книги / Правовое обеспечение информационной безопасности
..pdfЛицу, организовавшему создание единой технологии, принадлежит право на созданную технологию и оно обязано осуществлять ее практическое применение.
Доходы от использования технологии, право на которую принадлежит совместно нескольким правообладателям, а также от распоряжения этим правом распределяются между правообладателями по соглашению между ними.
Каждый из правообладателей вправе по своему усмотрению использовать соответствующую часть технологии, имеющую самостоятельное значение, если иное не предусмотрено соглашением между ними. При этом право на технологию в целом, а также распоряжение правом на нее осуществляется совместно всеми правообладателями.
Доходы от использования части технологии поступают лицу, обладающему правом на данную часть технологии.
Вопросы для контроля
1.Что является результатами интеллектуальной деятельно-
сти?
2.Назовите основные институты права интеллектуальной собственности.
3.Назовите основные законодательные акты в области защиты интеллектуальной собственности.
4.Что называется авторским правом?
5.Что относится к объектам авторских прав?
6.В чем заключается сущность смежных прав?
7.Что является патентными правами?
8.В чем заключается исключительное право на секрет производства?
9.Что называется товарным знаком?
10.Что называется единой технологией?
211
10. ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
Безопасность предприятия во многом определяется состоянием защищенности его информационных ресурсов. Прежде всего, это защищенность информации, которой располагает предприятие от несанкционированного доступа, разрушения или модификации. Правовая составляющая комплексной системы обеспечения информационной безопасности во многом определяет качественное состояние всей системы. Основанная на действующем законодательстве правовая защита предприятия гарантирует стабильность его деятельности
вразличных направлениях.
10.1.Правовая база деятельности службы безопасности предприятия
Служба безопасности предприятия организуется как самостоятельное структурное подразделение, которое решает задачи обеспечения защиты жизненно важных интересов в условиях коммерческого риска и конкурентной борьбы. Деятельность службы безопасности предприятия основана на законодательстве РФ, а также внутренних нормативных документах предприятия.
К основным законодательным актам, определяющим деятельность службы безопасности являются следующие:
законы РФ: «О частной детективной и охранной деятельности», «О безопасности», «Об оружии», «Об информации, информационных технологиях и защите информации», «О конкуренции и ограничении монополистической деятельности на товарных рынках», «Об оперативно-розыскной деятельности», Гражданский кодекс РФ; Трудовой кодекс РФ.
212
Внутренние документы, которыми руководствуется служба безопасности:
♦устав фирмы, трудовые договоры, правила внутреннего трудового распорядка, должностные обязанности руководителей, специалистов, рабочих и служащих;
♦инструкция по организации режима и охраны;
♦инструкция по защите коммерческой тайны;
♦перечень сведений, составляющих коммерческую тайну;
♦инструкция по работе с конфиденциальной информацией для руководителей, специалистов и технического персонала;
♦инструкция по хранению документов, содержащих коммерческую тайну, в архиве;
♦инструкция по инженерно-технической защиты информации;
♦инструкция о порядке работы с иностранными представи-
телями.
Работой службы безопасности определяется:
♦порядок определения информации, содержащей коммерческую тайну;
♦систему допуска сотрудников, командированных и частных лиц к конфиденциальным документам;
♦порядокработысконфиденциальными документами;
♦обеспечение сохранности конфиденциальных документов;
♦обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну;
♦организация контроля за соблюдением режима работы со сведениями, составляющими коммерческую тайну;
♦ответственность за разглашение сведений, утрату документов, содержащих коммерческую тайну.
Основным правовым документом, регулирующим вопросы создания и деятельности службы безопасности, является закон РФ
213
«О частной детективной и охранной деятельности» [19] от 11.03.92 г.
№2487-1, в котором определяется что:
♦частная детективная и охранная деятельность осуществляется физическими и юридическими лицами, имеющими специальное разрешение (лицензию) органов внутренних дел (ст. 1, 4);
♦лицензия выдается органом внутренних дел сроком на три года с последующим продлением на 5 лет (ст. 8, 10);
♦предприятия, независимо от организационно-правовых форм, вправе учреждать обособленные подразделения (службы безопасности) для осуществления охранно-сыскной деятель-
ности в интересах собственной безопасности учредителя
(ст. 14);
♦при осуществлении сыскной деятельности допускается использование видео- и аудиозаписи, кино и фотосъемки, технических и иных средств, не причиняющих вреда жизни и здоровью граждан (ст. 5);
♦запрещается проведение сыскных действий, нарушающих тайну переписки, телефонных переговоров и телеграфных
сообщений либо связанных с нарушением гарантий неприкосновенности личности или жилища (ст. 7).
Перечень видов специальных средств, используемых службой безопасности в соответствии с законом «О частной детективной
иохранной деятельности»:
♦жилет защитный;
♦шлем защитный;
♦спецсредство «Черемуха» и его аналоги ТУ 6-02-832-76;
♦газовый пистолет ТУ БВ-Г.000;
♦наручники ТУ 87.2.026-88;
♦палка резиновая (пластиковая).
214
Перечень видов вооружения охранников:
♦9-мм пистолет ПМ ТУ 9375-88;
♦ружье охотничье гладкоствольное ТУ 3-3.1421-83;
♦боеприпасы к оружию ТУ А9003-80.
Таким образом, служба безопасности принимает меры по сохранению коммерческой тайны путем необходимого ограничения круга лиц, имеющих доступ к ней; физической сохранности документов, содержащих такие сведения; обработки информации с грифом «конфиденциально» на защищенных ЭВМ; внесения требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами, а также проводит другие мероприятия по решению руководства.
10.2. Правовые аспекты использования технических средств защиты информации
Технические методы информационной безопасности основаны на использовании аппаратных, программных, криптографических средств и средств физической защиты. Применение данных средств обусловлено правовыми нормами, установленными действующим законодательством.
Конституция РФ определяет основы правового применения технических средств:
♦каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения (ст. 23);
♦сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускает-
ся (ст. 24). УК РФ (ст. 138).
В соответствии с Федеральным законом «Об оперативно-
розыскнойдеятельности вРФ» возложитьнаФСБРФ:
215
♦ лицензирование деятельности не уполномоченных на осуществление оперативно-розыскной деятельности физических и юридических лиц, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввозом в Российскую Федерацию и вывозом за ее пределы специальных технических средств, предназначенных для негласного получения информации, а также сертификацию, регистрацию
и учет таких специальных технических средств;
♦выявление и пресечение случаев проведения оперативно-
розыскных мероприятий и использования специальных и иных технических средств, разработанных, приспособленных, запрограммированных для негласного получения информации, неуполномоченными лицами.
Постановлением Правительства РФ от 1.07.96 г. № 770 утвер-
ждено «Положение о лицензировании деятельности физических
и юридических лиц, не уполномоченных на осуществление опера- тивно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в РФ и вывоза за ее пределы специальных технических средств».
В данном постановлении Федеральной службе безопасности Российской Федерации рекомендуется установить порядок регистрации
иучета специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, разрабатываемых, производимых, реализуемых, приобретаемых в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы лицами, не уполномоченными на осуществление оперативно-розыскной деятельности.
Перечень специальных технических средств, утвержденных данным постановлением, следующий:
1.Специальные технические средства для негласного получения
ирегистрации акустической информации.
216
2.Специальные технические средства для негласного визуального наблюдения и документирования.
3.Специальные технические средства для негласного прослушивания телефонных переговоров.
4.Специальные технические средства для негласного перехвата
ирегистрации информации с технических каналов связи.
5.Специальные технические средства для негласного контроля почтовых сообщений и отправлений.
6.Специальные технические средства для негласного исследования предметов и документов.
7.Специальные технические средства для негласного проникновения и обследования помещений, транспортных средств и других объектов.
8.Специальные технические средства для негласного контроля за перемещением транспортных средств и других объектов.
9.Специальные технические средства для негласного получения (изменения, уничтожения) информации с технических средств ее хранения, обработки и передачи.
10.Специальные технические средства для негласной идентификации личности.
Важный фактор, влияющий на тяжесть наказания, – способ добычи (получения) конфиденциальной информации. Наиболее распространенные из них отражены в Федеральном законе от 12 августа
1995 г. № 144 – ФЗ «Об оперативно-розыскной деятельности».
Согласно ст. 6 при осуществлении оперативно-розыскной деятельности проводятся следующие оперативно-розыскные мероприятия:
♦Опрос.
♦Наведение справок.
♦Сбор образцов для сравнительного исследования.
♦Проверочная закупка.
217
♦Исследование предметов и документов.
♦Наблюдение.
♦Отождествление личности.
♦Обследование помещений, зданий, сооружений, участков местности и транспортных средств.
♦Контроль почтовых отправлений, телеграфных и иных сообщений.
♦Прослушивание телефонных переговоров.
♦Снятие информации с технических каналов связи.
♦Оперативное внедрение.
♦Контролируемая поставка.
♦Оперативный эксперимент.
Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами. Ответственность за подобного рода деяния определена Уголовным кодексом РФ.
Отдельно предусмотрен перечень действий, которые не могут выполнять частные детективы. Согласно ст. 7 закона РФ от 11 марта
1992 г. № 2487-1 «О частной детективной и охранной деятельно-
сти в Российской Федерации», представителям этой профессии запрещается:
♦выдавать себя за сотрудников правоохранительных органов;
♦собирать сведения, связанные с личной жизнью, политическими и религиозными убеждениями отдельных лиц;
♦осуществлять видео- и аудиозапись, фото- и киносъемку в служебных или иных помещениях без письменного согласия на то соответствующих должностных или частных лиц;
218
♦прибегать к действиям, посягающим на права и свободы граждан;
♦совершать действия, ставящие под угрозу жизнь, здоровье, честь, достоинство и имущество граждан.
Проведение детективами сыскных действий, нарушающих тайну переписки, телефонных переговоров и телеграфных сообщений либо связанных с нарушением гарантий неприкосновенности личности или жилища, влечет за собой установленную законом ответственность.
10.3. Особенности расследования компьютерных преступлений
Как правило, компьютерные преступления характерны для различных видов финансовой деятельности. Главная проблема при расследовании преступлений в банковских компьютерных системах заключается в установлении самого факта совершения преступления.
Для обоснованного утверждения факта совершения преступления
сиспользованиемкомпьютеранеобходимодоказать, что:
♦компьютерная информация, к которой произведен несанкционированный доступ, охраняется законами Российской Федерации;
♦злоумышленником были осуществлены определенные неправомерные действия;
♦самими несанкционированными действиями нарушены права собственника информации;
♦совершен несанкционированный доступ к средствам компьютерной техники либо попытка получения такого доступа;
♦использованы злоумышленником полученные в результате неправомерных действий денежные средства в своих целях.
Например, при необходимости доказать, что доступ был несанкционированным с целью совершения преступления, установлению и доказыванию подлежит:
219
♦факт, что действительно были совершены несанкционированные манипуляции, например с программным обеспечением;
♦что, эти манипуляции были недозволенными;
♦лицо, совершавшее их, знало об этом и осуществляло их с це-
лью преступного умысла.
Комплекс следственных действий, обязательных для первоначального этапа расследования, должен включать:
1.Проведение обыска в служебном помещении, на рабочем месте подозреваемого с целью обнаружения и изъятия физических носителей машинной информации и документов, имеющих отношению
кхищению денежных средств.
2.Исследования:
♦журналов сбойных ситуаций, рабочего времени ЭВМ, по передаче смен операторами;
♦средств защиты и контроля банковских компьютерных систем, регистрирующих пользователей, моменты включения
(активации) системы либо подключения к ним абонентов
с определенным индексом или без такового;
♦протоколов вечернего решения, представляющих собой копию действий операторов, отображенную на бумажном носителе в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня;
♦контрольных чисел файлов;
♦всего программного обеспечения ЭВМ;
♦микросхем постоянно запоминающих устройств, микропроцессоров и их схемного исследования.
3.Получение и анализ технических указаний по обработке ежедневной бухгалтерской информации с перечнем выходящих форм.
4.Допрос лиц из числа инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением;
220