Правовая защита информации

Бывший Президент России Владимир Путин, выступая 17.03.2006 г. на заседании коллегии Минюста РФ, подчеркнул важность обеспечения правовой защиты интеллектуальной собственности [18]. В.Путин указал, что для интеграции в мировую экономику требуется гармонизация российского законодательства с международным, особо отметив важность обеспечения правовой защиты интеллектуальной собственности. Также, по его словам, "органы правопорядка нуждаются в юридически действенном инструменте для борьбы с контрафактом".

По оценкам экспертов [27], российская экономика от контрафактной продукции ежегодно несет убытки порядка 13 млрд долл. Они отмечают, что ускорить решение этой проблемы поможет присоединение России к ВТО, так как обеспечение защиты интеллектуальной собственности является одним из условий для вступления во Всемирную торговую организацию.

Инновации как конечный результат творческого труда, получивший реализацию в новой продукции или технологии, т.е. как творения человеческого разума, его интеллекта, являются объектами интеллектуальной собственности. Защита прав на интеллектуальную собственность, защита инноваций является важной задачей управления инновационными процессами. Решение этой задачи позволяет покупать и продавать инновации аналогично тому, как покупаются и продаются другие товары [6].

Инновации представляют собой важный вид нематериальных активов организации, поэтому чрезвычайно важно предотвратить их несанкционированное использование конкурентами. Организация в результате осуществления инновационной деятельности получает конкурентное преимущество, которое закрепляется в процессе защиты инноваций как объектов интеллектуальной собственности. Таким образом, защита инноваций препятствует получению конкурентами выгод от результатов инновационной деятельности без осуществления соответствующих затрат на разработку и реализацию инноваций.

Существование и использование надежных механизмов защиты инноваций стимулирует инновационную деятельность хозяйствующих субъектов, позволяет существенно улучшить инновационный климат, интенсифицировать процессы трансферта технологий.

С 1 января 2008 года введен в действие новая четвертая часть Гражданского кодекса Российской Федерации (ГК РФ) «Права на результаты интеллектуальной деятельности и средства индивидуализации»[2]. Закон вводит полный перечень объектов интеллектуальной собственности, впервые причисляя к ним коммерческие обозначения и ноу-хау; предусматривает дополнительные гарантии защиты прав авторов, в частности, описывает понятие исключительного права автора на результат интеллектуальной деятельности и право публикатора. Кроме того, в четвертой части ГК РФ есть следующие нововведения: государственная аккредитация коллективных управляющих правами, охрана исключительных прав изготовителей баз данных. С введением в действие четвертой части ГК РФ теряют силу все шесть отдельных законов, регулирующих правовые вопросы в сфере интеллектуальной собственности, в частности Закон «Об авторском праве и смежных правах» (1995 г.), Патентный закон 1992 г., Закон«О товарных знаках, знаках обслуживания и наименованиях мест происхождения товаров» (1992 г.) и др. Закон о введении в действие четвертой части ГК РФ предусматривает, что права, охраняемые к моменту введения в действие четвертой части Гражданского кодекса, продолжают охраняться в соответствии с правилами нового кодекса.

При управлении инновационными процессами необходимо исходить из того, что интеллектуальная собственность, объектами которой могут выступать результаты инновационной деятельности, делится на несколько составляющих (Рис. 3.4). Важными ее компонентами являются промышленная собственность и авторское право.

Рис. 3.4. Структура интеллектуальной собственности

Здесь под промышленной собственностью понимается та часть интеллектуальной собственности, которая относится к научно-техническим творениям человека. Наиболее распространенными объектами промышленной собственности являются изобретения, полезные модели и промышленные

образцы. Кроме этих трех видов объектов интеллектуальной собственности к промышленной собственности относятся товарные знаки и знаки обслуживания, а также фирменные наименования.

Для управления инновационными процессами важно то, что законодательство России по промышленной собственности, как и практически всех других стран, базируется на ее патентном праве. В структуру российского патентного права, изложенного в главе 72 ГК РФ [2], который принят и вступил в силу с 1 января 2008 г., включены нормы, касающиеся трех объектов промышленной собственности: изобретений, полезных моделей и промышленных образцов. Эти объекты промышленной собственности близки по существу, а также по процедуре подготовки заявок на их правовую охрану и технологии прохождения экспертизы в патентном ведомстве.

Для защиты изобретений, как объектов интеллектуальной собственности, важно то, что в соответствии со статьей 1350 ГК РФ [2] «В качестве изобретения охраняется техническое решение в любой области, относящееся к продукту (в частности, устройству, веществу, штамму микроорганизма, культуре клеток растений или животных) или способу (процессу осуществления действий над материальным объектом с помощью материальных средств)».

В качестве технического решения может рассматриваться устройство (деталь, узел или их взаимосвязанная совокупность); способ (операция или совокупность взаимосвязанных операций, действий над материальными объектами и с помощью материальных объектов); вещество (искусственно созданная совокупность взаимосвязанных ингредиентов); штамм (наследственно однородные культуры микроорганизмов); культуры клеток растений и животных; применение перечисленных объектов по новому назначению (это означает, что какой-то из этих объектов предложено использовать с такой целью, для которой он ранее не использовался).

Изобретению предоставляется правовая охрана, если оно является новым, имеет изобретательский уровень и промышленно применимо.

Полезные модели – это тот новый объект промышленной собственности, введение которого в структуру российского патентного права, безусловно, оказывает положительное воздействие на эффективность управления инновационной деятельностью, защиту инновационных продуктов. Согласно статье 1351 ГК РФ (часть 4) [2] «В качестве полезной модели охраняется техническое решение, относящееся к устройству».

Полезную модель часто называют малым изобретением, т.к. она должна отвечать критериям новизны и промышленной применимости, хотя имеет невысокий творческий уровень (недостаточный для изобретения). Возможность и механизмы быстрой и дешевой правовой защиты конструктивных разработок существенно влияют на эффективность деятельности малых и средних инновационных предприятий.

Полезной модели предоставляется правовая охрана, если она является новой и промышленно применимой

Промышленный образец, согласно статье 1352 ГК РФ - это «художественно-конструкторское решение изделия промышленного или кустарно-ремесленного производства, определяющее его внешний вид».

Промышленному образцу предоставляется правовая охрана, если по своим существенным признакам он является новым и оригинальным.

К существенным признакам промышленного образца относятся признаки, определяющие эстетические и (или) эргономические особенности внешнего вида изделия, в частности форма, конфигурация, орнамент и сочетание цветов.

Правовая охрана изобретения осуществляется с помощью патента – документа, удостоверяющего авторство изобретения и предоставляющего его владельцу исключительное (монопольное) право на использование изобретения в течение 20 лет с даты приоритета (важно отметить, что в соответствии со ст.1347 ГК РФ авторами изобретения, полезной модели и промышленного образца могут быть только физические лица, а патентообладателями как физические, так и юридические лица, например, работодатель).

Для защиты инноваций существенную роль играет дата приоритета, т.е. та дата, которая служит основанием для установления первенства заявителя в отношении объекта промышленной собственности (приоритет, как правило, устанавливается по дате подачи первой правильно оформленной заявки в Патентное ведомство).

Можно отметить, что в большинстве стран, как и в России, патент на изобретение длится 20 лет начиная с момента регистрации заявки на патент. Однако в экстремальных случаях может пройти 10 лет из этого 20-летнего периода до того, как закончится проверка заявки патентной службой. Поэтому, например, в США и Канаде этот период начинается с момента выдачи патента.

Обладание патентом означает, что никто не имеет права использовать данную интеллектуальную собственность (изобретение) без согласия владельца патента, а согласие может даваться путем выдачи лицензии. Другими словами, патент на изобретение дает только его обладателю право в стране, где он был выдан, использовать соответствующую технологию, производить, импортировать (ввозить), продавать соответствующую инновационную продукцию. При этом применение запатентованных средств в личных целях без получения дохода не является нарушением исключительного права патентообладателя.

Однако права, даваемые патентом, не реализуются автоматически. Следить за соблюдением этих прав посредством выявления того, не нарушил ли кто-либо патент – это дело собственника. По требованию патентообладателя нарушение патента должно быть прекращено, а нарушитель обязан возместить убытки патентообладателю в соответствии с действующим законодательством.

Для управления инновационными процессами принципиальное значение имеет то, что согласно Патентному закону РФ изобретение, для того чтобы быть патентоспособным, т.е. чтобы изобретению предоставлялась правовая охрана, должно

Правовая охрана полезной модели предоставляется только на 10 лет (т.е. на срок в 2 раза меньший, чем для изобретения), что однако компенсируется намного более простым и дешевым механизмом защиты. В условиях жесткой конкуренции и быстрого обновления потребительского рынка этого срока часто оказывается достаточно. Кроме того, срок действия патента на полезную модель в отличие от патента может быть продлен Патентным ведомством по ходатайству патентообладателя, но не более чем на 3 года Заявка на полезную модель подвергается только формальной экспертизе, т.е. процедура выдачи патента на полезную модель носит явочный характер; проверка на соответствие критериям охраноспособности экспертным путем не проводится. Естественно, что размер пошлин за получение и поддержание патента на полезную модель значительно ниже размера пошлин в случае защиты изобретения. Преимуществом процедуры защиты полезной модели является также быстрота; патент на полезную модель может быть получен заявителем через полгода. К недостаткам можно отнести меньшую надежность и потенциально большую частоту оспаривания правомерности выдачи патента на полезную модель.

Чтобы устранить этот недостаток, заявителю и третьим лицам предоставляется право ходатайствовать о проведении Патентным ведомством информационного поиска по заявке с целью оценки охраноспособности полезной модели, в первую очередь ее новизны. Механизм информационного поиска позволяет инновационным предприятиям принимать гибкие управленческие решения относительно защиты результатов инновационной деятельности. Например, в зависимости от оценки изобретательского уровня, полученной на основе результатов информационного поиска, возможна трансформация заявки на полезную модель в заявку на изобретение (как подчеркивалось выше, возможна и обратная трансформация).

Институт полезных моделей в нашей стране был введен недавно, но в других странах он возник довольно давно (в Германии в 1891 г.). На уровне международного права полезные модели стали предметом охраны в 1911 г., когда были включены в статью Парижской конвенции по охране промышленной собственности. Поэтому важно учитывать международный опыт защиты этих объектов интеллектуальной собственности.

В последнее время все чаще встает вопрос о защите прав на такие объекты промышленной собственности, как промышленные образцы.

Понятие «промышленный образец» включает в себя технический дизайн (т.е. эргономические характеристики продукта) и эстетический дизайн (т.е. внешнюю привлекательность, цвет, текстуру, форму продукта). Поскольку в условиях рыночной конкуренции привлекательный внешний вид товара и удобство в эксплуатации позволяют получить конкурентное преимущество по отношению к товарам с аналогичными технологическими характеристиками, постольку предприятия вынуждены вкладывать средства в разработку дизайна. Поэтому охрана дизайна или охрана промышленного образца должна предоставлять возможность инновационным предприятиям возместить затраты на разработку нового дизайна и получить соответствующую прибыль от продажи инновационных продуктов или лицензирования прав на промышленный образец.

Заметим, что определение «промышленный» означает, что патентную охрану могут получить только образцы изделий, которые воспроизводимы промышленным путем. В противном случае это могут быть произведения искусства, которые охраняются авторским правом.

В российском ГК в качестве критериев охраноспособности промышленного образца используются такие признанные в мировой практике критерии, как новизна и оригинальность.

Под новизной промышленного образца подразумевается совокупность существенных признаков образца, определяющих эстетические и эргономические особенности изделия, к которому применим образец, которая не известна из сведений, общедоступных в мире до даты приоритета промышленного образца. Этот критерий означает, что патентная форма охраны обеспечивает защиту промышленного образца как от копирования (аналогично авторскому праву), так и от попыток имитировать образец (не допускается сходство существенных признаков).

Оригинальным признается промышленный образец, если его существенные признаки обусловливают творческий характер его эстетических особенностей. Так, критерий оригинальности не удовлетворен, если например, пропорционально изменены размеры известного, изменены только материалы, ранее известная трехмерная модель реализована в виде двухмерного рисунка и т.п.

В случае положительного результата экспертизы на соответствие критериям охраноспособности и после уплаты пошлины Патентное ведомство регистрирует промышленный образец и выдает патент. Патент на промышленный образец действует в течение 15 лет с даты поступления заявки в Роспатент, но по ходатайству патентообладателя срок защиты промышленного образца может быть еще продлен на срок до 10 лет.

Инновационные предприятия нередко пользуются и возможностями, которые предоставляет закон в рамках временной охраны промышленного образца. Так, после подачи заявки в Патентное ведомство предприятие может уведомить своего конкурента об этом. Последний, чтобы не быть в будущем оштрафованным, часто вынужден прекратить коммерческое использование соответствующего образца (право преждепользования предполагает незнание о существовании заявки). Передача права на использование запатентованного промышленного образца осуществляется по лицензионному договору.

С введением в действие части 4-ой части ГК РФ секреты производства (ноу-хау) и коммерческие обозначения стали рассматриваться в качестве самостоятельных объектов правовой охраны. Термин "ноу-хау" становится все более популярным - чаще всего его можно встретить в контексте модных утверждений о том, что именно ноу-хау является одним из ключевых факторов успеха современного бизнеса.

В ст.1465 "Секрет производства (ноу-хау)" ГК РФ [2] дается следующее определение: "Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны". Из этого определения следует, что в современной российской практике понятие "ноу-хау" идентифицируется с понятиями "секрет производства" и "коммерческая тайна".

В мировой практике понятия "ноу-хау" и "деловой секрет" (или "торговый секрет"), которые нередко воспринимаются в качестве синонимов, несколько различаются в своем употреблении. Термин "деловой секрет" обычно используется применительно к внутренней ценной конфиденциальной информации, которая находится в распоряжении организации и является аналогом нашего термина "коммерческая тайна", а термин "ноу-хау" применяется к той части делового секрета организации, которая передается по договору другому владельцу. Передача ноу-хау чаще всего сопровождает продажу научно-технических достижений и существенно повышает их стоимость. Помимо ноу-хау могут передаваться также такие его разновидности, как шоу-хау ("show haw" - "покажу как"), "ноу-уай" ("know why" - "знаю почему)

В отличие от современного российского расширительного толкования термина "секрет производства" в общем случае за рубежом принято выделять следующие основные разновидности ноу-хау: технические, управленческие, коммерческие и финансовые. При этом ту часть деловых секретов, которую называют секретами производства, обычно относят к группе технических ноу-хау, куда принято включать еще так называемые расчетные ноу-хау (из области инженерных расчетов) и проектные ноу-хау (из области проектирования промышленных и гражданских объектов). Под управленческими ноу-хау чаще всего понимаются описания наиболее эффективных методов управления, способов функционального взаимодействия структурных подразделений, методов взаимодействия кооперирующихся компаний. Коммерческие ноу-хау могут содержать знания и опыт в реализации продукции, сведения о конъюнктуре рынка, о наиболее целесообразных формах рекламы и реализации продукции. В качестве финансовых ноу-хау принято рассматривать информацию о наиболее выгодных формах использования денежных средств, ценных бумаг, акций, капиталовложений с учетом изменения курса валют, особенностей национальных налоговых систем, таможенных ограничений, а также сведения о банковских объединениях, формах кредитования.

С ноу-хау обычно возникают трудности при патентовании новых разработок и при их продаже. Законодательства всех стран требуют полного раскрытия всей совокупности существенных признаков изобретения, а заявители стремятся по возможности скрыть максимум информации для того, чтобы впоследствии как можно дороже продать разработку с ноу-хау, поэтому для грамотного выявления ноу-хау требуются высококвалифицированные специалисты. Проблемы, связанные с продажей ноу-хау, обусловлены тем, что для покупки с ноу-хау нужно предварительно ознакомиться. На практике при продаже ноу-хау с потенциальным покупателем заключается опционное соглашение с оплатой аванса за ознакомление с ноу-хау. В этом соглашении специально оговаривается, что в случае, если впоследствии сделка заключена не будет, потенциальный покупатель обязан сохранять конфиденциальность полученных сведений и не имеет права каким-то образом их использовать. Если же сделка состоится, аванс пойдет в счет будущих платежей.

Параллельно с введением в действие с 1 января 2008 года части IV ГК РФ в Федеральный закон от 20.07.2004 N 98-ФЗ "О коммерческой тайне" (далее - Закон N 98-ФЗ) были внесены изменения, которые вступили в силу также с начала 2008 года. Суть изменений заключается в следующем. Если раньше Закон N 98-ФЗ регулировал отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, то теперь этот закон "регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау)", т.е. теперь сфера его действия значительно сократилась.

Если раньше под коммерческой тайной понималась "конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду, то теперь коммерческая тайна интерпретируется как режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду". Таким образом, если компания намерена свою конфиденциальную информацию рассматривать в качестве коммерческой тайны, то она обязана официально установить режим защиты коммерчески ценной информации, который необходимо документировать. При этом в первую очередь следует внести соответствующие изменения в уставные документы, которые дадут право администрации компании создавать организационные структуры по защите коммерческой тайны.

Согласно ст.10 Закона N 98-ФЗ режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, которые должны включать:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации.

Если какие-либо из указанных мер своевременно приняты не были и нет документального подтверждения о принятии таких мер, режим коммерческой тайны считается не установленным со всеми вытекающими отсюда последствиями.

Если раньше Закон N 98-ФЗ давал следующее определение: "информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны", то теперь "информация, составляющая коммерческую тайну (секрет производства) - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны".

Таким образом, с начала этого года вся информация, составляющая коммерческую тайну (в том числе и та, которая прежде не рассматривалась в качестве объекта интеллектуальной собственности, но коммерчески ценная), подпадает под действие части IV ГК РФ. В связи с этим необходимо обратить внимание на ст.1467 "Действие исключительного права на секрет производства" ГК РФ, в которой говорится, что с момента утраты конфиденциальности соответствующих сведений исключительное право на секрет производства прекращается у всех правообладателей. С введением в действие части IV ГК РФ в Законе N 98-ФЗ утратили силу ст.7-9 (Права обладателя информации, составляющей коммерческую тайну; Обладатель информации, составляющей коммерческую тайну, полученной в рамках трудовых отношений; Порядок установления режима коммерческой тайны при выполнении государственного контракта для государственных нужд), ст.12 (Охрана конфиденциальности информации в рамках гражданско-правовых отношений), а также положения 3 и 4 п.3 и пп.4, 5 и 7 ст.11 "Охрана конфиденциальности информации в рамках трудовых отношений", где говорится об обязанности работника не разглашать информацию, составляющую коммерческую тайну после прекращения трудового договора, и о возмещении причиненных ущерба либо убытков, причиненных работодателю, так как теперь эти проблемы должны будут решаться в рамках положений ГК РФ.

Помимо объектов интеллектуальной собственности на предприятии имеется множество других информационных активов, требующих защиты. К ним относятся сведения, составляющие государственную или коммерческую тайну, персональные данные и т.п. Они также требуют правовой защиты. Причем защиты как внешними по отношению к предприятию нормативно-правовыми актами, так и внутренними (локальными).

Рассмотрим разновидности внешних нормативно-правовых актов. Одной из специфических особенностей российской нормативно-правовой базы является то, что основа ее создавалась еще в период, предшествующий массовой компьютеризации и информатизации общества, когда большая часть информации хранилась на бумажных носителях, и к сохранности информации предъявлялись особые требования, за выполнение которых отвечали уполномоченные на то государственные структуры. Этот же фактор зачастую встает на пути гармонизации российских и зарубежных стандартов в области информационной безопасности.

Другой, не менее важной особенностью, является то, что в наше время технологии, направленные на обеспечение информационной безопасности, развиваются настолько бурными темами, что нормативно-правовая база не в полной мере успевает за техническим прогрессом в этой области. В связи с этим в настоящее время сложилась ситуация, при которой имеющаяся нормативно-правовая база не полностью соответствует реально сложившейся практике работы предприятий, разрабатывающих решения в сфере информационной безопасности.

В настоящее время в области обеспечения информационной безопасности достаточно много нормативных документов и законодательных актов, охватывающих широкий круг вопросов защиты информации, однако имеются до сих пор нерешенные проблемы. В СМИ идет интенсивное обсуждение создавшейся ситуации, над разработкой дополнительных нормативных документов работают как гражданские институты, так и институты силовых структур, в первую очередь, тех, в чьих информационных системах обрабатывается данные, составляющие государственную тайну. В качестве основы нормативно-правового регулирования информационной безопасности в настоящий момент можно выделить следующие типы документов: законы и подзаконные акты, постановления правительства, руководящие документы ФСТЭК, государственные стандарты (ГОСТы), стандарты отрасли (СТО), ведомственные приказы и распоряжения, лицензии, сертификаты.. Значительная часть этих документов собраны в Хрестоматии, которая прилагается к данному учебнику. Далее в ссылках Хрестоматия будет обозначаться аббревиатурой «Хр», а затем, после запятой будут указаны пункт (или пункты) под которым документ обозначен в Хрестоматии. Например, ссылка [Хр, п. 4] направляет нас на документ «Декларация прав и свобод человека и гражданина»

Законы и подзаконные акты [Хр, п. 1…54].. Составляют основу всей нормативно-правовой базы по обеспечению информационной безопасности. Действующие в настоящее время законы и подзаконные акты направлены на регулирование взаимоотношений различных субъектов, работающих в области обеспечения информационной безопасности, а также являются правовой основой органов, осуществляющих лицензирование различных видов деятельности в области информационной безопасности.

Постановления правительства [Хр, п. 55…71].. Вводят перечень органов государственной власти, уполномоченных проводить лицензирование различных видов деятельности, а также регламентируют деятельность органов, осуществляющих сертификацию решений в области информационной безопасности.

Руководящие документы ФСТЭК [Хр, п. 72…89]. .. Вводят различные категории и показатели защищенности средств по обеспечению информационной безопасности.

Государственные стандарты (ГОСТы). [Хр, п. 94…106] Устанавливают требования на различные технологические аспекты обеспечения информационной безопасности, применимые на всей территории Российской Федерации.

Стандарты отрасли (СТО). [Хр, п. 107…111].. Устанавливают стандарты на различные технологические аспекты

обеспечения информационной безопасности, применимые лишь в рамках деятельности какой-либо отрасли, работающей в сфере обеспечения информационной безопасности, на которую распространяется стандарт. Отдельные стандарты отрасли в части обеспечения информационной безопасности имеет Центральный банк Российской Федерации.

Ведомственные приказы и распоряжения. Составляют основу работы различных ведомств, работающих в сфере информационной безопасности.

Лицензии. По существующим правилам разрабатывать, производить и реализовывать средства защиты информации может только предприятие, имеющее лицензию на эти виды деятельности. Лицензии выдаются на ограниченный срок, если условия для заявленного вида деятельности удовлетворяют Орган по лицензированию. При этом в течение срока действия лицензии Орган по лицензированию следит за неизменностью (не ухудшением) условий заявленного вида деятельности. В случаях, предусмотренных Федеральным Законом «О лицензировании отдельных видов деятельности», действие лицензии может быть приостановлено или аннулировано.

Сертификаты. Наличие сертификата у продукта, обеспечивающего информационную безопасность, подтверждает его соответствие определенным требованиям, изложенным в Руководящих документах Гостехкомиссии, а также отсутствие в продукте недекларированых возможностей.

Среди наиболее важных действующих в настоящее время законов, направленных на регулирование различных аспектов информационной безопасности, можно выделить следующие: Федеральный закон № 149-ФЗ,«Об информации, информационных технологиях и о защите информации» [Хр. п. 38], принятый 8 июля 2006 г.и утвержденный Указом Президента Российской Федерации от 27 июля 2006 г.Отличительной особенностью данного закона является его направленность на регулирование отношений, возникающих при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

Необходимо отметить, что настоящий Федеральный закон не затрагивает отношений, регулируемых 4-ой частью Гражданского Кодекса Российской Федерации.

Другим не менее важным правовым актом является Федеральный закон № 128-ФЗ «О лицензировании отдельных видов деятельности», принятый 8 августа 2001 г. и утвержденный Указом Президента Российской Федерации от 8 августа 2001 г. (с изменениями и дополнениями от 13 марта, 21 марта 2002 г.) [Хр, п. 19].. Важнейшей особенностью этого закона является то, что он устанавливает правовую основу работы лицензирующих органов. Этот закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. При этом, его действие не затрагивает деятельность, связанную с защитой государственной тайны. Согласно этому закону, обязательному лицензированию подлежат следующие виды деятельности:

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей; и т. д.

Отдельно стоит упомянуть и о Федеральном законе «О техническом регулировании», который был принят Государственной думой 15 декабря 2002 г.и одобрен Советом Федерации 18 декабря 2002 г..[Хр, п. 34]. Основная роль этого закона сводится к регулированию отношений, возникающих при разработке, принятии, применении и исполнении обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, а также при разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг.

Говоря об основных нормативно-правовых актах в части информационной безопасности, нельзя не упомянуть о Постановлениях Правительства Российской Федерации. Наиболее важными из них являются следующие: Постановление Правительства Российской Федерации от 15 апреля 1995г. №333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» [Хр, п. 57]. Данное постановление вводит перечень органов исполнительной власти, осуществляющих лицензирующую деятельность.

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации

средств защиты информации». Постановление является основным документом, регламентирующим деятельность органов по сертификации средств защиты информации.

Среди руководящих документов Гостехкомиссии необходимо обратить внимание на следующие: Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), в которых приведен максимально полный состав требований к объектам информатизации, где обрабатывается конфиденциальная информация.

Также не менее важными документами, входящими в состав нормативно-правовой базы, касающейся обеспечения информационной безопасности, являются ГОСТы. Среди них особо следует выделить ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» [Хр, п. 98],, в котором приведены наиболее полные определения сути защиты информации от несанкционированного доступа, а также ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» [Хр, п. 101],, который содержит наиболее значимые факторы воздействия на информацию. Однако самым полным и современным на сегодняшний день оценочным стандартом является ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» представленный в Хрестоматии соответствующими Руководящими документами Гостехкомиссии России [Хр, п. 82…84],, который, по сути, является стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования, однако он не содержит предопределенных классов безопасности. Основными идеями этого стандарта являются: возможное сокращение затрат на сертификацию продуктов; международное признание сертификатов, полученных в России (данный стандарт является полностью гармонизированным с международным стандартом ISO); сохранение национальных требований, включая защиту информации, содержащей государственную тайну, для высших уровней сертификации.

Для подтверждения соответствия характеристик продукта требованиям, изложенным в стандартах по обеспечению информационной безопасности, в отношении него проводится процедура сертификации.

В России функционируют четыре Федеральные системы сертификации по требованиям безопасности информации (определено Постановлением Правительства Российской Федерации от 26 июня 1995 г.№608). [Хр, п. 62]. В каждой есть собственные специфические закрытые особенности, за исключением открытой добровольной системы сертификации ФСТЭК, ее руководящие документы открыто публикуются. При этом средства криптографической защиты информации имеет право сертифицировать только Федеральная служба безопасности РФ, а остальные службы производят сертификацию продуктов, не содержащих криптографического функционала. Сертификацию организуют органы по сертификации, а сертификационные испытания проводят аккредитованные лаборатории по методикам, утвержденным

Органом по сертификации. Сначала лаборатория готовит протоколы испытаний на основе завершенных испытаний и Техническое заключение. Далее результаты испытаний проверяют эксперты, отдельно назначенные Органом по сертификации. При положительных выводах Технического заключения и экспертов Орган принимает решение о выдаче сертификата на определенный срок (3-5 лет). Сертификация осуществляется либо партии изделий (фиксированной), либо по схеме «тип образца».В итоге в случае сертификации по схеме «тип образца» может быть принято решение о выдаче лицензии на применение т. н. «знака соответствия», но только если производство сертифицированной продукции удовлетворяет требованиям Органа по сертификации. В период действия сертификата Органом по сертификации проводится периодический инспекционный контроль производимой продукции, допускающий отзыв лицензии на применение знака соответствия в случае грубых нарушений, вплоть до приостановки действия выданного сертификата. При этом существует довольно интересная российская особенность, связанная с сертификацией продуктов в области информационной безопасности. Связана она с тем, что зачастую заказчик защищенного продукта (изделия), понимая, что затраты на предстоящую сертификацию по требованиям безопасности информации включаются в себестоимость изделия и проявляя естественное стремление не тратить «лишних» денег, включает в Техническое задание на разработку только обязательные требования для соответствующего класса защиты, определенные Руководящими документами ФСТЭК. Разработчик защищенного продукта, опираясь на устаревшие, но дающие необходимый класс защиты нормы, также минимизирует трудозатраты, пытаясь и исключительно формально реализовать эти требования по безопасности, за исключением базового функционала, который должен работать безупречно. Разработанная система успешно сертифицируется по требованиям безопасности информации, и довольны все, кроме реального потребителя этого продукта. Обработка информации на реальном объекте информатизации «вдруг» приводит к компрометации информации, искажениям, утрате либо блокируется доступ к ней. И тупиковость ситуации в том, что виноватых нет. Все нормы действующего законодательства соблюдены, все штатно выполнили (выполняли свои обязанности). В связи с этим вполне благоприятным может оказаться перенос зарубежных стандартов на российский рынок, особенно с учетом некоторого застоя в части эволюции нашей нормативно-правовой базы.

В соответствии со сложившейся на Западе практикой работы, этапу создания средств защиты информации предшествует оценка (сертификация) так называемого Профиля защиты, на базе требований которого разрабатывается Техническое задание, а в предсертификационный период – Задание по безопасности. И выглядит это все на деле существенно менее консервативно, статично и непродуманно, чем на российском IT-рынке. Заказчик может разработать Профиль защиты, учитывающего все особенности его объекта информатизации, и сертифицировать вновь разработанный продукт на соответствие так называемому Заданию по безопасности для обработки конфиденциальной информации. Пусть дополнительная «компетентная» экспертиза определит достаточность требований Профиля или Задания по безопасности для обработки конфиденциальной информации. В этой схеме есть явный плюс: появляется фигура «компетентного эксперта», которого можно «наказать, если что». И этот эксперт будет следить за всеми новациями в индустрии.

Существует также еще одно различие между российским и зарубежным законодательством в части информационной безопасности и связано оно с особенностями принятия нормативно-правовой базы.

В практику работы российских разработчиков средств защиты информации в настоящее время ложатся уже существующие нормы законодательной базы, в то время как на Западе иногда уже сложившаяся практика работы и специфика работы крупных корпораций, имеющих устоявшуюся положительную репутацию, ложится в основу законодательства. По сути, стандарт обобщает и закрепляет уже сложившуюся практику работы крупных корпораций.

В целом, мир, в котором мы живем, становится все более компьютеризированным и информационным. Это явление продиктовано веянием времени и в равной мере пронизывает как коммерческие структуры, так и государственные структуры, в том числе силовые.

Дата добавления: 2014-01-06; Просмотров: 753; Нарушение авторских прав?; Мы поможем в написании вашей работы!