Защити свою информацию или останешься ни с чем
Кто владеет информацией, тот владеет миром. Это высказывание, висящее в кабинете Билла Гейтса, самого богатого человека на Земле, лишнее тому подтверждение.
При этом многие хотят, чтобы информация была доступна не только собственнику этой информации, но и другим лицам” зачастую не имеющим на это законного права.
В связи с этим многие страны борются с такими явлениями,, как киберпреступность, и в то же время пытаются законодательно урегулировать вопросы взаимоотношений собственника информации, информационной системы и добросовестных их пользователей, как изменяя и дополняя свое внутреннее законодательство, так и ратифицируя международные документы, касающиеся данной проблемы.
В Украине эта борьба пока на стадии зарождения, но уже сейчас появляются законодательные основы этих отношений.
Так, 31 мая 2005 года Верховная Рада Украины приняла Закон Украины № 2594-IV “О внесении изменений в Закон Украины "О защите информации в автоматизированных системах” (далее - Закон № 2594), приняв его в новой редакции. При этом, согласно ч.1 ст.13 Закона № 2594, новая редакция Закона вступает в силу с 01 января 2006 года.
Первоначально Закон Украины “О защите информации в автоматизированных системах” был принят Верховной Радой Украины 5 июля 1994 года за № 80/94-ВР, который был взят за основу в связи с отложением разработки проекта закона Украины “О защите информации в информационных и телекоммуникационных системах”. Закон регулировал взаимоотношения субъектов информационной деятельности, устанавливал требования и порядок обеспечения в автоматизированных системах защиты информации, которая является собственностью государства или защита которой гарантируется государством,, Однако ныне действующий Закон достаточно устарел, так как не учитывает сегодняшних реалий, достижений технологического научного прогресса и появления новых информационных и телекоммуникационных систем.
Рост угроз для информации, вызванный либерализацией общественных и межгосударственных отношений, применением технических средств обработки информации и средств связи иностранного производства, распространением средств несанкционированного доступа к информации и влияния на нее, определяет необходимость развития защиты информации.
Направления развития технических средств информации обусловливаются необходимостью своевременного проведения мероприятий адекватных масштабам угроз для владельцев информации, и при этом они должны основываться на принципах правового демократического государства с учетом прав субъектов информационных отношений на доступ к информации и ее защиту.
Отсутствие таких условий создает возможности несанкционированного доступа к информации, нарушения ее целостности и блокировки, в том числе информации, составляющей государственную и другую предусмотренную законом тайну, конфиденциальной информации, которая является собственностью государства.
На данное время, кроме собственных автоматизированных систем (АС), появилось много информационных и телекоммуникационных систем, на которые, к сожалению, не распространяются все нормы и требования Закона Украины “О защите информации в автоматизированных системах”.
Первоначально проект закона “О внесении изменений в Закон Украины “О защите информации в автоматизированных системах” был разработан с целью исполнения ст. 2 Указа Президента Украины от 06.12.2001 г. № 1193/2001 “О решении Совета национальной безопасности и обороны Украины от 31 октября 2001 года “О мероприятиях по совершенствованию государственной информационной политики и обеспечению информационной безопасности Украины” и в соответствии с поручением Премьер-министра Украины от 24.12.2001г. № 17884/1.
Аналогом при разработке проекта послужил Федеральный Закон России от 20 февраля 1995 года № 24-ФЗ “Об информации, информатизации и защите информации”.
Новой редакцией Закона определяются правовые основы регулирования отношений в сфере защиты информации в телекоммуникационных и информационных системах с целью обеспечения соблюдения права собственности физических и юридических лиц на информацию и их права доступа к ней, а также права владельца информации на ее защиту.
По сравнению с действовавшей редакцией Закона, Закон № 2594 содержит ряд отличий и доработок:
- внесены изменения и дополнения в перечень сроков и определений с учетом современного развития информационных технологий;
- более четко определены нормы относительно обязательности обеспечения защиты информации в информационных системах органов государственной власти;
- определены отношения между владельцами системы, владельцем информации и пользователем;
- доработаны действующие требования и правила относительно защиты информации;
- предусмотрено, что информационные системы могут иметь несколько владельцев. В их собственности может находиться как целая система, так и ее отдельные составляющие и узлы коммутации;
- определено полномочие государственных органов в сфере защиты информации;
- предусмотрено, что нормы международных договоров, согласие на обязательность которых предоставлено Верховной Радой Украины, имеют более высшую юридическую силу, нежели нормы внутреннего законодательства.
На сегодняшний день в Украине сложилась ситуация, когда одна автоматизированная или телекоммуникационная система может находиться в собственности нескольких лиц. Действующей редакцией Закона такая возможность не учтена. Поэтому введение положения, которым предусматривается возможность существования нескольких владельцев как целой информационной или телекоммуникационной системы, так и ее отдельных составляющих, станет значительным позитивом, поскольку позволит урегулировать отношения между разными владельцами единственной системы.
Однако остаются не урегулированными отношения между распорядителями информации и распорядителями системы с другими субъектами отношений, связанными с обработкой информации.
Закон № 2594 направлен на обеспечение защиты информации, что будет иметь позитивное влияние на формирование и развитие современных информационных технологий в государстве, повысит эффективность деятельности владельцев и пользователей информационных и телекоммуникационных систем.
В то же время необходимо определить, где проходит незаметная грань между действиями Закона Украины “О защите информации в автоматизированных системах” и Закона Украины от 02.10.1992 г. № 1992 г. № 2657-XII “Об информации” (далее - Закон об информации).
Статьей 19-1 Закона об информации определяется такой вид информации, как административная информация (данные). К ней относятся документируемые данные, которые дают количественную характеристику явлений и процессов, происходящих в экономической, социальной, культурной, других сферах жизни, и собираются, используются, распространяются и хранятся органами государственной власти (за исключением органов государственной статистики), органами местного самоуправления, юридическими лицами в соответствии с законодательством с целью выполнения административных обязанностей и задач, относящихся к их компетенции.
При этом система административной информации (данных), полномочия органов, занимающихся деятельностью, связанной со сбором и использованием административных данных, их источники и режим устанавливаются в соответствии с законодательством, в том числе Законом Украины “О защите информации в автоматизированных системах”.
Кроме того, большая взаимосвязь этих Законов касается использования информации о физическом лице. В проекте закона Украины “О внесении изменений и дополнений в Закон Украины “Об информации”, находящегося на рассмотрении в Верховной Раде, определяется, какая информация является конфиденциальной информацией о физическом лице. В частности, это: домашний адрес, финансовое и имущественное состояние, личные занятия, вкус и отношения с другими гражданами, состояние здоровья, частные письма, телефонные разговоры и телеграфные сообщения. Устанавливается запрещение на сбор и распространение конфиденциальной информации о физическом лице без его согласия, за исключением случаев, предусмотренных законом.
В 1981 году в г. Страсбурге была принята Конвенция о защите лиц относительно автоматизированной обработки данных личного характера.
Положения Конвенции устанавливают принципы защиты данных личного характера. При этом данные личного характера, свидетельствующие о расовой принадлежности, политических или религиозных либо других убеждениях, а также данные личного характера, касающиеся здоровья или межполовой ориентации, не могут быть предметом автоматизированной обработки, если внутреннее право страны не обеспечивает соответствующих гарантий. Согласно требованиям Конвенции государство-участник Конвенции обязано предусмотреть соответствующие санкции и средства правовой защиты от нарушений положений внутреннего права, которые внедряют основополагающие принципы защиты данных. На сегодняшний день Украина не подписала и не ратифицировала данную Конвенцию.
При этом решением Конституционного Суда Украины от 30.10.1997 г. № 5-зп определено, что отечественным законодательством не полностью определен режим сбора, хранения, использования и распространения информации, в частности относительно психического состояния человека, его принудительного обследования и лечения, не создана процедура защиты прав личности от противозаконного вмешательства в его личную жизнь психиатрических служб. Закон об информации закрепляет лишь общие принципы доступа граждан к информации, касающейся их лично. Механизм реализации отмеченного права должным образом не определен. В связи с этим предполагается внести на рассмотрение Верховной Рады законопроект с соответствующими изменениями и дополнениями в Закону об информации.
Именно в Законе об информации указано, что информация является объектом права собственности граждан, организаций (юридических лиц) и государства. Информация может быть как объектом права собственности в полном объеме, так и объектом лишь владения, пользования или распоряжения. При этом владелец информации относительно объектов своей собственности имеет право осуществлять любые законные действия.
Собственник информации имеет право назначать лицо, которое осуществляет владение, пользование и распоряжение информацией, и определять правила обработки информации и доступ к ней, а также устанавливать другие условия относительно информации.
Информационная продукция и информационные услуги граждан и юридических лиц, которые занимаются информационной деятельностью, могут быть объектами товарных отношений. Цены и ценообразования на информационную продукцию и информационные услуги устанавливаются договорами, за исключением случаев, предусмотренных Законом.
Обобщая вышесказанное, можно сделать вывод, что законодательство Украины пока еще не приведено в соответствие с европейскими стандартами в отрасли защиты любых данных в связи со стремлением Украины войти в Совет Европы.
Принятие Закона Украины и, в дальнейшем, ратификация Конвенции, о защите лиц относительно автоматизированной обработки данных личного характера выведут Украину на более высокий уровень по вопросам защиты различного рода информации, в том числе и информации, как личного характера, так и имеющей ограниченный доступ.
“Экспресс анализ законодательных и нормативных актов”, № 29 (499), 18 июля 2005г.
Подписной индекс 40783