Читайте также:
|
|
Тема 1. Документно-інформаційна діяльність як об’єкт правового регулювання
Інформація як об’єкт інформаційного права
Розглядаючи інформацію, як об’єкт захисту, треба зазначити, що інформація – це результат відображення й опрацювання у людській свідомості різноманіття навколишнього світу, це відомості про оточуючі людину предмети, явища природи, діяльність інших людей. Відомості, якими людина обмінюється через комп’ютери, з іншими людьми, і є предметом захисту. Захистові має підлягати не лише таємна інформація. Модифікація несекретних даних може призвести до витоку таємних. Знищення або зникнення накопичених з великими труднощами даних може призвести до їх безнадійної втрати. Залежно від галузі та масштабів застосування тієї чи іншої системи опрацювання даних втрата або витік інформації може призвести до наслідків різної тяжкості: від невинних жартів до надзвичайно великих втрат економічного та політичного характеру. Особливо широкого розмаху набули злочини в інформаційно-телекомунікаційних системах (ІТС), що обслуговують банківські та торгівельні структури. За даними зарубіжних спеціалістів, втрати банків у результаті комп’ютерних злочинів щорічно складають від 200 мільйонів до 50 мільярдів доларів.
Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було зроблено багато різних спроб формалізувати цей процес з використанням методів теорії інформації й аналізу рішень, процес оцінювання досі залишається вельми суб’єктивним. Для оцінювання потрібне розподілення інформації на категорії не лише відповідно до її цінності, але й важливості:
1. життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;
2. важлива інформація – інформація, яка може бути замінена або відновлена, але процес відновлення дуже важкий і пов’язаний з великими витратами;
3. корисна інформація – інформація, яку важко відновити, однак організація може ефективно функціонувати і без неї;
4. несуттєва інформація – інформація, яка організації більше не потрібна.
На практиці віднесення інформації до однієї з цих категорій є досить складним завданням, оскільки одна і та сама інформація може бути використана багатьма підрозділами організації, кожен з яких може віднести її до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно згодом змінюється і залежить від ставлення до неї різних груп користувачів і потенційних порушників.
Практика свідчить, що захищати треба не лише таємну інформацію. Несекретна інформація, піддана несанкціонованим змінам може призвести до витоку або втрати пов’язаною з нею таємної інформації, а також до невиконання ІТС функцій внаслідок отримання помилкових даних, які можуть бути не виявлені користувачем системи.
Сумарна кількість або статистика нетаємних даних у результаті може виявитися таємною. Аналогічно зведені дані до одного рівня таємності можуть загалом бути інформацією вищого рівня таємності. Для захисту від подібних ситуацій широко застосовують розмежування доступу до інформації за функціональною ознакою. За однакового ступеня важливості, інформацію, яку опрацьовують поділяють відповідно до функціональних обов’язків і повноважень користувачів, що встановлює адміністрація організації – власник інформації.
При розробленні законодавчих і нормативних документів, а також при організації захисту інформації важливо правильно орієнтуватися у всьому блоці діючої законодавчої бази в цій галузі. Проблеми, пов’язані з правильним трактуванням і застосуванням законодавства України в цій галузі, періодично виникають у практичній роботі з організації захисту інформації від її витоку технічними каналами, несанкціонованого доступу до інформації і дій на неї при опрацюванні в технічних засобах інформатизації, а також в ході контролю ефективності вживають заходи захисту. Зокрема, такі питання виникають стосовно трактування змісту категорій «службова таємниця» та «конфіденційна інформація».
Основні заходи та засоби захисту комп’ютерної інформації
Важливим попередженням злочинів, вчинених у галузі використання інформаційно-комунікаційних технологій (ІКТ), є застосування сучасних програмно-технічних заходів захисту інформації. Ці заходи можуть відіграти серйозну загально профілактичну роль у боротьбі з комп’ютерними злочинами при їх умілому та комплексному використанні.
Розглянемо окремі організаційно-технічні заходи попередження комп’ютерних злочинів, що застосовують у розвинених зарубіжних країнах.
У даний час попередження комп’ютерних злочинів у цих країнах здійснюють за наступними напрямками:
1. відповідність управлінських процедур вимогам комп’ютерної безпеки;
2. розроблення питань технічного захисту комп’ютерних залів комп’ютерного обладнання;
3. розроблення стандартів опрацювання даних і стандартів комп’ютерної безпеки;
4. здійснення кадрової політики з метою забезпечення комп’ютерної безпеки.
Національним бюро стандартів США були розроблені базові вимоги безпеки, що висувають до комп’ютерних мереж. А саме:
1. придатність – гарантія того, що мережа придатна для забезпечення санкціонованого доступу;
2. доступність – гарантія того, що мережа забезпечить доступ лише санкціонованому користувачу для вирішення санкціонованих задач;
3. недоторканість – захист даних від несанкціонованої зміни та знищення;
4. конфіденційність – захист даних від несанкціонованого розкриття;
5. безпека передавання даних – гарантія того, що ідентифікація користувачів, якість даних, які передають, тривалість передавання даних забезпечені.
На основі даних вимог були створені відповідні механізми технічного контролю, які відповідають наступним критеріям:
1. цілісність, базова надійність, яка гарантує, що механізм працює як потрібно;
2. можливість перевірки – здатність записувати інформацію, яка може мати значення в розкриті та розслідуванні спроб посягання на засоби комп’ютерної техніки й інших подій, що відносять до питань безпеки систем.
У результаті практичної реалізації цих заходів стало можливо:
Ø контролювати фізичний доступ до засобів комп’ютерної техніки (ЗКТ);
Ø контролювати електромагнітне випромінювання апаратних ЗКТ;
Ø спостерігати за можливою загрозою ЗКТ і фіксувати кожну таку спробу (методом моніторингу).
Отже, основні положення захисту інформації передбачають:
Ø запобігання витоку, розкраданню, втраті, спотворенню та підробці інформації;
Ø запобігання загрозам безпеки держави та кожної людини;
Ø запобігання несанкціонованим діям зі знищення, модифікації, спотворення, копіювання, блокування інформації;
Ø забезпечення правового режиму функціонування інформації як об’єкта власності;
Ø збереження державної таємниці конфіденційності;
Ø збереження прав суб’єктів в інформаційних процесах і при виробництві, розробленні, застосуванні ІКТ і засобів їх забезпечення.
За методами застосування тих або інших організаційно-технічних заходів попередження комп’ютерних злочинів фахівці окремо виділяють три їх основні групи:
Ø організаційні;
Ø технічні;
Ø комплексні (які поєднують у собі окремі методи двох перших груп);
Організаційні заходи захисту ЗКТ включають в себе сукупність організаційних заходів щодо добору, перевірки та навчання персоналу, який бере участь на всіх стадіях інформаційного процесу:
Ø розроблення плану відновлення інформаційних об’єктів після виходу їх з ладу;
Ø організації програмно-технічного обслуговування ЗКТ;
Ø покладання дисциплінарної відповідальності на осіб з забезпечення безпеки конкретних ЗКТ;
Ø здійснення режиму секретності при функціонуванні комп’ютерних систем; забезпеченню режиму фізичної охорони об’єктів;
Ø матеріально-технічне забезпечення.
Організаційні заходи, на думку фахівців, які займаються питаннями безпеки комп’ютерних систем, є важливим і одним з ефективних засобів захисту інформації.
Аналіз матеріалів кримінальних справ уможливлює висновок, про те, що основними причинами й умовами, які сприяють здійсненню комп’ютерних злочинів, в більшості випадків стають:
1. неконтрольований доступ співробітників до управління комп’ютерами, які використовують як автономно, так і для дистанційного передавання даних;
2. безконтрольність за діями обслуговуючого персоналу, що забезпечує можливість злочинцю вільно використовувати комп’ютер як знаряддя вчинення злочину;
3. низький рівень програмного забезпечення, яке не має контрольного захисту, та не забезпечує перевірку відповідності та правильності інформації;
4. недосконалість парольної системи захисту;
5. відсутність посадової особи, що відповідає за режим секретності та конфіденційність інформації та її безпеку в частині захисту;
6. відсутність категоричності допуску співробітників до таємної інформації;
7. відсутність договорів зі співробітниками на предмет нерозголошення службової та комерційної таємниці.
Інформаційні системи, які застосовують у більшості організацій, звичайно уможливлюють використання таких заходів безпеки, як паролі, недоступність програмних і інформаційних файлів, а також інші заходи, які майже не практикують або використовують у обмеженому масштабі. Для ефективності безпеки від комп’ютерних злочинів необхідно:
1. переглянути всю документацію в установі, організації;
2. ознайомитися з функціями та мірою відповідальності кожного співробітника;
3. визначити можливі канали витоку інформації;
4. ліквідувати виявлені слабкі ланцюги у системі захисту.
Для будь-якої організації практично існують два варіанти доступу до засобів комп’ютерної техніки, які і будуть надалі зумовлювати комплекс захисних заходів.
У першому варіанті організація купує власний комп’ютер, який і використовує для вирішення своїх задач, при цьому організація є його єдиним користувачем. У цьому випадку всі питання комп’ютерної безпеки більш-менш контролюють.
У другому випадку організація стає (нарівні з іншими) користувачами будь-якої розгалуженої колективної комп’ютерної мережі. Це може бути зроблене за допомогою розподілення користувачів за часом, мережною системою в межах організації або шляхом створення спільної мережі користування з іншими громадськими, державними або комерційними організаціями, в результаті чого відбувається об’єднання їх інформаційних ресурсів, отже у багато разів зростає і ризик стати потерпілою стороною від комп’ютерного злочину через практично доступну мережу.
Зарубіжний досвід свідчить, що найефективнішим заходом у цьому напрямі є введення в штатний розклад організацій посади фахівця з комп’ютерної безпеки (адміністратора з захисту інформації) або створення спеціальних служб як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу, наприклад, в банківській структурі знижує ймовірність вчинення злочинів у галузі використання ІКТ. У обов’язковому порядку цей захід необхідно здійснювати в кредитно-фінансових установах і організаціях.
У функціональні обов’язки зазначених осіб передусім повинні входити наступні позиції здійснення організаційних заходів забезпечення безпеки ЗКТ:
1. забезпечення підтримки з боку керівництва конкретної організації вимог захисту ЗКТ;
2. розроблення комплексного плану захисту інформації;
3. визначення пріоритетних напрямів захисту інформації у відповідності зі специфікою діяльності організації;
4. складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;
5. визначення відповідальності співробітників організації за безпеку інформації у межах встановленої компенсації шляхом висновку відповідних договорів між співробітником і організацією;
6. розроблення, впровадження та контроль за виконанням різного виду інструкцій, правил, наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з конфіденційними даними тощо;
7. розроблення ефективних заходів боротьби з порушниками захисту ЗКТ.
При цьому, як показує практика, найнадійнішим засобом підвищення ефективності заходів безпеки ЗКТ є навчання та інструктаж працюючого персоналу з організаційно-технічними заходами захисту, які застосовують у конкретній організації.
Крім цього, в обов’язковому порядку повинні бути реалізовані наступні організаційні заходи:
1. для всіх осіб, що мають право доступу до ЗКТ, повинні бути визначені критерії допуску, тобто необхідно визначити галузь службових інтересів кожної особи, види інформації, до яких вона має доступ, а також вигляд дозволу цього доступу, правомірність особи, яка призначена здійснювати маніпуляції з ЗКТ, виходячи з прямих функціональних обов’язків особи;
2. проведена класифікація інформації відповідно до її важливості, диференціація на основі цього заходів захисту; визначений порядок її охорони та знищення;
3. визначена адміністративна відповідальність для осіб за збереження та санкціонування доступу до інформаційних ресурсів, при цьому за кожний їх вид відповідальність повинна нести одна конкретна особа;
4. налагоджений періодичний системний контроль за якістю захисту інформації за допомогою проведення регламентних робіт як самою особою, так і з залученням компетентних фахівців з інших організацій;
5. організаційний фізичний захист ЗКТ.
Крім організаційно-управлінських заходів, істотну загально профілактичну роль у боротьбі з комп’ютерними злочинами можуть відігравати заходи технічного характеру:
Ø захист від несанкціонованого доступу (НСД), стихійного лиха й аварії, від розкривання ЗКТ, диверсій;
Ø резервування особливо важливих ЗКТ;
Ø правильна організація комунікаційних мереж і ресурсів;
Ø установка охоронно-пожежної сигналізації й інших рубежів охорони.
Програмні методи захисту призначають для безпосереднього захисту інформації у трьох напрямках:
Ø апаратури;
Ø програмного забезпечення;
Ø даних,
Ø для забезпечення належного контролю за правильністю здійснення процесів її введення, виведення, опрацювання, запису, стирання, читання та передавання.
Для захисту інформації при її передаванні звичайно використовують різні методи шифрування даних перед їх введенням у канал зв’язку або на фізичний носій з наступною розшифровкою. Як свідчить практика, методи шифрування уможливлюють досить надійний захист комп’ютерної інформації від злочинних посягань.
Отже, одним з методів захисту від потенційних комп’ютерних злочинців, що завойовує все більшу популярність останнім часом, є застосування криптографічного захисту, тобто кодування тексту за допомогою складних математичних алгоритмів. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо.
Захистити інформацію від несанкціонованого доступу можна за допомогою апаратно-програмних, програмних, біометричних, технічних і адміністративних засобів.
До апаратно-програмних засобів належать:
ü спеціальні криптографічні плати, що вбудовують у комп’ютер, за допомогою яких інформацію можна зашифрувати, створити електронний підпис, а також аутентифікувати[1] користувача;
ü smart Card — магнітна картка для зберігання секретного ключа, шифрування паролів;
ü пристрої ActivCard для введення паролів, де пароль не вводять, а розраховують (динамічний пароль), а також Smart Reader для зчитування паролів. В цих пристроях вмонтовано мікропроцесор, у пам’яті якого зберігається секретний код. Пароль, що вводить користувач (чотири цифри), в комп’ютері перераховують, тобто створюють спеціальний код.
Програмні заходи включають:
ü вбудовані у програми функції захисту даних. Наприклад, система Netware після трьох спроб користувача ввійти в мережу з неправильним паролем «блокує» цього користувача, і лише адміністратор мережі може розблокувати доступ;
ü спеціальні криптографічні розробки.
За принципом побудови існуючі засоби захисту інформації, в яких використовують криптографічні методи захисту, можна поділити на два типи:
ü засоби, в основі роботи яких лежать симетричні алгоритми для побудови ключової системи і системи аутентифікації;
ü засоби, основу роботи яких складають асиметричні алгоритми, що застосовують для тих самих цілей.
У засобах першого типу обов’язковою є наявність центру розподілення ключів, що відповідає за їх створення, поширення та вилучення. При цьому носії ключової інформації передають абонентам з використанням фізично захищених каналів зв’язку. Ключі мають змінюватися досить часто, кількість абонентів має бути значною, тому ці засоби негнучкі та дорогі. Питання аутентифікації вирішують довірою користувачів. Центр розподілення ключів контролює всю інформацію. Захист інформації низький.
У засобах другого типу ключі для шифрування автоматично генерують, поширюють і вилучають для кожного сеансу зв’язку. Функції служби поширення ключів виконує сертифікаційний центр, де користувач реєструється, встановлюється його аутентифікація, після чого ключі вилучають. У таких засобах можливими є організація цифрового підпису та його перевірка. Протокол встановлення аутентичного зв’язку відповідає певному стандарту.
Аутентифікація є простою та суворою. При простій аутентифікації відбувається обмін паролями між абонентами, які встановили зв’язок, з подальшою перевіркою відповідності цих паролів еталонним. При суворій аутентифікації кожен абонент має два криптографічних ключі – секретний, відомий тільки даному абоненту, та відкритий, який передають у банк. Використовуючи секретний ключ і спеціальний алгоритм, абонент формує цифровий підпис — послідовність бітів, яка однозначно відповідає документу, який підписують. Перевірка відповідності підпису виконують за допомогою відкритого ключа.
До біометричних засобів належать:
ü візерунки сітківки ока;
ü відбитки пальців;
ü геометрія долоні;
ü динаміка підпису тощо.
Адміністративні заходи включають:
ü систему електронних перепусток для персоналу та відвідувачів;
ü системи відеоспостереження та відеореєстрації, які уможливлюють введення цілодобового візуального нагляду як за периметром об’єкта, так і всередині з можливістю запису інформації на відеомагнітофон або комп’ютер;
ü розподілення доступу до інформації. Тут необхідним є чітке визначення осіб, які мають право на ту чи іншу інформацію. Наприклад, програмісти не повинні мати доступу до БД, а користувачі — до програмного забезпечення;
ü систематичний аналіз мережного протоколу роботи, блокування спроб введення паролів кілька разів;
ü ретельний добір співробітників, навчання, стажування, тренування. Кандидат повинен мати задовільні свідоцтва, атестати та характеристики з попередніх робочих місць, не мати нахилу до зловживання наркотиками й алкоголем, не мати вагомих заборгованостей, не виявляти недоброзичливості до наймачів.
Основними способами резервування інформації є:
ü її зберігання в захищених місцях (спеціальних приміщеннях, сейфах тощо);
ü зберігання інформації в територіально розподілених місцях.
Технічні заходи можна поділити на такі групи:
ü заходи захисту від підслуховування, що включають:
Ø встановлення фільтрів на лініях зв’язку;
Ø обстеження приміщень з метою виявлення підслуховуючих пристроїв;
Ø використання звукопоглинаючих стін, стелі, підлоги;
Ø застосування систем віброакустичного й акустичного зашумлення для захисту мовної інформації від прослуховування за допомогою акустичних мікрофонів, стетоскопів, лазерних і інфрачервоних систем добору інформації;
ü заходи захисту від електромагнітного випромінювання, куди входять:
Ø використання оптико-волоконного кабелю;
Ø застосування захисної плівки на вікнах;
Ø використання захищених дисплеїв.
ü заходи захисту від поновлення вилучених даних.
Технічні заходи. Один із технічних заходів захисту інформації — використання безперебійних джерел живлення, які уможливлюють коректне закінчення роботи та вихід з програми в разі перебою електропостачання. Ці пристрої залежно від складності задачі та потужності встановленого комп’ютерного обладнання можуть підтримувати роботу системи від 20 хвилин до кількох годин. Надійнішу роботу забезпечують при підключенні до запасної енергопідстанції. На підприємствах, що мають неперервний робочий цикл опрацювання інформації (наприклад, головні банки), слід використовувати власні енергогенератори.
Адміністративні заходи. Керівники інформаційних відділів повинні:
ü чітко визначити функції всіх учасників інформаційного процесу;
ü досліджувати й аналізувати ризики безпеки інформації;
ü створити інструкції щодо дій персоналу в разі виникнення загроз безпеці інформації;
ü мінімізувати ризик для тих, хто працює з важливою інформацією, та їх родин із метою запобігання їх викраденню та вимаганню інформації;
ü визначити стратегію резервування, створити окрему інструкцію з резервування (наприклад, «Цю інформацію копіювати кожен день о 12 годин»). При цьому слід враховувати фізичне руйнування магнітних носіїв з часом. Копій має бути як мінімум дві, одна з яких зберігається у вогнетривкому сейфі біля комп’ютера, інша – якнайдалі від офісу (на випадок вибуху, пожежі, землетрусу).
Особливості інформації з точки зору інформаційного права
Під інформацією як об’єктом права розуміють створювані в процесі інтелектуальної діяльності відомості (дані) про навколишній світ і процеси, що в ньому відбуваються, або повідомлення, що інформують про положення справ.
Інформація – об’єкт багатофункціональний, її створюють і застосовують у всіх галузях діяльності і ніби забезпечує виконання чисельних функцій і завдань, що стоять перед різними суб’єктами – органами державної влади, місцевого самоврядування, перед фізичними та юридичними особами.
При обігу інформація в державі й суспільстві може виступати:
Ø як товар при створенні, зберіганні, використанні, передаванні та поширенні;
Ø як засіб, за допомогою якого здійснюють правову координацію та керування поведінкою суб’єктів (через офіційні документи та судові рішення);
Ø як джерело для прийняття рішень;
Ø як джерело знань при освіті та вихованні в процесах здійснення конституційного права на освіту;
Ø як засіб сповіщення суспільства про події, які відбуваються, і явища (через ЗМІ) у порядку застосування конституційного права на інформацію;
Ø як засіб звітності про діяльності юридичних і фізичних осіб (податкова, бухгалтерська, статистична звітність тощо);
Ø як засіб реалізації прав і свобод особи через надання відомостей про особистості різним структурам (право на життя, житло, медичну освіту; виховання, працю).
Варто звернути увагу на те, що інформація одночасно може виступати й у якості джерела, що несе певне функціональне навантаження, і як товар. Наприклад, нормативні правові акти, виконуючи основну функцію – поширення правових норм і доведення їх до кожного – одночасно виступають і як товар при продажу інформаційних продуктів і наданні інформаційних послуг, побудованих на їхній основі.
Те саме можна сказати і про персональні дані, які продають і здають в оренду для реалізації прямого маркетингу. Продають також різні інформаційні ресурси, що містять відомості про корисні копалини, про науковий і технічний розвиток суспільства, про його творчий потенціал тощо.
Особливості і юридичні властивості інформації. На відміну від відомих, традиційних для права об’єктів, інформація має специфічні особливості й юридичні властивості, які в більшості визначають і відносини, що виникають при її обігу між суб’єктами та характер їх поведінки.
До таких особливостей і властивостей можна віднести наступні:
Ø інформацію при включенні в обіг уособлюють від її автора або власника, упредметнюють у вигляді символів або знаків і внаслідок цього існує окремо та незалежно від автора або власника. Звідси виникає юридична властивість інформації – можливість виступати об’єктом, який передають, вона потребує юридичного закріплення факту належності суб’єктам, що беруть участь у такому її обігу;
Ø інформація, яку передають, одночасно належить двом учасникам інформаційних відносин. Це основна відмінність інформації від речі. Юридична властивість інформації у зв’язку з цим – її фізичне невідчуження від автора, власника та користувача. Така властивість вимагає розроблення та застосування до інформації при обігу особливих правових механізмів, що заміняють механізм відчуження речі;
Ø інформацію при включенні в оборот документують і відображають на матеріальному носії. Існує дві групи носіїв: тверді – до яких інформація прив’язана жорстко (папір, лазерні диски тощо), і віртуальні, до яких інформацію не можна прив’язати жорстко, якими вона ніби «сковзає» (дискети та лазерні диски з перезаписом, оперативна пам’ять ПК тощо). Юридична властивість, що випливає з цієї особливості, укладається у двоєдності інформації та матеріального носія, на якому цю інформацію закріплюють;
Ø інформація подана в певних організаційних формах – окремі дані (відомості), документ, масив (база даних документів), бібліотека, фонд документів, архів тощо. Звідси юридична властивість – можливість відносити до даних як окремі вихідні документи, так і складні організаційні структури, що містять інформацію. Це інформаційні системи, банки даних, інформаційні мережі, бібліотеки, архіви тощо.
ТЕМА 2. Правове регулювання документно-інформаційної діяльності
як складова інформаційного права
Основні принципи інформаційного права
Під принципами інформаційного права розуміють основні вихідні положення, що юридично закріплюють об’єктивні закономірності суспільного життя, що виявляються в інформаційній галузі. Принципи інформаційного права уможливлюють формування цього права як самостійної галузі, внаслідок чого є системоуворюючими. Можна виділити наступні основні принципи інформаційного права:
Ø принцип інформаційних відносин означає, що інформаційні відносини, які виникають, виходячи з особливостей і юридичних властивостей інформації, і її багатофункціональності як основного об’єкта інформаційного права, володіють на цій підставі специфікою, що відрізняє їх від інших суспільних відносин, і становлять основу суспільних відносин в інформаційній галузі;
Ø принцип інформаційної власності означає, що при передаванні та поширенні інформації як основного об’єкта інформаційного права, об’єктивно існують особливі категорії суб’єктів інформаційного права (автори, власники та користувачі інформації) і їх поведінка реалізується на основі інформаційних правомірностей – права знати, володіти та застосовувати інформацію;
Ø принцип невідчуження інформації від її створювача, власника та користувача (неможливість позбавити суб’єкта отриманих знань) означає, що механізм відчуження інформації повинен замінятися механізмом добровільної відмови від певних інформаційних правомірностей через установлення за договором прав, обов’язків і відповідальності з використання цієї інформації після її передавання вказаними суб’єктами;
Ø принцип комплексного регулювання відносин інформаційної власності (у розумінні визнання інформації своєю власною) означає, що такі відносини можуть бути врегульовані авторським правом, правом майнової власності та правом інвестиційної власності залежно від конкретних умов;
Ø принцип інвестиційної власності означає, що механізм авторського права може бути поширений на створення будь-якої відкритої інформації, що являє для її автора інтерес, у тому числі і такої, що не стосується результату творчості. При цьому захищають тільки особисті майнові права автора інформації;
Ø принцип інформаційної реч і заснований на двоєдності матеріального носія й інформації, відображеної в ньому, означає, що при обігу інформації об’єктивно існують особливі категорії власників (творці, власники та користувачі), які реалізують традиційні правочини власників при обов’язковому дотриманні ними інформаційних правомірностей;
Ø принцип типових інформаційно-правових норм означає, що такі норми, поза залежністю від галузі правового регулювання, володіють певною специфікою, заснованою на особливостях і юридичних властивостях інформації. Ця специфіка виражена в тому, що будь-яка інформаційно-правова норма забезпечує регулювання відносин з приводу створення, володіння, передавання, поширення та застосування інформації через інформаційні правомірності суб’єктів, виходячи з особливостей і функціонального призначення конкретної інформації.
Багатофункціональність інформації призводить до необхідності застосовувати в інформаційному праві різні методи правового регулювання інформаційних відносин, залежно від виду інформації, її призначення в інформаційних процесах: створення, збирання, накопичення та зберігання інформації, пошуку, передавання, поширення та використання інформації.
Зокрема, при регулюванні відносин з приводу відповідальності за допущені правопорушення в інформаційній галузі доцільно використовувати норми законодавства про адміністративні порушення та кримінальне право.
Перелік відомостей, доступ до яких обмежений
В цілях охорони та захисту прав і свобод в інформаційній галузі Конституція встановлює гарантії, обов’язки, механізми захисту та відповідальності. До основних конституційних гарантій відносять:
Ø визнання прав і свобод людини та громадянина невідчужуваними, рівними, безпосередньо діючими згідно визнаним принципам і нормам міжнародного права та захищаються державою;
Ø закони підлягають офіційній публікації. Неопубліковані закони не застосовують. Будь-які нормативні правові акти, що зачіпають права, свободи й обов’язки людини та громадянина, не можуть застосовувати, якщо вони не опубліковані офіційно для загальних відомостей;
Ø права та свободи визначають значення, зміст і застосування законів, діяльність законодавчої та виконавчої влади, місцевого самоврядування та забезпечують правосуддям;
Ø органи державної влади й органи місцевого самоврядування, їх посадовці зобов’язані забезпечувати кожному можливість ознайомлення з документами та матеріалами, безпосередньо зачіпати його права та свободи, якщо інше не передбачене законом;
Ø механізми захисту разом з державним захистом передбачають право кожного на самозахист способами, не забороненими законом, судовий і міжнародно-правовий захист;
Ø приховування посадовцями фактів і обставин, що створюють загрозу для життя і здоров’я людей, тягне за собою відповідальність згідно закону.
Важливою галуззю безпеки інформації є захист прав власності на неї. Інформацію доцільно розглядати за законом як об’єкт права власності.
Всю інформацію з точки зору права поділяють на кілька основних сегментів:
1. Інформація без обмеження права доступу, до якої відносять:
Ø інформацію загального користування, що надають користувачам безкоштовно;
Ø інформацію про стан навколишнього природного середовища, його забруднення — відомості (дані), отримані в результаті моніторингу навколишнього природного середовища, її забруднення;
Ø інформацію в галузі робіт зі зберігання, перевезення, знищення хімічної зброї — відомості про стан здоров’я громадян і об’єктів навколишнього середовища в районах розміщення об’єктів зі зберігання хімічної зброї і об’єктів зі знищення хімічної зброї, про заходи щодо забезпечення хімічної, санітарно-гігієнічної, екологічної та пожежної безпеки при проведенні робіт зі зберігання, перевезення та знищення хімічної зброї, а також про заходи з запобігання виникнення надзвичайних ситуацій і ліквідації їх наслідків при виконанні вказаних робіт, надають за запитами громадян і юридичних осіб, зокрема суспільних об’єднань.
Інформація, яка містить відомості про обставини та факти, що являють загрозу життю, здоров’ю громадян, не підлягає засекреченню, не може бути віднесена до таємниці.
2. Інформація з обмеженим доступом — державна, службова, комерційна, банківська, професійна таємниця та персональні дані як інститут охорони права недоторканності приватного життя.
3. Інформація, поширення якої завдає шкоди інтересам суспільства, законним інтересам і правам громадян, — порнографія; інформація, що розпалює расову, національну й іншу ворожнечу; пропаганда і заклики до війни, помилкова реклама, реклама з прихованими вставками тощо — так звана «шкідлива» інформація.
4. Об’єкти інтелектуальної власності ( не може бути віднесено до інформації з обмеженим доступом, але охороняється особливим порядком через інститути інтелектуальної власності – авторське та патентне право, засоби індивідуалізації тощо. Виключення складають ноу-хау, які охороняють в режимі комерційної таємниці).
5. Інша загальнодоступна інформація, серед якої вчені виділяють більше 20 видів відкритої загальнодоступної інформації.
До обмежень і заборон слід віднести наступні переліки:
1. Перелік підстав для обмеження інформаційних прав:
Ø захист основ конституційного ладу;
Ø захист моральності, здоров’я, права, законних інтересів інших осіб;
Ø забезпечення оборони країни та безпеки держави;
Ø забезпечення суспільного спокою з метою запобігання безладдя та боротьби зі злочинністю;
Ø запобігання розголошенню конфіденційної інформації;
Ø забезпечення авторитету та безсторонності правосуддя;
Ø умови надзвичайного стану, встановлені згідно з законом (на певний період).
2. Перелік випадків прямого обмеження інформаційних прав:
Ø використання прав з мето насильної зміни конституційного ладу;
Ø пропагандасоціальної ненависті, соціальної, расової, національної, релігійної, мовної переваги, насильства та війни;
Ø порушення права на недоторканність приватного життя (наявну, сімейну таємницю), недоторканність житла, права на пошану та захист честі, гідності, репутації, таємниці листування, телефонних переговорів, телеграфних і інших повідомлень;
Ø порушення права на державну, службову, професійну, комерційну та банківську таємницю;
Ø право на відмову від свідчення проти себе самого, свого чоловіка та близьких родичів.
3. Перелік видів інформації з обмеженим доступом:
Ø державна таємниця;
Ø службова таємниця;
Ø комерційна таємниця;
Ø банківська таємниця;
Ø професійна таємниця;
Ø персональні дані.
Основні напрями захисту інформації — охорона державної, комерційної, службової, банківської таємниць, персональних даних і інтелектуальної власності.
Державна таємниця — захищені державою відомості в галузі її військової, зовнішньополітичної, економічної, контррозвідувальної, розвідувальної та оперативної розшукової діяльності, поширення яких може завдати збитку безпеці.
Відомості можуть вважати державною таємницею (можуть бути засекречені), якщо вони відповідають наступним вимогам:
Ø відповідають переліку відомостей, що становлять державну таємницю, не входять у перелік відомостей, що не підлягають засекреченню, і відповідають законодавству про державну таємницю (принцип законності);
Ø доцільність засекречення конкретних відомостей встановлена шляхом експертної оцінки вірогідних економічних і інших наслідків, можливості нанесення збитку безпеки, виходячи з балансу життєво важливих інтересів держави, суспільства й особи (принцип обґрунтованості);
Ø обмеження на поширення цих відомостей і на доступ до них встановлені з моменту їх отримання (розроблення) або завчасно (принцип своєчасності);
Ø компетентні органи та їх посадовці ухвалили відносно конкретних відомостей рішення про віднесення їх до державної таємниці і засекречення, встановили відносно них відповідний режим правової охорони та захисту (принцип обов’язкового захисту).
Поряд з факторами, які забезпечують комерційну цінність інформації (повнота, точність, оперативність), особливого значення набуває доступність її для користувача. Цінністю володіє лише та інформація, яку можна використовувати. Все залежить від того, в яких або в чиїх цілях буде використана інформація, а тому яку інформацію можна передавати відкрито, а яку потрібно оберігати, зробити з неї таємницю.
Комерційна таємниця – відомості, пов’язані з виробництвом, технологічною інформацією, управлінням, фінансами й іншою діяльністю підприємства, що не є державною таємницею, розголошення (передавання, витік) яких може завдати шкоди його інтересам (ЗУ «Про підприємства»). Комерційну таємницю здавна охороняли за сприяння держави. Прикладом цього твердження можуть слугувати численні факти обмеження доступу іноземців в країну (в Китаї — для захисту секретів виробництва фарфору), в окремі галузі економіки або на конкретні виробництва. В Росії та Україні до комерційної таємниці відносили промислову таємницю, але потім вона була ліквідована як правовий інститут на початку 30-х років ХХ ст. і у зв’язку з одержавленням галузей економіки захищали як державну та службову таємницю. Зараз почався зворотний процес. Інформація може складати комерційну таємницю, якщо вона відповідає наступним вимогам (критерії правової охорони):
Ø має дійсну або потенційну комерційну цінність через її невідомість третім особам;
Ø не підпадає під перелік відомостей, доступ до яких не може бути обмежений, і перелік відомостей, віднесених до державної таємниці;
Ø до неї немає вільного доступу на законній підставі;
Ø власник інформації вживає заходи до охорони її конфіденційності.
Комерційну таємницю становлять економічні інтереси й інформація про різні галузі виробничо-господарської, управлінської, науково-технічної, фінансової діяльності організації, охорона яких обумовлена інтересами конкуренції та можливою загрозою економічній безпеці підприємства.
До таких відомостей відносять:
Ø комерційні угоди, укладені організацією;
Ø угоди з іншими організаціями;
Ø відомості про перспективні експериментальні розробки до їх впровадження та реклами;
Ø фінансові документи організації;
Ø відомості, які надані виконавцями робіт підприємству як конфіденційні, що стосуються комерційних відносин між сторонами;
Ø відомості про фінансовий стан виконавців;
Ø зміст переговорів з клієнтами щодо окремих видів робіт і послуг;
Ø протоколи зустрічей керівників організації з виконавцями з питань організації робіт;
Ø файли баз даних, що містять конфіденційні відомості;
Ø внутрішні нормативні документи організації;
Ø відомості, що розкривають інформацію про фінансовий стан працівників;
Ø відомості про порушення партнерами договірних зобов’язань, правил роботи, про штрафи та санкції до них;
Ø відомості про розподілення прибутків;
Ø відомості про стратегічні та перспективні напрями роботи організації;
Ø відомості про наявність вільних кредитних ресурсів і їх розміщення;
Ø умови видання кредитів конкретним отримувачам (процент кредитної ставки, терміни, застава тощо);
Ø вартість послуг для конкретного клієнта;
Ø інженерно-економічні розрахунки та прогнози техніко-економічного стану та розвитку організації.
До комерційної таємниці не може бути віднесена інформація, яка:
Ø міститься в засновницьких документах;
Ø міститься в документах, що дають право займатися підприємницькою діяльністю (реєстраційні посвідчення, ліцензії тощо);
Ø міститься в річних звітах, бухгалтерських балансах, формах державних статистичних спостережень і інших формах річної бухгалтерської звітності, включаючи аудиторські висновки, а також в інших, пов’язаних з нарахуванням і сплатою податків і інших обов’язкових платежів;
Ø містить відомості про оплачувану діяльність державних службовців, про заборгованості працедавців з виплати заробітної платні й іншим виплатам соціального характеру, про кількість і кадровий склад працюючих;
Ø міститься в річних звітах фундацій про використання майна;
Ø підлягає розкриттю емітентом[2] цінних паперів, професійним учасником ринку цінних паперів і їх власником відповідно до законодавства про цінні папери;
Ø пов’язана з дотриманням екологічного й антимонопольного законодавства, забезпеченням безпечних умов праці, реалізацією продукції, що заподіяла шкоду здоров’ю населення, іншими порушеннями законодавства, а також містить дані про розміри заподіяних при цьому збитків;
Ø про діяльність добродійних організацій і інших не комерційних організацій, не пов’язаних з підприємницькою діяльністю;
Ø про наявність вільних робочих місць;
Ø про зберігання, використання або переміщення матеріалів і використання технологій, що являють небезпеку для життя та здоров’я громадян або навколишнього середовища;
Ø про реалізацію державної програми приватизації та про умови приватизації конкретних об’єктів;
Ø про розміри майна і вкладені засоби при приватизації;
Ø про ліквідацію юридичної особи та про порядок і термін подання заяв або вимог його кредиторами;
Ø для якої визначені обмеження з установлення режиму комерційної таємниці відповідно до законів і прийнятих х метою їх реалізації підзаконних актів.
Основними суб’єктами права на комерційну таємницю є власники комерційної таємниці, їх правонаступники.
Власники комерційної таємниці — фізичні (незалежно від громадянства) й юридичні (комерційні та некомерційні організації) особи, які займаються підприємницькою діяльністю і мають монопольне право на інформацію, що становить для них комерційну таємницю.
При цьому під підприємництвом розуміють «самостійну, здійснювану на свій ризик діяльність, направлену на систематичне отримання прибутку від користування майном, продажу товарів, виконання робіт або надання послуг особами, зареєстрованими в цій якості у встановленому законом порядку». Правонаступники — фізичні та юридичні особи, яким через службове положення, за договором або на іншій законній підставі (у тому числі по спадку) відома інформація, що становить комерційну таємницю іншої особи.
Банківська таємниця — захищені банками й іншими кредитними організаціями відомості про банківські операції по рахунках і операціях на користь клієнтів, рахунках і внесках своїх клієнтів і кореспондентів, а також відомості про клієнтів і кореспондентів, розголошування яких може порушити право останніх на недоторканність приватного життя. До основних об’єктів банківської таємниці відносять наступні:
1. Таємниця банківського внеску — відомості про всі види внесків клієнта в кредитній організації.
2. Таємниця банківського рахунку — відомості про рахункиклієнтів і кореспондентів і дії з ними в кредитній організації (про розрахункові, поточні, бюджетні, депозитні, валютні, кореспондентські рахунки, про відкриття, закриття, переведення, переоформлення рахунків).
3. Таємниця операцій по банківському рахунку — відомості про ухвалення та зарахування, про виконання його розпоряджень з переведення та видання відповідних сум з рахунку, а також проведення інших операцій і операцій по банківському рахунку, передбачених договором банківського рахунку або законом.
4. Таємниця приватного життя клієнта або кореспондента — відомості, що становлять особисту, сімейну таємницю й охороняються законом як персональні дані цього клієнта або кореспондента.
Професійна таємниця — інформація, яку захищають згідно з законом, довірена або стала відомою особі (утримувачу) виключно через виконання нею своїх професійних обов’язків, не пов’язаних з державною або муніципальною службою, поширення якої може завдати збитку правам і законним інтересам іншої особи (довірителя), довірить ці відомості, і не є державною або комерційною таємницею.
Інформацію можна вважати професійною таємницею, якщо вона відповідає наступним вимогам (критеріям обороноспроможності права):
Ø довірена або стала відома особі лише через виконання нею своїх професійних обов’язків;
Ø особа, якій довірена інформація, не перебуває на державній або муніципальній службі (інакше інформацію вважають службовою таємницею);
Ø заборона на поширення довіреної інформації, яка може завдати збитку правам і законним інтересам довірителя, встановлено законом;
Ø не відноситься до відомостей, які становлять державну та комерційну таємницю.
Відповідно до цих критеріїв можна виділити наступні об’єкти професійної таємниці:
1. Лікарська таємниця — інформація, що містить:
Ø результати обстеження особи, що вступає в шлюб;
Ø відомості про факт звертання за медичною допомогою, про стан здоров’я, діагноз захворювання й інші відомості, отримані при обстеженні та лікуванні громадянина;
Ø відомості про проведене штучне запліднення й імплантацію ембріона, а також про особу донора;
Ø відомості про донора та реципієнта при трансплантації органів і тканин людини;
Ø відомості про наявність психічного розладу, факти звернення за психіатричною допомогою та лікування в установі, що надає таку допомогу, а також інші відомості про стан психічного здоров’я громадянина;
Ø інші відомості в медичних документах громадянина.
2. Таємниця зв’язку — таємниця листування, телефонних переговорів, поштових, телеграфних і інших повідомлень.
3. Нотаріальна таємниця — відомості, довірені нотаріусу у зв’язку зі здійсненням нотаріальних дій.
4. Адвокатська таємниця — відомості, повідомлені адвокату громадянином у зв’язку з наданням йому юридичної допомоги.
5. Таємниця усиновлення — відомості про усиновлення дитини, довірені на законній підставі іншим особам, окрім суддів, що винесли рішення про усиновлення, і посадовців, що здійснюють державне реєстрування цього усиновлення.
6. Таємниця страхування — відомості про страхувальника, застраховану особу та вигодонабувача, стан їх здоров’я, а також про майновий стан цих осіб, отримані страхувальником у результаті своєї професійної діяльності.
7. Таємниця сповіді — відомості, довірені громадянином священнослужителю на сповіді.
8. Службова таємниця, а також службова інформація про діяльність державних органів, доступ до якої обмежений законом або через службову необхідність.
Службова таємниця є видом конфіденційної інформації, і право на службову таємницю виступає самостійним об’єктом права. Для здійснення її правової охорони та захисту необхідний спеціальний закон «Про службову таємницю». Службова таємниця – це вид таємної інформації, що містить відомості економічного характеру (про дислокацію підприємств і їх виробничу діяльність, про запаси продовольства, пропускну здатність шляхів сполучення, корисні копалини та їх розроблення тощо); відомості науково-технічного характеру (про відкриття, винаходи, наукові та технічні результати тощо); інші відомості (про заходи у галузі громадської безпеки та громадського порядку, охорони здоров’я, про кадрову політику держави тощо.
Службову таємницю організації становлять відомості про фінанси та бюджетну політику, відомості про організацію внутрішньовиробничої й управлінської діяльності з забезпечення захисту цих відомостей відповідно до норм діючого законодавства.
Такими відомостямиє:
Ø відомості щодо пропозицій організації до проектів документів на державному рівні;
Ø внутрішні квартальні, піврічні та річні звіти про результати діяльності організації;
Ø відомості про технічні заходи підприємств із забезпечення інформаційної безпеки;
Ø матеріали, у яких визначають стратегію на майбутній рік і на далеку перспективу;
Ø внутрішні довідки про результати діяльності організації;
Ø доповідні записки на ім’я керівництва організації з основних напрямів діяльності;
Ø інструкції, розроблені в організації;
Ø доповідні записки на ім’я керівництва організації за матеріалами ревізій структурних підрозділів, що містять висновки та пропозиції, пов’язані з діями посадових осіб;
Ø прогнози різноманітного характеру;
Ø штатний розклад організації;
Ø телефонний довідник організації;
Ø відомості про партнерів;
Ø документи з охорони та захисту конфіденційних відомостей;
Ø відомості, які розкривають систему захисту конфіденційної інформації, в тому числі, при використанні електронних технологій;
Ø листування організації з правоохоронними органами;
Ø рахунок прибутків і видатків організації;
Ø матеріали ревізій, що проводили в організації й у підвідомчих закладах;
Ø система розмежування повноважень на інформаційному об’єкті;
Ø паролі й ідентифікатори клієнтів, працівників, використовувані в ІТС;
Ø порядок доступу осіб у приміщення з обмеженим доступом;
Ø проект комплексного захисту інформаційної системи, алгоритми, програми шифрування та дешифрування інформації.
Інформацію можна вважати службовою таємницею, якщо вона відповідає наступним вимогам (критеріям обороноспроможності права):
Ø віднесена законом до службової інформації про діяльність державних органів, доступ до якої обмежений згідно з законом або через службову необхідність (власна службова таємниця);
Ø є обороноспроможною конфіденційною інформацією («чужою таємницею») іншої особи (комерційна, банківська, професійна, таємниця приватного життя);
Ø не є державною таємницею і не підпадає під перелік відомостей, доступ до яких не може бути обмежений;
Ø отримана представником державного органу й органу місцевого самоврядування лише через виконання обов’язків по службі у випадках і порядку, встановленому законом.
Інформацію, яка не відповідає цим вимогам, не можна вважати службовою таємницею і не підлягає правовій охороні. В чинному законодавстві наводять перелік відомостей, які не можуть бути віднесені до службової інформації обмеженого поширення:
Ø акти законодавства, що встановлюють правовий статус державних органів, організацій, суспільних об’єднань, а також права, свободи й обов’язки громадян, порядок їх реалізації;
Ø відомості про надзвичайні ситуації, небезпечні природні явища та процеси, екологічна, гідрометеорологічна, гідрогеологічна, демографічна, епідеміологічна, санітарна й інша інформація, необхідна для забезпечення безпечного існування населених пунктів, громадян і населення в цілому, а також виробничих об’єктів;
Ø опис структури органу виконавчої влади, його функцій, напрямів і форм діяльності, а також його адреса;
Ø порядок розгляду та вирішення заяв, у тому числі юридичних осіб, розглянутих в установленому порядку;
Ø відомості про виконання бюджету та використання інших державних ресурсів, про стан економіки і потреб населення;
Ø документи, накопичені у відкритих фундаціях бібліотек і архівів, інформаційних системах організацій, необхідні для реалізації прав, свобод і обов’язків громадян.
Отже, до основних об’єктів службової таємниці можна віднести такі види інформації, як:
1. службова інформація про діяльність державних органів, доступ до якої обмежений законом з метою захисту державних інтересів: військова таємниця; таємниця слідства (дані попереднього розслідування або слідства); судова таємниця (таємниця наради суддів, зміст дискусій і результатів голосування закритої наради Конституційного суду, матеріали закритого судового засідання, через службову необхідність, порядок вироблення й ухвалення рішення, організація внутрішньої роботи тощо);
2. обороноспроможна конфіденційна інформація, яка стала місцевою через виконання службових обов’язків посадовцям державних органів і органів місцевого самоврядування: комерційна, банківська, професійна таємниця, а також конфіденційна інформація про приватне життя особи.
Дата добавления: 2015-10-29; просмотров: 336 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Пенализация. | | | Роль права у галузі регулювання інформаційних відносин і розвиток законодавства України про інформатизацію та інформаційні процеси 5 страница |