Головна |
« Попередня | Наступна » | |
Коментар до статті 13.12 |
||
1. Про ліцензування окремих видів діяльності в галузі захисту інформації див. п. 4 коментарю до ст. 13.11. Згідно п. 1 ст. 21 Федерального закону "Про інформацію, інформатизації і захисту інформації" захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі. Режим захисту інформації встановлюється: - щодо відомостей, віднесених до державної таємниці, - уповноваженими органами на підставі Закону РФ від 21 липня 1993 р. N 5485-1 "Про державну таємницю" (в ред. Федерального закону від 6 жовтня 1997 р. N 131-ФЗ); - щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на підставі Федерального закону " Про інформацію, інформатизації і захисту інформації "; - щодо персональних даних - федеральним законом. 2. До документованої інформації (документу) за змістом Федерального закону "Про інформацію, інформатизації і захисту інформації" відноситься зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати. 3. Цілями захисту інформації є: - запобігання витоку, розкрадання, втрати, спотворення, підробки інформації; - запобігання загрози безпеки особистості, суспільства, держави; - запобігання несанкціонованих дій по знищенню, модифікації, спотворення, копіювання, блокування інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності; - захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних, наявних в інформаційних системах; - збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства; - забезпечення прав суб'єктів в інформаційних процесах при розробці, виробництві та застосуванні інформаційних систем, технологій та засобів їх забезпечення. Права і обов'язки юридичних, фізичних осіб в галузі захисту інформації, а також захист права на доступ до інформації визначено відповідно ст. 22, 24 Федерального закону "Про інформацію, інформатизації і захисту інформації". 4. Згідно ст. 2 вищеназваного Закону під інформаційною системою розуміється організаційно упорядкована сукупність документів (масивів документів) та інформаційних технологій, у тому числі з використанням засобів обчислювальної техніки і зв'язку, що реалізують процеси збору, обробки, накопичення, зберігання, пошуку і розповсюдження інформації (інформаційні процеси). Відповідно до Закону РФ від 23 вересня 1992 р. N 3523-1 "Про правову охорону програм для електронних обчислювальних машин і баз даних" програма для ЕОМ - це об'єктивна форма представлення сукупності даних і команд, призначених для функціонування електронних обчислювальних машин (ЕОМ) та інших комп'ютерних пристроїв з метою отримання певного результату. Під програмою для ЕОМ маються на увазі також підготовчі матеріали, отримані в ході її розробки, і породжувані нею аудіовізуальні відображення. Програми для ЕОМ, що використовуються або створювані при проектуванні інформаційних систем і забезпечують їх експлуатацію, відносяться до засобів забезпечення автоматизованих інформаційних систем та їх технологій. 5. Згідно ст. 19 Федерального закону "Про інформацію, інформатизації і захисту інформації" інформаційні системи, бази і банки даних, призначені для інформаційного обслуговування громадян і організацій, підлягають сертифікації в порядку, встановленому Федеральним законом "Про технічне регулювання" (див. п. 1, 2 коментарі до ст. 13.6, а також п. 7 коментаря до даної статті). Інформаційні системи органів державної влади РФ і органів державної влади суб'єктів РФ, інших державних органів, організацій, які обробляють документовану інформацію з обмеженим доступом, а також засоби захисту цих систем підлягають обов'язковій сертифікації. Порядок сертифікації визначається законодавством РФ. Про статус інформації з обмеженим доступом див. коментар до ст. 13.14. 6. Про ліцензування окремих видів діяльності в галузі захисту інформації відповідно до Федерального закону "Про ліцензування окремих видів діяльності" див. п. 4 коментарю до ст. 13.11. Про статус інформації, що становить державну таємницю, а також про ліцензування проведення робіт, пов'язаних з використанням та захистом інформації, що становить державну таємницю, відповідно до Закону РФ "Про державну таємницю" див. коментар до ст. 13.13. Згідно ст. 28 Закону РФ від 21 липня 1993 р. N 5485-1 "Про державну таємницю" (в ред. Федерального закону від 6 жовтня 1997 р. N 131-ФЗ, із змінами, внесеними Постановою Конституційного Суду РФ від 27 березня 1996 р. N 8-П) засоби захисту інформації повинні мати сертифікат, що засвідчує їх відповідність вимогам щодо захисту відомостей відповідного ступеня секретності. Організація сертифікації засобів захисту інформації покладається на Гостехкомиссии Росії, ФСБ, Міноборони відповідно з функціями, покладеними на них законодавством РФ. Сертифікація здійснюється на підставі вимог державних стандартів РФ та інших нормативних документів, що затверджуються Урядом РФ. Координація робіт з організації сертифікації засобів захисту інформації покладається на міжвідомчу комісію із захисту державної таємниці. Стосовно до Закону РФ "Про державну таємницю" під засобами захисту інформації розуміються технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять державну таємницю, засоби, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації. 7. А. Згідно ст. 2 Федерального закону від 27 грудня 2002 р. N 184-ФЗ "Про технічне регулювання": під сертифікацією розуміється форма здійснюваного органом з сертифікації підтвердження відповідності об'єктів вимогам технічних регламентів, положенням стандартів або умовам договорів; сертифікатом відповідності є документ, що засвідчує відповідність об'єкта вимогам технічних регламентів, положенням стандартів або умовам договорів; під системою сертифікації розуміється сукупність правил виконання робіт з сертифікації, її учасників і правил функціонування системи сертифікації в цілому (про статус національного та інших стандартів, встановлених зазначеним Федеральним законом, см. п. 1, 2 коментарю до ст. 9.4). Федеральним законом "Про технічне регулювання" вищевказані поняття визначаються таким чином: орган по сертифікації - юридична особа або індивідуальний підприємець, акредитовані в установленому порядку для виконання робіт з сертифікації ; оцінка відповідності - пряме або непряме визначення дотримання вимог, що пред'являються до об'єкта; підтвердження відповідності - документальне посвідчення відповідності продукції чи інших об'єктів, процесів виробництва, експлуатації, зберігання , перевезення, реалізації та утилізації виконання робіт або надання послуг вимогам технічних регламентів, положенням стандартів або умовам договорів; технічний регламент - документ, який прийнятий міжнародним договором Російської Федерації, ратифікованим у порядку, встановленому законодавством Російської Федерації , або федеральним законом, або указом Президента РФ, чи постановою Уряду РФ і встановлює обов'язкові для застосування і виконання вимоги до об'єктів технічного регулювання (продукції, у тому числі будівель, будов і споруд, процесів виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації ; статус загальних технічних регламентів та спеціальних технічних регламентів встановлений ст. 8 Федерального закону "Про технічне регулювання"); форма підтвердження відповідності - певний порядок документального посвідчення відповідності продукції чи інших об'єктів, процесів виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт або надання послуг вимогам технічних регламентів, положенням стандартів або умовам договорів. Б. Згідно ст. 20, 21 Федерального закону "Про технічне регулювання" підтвердження відповідності на території Російської Федерації може носити добровільний або обов'язковий характер. Добровільне підтвердження відповідності здійснюється у формі добровільної сертифікації. Обов'язкове підтвердження відповідності здійснюється у формах: прийняття декларації про відповідність (декларування відповідності); обов'язковій сертифікації. Добровільне підтвердження відповідності здійснюється за ініціативою заявника на умовах договору між заявником та органом з сертифікації. Добровільне підтвердження відповідності може здійснюватися для встановлення відповідності національним стандартам, стандартам організацій, системам добровільної сертифікації, умовам договорів. Об'єктами добровільного підтвердження відповідності є продукція, процеси виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації, роботи і послуги, а також інші об'єкти, щодо яких стандартами, системами добровільної сертифікації і договорами встановлюються вимоги . Орган з сертифікації: здійснює підтвердження відповідності об'єктів добровільного підтвердження відповідності; видає сертифікати відповідності на об'єкти, що пройшли добровільну сертифікацію; надає заявникам право на застосування знака відповідності, якщо застосування знака відповідності передбачено відповідною системою добровільної сертифікації; призупиняє або припиняє дію виданих ним сертифікатів відповідності. Відповідно до п. 1, 2 ст. 23 Федерального закону "Про технічне регулювання" обов'язкове підтвердження відповідності проводиться лише у випадках, встановлених відповідним технічним регламентом, і виключно на відповідність вимогам технічного регламенту. Об'єктом обов'язкового підтвердження відповідності може бути тільки продукція, що випускається в обіг на території РФ. Форма та схеми обов'язкового підтвердження відповідності можуть встановлюватися тільки технічним регламентом з урахуванням ступеня ризику недосягнення цілей технічних регламентів. Стосовно до розглянутого Федерального закону під ризиком розуміється ймовірність заподіяння шкоди життю або здоров'ю громадян, майну фізичних або юридичних осіб, державному або муніципальному майну, довкіллю, життю або здоров'ю тварин і рослин з урахуванням тяжкості цієї шкоди . Згідно п. 1, 2 ст. 25, п. 1 ст. 26 Федерального закону "Про технічне регулювання" обов'язкова сертифікація здійснюється органом з сертифікації, акредитованим в порядку, встановленому Урядом РФ, на підставі договору із заявником. Схеми сертифікації, що застосовуються для сертифікації певних видів продукції, встановлюються відповідним технічним регламентом. Відповідність продукції вимогам технічних регламентів підтверджується сертифікатом відповідності, що видаються заявнику органом з сертифікації. В. Відповідно до п. 2, 3 ст. 4 Федерального закону "Про технічне регулювання" положення федеральних законів та інших нормативних правових актів РФ, що стосуються сфери застосування зазначеного Закону (у тому числі прямо або побічно передбачають здійснення контролю (нагляду) за дотриманням вимог технічних регламентів), застосовуються в частині, що не суперечить даному Федеральному закону. Федеральні органи виконавчої влади мають право видавати в сфері технічного регулювання акти лише рекомендаційного характеру, за винятком випадків, встановлених ст. 5 Федерального закону "Про технічне регулювання", якою визначено особливості технічного регулювання відносно оборонної продукції (робіт, послуг) та продукції (робіт, послуг), відомості про яку становлять державну таємницю. Г. Згідно ст. 5 Федерального закону "Про технічне регулювання" у разі відсутності вимог технічних регламентів відносно оборонної продукції (робіт, послуг), що поставляється для федеральних державних потреб за державним оборонним замовленням, продукції (робіт, послуг), використовуваної в цілях захисту відомостей, що становлять державну таємницю або відносяться до охоронюваної відповідно до законодавства РФ інформації обмеженого доступу, продукції (робіт, послуг), відомості про яку становлять державну таємницю, обов'язковими є вимоги до продукції, її характеристиками і вимоги до процесів виробництва, експлуатації, зберігання, перевезення, реалізації та утилізації , встановлені федеральними органами виконавчої влади, які є в межах своєї компетенції державними замовниками оборонного замовлення, і (або) державним контрактом. Порядок розробки, прийняття і застосування документів про стандартизацію відносно зазначеної продукції (робіт, послуг) встановлюється Урядом РФ. Оцінка відповідності, у тому числі державний контроль (нагляд) за дотриманням обов'язкових вимог до зазначеної продукції (робіт, послуг), здійснюється в порядку, встановленому Урядом РФ. Обов'язкові вимоги до зазначеної продукції (робіт, послуг) не повинні суперечити вимогам технічних регламентів. Технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять державну таємницю, засоби, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації підлягають обов'язковій сертифікації відповідно до Положення про сертифікацію засобів захисту інформації, затвердженим Постановою Уряду РФ від 26 червня 1995 N 608 (в ред. Постанови Уряду РФ від 29 березня 1999 р. N 342). Сертифікація зазначених коштів проводиться в рамках систем сертифікації засобів захисту інформації. Система сертифікації засобів захисту інформації (далі - система сертифікації) являє собою сукупність учасників сертифікації, що здійснюють її за встановленими правилами. Системи сертифікації створюються Гостехкомиссией Росії, ФСБ, Міноборони, СЗР, уповноваженими проводити роботи з сертифікації засобів захисту інформації в межах компетенції, визначеної для них законодавчими та іншими нормативними актами РФ. Згідно п. 7 Положення виробники вправі робити (реалізовувати) засоби захисту інформації лише за наявності сертифіката. Порядок отримання сертифікату встановлено п. 8 - 9 Положення, умови призупинення дії сертифіката або його анулювання визначені п. 10 Положення. Згідно Доктрині інформаційної безпеки Російської Федерації, затвердженої Президентом РФ 9 вересня 2000 (N Пр-1895), загрозою безпеки інформаційних і телекомунікаційних засобів і систем, як вже розгорнутих, так і створюваних на території Росії, може бути використання несертифікованих вітчизняних та зарубіжних інформаційних технологій, засобів захисту інформації, засобів інформатизації, телекомунікації та зв'язку при створенні і розвитку російської інформаційної інфраструктури. Стосовно до ч. 2 і 4 коментованої статті слід мати на увазі, що обов'язкова сертифікація інформаційних систем, баз і банків даних та (або) засобів захисту інформації відноситься до ліцензійним вимогам і умовам при здійсненні діяльності з технічного захисту конфіденційної інформації (див. п. 4 коментаря до ст. 13.11, подп. "в" п. 4 Положення про ліцензування діяльності з технічного захисту конфіденційної інформації). Подання в орган переліку шифрувальних (криптографічних) коштів, що використовуються при здійсненні ліцензованої діяльності (з наданням за запитом технічної документації та (або) зразків шифрувальних (криптографічних) коштів, які не мають сертифіката федерального органу виконавчої влади, уповноваженого в галузі урядового зв'язку та інформації (про реорганізацію управління у зазначеній галузі див. п. 1 коментаря до ст. 23.45)), відноситься до ліцензійним вимогам і умовам, встановленим подп. "В" п. 5 Положення про ліцензування діяльності з розповсюдження шифрувальних (криптографічних) коштів; подп. "В" п. 6 Положення про ліцензування діяльності з технічного обслуговування шифрувальних (криптографічних) коштів; подп. "В" п. 6 Положення про ліцензування надання послуг в області шифрування інформації, затверджених Постановою Уряду РФ від 23 вересня 2002 р. N 691 "Про затвердження положень про ліцензування окремих видів діяльності, пов'язаних з шифрувальними (криптографічними) засобами". Згідно подп. "З" п. 6 Положення про ліцензування розробки, виробництва шифрувальних (криптографічних) коштів, захищених з використанням шифрувальних (криптографічних) засобів інформаційних та телекомунікаційних систем, затвердженого Постановою Уряду РФ від 23 вересня 2002 р. N 691, до ліцензійним вимогам і умовам при здійсненні ліцензованої діяльності відноситься використання криптографічних алгоритмів, затверджених в якості державних стандартів або визначених відповідними переліками, затвердженими Урядом РФ. Стосовно до зазначених положень про ліцензування до шифрувальним (криптографічним) засобів відносяться: а) засоби шифрування - апаратні, програмні та апаратно-програмні засоби, системи і комплекси, що реалізують алгоритми криптографічного перетворення інформації і призначені для захисту інформації при передачі по каналах зв'язку і (або) для захисту інформації від несанкціонованого доступу при її обробці та зберіганні; б) кошти імітозащіти - апаратні, програмні та апаратно-програмні засоби, системи і комплекси, що реалізують алгоритми криптографічного перетворення інформації і призначені для захисту від нав'язування неправдивої інформації; в) засоби електронного цифрового підпису - апаратні, програмні та апаратно-програмні засоби, що забезпечують на основі криптографічних перетворень реалізацію хоча б однієї з наступних функцій: створення електронного цифрового підпису з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису дійсності електронного цифрового підпису, створення закритих і відкритих ключів електронного цифрового підпису; г) засоби кодування - засоби, що реалізують алгоритми криптографічного перетворення інформації з виконанням частини перетворення шляхом ручних операцій або з використанням автоматизованих засобів на основі таких операцій; д) кошти виготовлення ключових документів (незалежно від виду носія ключової інформації); е) ключові документи (незалежно від виду носія ключової інформації). Таким чином, шифрувальні (криптографічні) кошти, зазначені в подп. "А" і "б", залежно від цілей їх використання є технічними засобами захисту інформації, що становить державну таємницю (ч. 4 коментованої статті), або призначаються для захисту іншої інформації (див. ч. 2 даної статті). Згідно п. 1 Визначення Конституційного Суду РФ від 10 листопада 2002 р. по скарзі громадянина Ю.П. Романова на порушення його конституційних прав ст. 21 і 21.1 Закону РФ "Про державну таємницю" (в ред. Від 6 жовтня 1997 р.) допуск посадових осіб та громадян до державної таємниці здійснюється в добровільному порядку за рішенням керівника органу державної влади, підприємства, установи чи організації після проведення відповідних перевірочних заходів . З цього загального правила ст. 21.1 того ж Закону передбачено виключення для окремих категорій посадових осіб і громадян, зокрема для адвокатів, що у якості захисників у кримінальному судочинстві у справах, пов'язаних з відомостями, що становлять державну таємницю, - вони допускаються до зазначених відомостей без проведення перевірочних заходів, передбачених ст . 21. 8. Відповідно до ст. 5 Федерального закону від 10 січня 2002 р. N 1-ФЗ "Про електронний цифровий підпис" створення ключів електронних цифрових підписів здійснюється для використання в: - Інформаційній системі загального користування її учасником або за його зверненням підтверджуючий центр; - Корпоративної інформаційної системою в порядку, встановленому в цій системі. При створенні ключів електронних цифрових підписів для використання в інформаційній системі загального користування повинні застосовуватися тільки сертифіковані засоби електронного цифрового підпису. Відшкодування збитків, завданих у зв'язку з створенням ключів електронних цифрових підписів несертифікованими засобами електронного цифрового підпису, може бути покладено на творців і розповсюджувачів цих коштів відповідно до законодавства РФ. Використання несертифікованих засобів електронного цифрового підпису та створених ними ключів електронних цифрових підписів на корпоративних інформаційних системах федеральних органів державної влади, органів державної влади суб'єктів Російської Федерації та органів місцевого самоврядування кваліфікується за ч. 2 коментарів статті. Стосовно до вказаного Федеральному закону під електронним цифровим підписом розуміється реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису, що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі. Під сертифікатом засобів електронного цифрового підпису розуміється документ на паперовому носії, виданий згідно з правилами системи сертифікації для підтвердження відповідності засобів електронного цифрового підпису встановленим вимогам. Згідно ст. 3 Федерального закону "Про електронний цифровий підпис" під інформаційною системою загального користування розуміється інформаційна система, яка відкрита для використання всіма фізичними та юридичними особами та в послугах якої цим особам не може бути відмовлено; під корпоративною інформаційною системою мається на увазі інформаційна система, учасниками якої може бути обмежене коло осіб, визначений її власником або угодою учасників цієї інформаційної системи. 9. Неправомірний доступ до охоронюваної законом комп'ютерної інформації, тобто інформації на машинному носії, в ЕОМ, системі ЕОМ або їх мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі, кваліфікується як злочин у сфері комп'ютерної інформації (ч. 1 ст. 272 КК). Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі особою, яка має доступ до ЕОМ, системі ЕОМ або їх мережі, що призвело до знищення, блокування або модифікацію охороняється законом інформації ЕОМ, якщо це діяння заподіяло істотну шкоду, кваліфікується як злочин (ч. 1 ст. 274 КК). 10. Див. примітку до п. 5 коментарю до ст. 5.1. Справи про адміністративні правопорушення розглядаються: а) передбачених ч. 1, 2 коментованої статті - посадовими особами ФСБ і Держтехкомісії Росії, зазначеними в подп. "Б" цього пункту коментаря (див. п. 2, 3 ч. 2 ст. 23.46 КоАП); б) передбачених ч. 3, 4 коментованої статті, відповідно до ст. 23.45 КоАП: - Директором ФСБ, його заступниками, керівниками територіальних органів ФСБ, їх заступниками; - Міністром оборони, його заступниками; - Директором СЗР, його заступниками; - Головою Гостехкомиссии Росії, його заступниками, керівниками регіональних центрів Гостехкомиссии Росії, їх заступниками; в) передбачених ч. 3 коментованої статті, за змістом п. 6 ч. 2 ст. 23.45 КоАП - керівниками структурних підрозділів ФСБ, Міноборони, СЗР і Гостехкомиссии Росії, до відання яких віднесено ліцензування видів діяльності, пов'язаних з використанням та захистом відомостей, що становлять державну таємницю (див. п. 4 коментарю до ст. 13.11, п. 3 коментарю до ст. 13.13). Відповідно до ч. 2 ст. 23.1 КоАП посадові особи, зазначені в подп. "Б" цього пункту коментаря, права передавати справи про адміністративні правопорушення, передбачені ч. 2 і 4 коментованої статті, на розгляд суддям (див. п. 6 коментаря до ст. 13.11). |
||
« Попередня | Наступна » | |
|
||
Інформація, релевантна "Коментар до статті 13.12" |
||
|