Безопасность как правовой режим обеспечения сохранности информации в субъектах предпринимательской деятельности

     К 1 января 2011 года все юридические  и физические лица, использующие в  своей деятельности персональные данные в электронном виде, должны осуществить  необходимые мероприятия по их защите в соответствии с Федеральным  Законом от 27.07.2006 г. № 152-ФЗ⁴⁶.

     Технические и программные средства должны удовлетворять  устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Кроме  того, предусматривается, что для  обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе⁴⁷.

     Конкретные  методы и способы защиты информации в информационных системах устанавливаются  Федеральной службой по техническому и экспортному контролю и Федеральной  службой безопасности РФ в пределах их полномочий. Достаточность принятых мер оценивается при проведении государственного контроля и надзора.

     Средства  защиты информации, применяемые в  информационных системах, в установленном  порядке проходят процедуру оценки соответствия.

     Требования  к компаниям разного уровня предъявляются различные. Жесткость требований определяется классом, под который попадает информационная система персональных данных, существующая в компании.

     Порядок проведения классификации утвержден  совместным Приказом ФСТЭК РФ (Федеральной  службы по техническому и экспертному контролю), ФСБ РФ  и Министерства информационных технологий и связи РФ от 13.02.2008 №55/86/20.

     Цель  проведения классификации -  установление методов и способов защиты информации, необходимых для обеспечения  безопасности персональных данных⁴⁸.

     Классификация защиты информации представлена в таблице 1 (Приложение 2)⁴⁹.

     Закон запрещает обработку специальных  категорий персональных данных, относящихся  к расовой, национальной принадлежности, политическим взглядам, религиозным  или философским убеждениям, состоянию здоровья, интимной жизни. Однако обработка таких категорий персональных данных в ряде случаев допускается. Например,

     - персональные данные являются  общедоступными;

     - в связи с осуществлением правосудия;

     -  в соответствии с уголовно-исполнительным законодательством либо оперативно-розыскной деятельностью и прочее⁵⁰.

     Если  субъект персональных данных считает, что оператор осуществляет обработку  его персональных данных с нарушениями  или иным образом нарушает его  права и свободу, он вправе обжаловать действия или бездействие оператора.

       В 2008 году прошли первые судебные  процессы по искам Федеральной службы к операторам, осуществляющим обработку персональных данных с нарушениями требований законодательства Российской Федерации в области персональных данных⁵¹.

     Судами  из 22 административных дел девять рассмотрены в пользу субъектов персональных данных. В указанных случаях операторы, осуществляющие обработку персональных данных с нарушением требований Федерального закона, привлечены к административной ответственности по ст.ст. 19.7, 13.11 Кодекса Российской Федерации об административных правонарушениях. В 13 случаях вынесены постановления о прекращении производства по делам об административных правонарушениях.

     В качестве положительного опыта судебно-претензионной работы Федеральной службы можно привести два примера:

     - Фрунзенским районным судом Приморского  края по результатам рассмотрения искового заявления Управления Федеральной службы по Приморскому краю, поданного в интересах гражданина Ж. на действия Сбербанка Российской Федерации, вынесено решение  обязывающее Сбербанк Российской Федерации уничтожить персональные данные гражданина, незаконно внесенные в информационную систему «СТОП-ЛИСТ».

     - Мировым судьей судебного участка  № 375 района Арбат г. Москвы вынесено постановление о привлечении к административной ответственности контрагента банка ЗАО «Тинькофф Кредитные Системы» ООО «Галаб Рисерч», осуществляющего рассылку информационных материалов рекламного характера банка в нарушение положений Федерального закона и назначении административного наказания в виде штрафа⁵².

     Закон «О персональных данных» не содержит конкретных мер ответственности, которые могут быть применены к гражданам, организациям, органам государственной власти, органам местного самоуправления за несоблюдение законодательства о персональных данных.

     Закон о персональных данных отсылает к  другим нормативным актам, предусматривающие  разные меры ответственности. К таким  мерам ответственности можно  отнести: ликвидацию юридического лица, привлечение к административной или уголовной ответственности, компенсация морального вреда, прекращение деятельности средства массовой информации и другое.

     Так, за нарушение установленного законом  порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных) предусмотрена административная ответственность (ст. 13.11 КоАП РФ), а именно, влечет наложение административного штрафа на должностных лиц - от 1000 до 1500 рублей; на юридических лиц - от 10000 до 15000 рублей, а также приостановку деятельности организации (или ее подразделения) на срок до 90 суток.  Персональные данные являются информацией ограниченного характера, поэтому за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, также предусмотрена административная ответственность (ст. 13.14 КоАП). Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, влечет наложение административного штрафа на должностных лиц – от 4000 до 5000 рублей.

     Преступлениями, влекущими за собой уголовную  ответственность, являются:

     - незаконное собирание или распространение  сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Статья 137 УК РФ устанавливает наказание за это преступление:

     - штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,

     - либо обязательные работы на срок от 120 до 180 часов,

     - либо исправительные работы на срок до одного года,

     - либо арест на срок до четырех месяцев.

     При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

     - штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет;

     - либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;

     - либо арестом на срок от 4 до 6 месяцев.

     - Использование несертифицированных  информационных систем, баз и  банков данных, а также несертифицированных  средств защиты информации влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации. На должностных лиц – от 1000 до 2000 рублей, а на юридических лиц – от 10000 до 20000 рублей с конфискацией несертифицированных средств.

     - Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ), то должностное лицо наказывается:

     - штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;

     - либо лишением права занимать  определенные должности или заниматься  определенной деятельностью на  срок от 2 до 5 лет.

     - Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ), - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, или лишением свободы на срок до двух лет.⁵³

     Это подтверждается и судебной практикой. Так Таганский районный суд города Москвы приговорил в особом порядке  к 1 году колонии-поселения бывшего  сотрудника "Росгосстрах" за попытку  разглашения клиентской базы. Так, уже  бывший сотрудник подразделения  ООО "Росгосстрах-Столица" Иван Швага был признан виновным в разглашении коммерческой тайны с причинением крупного ущерба.

     По  данным следствия, он скопировал данные о 34 тыс. клиентах компании и попытался  продать их за 50 тыс. руб. Как сообщает пресс-служба прокуратуры Москвы, с октября 2006 года по июнь 2008 года, работая в "Росгосстрах-Столице", гр.Швага (кстати, гражданин Республики Молдовы) имел доступ к клиентским базам, содержащим сведения о физических лицах - клиентах общества.

     В частности, в базах находились полные анкетные данные, включающие фамилии, имена, отчества, адреса мест регистрации, номера телефонов, объекты страхования (марки, модели автомобилей, идентификационные номера, регистрационные знаки), суммы страховых премий, и др.  Дело, совершенное из корыстной заинтересованности, расследовалось по ч. 3 ст. 183 УК (незаконное разглашение сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому они стали известны по работе)⁵⁴.

       3.5. Компьютерная безопасность.

     Сложно  представить, сколько информации о гражданах хранится в базах операторов связи, паспортных столов, поликлиник, различных городских управлений. Процесс информатизации, который раньше начался в городах, перевел огромные массивы данных в электронный вид. Ими стало удобнее оперировать и одновременно – легче злоупотреблять. Насколько защищены наши личные сведения, можно судить по количеству баз данных, находящихся практически в свободной продаже в Интернете. Между тем закон обязывает операторов персональных данных не только запрашивать у граждан разрешения на обработку личной информации, но и постоянно заботиться о ее защите.

     В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает  обеспечение компьютерной безопасности. Это связано с возрастающим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации⁵⁵.

     Источники  угроз могут быть внутренними (собственные  работники), внешними (например, конкуренты), смешанными (заказчики – внешние, а исполнитель – работник фирмы).

     Что же является непосредственным объектом компьютерных преступлений? Им может являться как информация (данные), так и сами компьютерные программы.

     Преступник  получает доступ к охраняемой информации без разрешения ее собственника или  владельца, либо с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных⁵⁶.