Главная страница

отчет план введение 1 глава. Вкр Проектирование информационной защиты данных


Скачать 66.51 Kb.
НазваниеВкр Проектирование информационной защиты данных
Дата15.04.2022
Размер66.51 Kb.
Формат файлаdocx
Имя файлаотчет план введение 1 глава.docx
ТипИсследование
#477234
страница3 из 4
1   2   3   4

1.2.Исследование российского и зарубежного опыта в сфере защиты данных.



Для многих зарубежных государств в основном характерен подход к проблеме информационной безопасности с учетом таких понятий, как "аутентичность", "доступность", "целостность", "конфиденциальность".

Закон США "О защите информации" 1998 г. приводит аналогичный Закон 1984 г. в соответствие с Директивой 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите прав частных лиц применительно к обработке персональных данных" и распространяет его на учетные записи, ведущиеся государственными учреждениями и частными компаниями, устанавливает ряд ограничений на использование персональных данных и на доступ к учетным записям, а также обязывает юридических лиц, ведущих такие записи, регистрироваться в Комиссариате по защите информации, который является независимым агентством, обеспечивающим соблюдение требований указанного Закона.

Вопросы неприкосновенности частной жизни регулируются в ряде других законодательных актов США, например в законах, регламентирующих ведение медицинских записей и хранение информации о потребительских кредитах, а также в Законах "О реабилитации правонарушителей" 1974 г., "О телекоммуникациях" 1984 г., "О полиции" 1997 г., "О вещании" 1996 г. и "О защите от преследований" 1997 г. Однако в указанные акты были внесены изменения Законом "О защите информации" 1998 г.

Закон США "О перехвате коммуникационных сообщений" 1985 г. устанавливает ряд ограничений по контролю над телекоммуникационными средствами. В июне 1999 г. были изданы рекомендации по установке подслушивающих устройств, требующие внесения многочисленных поправок в указанные законы. В частности, они касались: обеспечения содействия установке подслушивающих устройств со стороны провайдеров интернет- услуг; продления срока действия таких устройств до трех месяцев; разрешения на использование подслушивающих устройств с возможностями роуминга. Но такие важные проблемы, как контроль со стороны судебных органов и государственный надзор за перехватами информации, в указанных рекомендациях не затрагивались.

Как показывает анализ зарубежного опыта правового обеспечения информационной безопасности, около 100 государств приняли законы о праве на информацию.

Одним из старейших законов принято считать Закон "О свободе печати" 1776 г., принятый в Швеции и предусматривающий право доступа граждан к информации о деятельности органов государственной власти, и в настоящее время сфера его действия распространяется на все виды документов, включая электронные.

В Финляндии одноименный закон был принят в 1951 г., а с начала 1960-х гг. отмечается устойчивая тенденция принятия национальных законов, гарантирующих доступ к информации о деятельности органов власти. В последние 20 лет такие законы были приняты во Франции, Греции, Дании, Голландии, Бельгии, Португалии, Испании и Италии. Законы о доступе граждан к правительственной информации приняты в США, Канаде, Австралии и Новой Зеландии.

В ряде стран Европы, таких как Нидерланды, Испания, Португалия, Австрия, Венгрия, Эстония, Бельгия и Румыния, право граждан на доступ к официальной информации закреплено конституционно. Во Франции, Греции и Италии эти права закреплены в законах. Совершенствование законодательства в данной сфере продолжается в Великобритании, Германии, Эстонии, Молдове, Польше и ряде других государств.

Так, в Швеции и Финляндии законодательно установлено ограничение прав на доступ к правительственной информации.

Сегодня важно отметить и другую тенденцию в зарубежных странах, как впрочем и в России, — это разработка и реализация концепций электронного правительства, основывающихся на применении информационных технологий при создании государственных информационных ресурсов и доступе к информации о деятельности государственных органов власти, открытых данных (США, Сингапур, Австралия, Новая Зеландия и др.).

В Законе США "О свободе информации" 1996 г. определено что документы — это книги, бумажные материалы, карты, фотографии, машиночитаемые материалы или другие документационные материалы вне зависимости от их физической формы или характеристик. Вместе с тем принятые в США Законы "О снижении бумажного документооборота" 1995 г. и "О свободе информации" 1966 г. свидетельствуют об увеличении роли электронного обмена информацией, направлены на использование современных информационных технологий в целях обеспечения доступа граждан к правительственной информации и регламентируют создание инфраструктуры электронного правительства в США.

В Акте Великобритании "О свободе информации" 2000 г. предусмотрено, что основной целью действия системы правительственной информации является обеспечение доступа по первому требованию граждан к большому массиву официальных данных. Следует отметить, что правовая база для создания системы правительственной информации в Великобритании содержится в Своде правил по доступу к правительственной информации и основана на бесплатном предоставлении населению услуг по обеспечению их информационных потребностей и реализации нрав и обязанностей.

В Австрии, например, также законодательно закреплено право граждан на доступ к нормативно-правовой базе, при этом информация находится в распоряжении государственного сектора, а не коммерческих структур (взимается плата за копирование и распространение).

Открытость информации о деятельности государственных органов для общества в целом ряде зарубежных государств законодательно закреплена как на федеральном, так и на региональном уровнях, полученные документы не подлежат дальнейшему распространению для использования в коммерческих целях при регистрации транспортных средств, в статистике, для геодезической и географической информации и т.д.

На электронные документы, например, распространяется действие Закона Дании "О свободе информации" 1970 г., который предоставляет гражданам равное право доступа к правительственным документам, при этом распространением такой информации в основном занимается государство, которое, учитывая коммерческий интерес к информации, сотрудничает с негосударственными структурами.

Аналогичные положения содержатся в Законе Финляндии "Об открытости официальных документов" 1951 г.

Во Франции такие правовые нормы закреплены в Законе "О взаимодействии государственной администрации и общества" 1994 г., согласно которому запрещены перепечатка, распространение и коммерческое использование полученных документов, а ознакомление с документами является бесплатной услугой (плата взимается только за копирование). Однако циркуляром премьер-министра "О распространении правительственной информации" (1994 г.) установлены некоторые принципы коммерциализации этой информации, связанные с предоставлением необработанной информации на безвозмездной основе и данных, защищенных авторским правом и распространяемых за определенную плату.

Следует отметить, что в Германии доступ к отдельным видам информации регламентирован в основном отраслевым законодательством.

В Португалии Закон "О доступе к информации государственного сектора" регламентирует распространение правительственной информации через систему "специализированных киосков", техническое оснащение которых возложено на частный сектор.

В то же время сфера действия Закона Испании "О доступе к информации" не распространяется на электронную информацию, а вопросы электронного обмена документами регламентированы Законом "Об услугах информационного общества и электронной торговле" 2002 г.

Таким образом, анализ зарубежного опыта правового регулирования вопросов доступа к информации свидетельствует не только об общих тенденциях, но и о различных подходах к правовому регулированию вопросов обеспечения информационной безопасности.

Значительный массив законодательных и иных нормативных правовых актов в области обеспечения информационной безопасности во многих зарубежных государствах касается электронной торговли и использования электронных подписей: Закон Канады "Об электронных сделках" 1999 г., Федеральный закон США "Об электронных подписях в международной и внутренней торговле" 2000 г., Закон Ирландии "Об электронной торговле" 2000 г., Закон Испании "Об услугах информационного общества и электронной торговле" 2002 г., Закон Южной Кореи "Об электронной торговле" 2001 г., Ордонанс об электронных сделках Гонконга 2000 г., Закон Таиланда "Об электронных сделках и электронной подписи" 2002 г. и т.д.

В 2002 г. приняты законодательные акты об электронных сделках в Турции и Пакистане. Еще в 2000 г. были внесены изменения и дополнения в части регулирования сделок в электронной торговле в мексиканские Федеральный гражданский, Федеральный торговый и Федеральный гражданско-процессуальный кодексы, а также в Федеральный закон "О защите потребителей".

В Законе Германии "О телекоммуникациях" 1996 г. предоставление телекоммуникационных услуг населению независимо от места жительства и за доступную плату отнесено к универсальным услугам в информационной сфере общественных отношений.

Анализ состояния правового регулирования в данной сфере в рассматриваемых зарубежных государствах показывает, что нормативные правовые акты, регулирующие защиту информации, информационной техники и технологий, направленные на создание и защиту информационных сетей, устанавливающие единые условия использования линий связи и коммуникационных услуг, действуют уже в большинстве государств.

Что касается коммерческой информации, то такие законодательные акты приняты в Великобритании, Франции, США, Канаде и многих других.

Особого внимания в области правового обеспечения информационной безопасности заслуживают вопросы защиты персональных данных, регламентированные во многих государствах. Например, в Испании еще в 1999 г. был принят Органический закон "О защите персональных данных", согласно которому общедоступными источниками являются: списки выдвигаемых на должность кандидатов, телефонные справочники (в соответствии с законодательством) и списки лиц по профессиям, содержащие информацию об именах, званиях, профессии, роде деятельности, ученой степени, адресе и указание на принадлежность к этим группам, а также официальные издания, бюллетени и СМИ.

Могут быть собраны и обрабатываться персональные данные в том случае, если они достоверны, адекватны и не избыточны для достижения определенных, четких и законных целей и не могут быть использованы для целей, не совместимых с теми, для которых они были собраны (это не касается их исторических, статистических или научных целей). Персональные данные должны быть точными и актуальными и достоверно характеризовать положение лица, в противном случае они подлежат уничтожению и замене держателем исправленной или дополненной информацией.

В случае, если держатель персональных данных не является резидентом на территории ЕС и использует при обработке персональных данных средства, находящиеся на территории Испании, он должен, за исключением тех случаев, когда такие средства используются только для передачи данных через территорию Испании, назначить представителя в Испании. Но при этом санкции могут быть применены и к держателю персональных данных, который должен принимать необходимые меры технического и организационного характера для сохранности персональных данных. Персональные данные, являющиеся объектом обработки, могут быть сообщены третьему лицу только для выполнения определенных целей, при предварительном согласии субъекта персональных данных.

Согласие на сообщение персональных данных также может быть отозвано и считается недействительным, если информация, предоставляемая субъекту, не позволяет ему узнать цель получения и предназначение его персональных данных, разрешенных им к сообщению, или вид деятельности того лица, которому ее предполагается сообщить.

Обработка персональных данных третьими лицами должна регулироваться договором, составленным в письменной или в какой-либо другой форме, позволяющей удостовериться в его подписании и содержании.

Субъект персональных данных в соответствии с рассматриваемым Законом имеет право запрашивать и бесплатно получать информацию о своих персональных данных, а также о том, куда они переданы, не ранее чем через 12 месяцев, за исключением приведенных специально оговоренных случаев.

В то же время держатели картотек персональных данных могут отказать в доступе, исправлении или изъятии данных при угрозе безопасности государства или общественной безопасности, защите прав и свобод третьих лиц или нуждам проводимых расследований, а также в том случае, если это создает препятствия административным действиям, направленным на обеспечение выполнения налоговых обязательств, или если деятельность субъекта является предметом ревизии.

Общедоступные источники, которые издаются в форме книги или на любом другом материальном носителе, в случае новой публикации перестанут быть доступными. В случае получения копии списка в электронном формате список потеряет характер общедоступного источника через год с момента получения копии.

Персональные данные, фигурирующие в справочниках телекоммуникационных служб, находящихся в распоряжении общественности, должны использоваться с учетом особых нормативов этих служб.

В соответствии с Законом Швеции "Об охране информации" 1973 г. файл персональных данных — любой файл, список или иные подвергаемые электронной обработке записи, содержащие информацию, касающуюся субъекта данных, а контролер файла — любое лицо, для целей деятельности которого ведется файл персональных данных, находящийся под его контролем.

Файлы персональных данных могут создаваться и вестись только лицами, зарегистрировавшимися в Комиссии но проверке данных и получившими от нее свидетельство о регистрации (лицензию). В то же время разрешения Комиссии не требуется для файлов персональных данных: созданных по решению риксдага или правительства; созданных и ведущихся согласно правилам, принятым названным Законом; файлов, ведение которых поручено архивному органу.

В указанном Законе предусмотрено, что создавать и вести файлы персональных данных могут: ассоциации о политических взглядах, религиозных и иных убеждениях их членов, если такими взглядами и убеждениями мотивировано их членство; органы здравоохранения для целей оказания медицинской помощи или лечения создавать и вести файлы персональных данных, содержащие информацию об истории болезни пациента или общем состоянии его здоровья; органы системы социального обеспечения, содержащие информацию о финансовой помощи и услугах, оказанных социальными службами; терапевты и стоматологи, содержащие информацию об истории болезни пациента или общем состоянии его здоровья, которую они получают при осуществлении своей профессиональной деятельности; работодатели, содержащие информацию, для расчета заработной платы и т.д.

При этом разрешение на создание и ведение файлов персональных данных выдает Комиссия по проверке данных в соответствии с правилами, принятыми на основании указанного Закона, если не будет установлено, что это может привести к вмешательству в частную жизнь субъекта данных, а также целей такого файла. Если есть основания предполагать, что персональные данные будут использоваться для автоматической обработки за границей, доступ к ним может быть предоставлен только с предварительного разрешения названной Комиссии, которое не требуется, если персональные данные предназначены для целей автоматической обработки только в государствах, которые присоединились к Конвенции о защите физических лиц при автоматизированной обработке персональных данных.

Лицо, которое без разрешения получает доступ к данным, подвергающимся автоматической обработке, изменяет, изымает такие данные из того или иного файла или включает их в файл, подлежит наказанию в виде штрафа или тюремного заключения на срок до двух лет за несанкционированный доступ к данным, если только в отношении такого правонарушения не предусмотрено наказание в соответствии с Уголовным кодексом 1965 г. или Законом "Об охране коммерческой тайны" 1990 г. (включая данные, которые передаются с помощью электронных или аналогичных средств с целью автоматической обработки).

Вместе с тем необходимо отметить, что в Российской Федерации завершена почти семилетняя процедура, связанная с ратификацией одного из актуальнейших международных правовых актов в области защиты прав человека в процессе использования современных информационно- коммуникационных технологий — Конвенции о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Таким образом, сделан значительный шаг на пути к полноформатному участию Российской Федерации в усилиях государств — членов Совета Европы по укреплению безопасности человека в киберпространстве и общеевропейском правовом пространстве.

Однако процесс модернизации указанной Конвенции, в котором Российская Федерация задействована в качестве полноправного участника, все еще продолжается, чем и вызвано динамичное развитие, издание подзаконных актов Правительства РФ и федеральных органов исполнительной власти.

Одной из актуальнейших в настоящее время во всем мире является проблема правового регулировании в сети Интернет.

Глобальная информационно-телекоммуникационная сеть Интернет наряду с объективными благами, которые она дает человечеству, впитала в себя многие пороки общества, проявившиеся в возникновении новых форм (видов) противоправной деятельности и возникновения новых угроз, не совместимых с задачами поддержания мировой стабильности и безопасности. Задачи по обеспечению противодействия терроризму и экстремизму отражены в государственной политике многих зарубежных государств, и анализ правового регулирования в этой сфере позволяет сделать вывод о тенденции к ужесточению ответственности за кибертерроризм и распространение противоправной информации.

Так, в законодательствах Бельгии, Франции, Италии, Израиля и ряда других государств по-разному, но регулируются вопросы ответственности авторов, владельцев сайтов, провайдеров и хостинговых компаний за противоправный контент. По информации различных международных организаций, около 20 государств ограничивают доступ своих граждан в сети Интернет.

Особый интерес и критику в мире вызывает политика Китая, где начиная с 2000 г. созданы специальные подразделения — киберполиция - для поддержания порядка в сети Интернет и особое внимание уделяется совершенствованию средств контроля за интернет-пространством, созданы кибервойска, в то же время важным вопросом является применение так называемой "мудрой силы", т.е. улучшение имиджа государства.

Необходимость и значение регулирования отношений, связанных с Интернетом в Китае, было оценено в постановлении "Об обеспечении безопасности сети Интернет" 2000 г., в котором отмечалась роль Интернета в экономическом строительстве и различных сферах жизни Китая. Народные правительства всех уровней и соответствующие ведомства должны принимать меры для стимулирования использования Интернета и распространения сетевых технологий, обращать внимание и поддерживать исследование и освоение технологий, обеспечивающих безопасность в Интернете, а также укреплять возможности систем защиты безопасности в Интернете. Компетентные органы должны усиливать пропаганду и проводить обучение по вопросам обеспечения безопасности применения Интернета и информационной безопасности, осуществлять в соответствии с законодательством эффективный контроль и управление, предупреждать и пресекать незаконные действия с использованием Интернета, создавать хорошую социальную среду для его нормального развития.

Компании, которые работают в сфере интернет-технологий, осуществляют свою деятельность в соответствии с законодательством. В случае обнаружения в Интернете незаконной и преступной деятельности, а также информации, способной нанести ущерб, необходимо принять меры для прекращения передачи данной информации и своевременно оповестить об этом соответствующие органы.

Все юридические и физические лица во время использования Интернета должны соблюдать действующее законодательство, а также противодействовать всем видам незаконной и преступной деятельности и информации, способной нанести ущерб. Народные суды и прокуратуры, органы общественной безопасности и органы государственной безопасности должны выполнять свои функции, тесно координировать свои усилия и жестко бороться с преступлениями, связанными с использованием интернет-ресурсов. Необходимо мобилизовать все силы и совместными усилиями всего общества обеспечить безопасность функционирования Интернета и информационной безопасности с целью содействия строительству социалистической духовной и материальной культуры.

В настоящее время в Китае действует проект "Великая китайская информационная стена", позволяющий отфильтровывать в сети информацию.

Жесткие ограничения пользования Интернетом, в первую очередь в целях противодействия терроризму, также имеются на Кубе и в ряде мусульманских государств[1].

В результате анализа вопросов, связанных с определением критериев признания сайтов террористическими или экстремистскими, изучения правоприменительной практики государств в отношении мониторинга информации, блокирования работы противозаконных сайтов и их полного закрытия, лишения пользователя доменного имени и отмены его регистрации, лицензии, а также определения структур, компетентных осуществлять указанную деятельность, выявлены следующие тенденции.

В большинстве стран не существует конкретных критериев признания сайтов террористическими или экстремистскими. Исключение составляют Германия, Израиль, Казахстан, Польша, где интернет-сайты признаются террористическими или экстремистскими на основании оценки размещенной на них информации, а также если эти сайты указывают на свою принадлежность к террористическим или экстремистским организациям, признанными таковыми, в том числе национальным санкционным списком.

Немецкие законодатели наряду с вышеобозначенными критериями выделяют в качестве критериев также цели и задачи создателей сайтов.

Норвежские эксперты считают целесообразным рассматривать и оценивать каждый конкретный случай отдельно. По их мнению, многие национально-освободительные движения занимаются в Интернете пропагандой своих подходов к вооруженной борьбе, и это не является преступлением.

В ряде европейских государств, например во Франции, приняты законы, в которых предусмотрена обязательная регистрация всех владельцев веб-сайтов и обязанность провайдеров сообщать сведения об авторах сайтов любому заинтересованному третьему лицу, при этом запрещается предоставление "хостинга" неидентифицированным пользователям. За нарушение этих норм установлена уголовная ответственность провайдеров. Также предусматривается уголовная ответственность и авторов сайтов за предоставление неполных или недостоверных личных данных. Введена проверка на уровне провайдера, а все интернет-сайты, авторство которых не установлено, переходят под ответственность провайдера. В рамках законов по борьбе с организованной преступностью и с особо опасными преступлениями предусматривается наказание в виде лишения свободы за распространение любыми техническими средствами информации, позволяющей изготавливать технические устройства.

В Великобритании фильтрация контента (содержания) интернет-ресурсов осуществляется Национальным отделением по борьбе с преступлениями в сфере высоких технологий. Существует также горячая линия по разбору жалоб по этим вопросам — Фонд интернет-наблюдения. Провайдер обязан после получения информации о противоправности содержания немедленно удалить материал с сервера, в этом случае провайдер не подвергается преследованию. Аналогичный опыт имеется в Германии и целом ряде других государств.

Так, в Канаде законы 1997 г. "О позитивном доступе в Интернет" и "О сохранении конфиденциальности в Интернете федеральными структурами" направлены на защиту пользователей сети Интернет, в том числе обеспечивают конфиденциальность информации о них самих. Законы "О защите детей от "хищников” в Интернете" и "О правах потребителя в электронной торговле" регламентируют правила изготовления и распространения коммерческой рекламы, ориентированной на массового потребителя.

В США в соответствии с Законом "Об электронном государстве" 2002 г. под информационной безопасностью понимается защита информации и информационных систем от неразрешенного доступа, использования, раскрытия, распространения, модификации или уничтожения, обеспечение неприкосновенности, конфиденциальности.

Ключевую роль продолжает играть американский Закон "Об информационной безопасности" 1987 г. Его цель — реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах без ограничений всего спектра возможных действий. Согласно данному Закону все операторы федеральных информационных систем, содержащих конфиденциальную информацию, должны сформировать планы обеспечения информационной безопасности. Все правительственные ведомства должны сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах.

В 1998 г. в США был принят Акт "О защите авторских прав в цифровом тысячелетии", которым введена ответственность за нарушение авторских прав, в том числе и уголовная. В то же время в нем предусмотрено ограничение ответственности хост-провайдеров за размещение на их серверах информации, нарушающей чьи-либо авторские права, а также за постановку ссылок на такие ресурсы.

В Законе США "О свободе информации" 1976 г., в частности, содержится восемь оговорок, согласно которым разглашению не подлежат следующие виды информации: информация о национальной безопасности (ст. 143); внутренние правила и распорядки, касающиеся только служащих данного государственного учреждения, информация, разглашение которой нарушает неприкосновенность частной жизни (ст. 144); информация, представляющая собой коммерческую тайну (ст. 145); информация официального характера, которую исполнительная власть вправе не раскрывать и разглашение которой затруднило бы откровенные внутренние совещания и консультации (ст. 146); информация, разглашение которой запрещено согласно другим законам (ст. 147); информация, разглашение которой нарушило бы ход уголовного расследования или обвинения (ст. 148); информация о состоянии финансовых учреждений (ст. 149); информация геологического и геофизического характера (ст. 150). Толкование этих оговорок по американскому праву весьма строгое, с презумпцией в пользу разглашения информации.

Закон США "Об экономическом шпионаже и сохранности экономической информации" 1996 г. устанавливает ответственность за незаконно добытую конфиденциальную коммерческую, экономическую или финансовую информацию.

Закон Республики Таджикистан "О защите информации" 2002 г. устанавливает основополагающие принципы обеспечения защиты информации и регулирования правовых отношений, возникающих в этой области.

Зарубежный опыт показывает (и это имеет большое значение для России), что государственные органы играют решающую роль в координации действий субъектов в сфере обеспечения информационной безопасности. Приоритетным направлением становится совершенствование законодательства, устанавливающего ответственность за правонарушения, разработка и законодательное закрепление перечня правонарушений и видов ответственности в сфере информационной безопасности (см. гл. 7 настоящего учебника).

Информационная безопасность в силу глобального характера сетей связи может быть обеспечена лишь при международном взаимодействии. В связи с этим необходимо усилить взаимодействие России с зарубежными странами, межправительственными организациями по вопросам правового обеспечения информационной безопасности. Анализ зарубежного законодательства, регулирующего информационную сферу, позволяет утверждать, что в области правового регулирования права на информацию, доступа к информации, СМИ, а также ограничения свободы информации произошли существенные изменения. Проведенный анализ международных и зарубежных правовых актов в информационной сфере свидетельствует о том, что имеется значительный и разнообразный опыт правового регулирования как на международном, так и на национальном уровнях.

Учитывая многоаспектный, многогранный характер информационной безопасности в рамках данного учебника приведенный анализ зарубежного опыта отражает лишь основные тенденции и приоритеты правового регулирования информационной безопасности, необходимые для наиболее эффективного формирования правовых основ информационного общества в условиях глобализации.

В практике зарубежных государств важное место занимают вопросы обеспечения открытости и доступа к публичной информации, которая, однако, в большинстве случаев понимается широко — как всякая информация, находящаяся в распоряжении государственного сектора. Информационная безопасность в силу глобального характера сетей связи может быть обеспечена лишь при международном взаимодействии.
1   2   3   4


написать администратору сайта