Статья 13. Право доступа к информации

Основная проблема российского законодательства заключается в специфическом регулировании прав россиян на получение достоверной, актуальной и релевантной информации. В Конституции имеется около 20 положений, а в других федеральных локальных актах имеется около 30 статей, касающихся данного вопроса.

Права граждан по Конституции

Основные сведения, касающиеся информации содержатся в ст. 24 и ст. 29 Конституции РФ.

Этими положениями гарантируется, что каждый гражданин может заниматься поиском и получением, а также передачей, созданием и распространением информации, если для этих целей применяются исключительно законные методы. Запрет накладывается исключительно на данные, которые относятся к государственной тайне.

Но статьи Конституции дополнительно содержат ограничения, связанные с использованием полученных данных.

В ФЗ «О государственной тайне» и Указе Президента №1203 содержится список данных, которые относятся к государственной тайне, поэтому их распространение становится причиной нанесения существенного ущерба для безопасности государства.

К ним относится информация, которая касается военной, экономической, разведывательной, оперативно-розыскной или внешнеполитической области.

Внимание! Все россияне обладают одинаковым правом на информацию, поэтому оно ограничивается исключительно необходимостью защиты страны, нравственности, прав или интересов других лиц.

Другим ограничением прав на доступ выступает возможность нарушения неприкосновенности частной жизни или тайны переписки. Снимается личностное ограничение только после принятия соответствующего судебного решения.

На международном уровне

В международном законодательстве право на информацию выступает основой права любого человека на самовыражение, а также оно позволяет бороться с коррупцией и реализовать собственные цели.

К основным нормативным международным актам, касающимся этого вопроса, относится:

• 19 Всеобщая декларация прав человека.
• Статья 19 Международного пакта о гражданских и политических правах. По ней государства должны распространять сведения, которые обладают общественным интересом. Доступ к этим данным должен быть эффективным и быстрым. Благодаря такому регулированию любой человек может эффективно реализовать свои права.
• Замечание общего порядка, выпущенное Комитетом ООН и определяющее границы права на получение информации. Здесь указывается на необходимость утверждения странами специфических процедур и нормативных актов, на основании которых реализуется право на информацию. Если органы власти отказывают в предоставлении каких-либо сведений, то такой отказ должен быть обоснованным, а также должна иметься возможность для его обжалования.
• Статья 13 Конвенции ООН против коррупции. Она требует, чтобы страны пользовались разными эффективными мерами, чтобы обеспечить жителям быстрый доступ к информации. Дополнительно гарантируется защита информаторов.

Справка! Право людей на информацию содержится и в других международных актах, договорах и соглашениях, которые касаются мигрантов, изменения климата или ограниченных возможностей.

Первоначально в России право людей на информацию было зафиксировано в Декларации прав и свобод в 1991 году. Указывалось право россиян на охрану персональной информации, а также на получение общедоступных сведений.

Сейчас такие права закрепляются в действующей Конституции. По этому документу обеспечивается право на свободу мысли, слова и массовой информации, а также на творчество, преподавание и получение юридической помощи. При этом эти права ограничиваются неприкосновенностью частной жизни, переписки и телефонных разговоров, а также исключением выступает государственная тайна.

Другим важным нормативным актом выступает ФЗ №149, регулирующий использование информации и информационных технологий, а также устанавливающий меры защиты сведений.

Как проявляется ограничение

Ограничения информационного права и свободы имеются на конституционном и законодательном уровне. К ним относится:

• Часть 3 ст. 17 Конституции. Здесь указывается, что закрепляются не только свободы и права граждан, но и обеспечивается их защита. Во время взаимодействия людей могут возникать противоречия, поэтому право не может быть абсолютным, так как у граждан имеются определенные обязанности перед обществом. Поэтому при использовании права на информацию не допускается ущемление или нарушение прав других лиц.
• Статья 23 Конституции. Устанавливается защита неприкосновенности частной жизни любого гражданина, поэтому не допускается разглашать личные или интимные сведения, полученные незаконным способом.
• Часть 1 статьи 24 Конституции. При использовании, сборе или распространении информации не допускается нарушение репутации других лиц. Исключением выступает только ситуация, когда проводятся оперативные или розыскные мероприятия представителями власти.
• Часть 4 статьи 29 Конституции. Приводятся ограничения на какие-либо действия со сведениями, которые представлены государственной тайной. Дополнительно указываются данные, к которым запрещен доступ посторонним лицам.
• ФЗ №5485-I. Он содержит основной перечень сведений, которые относятся к государственной тайне. Более полный список содержится в Указе Президента РФ №1203.
• ФЗ №149. Здесь приводится ограничение права на информацию, которая является конфиденциальной. Лица, которые получают к ней доступ, не могут передавать ее третьим лицам без предварительного получения разрешения от владельца. В ст. 9 данного ФЗ содержится возможность ограничения доступа к данным, если их распространение становится угрозой для обороны и безопасности страны, нравственности, а также прав и интересов граждан.

Важно! Другими федеральными законами определяются условия, при которых сведения относятся к коммерческой, служебной или иной тайне, поэтому их нельзя использовать или распространять разными способами.

Ограничение права любого человека на информацию выступает конституционным правом. Устанавливаются пределы на сведения, которые могут нарушить права и свободы других лиц или вовсе нанести ущерб всей стране.

Основания для ущемления

В качестве основания для ограничения информационных прав граждан выступают следующие факторы:

• защита Конституции и демократии;
• предотвращение нарушения прав, интересов и свобод других лиц;
• защита нравственности;
• необходимость обеспечения безопасности и обороны страны;
• применение ограничений во время чрезвычайного положения, но они устанавливаются на определенный срок;
• запрет на использование прав или свобод, касающихся информации, чтобы рекламировать социальную, расовую или социальную ненависть, а также пропагандировать языковое или религиозное превосходство;
• предотвращение распространения личных сведений о людях;
• обеспечение правосудия.

Дополнительно в России существует перечень данных, к которым невозможно ограничить доступ. Они перечисляются в ст. 8 ФЗ «Об информации». За разглашение таких сведений не предусматриваются какие-либо меры ответственности.

Ответственность за незаконное ущемление

Если незаконным образом ограничивается право гражданина на информацию, то это является уголовным преступлением.

Поэтому назначаются следующие меры:

• Статья 140 УК. За отказ в предоставлении сведений человеку со стороны должностного лица с одновременным нарушением прав или свобод, назначается штраф до 200 тыс. руб. Такая фиксированная санкция может заменяться доходом преступника за 18 месяцев или лишением права занимать управляющие должности на срок от 2 до 5 лет.
• Статья 237 УК. За сокрытие или искажение сведений о событиях, которые создают опасность для жизни и здоровья населения, назначается штраф до 300 тыс. руб. Судья может заменить эту санкцию доходом преступника за 2 года. Альтернативным наказанием выступает тюремный срок на 2 года с одновременным лишением права занимать управляющие должности или трудиться в определенной сфере деятельности в течение трех лет.
• Если деяния по ст. 140 или 237 УК совершаются представителем государственных органов, то штраф составляет от 100 до 500 тыс. руб. Он иногда заменяется доходом за период от 1 до 3 лет или тюремным сроком на 5 лет.

Если нарушения не нанесли серьезного вреда, то назначается наказание по КоАП. По ст. 5.39 КоАП за отказ в предоставлении данных должностные лица уплачивают штраф от 1 до 3 тыс. руб. По ст. 13.27 КоАП при нарушении требований к предоставлению доступа к сведениям о работе госорганов или местной администрации уплачивается штраф от 3 до 5 тыс. руб.

За нарушение требований относительно раскрытия данных компаниями, которые управляют многоквартирными домами, по ст. 7.23.1 назначается штраф для должностных лиц от 30 до 50 тыс. руб. Для юрлиц санкция увеличивается, поэтому составляет от 250 до 300 тыс. руб. Если выявляется повторное нарушение, то должностное лицо дисквалифицируется на срок от 1 до 3 лет.

Если искажается или скрывается экологическая информация, то по ст. 8.5 КоАП уплачивается штраф гражданами от 500 до 1000 руб., а для должностных лиц он составляет от 1 до 2 тыс. руб. Компании уплачивают санкцию в размере от 10 до 20 тыс. руб.

Подробно об информационном праве в видео:

Заключение

Каждый россиянин имеет право на информацию, но оно ограничивается федеральными и локальными актами. Ограничения требуются для защиты конфиденциальных сведений, государственной тайны и неприкосновенности частной жизни.

Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 и статьей 17.13 настоящего Кодекса, —

влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от ста тысяч до двухсот тысяч рублей.

Примечание. Адвокаты, совершившие административное правонарушение, предусмотренное настоящей статьей, несут административную ответственность как должностные лица.

Комментарий к ст. 13.14 КоАП

Объективная сторона рассматриваемого правонарушения заключается в разглашении информации, доступ к которой ограничен федеральным законом. В соответствии с ч. 1 ст. 9 Федерального закона от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлено, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Законодательством предусматривается ограничение доступа к информации, составляющей государственную, служебную, профессиональную, коммерческую, банковскую тайны, а также относящуюся к персональным данным (см. Закон РФ от 21 июля 1993 г. N 5485-1 «О государственной тайне»; Федеральный закон от 27 июля 2006 г.

N 152-ФЗ «О персональных данных»; Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»; Федеральный закон от 2 декабря 1990 г. N 395-1 «О банках и банковской деятельности»; Федеральный закон от 7 августа 2001 г. N 119-ФЗ «Об аудиторской деятельности»; Федеральный закон от 20 августа 2004 г.

N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства»; Федеральный закон от 31 мая 2002 г. N 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации»; Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г.

N 5487-1; Налоговый кодекс Российской Федерации, часть первая, от 31 июля 1998 г. N 146-ФЗ; Уголовно-процессуальный кодекс РФ от 18 декабря 2001 г. N 174-ФЗ и др.).

В то же время следует помнить, что к административной ответственности лицо, виновное в разглашении конфиденциальной информации, может быть привлечено только в том случае, если совершенные им действия не образуют состав уголовного преступления.

Уголовный кодекс РФ содержит целый ряд составов, предусматривающих ответственность за разглашение конфиденциальной информации (статья 137 «Нарушение неприкосновенности частной жизни»; статья 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»; статья 141 «Воспрепятствование осуществлению избирательных прав или работе избирательных комиссий»; статья 155 «Разглашение тайны усыновления (удочерения)»; статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»; статья 275 «Государственная измена»; статья 283 «Разглашение государственной тайны»).

Субъектом рассматриваемого правонарушения являются как граждане, так и должностные лица. Однако ответственность могут нести только те из них, которые получили доступ к указанной выше информации в связи с исполнением служебных или профессиональных обязанностей.

С субъективной стороны данное правонарушение может быть совершено как умышленно, так и по неосторожности.

Право на информацию в «эпоху пандемии»

Авторы: Ирина Щербакова, Дмитрий Казаков

Право на информацию является важнейшим конституционным правом человека и гражданина, гарантированное государством, которое обеспечивает реализацию множества иных его прав и свобод, в том числе, на охрану здоровья.

Согласно ч. 4 ст. 29 Конституции Р Ф каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Сведения, составляющие государственную тайну, определяются федеральным законом.

В ситуациях, представляющих угрозу жизни и здоровью всех граждан, как-то эпидемии, пандемии и др., реализация данного права представляет исключительную важность и должна воплощаться в полноте и достоверности предоставляемых сведений, прозрачности принятия решений и необходимых профилактических мер.

На уровне федерального законодательства содержание права на информацию раскрыто в ст. 8 Федерального закона от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — ФЗ об информации): граждане и организации вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

Информацию, в зависимости от порядка доступа к ней, можно условно разделить на общедоступную и ограниченную в доступе. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

К ограниченной в доступе информации относятся сведения, составляющие государственную, служебную, иную, охраняемую законом тайну, а также сведения, составляющие персональные данные.

Для доступа к такой информации необходимо согласие ее обладателя при соблюдении определенных законом требований.

В силу пп.5 п. 4 ст. 8 ФЗ об информации не может быть ограничен доступ к следующей информации:

• нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина;
• экологической информации;
• информации о деятельности государственных органов и органов местного самоуправления и использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
• информации, накапливаемой в открытых фондах библиотек, музеев;
• информации, содержащейся в архивных документах архивных фондов (за исключением ограниченных в доступе);
• а также иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Согласно ч. 2 ст.

 8 ФЗ об информации гражданин имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством РФ, информации, непосредственно затрагивающей его права и свободы.

Логично сделать вывод, что само непредоставление необходимой информации вышеупомянутыми органами и должностными лицами нарушает субъективное право гражданина на ее получение, в силу чего непосредственно затрагивает его права и свободы.

Обратимся к Федеральному закону от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Статья 23 закона устанавливает право граждан на информацию о факторах, влияющих на здоровье: граждане имеют право на получение достоверной и своевременной информации о факторах, способствующих сохранению здоровья или оказывающих на него вредное влияние, включая информацию о санитарно-эпидемиологическом благополучии района проживания, состоянии среды обитания, рациональных нормах питания, качестве и безопасности продукции производственно-технического назначения, пищевых продуктов, товаров для личных и бытовых нужд, потенциальной опасности для здоровья человека выполняемых работ и оказываемых услуг. Такая информация предоставляется органами государственной власти и органами местного самоуправления, а также организациями в порядке, предусмотренном законодательством Российской Федерации. В частности, функция информирования населения лежит на специализированном органе Государственной санитарно — эпидемиологической службе.

Кроме того, в соответствии с п. 5.5. Постановления Правительства Р Ф от 30.06.

2004 № 322 «Об утверждении Положения о Федеральной службе по надзору в сфере защиты прав потребителей и благополучия человека», функция информирования органов государственной власти РФ, органов субъектов РФ, местного самоуправления и населения о санитарно-эпидемиологической обстановке и о принимаемых мерах по обеспечению санитарно-эпидемиологического благополучия населения возложена на Роспотребнадзор.

Субъекты РФ и органы местного самоуправления информируют население субъекта и муниципального образования о возможности распространения социально значимых заболеваний и заболеваний, представляющих опасность для окружающих, угрозе их возникновения и о возникновении эпидемий, а также реализуют профилактические мероприятия, информируя о них.

На вышеперечисленных субъектах лежит обязанность предоставить информацию, в том числе, о биологических — вирусных, бактериальных, паразитарных и иных — факторах среды обитания, которые оказывают или могут оказывать воздействие на человека и (или) на состояние здоровья будущих поколений. Представляется, что сведения о факторах, оказывающих вредное влияние, о санитарно-эпидемиологическом благополучии и состоянии среды обитания относятся к информации, доступ к которой ограничен быть не может.

Также, статья 22 Федерального закона № 323-ФЗ устанавливает право гражданина на получение информации о состоянии его здоровья, однако спектр сведений сформулирован шире.

Так согласно части 1 статьи, каждый имеет право получить в доступной для него форме имеющуюся в медицинской организации информацию о состоянии своего здоровья, в том числе сведения о результатах медицинского обследования, наличии заболевания, об установленном диагнозе и о прогнозе развития заболевания, методах оказания медицинской помощи, связанном с ними риске, возможных видах медицинского вмешательства, его последствиях и результатах оказания медицинской помощи. В соответствии с частью 2 статьи, такая информация предоставляется пациенту лично лечащим врачом или другими медицинскими работниками, принимающими непосредственное участие в медицинском обследовании и лечении.

Наконец, в части 1 статьи 20 Федерального закона № 323-ФЗ содержится норма о добровольном информированном согласии в части медицинского вмешательства, согласно которой необходимым предварительным условием медицинского вмешательства является дача информированного добровольного согласия гражданина или его законного представителя на медицинское вмешательство на основании предоставленной медицинским работником в доступной форме полной информации о целях, методах оказания медицинской помощи, связанном с ними риске, возможных вариантах медицинского вмешательства, о его последствиях, а также о предполагаемых результатах оказания медицинской помощи.

Одним из видов медицинского вмешательства являются профилактические прививки. Федеральный закон от 17.09.

1998 № 157-ФЗ «Об иммунопрофилактике инфекционных болезней» в статье 5 также содержит право гражданина на добровольное информированное согласие, а именно получение от медицинских работников полной и объективной информации о необходимости профилактических прививок, последствиях отказа от них, возможных поствакцинальных осложнениях.

• Таким образом, можно резюмировать, что право на информацию в области здравоохранения, кроме прочих аспектов, включает в себя следующие права:
• — право граждан на информацию о факторах, влияющих на здоровье;
• — право на получение информации о состоянии своего здоровья, которое включает в себя сведения:

• о результатах медицинского обследования;
• о наличии заболевания;
• об установленном диагнозе и о прогнозе развития заболевания;
• о методах оказания медицинской помощи, связанном с ними риске;
• о возможных видах медицинского вмешательства, его последствиях;
• о результатах оказания медицинской помощи;

— право на добровольное информированное согласие на медицинское вмешательство (в том числе, профилактические прививки) или отказ от него, включающее следующие сведения, которые необходимо довести до пациента:

• о целях, методах оказания медицинской помощи, связанном с ними риске;
• о возможных вариантах медицинского вмешательства;
• о последствиях (в том числе, возможных поствакцинальных осложнениях), а также о предполагаемых результатах оказания медицинской помощи.

Пять ФЗ о защите информации, которые стоит знать | Блог Mail.Ru Cloud Solutions

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы Mail.ru Cloud Solutions находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Статья 9. Ограничение доступа к информации

   1.
Ограничение доступа к информации
устанавливается федеральными законами
в целях защиты основ конституционного
строя, нравственности, здоровья, прав
и законных интересов других лиц,
обеспечения обороны страны и безопасности
государства.
   2.

Обязательным
является соблюдение конфиденциальности
информации, доступ к которой ограничен
федеральными законами.
   3.
Защита информации, составляющей
государственную тайну, осуществляется
в соответствии с законодательством
Российской Федерации о государственной
тайне.

примечание — По вопросу,
касающемуся порядка обращения со
служебной информацией ограниченного
распространения в федеральных органах
исполнительной власти, см. Постановление
Правительства РФ от 03.11.1994 N 1233.
   4.

Федеральными законами устанавливаются
условия отнесения информации к сведениям,
составляющим коммерческую тайну,
служебную тайну и иную тайну, обязательность
соблюдения конфиденциальности такой
информации, а также ответственность за
ее разглашение.
   5.

Информация,
полученная гражданами (физическими
лицами) при исполнении ими профессиональных
обязанностей или организациями при
осуществлении ими определенных видов
деятельности (профессиональная тайна),
подлежит защите в случаях, если на эти
лица федеральными законами возложены
обязанности по соблюдению конфиденциальности
такой информации.
   6.

Информация,
составляющая профессиональную тайну,
может быть предоставлена третьим лицам
в соответствии с федеральными законами
и (или) по решению суда.
   7.

Срок исполнения обязанностей по
соблюдению конфиденциальности информации,
составляющей профессиональную тайну,
может быть ограничен только с согласия
гражданина (физического лица),
предоставившего такую информацию о
себе.
   8. Запрещается требовать
от гражданина (физического лица)
предоставления информации о его частной
жизни, в том числе информации, составляющей
личную или семейную тайну, и получать
такую информацию помимо воли гражданина
(физического лица), если иное не
предусмотрено федеральными законами.
   9.
Порядок доступа к персональным данным
граждан (физических лиц) устанавливается
федеральным законом о персональных
данных.

1. Понятие и структура информации с ограниченным доступом. Институт тайны как правовой режим информации с ограниченным доступом. Конфиденциальность информации. Классификация видов тайн.

Под
информацией с ограниченным доступом
понимается информация, доступ к которой
ограничен в соответствии с законом с
целью защиты прав и законных интересов
субъектов права на тайну.

Она состоит
из государственной тайны и конфиденциальной информации.

Конфиденциальная
информация в свою очередь включает в
себя то множество тайн, которое
предлагается свести к пяти основным
видам: коммерческая тайна, банковская
тайна, профессиональная тайна, персональные
данные, служебная тайна.

Законодательство
РФ устанавливает ряд обязательных
признаков и условий охраноспособности
права на информацию с ограниченным
доступом. Первым обязательным признаком
,при котором возможна правовая охрана
информации с ограниченным доступом,
должна быть ее защита.

• Целями
  защиты информации с ограниченным
  доступом при этом заявляются:
• • предотвращение
  утечки, хищения, утраты, искажения,
  подделки такой информации;
• • предотвращение
  несанкционированных действий по
  уничтожению, модификации, искажению,
  копированию, блокированию информации;
• • реализация
  прав и законных интересов на государственную
  тайну и конфиденциальную информацию
  их обладателей.
• При
  этом ФЗ «Об информации, информационных
  технологиях и о защите информации»
  указывает, что режим защиты информации
  устанавливается в отношении:
• • сведений,
  отнесенных к государственной тайне,
  -уполномоченными органами на основании
  Закона РФ «О государственной тайне»;
• • конфиденциальной
  информации — собственником информационных
  ресурсов или уполномоченным лицом на
  основании Федерального закона;

• персональных
данных — федеральным законом. Организации,
обрабатывающие информацию с ограниченным
доступом, которая является собственностью
государства, создают специальные службы,
обеспечивающие защиту информации.

1. Контроль
   за соблюдением требований к защите
   информации и эксплуатацией специальных
   программно-технических средств защиты,
   а также обеспечение организационных
   мер защиты информационных систем,
   обрабатывающих информацию с ограниченным
   доступом в негосударственных структурах
   возложен на органы государственной
   власти.
2. Собственник
   информации или уполномоченные им лица
   имеют право осуществлять контроль за
   выполнением требований по защите
   информации и запрещать или приостанавливать
   обработку информации в случае невыполнения
   этих требований.
3. Другим
   признаком охраноспособности права на
   информацию с ограниченным доступом в
   соответствии с законодательством
   является то, что защите подлежит лишь
   документированная информация
   (зафиксированная на материальном
   носителе).

Под
документом понимается материальный
объект с зафиксированной на нем
информацией в виде текста, звукозаписи
или изображения, предназначенный для
передачи во времени и пространстве в
целях хранения и общественного
использования (ст. 1 ФЗ «Об обязательном
экземпляре документов», ст. 1 ФЗ «О
библиотечном деле»).

• Третьим
  признаком охраноспособности права на
  информацию с ограниченным доступом
  выступает ее соответствие ограничениям,
  установленным в законодательстве.
• В
  ФЗ «Об информации, информационных
  технологиях и о защите информации»
  приведен общий перечень случаев, когда
  не могут быть отнесены (запрещено
  относить) к информации _ с ограниченным
  доступом следующие сведения:
• • законодательные
  и другие нормативные акты, устанавливающие
  правовой статус органов государственной
  власти, органов местного самоуправления,
  организаций, общественных объединений,
  а также права, свободы и обязанности
  граждан, порядок их реализации;
• • документы,
  содержащие информацию о чрезвычайных
  ситуациях, экологическую, метеорологическую,
  демографическую, санитарно-эпидемиологическую
  и другую информацию, необходимую для
  обеспечения безопасного функционирования
  населенных пунктов, производственных
  объектов, безопасности граждан и
  населения в целом;
• • документы,
  содержащие информацию о деятельности
  органов государственной власти и
  органов местного самоуправления, об
  использовании бюджетных средств и
  других государственных и местных
  ресурсов, о состоянии экономики и
  потребностях населения, за исключением
  сведений, отнесенных к государственной
  тайне;
• • документы,
  накапливаемые в открытых фондах библиотек
  и архивов, информационных системах
  органов государственной власти, органов
  местного самоуправления, общественных
  объединений, организаций, представляющие
  общественный интересов или необходимые
  для реализации прав, свобод и обязанностей
  граждан.

Наряду
с этим, в каждом конкретном случае закон
может устанавливать специальные перечни
сведений, которые не могут быть отнесены
к конкретному виду информации с
ограниченным доступом (например, в
Законе РФ «О государственной тайне»
— ст. 7). Такой подход в целом соответствует
принципу приоритетности установления
правовых запретов перед разрешительной
практикой нормотворчества..

В Декларации
прав и свобод человека и гражданина,
принятой Верховным Советом РСФСР
22.11.1991 г. (в п. 2 ст. 13), установлено, что
«право искать, получать и свободно
распространять информацию может
ограничиваться законом только в целях
охраны личной, семейной, профессиональной,
коммерческой и государственной тайны,
а также нравственности».

При этом, только
перечень сведений, составляющих
государственную тайну, в соответствии
с требованием Декларации, должен быть
установлен законом, что позже было
закреплено в Конституции РФ (п.4 ст.29).

Из этого следует, что при принятии
законов по каждому из видов информации
с ограниченным доступом (кроме
государственной тайны) не требуется
законодательно закреплять перечень
сведении, составляющих конфиденциальную
информацию.

1. Защита права на доступ к информации.

Право доступа к информации — это… Что такое Право доступа к информации?

Права доступа (к информации) — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации.

Права доступа определяют набор действий (например, чтение, запись, выполнение), разрешённых для выполнения субъектам (например, пользователям системы) над объектами данных. Понятно, что требуется некая система для предоставления субъектам различных прав доступа к объектам.

Это система разграничения доступа субъектов к объектам, которая рассматривается в качестве главного средства защиты от несанкционированного доступа к информации по руководящему документу «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».

Функции системы разграничения доступа

• реализация правил разграничения доступа субъектов и их процессов к данным;
• реализация ПРД субъектов и их процессов к устройствам создания твёрдых копий;
• изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
• реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Кроме того, вышеуказанный руководящий документ предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:

• идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
• регистрацию действий субъекта и его процесса;
• предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
• реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
• тестирование;
• очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
• учёт выходных печатных и графических форм и твёрдых копий в АС;
• контроль целостности программной и информационной части как СРД, так и обеспечивающих её средств.

Основные принципы контроля доступа в СВТ

Дискреционный принцип контроля доступа

Основная статья: Дискреционное управление доступом

Комплекс средств защиты должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т. д.).

Для каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т. д.).

Мандатный принцип контроля доступа

Основная статья: Мандатное управление доступом

Для реализации этого принципа каждому субъекту и каждому объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии.

Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий.

Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

• субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
• субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа.

При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД.

Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Литература

Ссылки

Wikimedia Foundation. 2010.