязательно, и оно осуществляется в порядке, определенном правительством. С этой целью издаются специальные правила. Для целей реализации между гражданами, а также между организациями, в том числе и государственными, устанавливается порядок использования электронной подписи. В определенных ситуациях стороны обязаны производить передачу информации с использованием такой подписи.

Защита

Анализируемый закон «Об информации, информационных технологиях и о защите информации» устанавливает меры, которые должны осуществляться государством и остальными лицами с целью ее защиты. Так, среди перечня этих мер имеются организационные, технические и, конечно, правовые мероприятия. Они предпринимаются заинтересованными субъектами для:

сохранности сведений от посягательств на них третьих лиц, от совершения ими в последующем каких-либо неправомерных действий, от уничтожения, копирования или распространения сведений;
сохранения секретности;
обеспечения доступа к сведениям.

Государство, осуществляя свои функции, обязано предпринимать необходимые действия для защиты. Они выражаются в установлении минимальных требований к отношениям, связанным с получением сведений, а также в определении ответственности за их неправомерное разглашение или иные противоправные действия. К требованиям об обеспечении безопасности, в частности, относятся:

Предупреждение неправомерного доступа и последующей передачи третьим лицам, которые на то не имеют права.
По возможности - установление фактов неправомерного доступа.
Предотвращение негативных результатов, которые могут возникнуть в случае нарушения установленного порядка получения сведений.
Постоянный контроль.

Ответственность

Как было указано выше, одной из функций государства является установление мер, направленных на защиту информации. Для этих целей законодательным органом вводятся в действие законы и иные нормативные акты, которыми предусмотрена ответственность за неправомерное использование информации. Ответственность, конечно же, градируется в зависимости от степени общественно опасного деяния. Она может предусматриваться разными законами и кодексами. Так, если нарушение весьма серьезно, то к виновнику может быть применена уголовная ответственность. Чуть менее опасные действия могут повлечь за собой ответственность, установленную административным законодательством. Как правило, наказание за такие правонарушения ограничивается штрафами. Если же проступок виновного лица не имеет признаков ни уголовного, ни административного деяния, то ответственность может быть дисциплинарной (если нарушитель является работником).

Таким образом, рассмотренный закон определяет только основные положения, регулирующие отношения между сторонами. Более подробные сведения о том, как она распространяется, какие сроки предоставления информации и другие важные моменты определяются специальными нормативными актами, издаваемыми для тех или иных правоотношений. Следование всем нормам законодательства как обладателями, так и получателем информации в совокупности обеспечит надлежащий ее оборот, не допустит нарушение третьими лицами прав и интересов других граждан и организаций.

Законодательство в области защиты информации

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Мы уже указывали, что для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

· законодательного;

· административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

· процедурного (меры безопасности, ориентированные на людей);

· программно-технического.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.

Мы будем различать на законодательном уровне две группы мер:

· меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);

· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

На практике обе группы мер важны в равной степени, но нам хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.

Самое важное (и, вероятно, самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.

Правовые акты общего назначения, затрагивающие вопросы информационной безопасности

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

· статья 272. Неправомерный доступ к компьютерной информации;

· статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;

· статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информатизации и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 20 февраля 1995 года номер 24-ФЗ (принят Государственной Думой 25 января 1995 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Процитируем некоторые из этих определений:

· информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

· документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

· информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

· информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

· информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

· информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

· конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

· пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Закон выделяет следующие цели защиты информации:

· предотвращение утечки, хищения, утраты, искажения, подделки информации;

· предотвращение угроз безопасности личности, общества, государства;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Отметим, что Закон на первое место ставит сохранение конфиденциальности информации. Целостность представлена также достаточно полно, хотя и на втором месте. О доступности ("предотвращение несанкционированных действий по... блокированию информации") сказано довольно мало.

Продолжим цитирование:

"Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу".

· в отношении сведений, отнесенных к государственной тайне, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";

· в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;

· в отношении персональных данных - федеральным законом."

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации "О сертификации продукции и услуг".

3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

И еще несколько пунктов, теперь из статьи 22:

3. Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

2. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба. Очень важными являются пункты статьи 5, касающиеся юридической силы электронного документа и электронной цифровой подписи:

3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.

Таким образом, Закон предлагает действенное средство контроля целостности и решения проблемы "неотказуемости" (невозможности отказаться от собственной подписи).

Таковы важнейшие, на наш взгляд, положения Закона "Об информации, информатизации и защите информации". На следующей странице будут рассмотрены другие законы РФ в области информационной безопасности.

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Статья 2. Основные понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие основные понятия:

1) информация - сведения (сообщения, данные) независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использования;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Статья 4. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации

1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации основывается на Конституции Российской Федерации, международных договорах Российской Федерации и состоит из настоящего Федерального закона и других регулирующих отношения по использованию информации федеральных законов.

2. Правовое регулирование отношений, связанных с организацией и деятельностью средств массовой информации, осуществляется в соответствии с законодательством Российской Федерации о средствах массовой информации.

3. Порядок хранения и использования включенной в состав архивных фондов документированной информации устанавливается законодательством об архивном деле в Российской Федерации.

Статья 5. Информация как объект правовых отношений

1. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

2. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

3. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

4. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.

Статья 6. Обладатель информации

1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.

2. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

4. Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Статья 8. Право на доступ к информации

1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

2. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.

3. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.

4. Не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.

6. Решения и действия (бездействие) государственных органов и органов местного самоуправления, общественных объединений, должностных лиц, нарушающие право на доступ к информации, могут быть обжалованы в вышестоящий орган или вышестоящему должностному лицу либо в суд.

7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.

8. Предоставляется бесплатно информация:

1) о деятельности государственных органов и органов местного самоуправления, размещенная такими органами в информационно-телекоммуникационных сетях;

2) затрагивающая права и установленные законодательством Российской Федерации обязанности заинтересованного лица;

3) иная установленная законом информация.

9. Установление платы за предоставление государственным органом или органом местного самоуправления информации о своей деятельности возможно только в случаях и на условиях, которые установлены федеральными законами.

Статья 9. Ограничение доступа к информации

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

Статья 10. Распространение информации или предоставление информации

1. В Российской Федерации распространение информации осуществляется свободно при соблюдении требований, установленных законодательством Российской Федерации.

2. Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

3. При использовании для распространения информации средств, позволяющих определять получателей информации, в том числе почтовых отправлений и электронных сообщений, лицо, распространяющее информацию, обязано обеспечить получателю информации возможность отказа от такой информации.

4. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.

5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами.

6. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.

Статья 11. Документирование информации

1. Законодательством Российской Федерации или соглашением сторон могут быть установлены требования к документированию информации.

2. В федеральных органах исполнительной власти документирование информации осуществляется в порядке, устанавливаемом Правительством Российской Федерации. Правила делопроизводства и документооборота, установленные иными государственными органами, органами местного самоуправления в пределах их компетенции, должны соответствовать требованиям, установленным Правительством Российской Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.

3. Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

4. В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.

5. Право собственности и иные вещные права на материальные носители, содержащие документированную информацию, устанавливаются гражданским законодательством.

Статья 12. Государственное регулирование в сфере применения информационных технологий

1. Государственное регулирование в сфере применения информационных технологий предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации), на основании принципов, установленных настоящим Федеральным законом;

2) развитие информационных систем различного назначения для обеспечения граждан (физических лиц), организаций, государственных органов и органов местного самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети "Интернет" и иных подобных информационно-телекоммуникационных сетей.

2. Государственные органы, органы местного самоуправления в соответствии со своими полномочиями:

1) участвуют в разработке и реализации целевых программ применения информационных технологий;

2) создают информационные системы и обеспечивают доступ к содержащейся в них информации на русском языке и государственном языке соответствующей республики в составе Российской Федерации.

Статья 13. Информационные системы

1. Информационные системы включают в себя:

1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;

2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

3) иные информационные системы.

2. Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

3. Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

4. Установленные настоящим Федеральным законом требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

5. Особенности эксплуатации государственных информационных систем и муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем.

6. Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Статья 14. Государственные информационные системы

1. Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

2. Государственные информационные системы создаются с учетом требований, предусмотренных Федеральным законом от 21 июля 2005 года N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд".

3. Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.

4. Перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления - Правительством Российской Федерации или соответствующими государственными органами, если иное не предусмотрено федеральными законами.

5. Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.

6. Правительство Российской Федерации вправе устанавливать обязательные требования к порядку ввода в эксплуатацию отдельных государственных информационных систем.

7. Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.

8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

9. Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.

Статья 15. Использование информационно-телекоммуникационных сетей

1. На территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации.

2. Регулирование использования информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, осуществляется в Российской Федерации с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области. Порядок использования иных информационно-телекоммуникационных сетей определяется владельцами таких сетей с учетом требований, установленных настоящим Федеральным законом.

3. Использование на территории Российской Федерации информационно-телекоммуникационных сетей в хозяйственной или иной деятельности не может служить основанием для установления дополнительных требований или ограничений, касающихся регулирования указанной деятельности, осуществляемой без использования таких сетей, а также для несоблюдения требований, установленных федеральными законами.

4. Федеральными законами может быть предусмотрена обязательная идентификация личности, организаций, использующих информационно-телекоммуникационную сеть при осуществлении предпринимательской деятельности. При этом получатель электронного сообщения, находящийся на территории Российской Федерации, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку.

5. Передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Передача информации может быть ограничена только в порядке и на условиях, которые установлены федеральными законами.

6. Особенности подключения государственных информационных систем к информационно-телекоммуникационным сетям могут быть установлены нормативным правовым актом Президента Российской Федерации или нормативным правовым актом Правительства Российской Федерации.

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:

1)либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Статья 18. О признании утратившими силу отдельных законодательных актов (положений законодательных актов) Российской Федерации

Со дня вступления в силу настоящего Федерального закона признать утратившими силу:

1) Федеральный закон от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации" (Собрание законодательства Российской Федерации, 1995, N 8, ст. 609);

2) Федеральный закон от 4 июля 1996 года N 85-ФЗ "Об участии в международном информационном обмене" (Собрание законодательства Российской Федерации, 1996, N 28, ст. 3347);

3) статью 16 Федерального закона от 10 января 2003 года N 15-ФЗ "О внесении изменений и дополнений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О лицензировании отдельных видов деятельности" (Собрание законодательства Российской Федерации, 2003, N 2, ст. 167);

4) статью 21 Федерального закона от 30 июня 2003 года N 86-ФЗ "О внесении изменений и дополнений в некоторые законодательные акты Российской Федерации, признании утратившими силу отдельных законодательных актов Российской Федерации, предоставлении отдельных гарантий сотрудникам органов внутренних дел, органов по контролю за оборотом наркотических средств и психотропных веществ и упраздняемых федеральных органов налоговой полиции в связи с осуществлением мер по совершенствованию государственного управления" (Собрание законодательства Российской Федерации, 2003, N 27, ст. 2700);

5) статью 39 Федерального закона от 29 июня 2004 года N 58-ФЗ "О внесении изменений в некоторые законодательные акты Российской Федерации и признании утратившими силу некоторых законодательных актов Российской Федерации в связи с осуществлением мер по совершенствованию государственного управления" (Собрание законодательства Российской Федерации, 2004, N 27, ст. 2711).

Президент
Российской Федерации
В. Путин