Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и
семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений. Ограничение этого права допускается только на
основании судебного решения.
В ст. 23 Конституции РФ говориться о частной жизни гражданина. Когда
гражданин подписывает трудовое договор, то вступает в правоотношения, регулируемые
трудовым законодательством, - прежде всего Трудовым Кодексом и принятыми в
соответствии с ним иными подзаконными Нормативными правовыми актами и
локальными правовыми актами. Так, согласно ст. 21 Трудового Кодекса РФ, работник
обязан:
- добросовестно исполнять свои трудовые обязанности, возложенные на него
трудовым договором;
- соблюдать правила внутреннего трудового распорядка;
- соблюдать трудовую дисциплину;
В соответствии со ст. 91 Трудового Кодекса РФ, рабочим временем признается
время, в течение которого работник, в соответствии с правилами внутреннего трудового
распорядка и условиями трудового договора, должен исполнять трудовые обязанности.
Также Правилами внутреннего трудового распорядка должны четко регламентироваться
рабочее время, трудовые обязанности работника. В Правилах внутреннего трудового
распорядка, должна быть закреплена обязанность работника использовать рабочее
оборудование строго в служебных (рабочих) целях.
Поэтому, используя рабочее оборудование в личных целях, работник нарушает
Правила внутреннего трудового распорядка, а также права и законные интересы
работодателя. А согласно ч.3 ст.17 Конституции РФ, осуществление прав и свобод
человека и гражданина не должно нарушать права и свободы других лиц.
Таким образом, работник не может претендовать на тайну личной переписки,
телефонных переговоров, почтовых, телеграфных и иных сообщений, используя для
этого рабочее оборудование.
В соответствии с п.2 ч. 4, ст. 6 и ч. 4. ст. 16 Федерального закона №61-ФЗ «Об
информации, информационных технологиях и защите информации», обладатель
информации обязан принимать меры по защите информации. В частности, в соответствии
с ч. 4 ст. 16 Федерального закона №61-ФЗ, обладатель информации и оператор
информационной системы (гражданин или юридическое лицо, осуществляющие
деятельность по эксплуатации информационной системы, в том числе по обработке
информации, содержащейся в ее базах данных - далее по тексту оператор) обязаны
обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи
ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к
информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка
доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в
результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Исполнение всех этих мер невозможно без проведения мониторинга (наблюдения) за
объектами и субъектами информационной системы, а также сбор, анализ и обобщение
результатов наблюдений. К субъектам относятся персонал, обслуживающий
информационную систему, клиенты и т.д. Объектами могут быть аппаратное средство,
программное средство, программно-аппаратное средство, информационный ресурс,
услуга, процесс, система, над которыми выполняются действия.
Поэтому конкретные меры закреплены в ряде нормативных актов. Например,
согласно п. 5.4 Стандарта Банка России «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие положения». СТО БР
ИББС-1.0-2008 (принят и введен в действие Распоряжением ЦБ РФ от 25.12.2008 N Р-
1674) (далее Стандарт банка России), - наибольшими возможностями для нанесения
ущерба организации БС РФ обладает ее собственный персонал. В этом случае
содержанием деятельности злоумышленника является прямое нецелевое использование
предоставленного ему в порядке выполнения служебных обязанностей контроля над
активами либо нерегламентированная деятельность для получения контроля над
активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри
организации БС РФ.
Незлоумышленные действия собственных работников создают либо уязвимости ИБ,
либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности
актива или параметры системы, которая этот актив поддерживает.
Поэтому в соответствии со Стандартом Банка России, для обеспечения
информационной безопасности предлагается принять комплекс правовых,
административных, экономических и программно-аппаратных мер, в том числе и в
отношении персонала, обслуживающего автоматизированные банковские системы. В
частности, в соответствии с п. 7.6.8 устанавливается рекомендация:
7.6.8. Электронная почта должна архивироваться. Архив должен быть доступен
подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в
архиве не допускаются. Порядок доступа к информации архива должен быть
документально определен.
Хотя необходимо отметить, что еще не все необходимые меры закреплены в
нормативных актах, т.к. в настоящий момент, законодательство в сфере защиты
информации только формируется.
Вывод: Таким образом, осуществление контроля Службой информационной
безопасности за порядком использования персоналом рабочего оборудования, в том числе
и мониторинг переписки посредством электронной почты, службы мгновенных
сообщений – не только не противоречит законодательству Российской Федерации, но и
является рекомендованной мерой для обеспечения надлежащего уровня информационной
безопасности.
Правовое обоснование возможности и необходимости
внедрения систем защиты информации (согласно Закону
«О персональных данных»)
В настоящее время остро стоит проблема защиты систем учета персональных
данных. Большое количество государственных органов, учреждений, организаций
различных форм собственности используют в своей деятельности системы учета
персональных данных. За последние годы неоднократно регистрировались факты утечек
конфиденциальной информации из систем учета персональных данных (в том числе и из
силовых структур). В 2006г. был принят Федеральный закон «О персональных данных».
Согласно ч.1 ст. 19 Федерального Закона от 27.07.2006 №153-ФЗ «О персональных
данных». – Оператор (государственный орган, муниципальный орган, юридическое или
физическое лицо, организующие и (или) осуществляющие обработку персональных
данных, а также определяющие цели и содержание обработки персональных данных) при
обработке персональных данных обязан принимать необходимые организационные и
технические меры, в том числе использовать шифровальные (криптографические)
средства, для защиты персональных данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий.
А согласно, ч. 2 данной статьи - Правительство Российской Федерации
устанавливает требования к обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных, требования к
материальным носителям биометрических персональных данных и технологиям хранения
таких данных вне информационных систем персональных данных.
Данные требования устанавливаются в Положении «об обеспечении безопасности
персональных данных при их обработке в информационных системах персональных
данных», утвержденного Постановлением Правительства РФ от 17.11.2007 №781 «Об
утверждении Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных» - (Далее по тексту
«Положение»)
В п. 2, п.11 и 12 Данного Положения устанавливаются примерные методы и способы
обеспечения безопасности информационных систем персональных данных.
В п. 6 Положения, устанавливается необходимость классификации информационных
систем персональных данных в зависимости от объема обрабатываемых ими
персональных данных и угроз безопасности жизненно важным интересам личности,
общества и государства, для определения необходимого уровня защиты.
Для конкретизации данной нормы был издан Приказ ФСТЭК РФ№55, ФСБ РФ №86,
Мининформсвязи РФ №20 от 13.02.2008 «Об утверждении порядка проведения
классификации информационных систем персональных данных». В соответсвии с
которым информационные системы подразделяются на типовые и специальные
информационные системы.
Типовые информационные системы - информационные системы, в которых
требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне
зависимости от необходимости обеспечения конфиденциальности персональных данных
требуется обеспечить хотя бы одну из характеристик безопасности персональных данных,
отличную от конфиденциальности (защищенность от уничтожения, изменения,
блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
∙ информационные системы, в которых обрабатываются персональные данные,
касающиеся состояния здоровья субъектов персональных данных;
∙ информационные системы, в которых предусмотрено принятие на основании
исключительно автоматизированной обработки персональных данных решений,
порождающих юридические последствия в отношении субъекта персональных
данных или иным образом затрагивающих его права и законные интересы.
Поэтому, если безопасность типовых информационных систем можно обеспечить
комплексом организационных мер, а также простейшими программно-аппаратными
методами, то для защиты специальных информационных систем, принятия только
организационно-административных мер, явно недостаточно, в данном случае требуется
применение систем информационной безопасности, обеспечивающих защиту всего
«периметра».
Согласно п. 10 Положения, ответственным за обеспечения безопасности
персональных данных при их обработке в информационной системе, является сам
оператор (государственный орган, муниципальный орган, юридическое или физическое
лицо, организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных).
Отдельные особенности ответственности за нарушения в
сфере защиты информации
Статьей 24 Федерального Закона от 27.07.2006 №153-ФЗ «О персональных данных»,
предусматривается гражданская, уголовная, административная, дисциплинарная и иная
предусмотренная законодательством Российской Федерации ответственность для лиц,
виновных в нарушении требований, установленных данным законом. В данном случае
ответственность устанавливается как для лиц, осуществляющих активные действия
(хищение информации, ее модификация, уничтожение и т.д.), так и для лиц допустивших
подобные нарушения вследствие бездействия или халатности.
Также согласно ч. 2 ст. 17 Закона «Об информации, информационных технологиях и
защите информации» - Лица, права и законные интересы которых были нарушены в связи
с разглашением информации ограниченного доступа или иным неправомерным
использованием такой информации, вправе обратиться в установленном порядке за
судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации
морального вреда, защите чести, достоинства и деловой репутации. Требование о
возмещении убытков не может быть удовлетворено в случае предъявления его
лицом, не принимавшим мер по соблюдению конфиденциальности информации или
нарушившим установленные законодательством Российской Федерации требования
о защите информации, если принятие этих мер и соблюдение таких требований
являлись обязанностями данного лица.
Подобная норма также закреплена и в Федеральном Законе от 29.07.2004 №98-ФЗ «О
коммерческой тайне». Исходя из конструкции ч. 4 ст. 14 Федерального Закона от
29.07.2004 №98-ФЗ «О коммерческой тайне», для злоумышленника существует
возможность избежать ответственности за получение доступа и разглашение информации,
относящейся к коммерческой тайне, в случае непринятия ее владельцем достаточных мер
для ее защиты:
Ч. 4 ст. 14 Федерального Закона от 29.07.2004 №98-ФЗ «О коммерческой тайне»
4. Лицо, которое использовало информацию, составляющую коммерческую тайну, и
не имело достаточных оснований считать использование данной информации
незаконным, в том числе получило доступ к ней в результате случайности или ошибки, не
может в соответствии с настоящим Федеральным законом быть привлечено к
ответственности.
Т.е., используя технические средства (в данном случае технические средства в сфере
информационных технологий и (или) программное обеспечение) для получения доступа к
информации, составляющей коммерческую тайну, злоумышленник может сослаться на ч.4
ст. 4 и ч. 5 ст. 10 Федерального Закона от 29.07.2004 №98-ФЗ «О коммерческой тайне»:
Ч. 4. ст. 4:
4. Информация, составляющая коммерческую тайну, обладателем которой
является другое лицо, считается полученной незаконно, если ее получение
осуществлялось с умышленным преодолением принятых обладателем информации,
составляющей коммерческую тайну, мер по охране конфиденциальности этой
информации, а также если получающее эту информацию лицо знало или имело
достаточные основания полагать, что эта информация составляет коммерческую
тайну, обладателем которой является другое лицо, и что осуществляющее передачу
этой информации лицо не имеет на передачу этой информации законного основания.
Ч. 5 ст. 10:
5. Меры по охране конфиденциальности информации признаются разумно
достаточными, если:
1) исключается доступ к информации, составляющей коммерческую тайну, любых
лиц без согласия ее обладателя;
2) обеспечивается возможность использования информации, составляющей
коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима
коммерческой тайны.
На основании этих статей, злоумышленник может заявить, что собственником
коммерческой тайны не было принято достаточных мер, а он получил к ней доступ без
умышленного преодоления данных мер по охране конфиденциальности этой информации,
но получил доступ в результате случайности. И таким образом, согласно ч.4 ст. 15
данного Закона он не может быть привлечен к ответственности.
Вывод: Исходя из выше приведенных примеров, внедрение систем информационной
безопасности необходимо не только для защиты информации, кроме того, наличие
системы информационной безопасности является также одним из условий для
возмещения убытков, компенсации морального вреда, защите чести, достоинства и
деловой репутации в судебном порядке, в случае противоправного завладения
злоумышленником конфиденциальной информацией.
Список использованных нормативных документов
1) Конституция Российской Федерации от 12.12.1993 (с учетом поправок,
внесенных законами РФ о Поправках к Конституции РФ от 30.12.2008 №6-
ФКЗ)
2) Трудовой Кодекс Российской Федерации от 30.12.2001 №197-ФЗ
3) Федеральный Закон от 27.07.2006 №152-ФЗ «О персональных данных»
4) Федеральный Закон от 27.07.2006 №149-ФЗ «Об информации,
информационных технологиях и защите информации»
5) Федеральный Закон от 29.07.2004 №98-ФЗ «О коммерческой тайне»
6) Постановление Правительства Российской Федерации от 17.11.2007 №781
«Об утверждении Положения об обеспечении безопасности персональных
данных при их обработке в информационных системах персональных
данных»
7) Приказ ФСТЭК РФ от 13.02.2008 №55, ФСБ РФ №86, Мининформсвязи
№20 «Об утверждении порядка проведения классификации информационных
систем персональных данных».
8) Стандарт Банка России «Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие
положения». СТО БР ИББС-1.0-2008 (принят и введен в действие
Распоряжением ЦБ РФ от 25.12.2008 N Р-1674)__
|
